Compartilhar via

Alterar as políticas de conexão e segurança do aplicativo para sua organização

  • Artigo

Importante

O Azure DevOps não dá suporte à autenticação de credenciais alternativas. Se você ainda estiver usando credenciais alternativas, recomendamos que você mude para um método de autenticação mais seguro.

Saiba como gerenciar as políticas de segurança da sua organização que determinam como os aplicativos podem acessar serviços e recursos em sua organização. Você pode acessar a maioria dessas políticas nas Configurações da organização.

Pré-requisitos

Você deve ser membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo.

Gerenciar uma política

Conclua as etapas a seguir para alterar a conexão do aplicativo, a segurança e as políticas de usuário para sua organização no Azure DevOps.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

    Captura de tela do botão Configurações da organização, página de visualização.

  3. Selecione Políticas e, ao lado de sua política, mova a alternância para ativar ou desativar.

Captura de tela da política selecionada e, em seguida, ative ou desative.

Políticas de conexão de aplicativos

Para acessar sua organização sem solicitar credenciais de usuário várias vezes, os aplicativos geralmente usam os seguintes métodos de autenticação:

  • OAuth para gerar tokens para acessar APIs REST para Azure DevOps. Todas as APIs REST aceitam tokens OAuth e esse é o método preferencial de integração em relação aos PATs (tokens de acesso pessoal). As APIs de gerenciamento de organizações, perfis e PAT são compatíveis apenas com OAuth.

  • SSH para gerar chaves de criptografia para usar Linux, macOS e Windows executando o Git para Windows, mas você não pode usar gerenciadores de credenciais do Git ou PATs para autenticação HTTPS.

  • PATs para gerar tokens para:

    • Acessar recursos ou atividades específicas, como builds ou itens de trabalho
    • Clientes, como Xcode e NuGet, que exigem nomes de usuário e senhas como credenciais básicas e não dão suporte a recursos de conta da Microsoft e Microsoft Entra, como autenticação multifator
    • Acessando APIs REST para Azure DevOps

Por padrão, sua organização permite o acesso a todos os métodos de autenticação.

Você pode limitar o acesso a chaves OAuth e SSH desabilitando o acesso a estas políticas de conexão de aplicativos:

  • Aplicativo de terceiros por meio do OAuth – Habilitar aplicativos de terceiros para acessar recursos em sua organização por meio do OAuth. Essa política é desativada por padrão para todas as novas organizações. Se você quiser acesso a aplicativos de terceiros, habilite essa política para garantir que esses aplicativos possam obter acesso aos recursos em sua organização.
  • Autenticação SSH – permita que os aplicativos se conectem aos repositórios Git da sua organização por meio do SSH.

Quando você nega acesso a um método de autenticação, nenhum aplicativo pode acessar sua organização por meio desse método. Qualquer aplicativo que anteriormente tinha acesso receberá erros de autenticação e não terá mais acesso à sua organização.

Para remover o acesso aos PATs, você deve revogá-los.

Políticas de acesso condicional

A ID do Microsoft Entra permite que os locatários definam quais usuários têm permissão para obter acesso aos recursos da Microsoft por meio do recurso CAP (Política de Acesso Condicional). Por meio dessas configurações, o administrador de locatários pode exigir que os membros cumpram qualquer uma das seguintes condições, por exemplo, o usuário deve:

  • ser membro de um grupo de segurança específico
  • pertencem a um determinado local e/ou rede
  • estar usando um sistema operacional específico
  • estar usando um dispositivo habilitado em um sistema de gerenciamento

Dependendo das condições que o usuário satisfaz, você pode exigir a autenticação multifator ou definir verificações adicionais para obter acesso ou bloquear o acesso completamente.

Suporte ao CAP no Azure DevOps

Se você entrar no portal da Web de uma organização com suporte de ID do Microsoft Entra, a ID do Microsoft Entra sempre verificará se você pode avançar executando a validação para quaisquer CAPs que foram definidos por administradores de locatários.

O Azure DevOps também pode executar a validação CAP adicional depois que você estiver conectado e navegando pelo Azure DevOps em uma organização com suporte de ID do Microsoft Entra:

  • Se a política da organização "Habilitar validação da política de acesso condicional de IP" estiver habilitada, verificaremos as políticas de isolamento de IP em fluxos da Web e não interativos, como fluxos científicos de terceiros, como o uso de um PAT com operações git.
  • As políticas de entrada também podem ser impostas para PATs. O uso de PATs para fazer chamadas de ID do Microsoft Entra exige que o usuário siga todas as políticas de entrada definidas. Por exemplo, se uma política de entrada exigir que um usuário entre a cada sete dias, você também deverá entrar a cada sete dias, se quiser continuar usando PATs para fazer solicitações para a ID do Microsoft Entra.
  • Se você não quiser que nenhum CAPs seja aplicado ao Azure DevOps, remova o Azure DevOps como um recurso para o CAP. Não faremos a imposição de CAPs organização por organização no Azure DevOps.

Oferecemos suporte a políticas de MFA apenas em fluxos da Web. Para fluxos não interativos, se eles não atenderem à política de acesso condicional, o usuário não será solicitado a fornecer MFA e, em vez disso, será bloqueado.

Condições baseadas em IP

Oferecemos suporte a políticas de acesso condicional de isolamento de IP para endereços IPv4 e IPv6. Se você achar que seu endereço IPv6 está sendo bloqueado, recomendamos verificar se o administrador do locatário configurou CAPs que permitem a passagem do endereço IPv6. Da mesma forma, pode ser útil incluir o endereço mapeado IPv4 para qualquer endereço IPv6 padrão em todas as condições CAP.

Se os usuários estiverem acessando a página de entrada do Microsoft Entra por meio de um endereço IP diferente daquele usado para acessar recursos do Azure DevOps (comum com o túnel VPN), verifique a configuração de VPN ou a infraestrutura de rede para garantir que todos os endereços IP que você está usando estejam incluídos nos CAPs do administrador de locatários.