Compartilhar via


Alterar as políticas de conexão e segurança do aplicativo para sua organização

Importante

O Azure DevOps não dá suporte à autenticação de credenciais alternativas. Se você ainda estiver usando credenciais alternativas, recomendamos que você mude para um método de autenticação mais seguro.

Este artigo mostra como gerenciar as políticas de segurança da sua organização que determinam como usuários e aplicativos podem acessar serviços e recursos em sua organização. Você pode acessar a maioria dessas políticas nas configurações da organização.

Pré-requisitos

Categoria Requisitos
Permissões

Gerenciar uma política

Para atualizar as políticas de conexão, segurança ou usuário do aplicativo para sua organização, siga estas etapas:

  1. Entre em sua organização em https://dev.azure.com/{Your_Organization}.

  2. Selecione ícone de engrenagemConfigurações da organização.

    Captura de tela do botão Configurações da organização, página de visualização.

  3. Selecione Políticas e, em seguida, ative oudesative a política desejada.

    Captura de tela da lista de políticas e seus interruptores ativados e desativados.

Restringir métodos de autenticação

Para permitir o acesso contínuo à sua organização sem solicitar repetidamente credenciais de usuário, os aplicativos podem usar métodos de autenticação, como OAuth, SSH e PATs (token de acesso pessoal). Por padrão, todas as organizações existentes permitem acesso a todos os métodos de autenticação.

Você pode limitar o acesso a esses métodos de autenticação desabilitando as seguintes políticas de conexão de aplicativo:

Quando você nega acesso a um método de autenticação, nenhum aplicativo pode acessar sua organização por meio desse método. Qualquer aplicativo que anteriormente tinha acesso encontra erros de autenticação e perde o acesso.

Impor políticas de acesso condicional

A ID do Microsoft Entra permite que os administradores de locatários controlem quais usuários podem acessar recursos da Microsoft usando políticas de Acesso Condicional. Os administradores definem condições específicas que os usuários devem atender para obter acesso, como:

  • Associação a um grupo de segurança específico do Microsoft Entra
  • Requisitos de localização ou rede
  • Uso de um sistema operacional específico
  • Uso de um dispositivo gerenciado e habilitado

Com base nessas condições, você pode conceder acesso, exigir mais verificações, como autenticação multifator, ou bloquear totalmente o acesso. Saiba mais sobre políticas de Acesso Condicional e como configurar uma para o Azure DevOps na documentação do Microsoft Entra.

Suporte à política de acesso condicional no Azure DevOps

Quando você entra no portal da Web de uma organização apoiada pelo Microsoft Entra ID, a ID do Microsoft Entra valida todas as políticas de Acesso Condicional definidas pelos administradores de locatários. Depois de modernizar nossa pilha de autenticação web para usar tokens do Microsoft Entra, o Azure DevOps agora impõe a validação da política de acesso condicional em todos os fluxos interativos (Web).

  • Atenda às políticas de autenticação ao usar PATs em conexões à API REST que dependem do Microsoft Entra.
  • Remova o Azure DevOps como um recurso da política de Acesso Condicional, o que impede a aplicação de políticas de Acesso Condicional.
  • Impor políticas de MFA somente em fluxos da Web; bloqueará o acesso a fluxos não interativos se os usuários não atenderem a uma política de Acesso Condicional.

Condições baseadas em IP

Se você habilitar a validação da política de Acesso Condicional de IP na política de fluxos não interativos , o Azure DevOps verificará as políticas de isolamento IP em fluxos não interativos, como quando você usa um PAT para fazer uma chamada à API REST.

O Azure DevOps dá suporte a políticas de acesso condicional de isolamento IP para endereços IPv4 e IPv6. Se as políticas de Acesso Condicional bloquearem seu endereço IPv6, peça ao administrador do locatário que atualize a política para permitir o endereço IPv6. Além disso, considere incluir o endereço mapeado IPv4 para qualquer endereço IPv6 padrão em todas as condições de política de Acesso Condicional.

Se os usuários acessarem a página de entrada do Microsoft Entra de um endereço IP diferente do usado para acessar recursos do Azure DevOps (o que pode acontecer com o túnel VPN), examine sua configuração de VPN ou configuração de rede. Verifique se o administrador do locatário inclui todos os endereços IP relevantes nas políticas de Acesso Condicional.

Políticas de destinatários e de acesso condicional do Azure Resource Manager

O Azure DevOps não depende do recursohttps://management.azure.com arm (Azure Resource Manager) quando você entra ou atualiza tokens de acesso do Microsoft Entra. Anteriormente, o Azure DevOps exigia o público-alvo do ARM durante os fluxos de entrada e atualização de token. Esse requisito significava que os administradores tinham que permitir que todos os usuários do Azure DevOps ignorassem as políticas de Acesso Condicional do ARM para garantir o acesso.

Os tokens do Azure DevOps não exigem mais o público-alvo do ARM. Como resultado, você pode gerenciar políticas de Acesso Condicional com mais eficiência sem definir configurações de público específicas para o ARM. Essa abordagem simplifica a autenticação, reduz a complexidade do gerenciamento de tokens e permite aplicar políticas de segurança de forma mais consistente em seus ambientes do Azure. As organizações podem se concentrar em controles de acesso mais amplos, melhorando a conformidade e a postura de segurança sem serem limitadas por configurações específicas do público.

Observação

Há as seguintes exceções em que o acesso contínuo ao ARM ainda é necessário:

  • Os administradores de cobrança precisam de acesso ao ARM para configurar assinaturas de cobrança e acesso.
  • Os criadores de Conexões de Serviços necessitam de acesso ao ARM para atribuições de função do ARM e atualizações para MSIs (identidades de serviço gerenciadas).

Políticas por nível

Política Nível da organização Nível de locatário
Acesso a aplicativos de terceiros por meio do OAuth
Autenticação SSH
Registrar eventos de auditoria
Restringir a criação de token de acesso pessoal
Permitir projetos públicos
Proteções adicionais ao usar registros de pacotes públicos
Habilitar a validação da política de acesso condicional de IP em fluxos não interativos
Acesso de convidado externo
Permitir que administradores de equipe e projeto convidem novos usuários
Solicitar acesso permite que os usuários solicitem acesso à organização com uma URL interna fornecida
Permitir que a Microsoft colete comentários dos usuários
Restringir a criação de organizações
Restringir a criação global de token de acesso pessoal
Restringir a criação de token de acesso pessoal com escopo completo
Impor o máximo de tempo de vida do token de acesso pessoal