Alterar a conexão do aplicativo e as políticas de segurança para sua organização

  • Artigo

Importante

O Azure DevOps não dá mais suporte à autenticação de Credenciais Alternativas desde o início de 2 de março de 2020. Se você ainda estiver usando Credenciais Alternativas, recomendamos que você alterne para um método de autenticação mais seguro (por exemplo, tokens de acesso pessoal). Saiba mais.

Saiba como gerenciar as políticas de segurança da sua organização que determinam como os aplicativos podem acessar serviços e recursos em sua organização. Você pode acessar a maioria dessas políticas em Configurações da Organização.

Pré-requisitos

Você deve ser membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo.

Gerenciar uma política

Conclua as etapas a seguir para alterar a conexão de aplicativo, a segurança e as políticas de usuário para sua organização no Azure DevOps.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione gear iconConfigurações da organização.

    Screenshot of Organization settings button, preview page.

  3. Selecione Políticas e, ao lado da política, mova a alternância para ativada ou desativada.

Screenshot of select policy, and then turn On or Off.

Políticas de conexão de aplicativos

Para acessar sua organização sem solicitar credenciais de usuário várias vezes, os aplicativos geralmente usam os seguintes métodos de autenticação:

  • OAuth para gerar tokens para acessar APIs REST para DevOps do Azure. Todas as APIs REST aceitam tokens OAuth e esse é o método preferencial de integração em relação aos tokens de acesso pessoal (PATs). As APIs de Gerenciamento de Organizações, Perfis e PAT oferecem suporte apenas a OAuth.

  • SSH para gerar chaves de criptografia para usar Linux, macOS e Windows executando o Git para Windows, mas você não pode usar gerenciadores de credenciais Git ou PATs para autenticação HTTPS.

  • PATs para gerar tokens para:

    • Acessar recursos ou atividades específicas, como builds ou itens de trabalho
    • Clientes, como Xcode e NuGet, que exigem nomes de usuário e senhas como credenciais básicas e não oferecem suporte a recursos de conta da Microsoft e Microsoft Entra, como autenticação multifator
    • Acessando APIs REST para DevOps do Azure

Por padrão, sua organização permite acesso para todos os métodos de autenticação.

Você pode limitar o acesso para chaves OAuth e SSH desabilitando o acesso a estas diretivas de conexão de aplicativo:

  • Aplicativo de terceiros por meio do OAuth – Habilitar aplicativos de terceiros para acessar recursos em sua organização por meio do OAuth. Essa política é desativada por padrão para todas as novas organizações. Se você quiser acesso a aplicativos de terceiros, habilite essa política para garantir que esses aplicativos possam obter acesso aos recursos em sua organização.
  • Autenticação SSH - Permite que os aplicativos se conectem aos repositórios Git da sua organização por meio do SSH.

Quando você nega acesso a um método de autenticação, nenhum aplicativo pode acessar sua organização por meio desse método. Qualquer aplicativo que já teve acesso receberá erros de autenticação e não terá mais acesso à sua organização.

Para remover o acesso aos PATs, você deve revogá-los.

Políticas de acesso condicional

A ID do Microsoft Entra permite que os locatários definam quais usuários têm permissão para obter acesso aos recursos da Microsoft por meio do recurso CAP (Política de Acesso Condicional). Por meio dessas configurações, o administrador do locatário pode exigir que os membros cumpram qualquer uma das seguintes condições, por exemplo, o usuário deve:

  • ser membro de um grupo de segurança específico
  • pertencer a um determinado local e/ou rede
  • estar usando um sistema operacional específico
  • estar usando um dispositivo habilitado em um sistema de gerenciamento

Dependendo das condições que o usuário satisfaz, você pode exigir a autenticação multifator ou definir verificações adicionais para obter acesso ou bloquear o acesso completamente.

Suporte a CAP no Azure DevOps

Se você entrar no portal da Web de uma organização apoiada pelo Microsoft Entra ID, o Microsoft Entra ID sempre verificará se você pode avançar executando a validação de quaisquer CAPs que foram definidas pelos administradores de locatário.

O Azure DevOps também pode executar validação de CAP adicional depois que você estiver conectado e navegando pelo Azure DevOps em uma organização apoiada pelo Microsoft Entra ID:

  • Se a política de organização "Habilitar validação de política de acesso condicional de IP" estiver habilitada, verificaremos as políticas de vedação de IP em fluxos da Web e não interativos, como fluxos de terceiros, como o uso de um PAT com operações git.
  • As políticas de entrada também podem ser aplicadas para PATs. Usar PATs para fazer chamadas de ID do Microsoft Entra requer que o usuário siga todas as políticas de entrada definidas. Por exemplo, se uma política de entrada exigir que um usuário entre a cada sete dias, você também deverá entrar a cada sete dias, se desejar continuar usando PATs para fazer solicitações ao Microsoft Entra ID.
  • Se você não quiser que nenhuma CAP seja aplicada ao Azure DevOps, remova o Azure DevOps como um recurso para a CAP. Não faremos a aplicação de CAPs org-by-org no Azure DevOps.

Suportamos políticas de MFA apenas em fluxos web. Para fluxos não interativos, se eles não satisfizerem a política de acesso condicional, o usuário não será solicitado para MFA e, em vez disso, será bloqueado.

Condições baseadas em IP

Oferecemos suporte a políticas de acesso condicional de vedação IP para endereços IPv4 e IPv6. Se você achar que seu endereço IPv6 está sendo bloqueado, recomendamos verificar se o administrador do locatário configurou CAPs que permitem a passagem do endereço IPv6. Da mesma forma, pode ajudar a incluir o endereço mapeado para IPv4 para qualquer endereço IPv6 padrão em todas as condições de CAP.

Se os usuários estiverem acessando a página de entrada do Microsoft Entra por meio de um endereço IP diferente daquele usado para acessar os recursos de DevOps do Azure (comum com o túnel VPN), verifique sua configuração VPN ou infraestrutura de rede para verificar se todos os endereços IP que você está usando estão incluídos nas CAPs do administrador do locatário.