Aracılığıyla paylaş

Kuruluşunuz için uygulama bağlantısı ve güvenlik ilkelerini değiştirme

  • Makale

Önemli

Azure DevOps Alternatif Kimlik Bilgileri kimlik doğrulamayı desteklemez. Alternatif Kimlik Bilgileri kullanmaya devam ediyorsanız daha güvenli bir kimlik doğrulama yöntemine geçmenizi kesinlikle öneririz.

Bu makalede, uygulamaların kuruluşunuzdaki hizmetlere ve kaynaklara nasıl erişebileceğini belirleyen kuruluşunuzun güvenlik ilkelerinin nasıl yönetileceğini gösterir. Bu ilkelerin çoğuna Kuruluş ayarlarından erişebilirsiniz.

Önkoşullar

İzinler: Proje Koleksiyonu Yöneticileri grubunun üyesi olun. Kuruluş sahipleri bu grubun otomatik olarak üyesidir.

İlkeyi yönetme

Kuruluşunuzun uygulama bağlantısını, güvenliğini ve kullanıcı ilkelerini değiştirmek için aşağıdaki adımları uygulayın.

  1. Kuruluşunuzda oturum açın (https://dev.azure.com/{yourorganization}).

  2. Kuruluş ayarları'nı seçin dişli simgesi .

    Kuruluş ayarları düğmesinin, önizleme sayfasının ekran görüntüsü.

  3. İlkeler'i seçin ve ardından ilkenizi gerektiği gibi açık veya kapalı konuma getirin.

İlke seçme ve ardından Açık veya Kapalı seçeneğinin ekran görüntüsü.

Uygulama bağlantı ilkelerini değiştirme

Uygulamalar, kullanıcı kimlik bilgilerini tekrar tekrar sormadan kuruluşunuza sorunsuz erişim sağlamak için genellikle aşağıdaki kimlik doğrulama yöntemlerini kullanır:

  • OAuth: Azure DevOps için REST API'lerine erişmek için belirteçler oluşturun. Tüm REST API'leri OAuth belirteçlerini kabul eder ve bunu kişisel erişim belirteçleri (PAT) üzerinden tercih edilen tümleştirme yöntemi haline getirir. Kuruluşlar, Profiller ve PAT Yönetim API'leri yalnızca OAuth'u destekler. Kuruluşunuzdaki kullanıcılar için güvenli ve sorunsuz kimlik doğrulaması sağlamak için Microsoft Entra ID ile OAuth belirteçlerini de kullanabilirsiniz.

  • SSH: Windows için Git çalıştıran Linux, macOS ve Windows ile kullanmak üzere şifreleme anahtarları oluşturun. SSH ile HTTPS kimlik doğrulaması için Git kimlik bilgileri yöneticilerini veya PAT'leri kullanamazsınız.

  • PAT'ler: Için belirteçler oluşturun:

    • Derlemeler veya iş öğeleri gibi belirli kaynaklara veya etkinliklere erişme.
    • Xcode ve NuGet gibi temel kimlik bilgileri olarak kullanıcı adları ve parolalar gerektiren ve çok faktörlü kimlik doğrulaması gibi Microsoft hesabı ve Microsoft Entra özelliklerini desteklemeyen istemciler.
    • Azure DevOps için REST API'lerine erişme.

Varsayılan olarak, kuruluşunuz tüm kimlik doğrulama yöntemlerine erişime izin verir.

Şu uygulama bağlantı ilkelerini devre dışı bırakarak OAuth ve SSH anahtarları için erişimi sınırlayabilirsiniz:

  • OAuth aracılığıyla Microsoft dışı uygulama: Microsoft dışı uygulamaların OAuth aracılığıyla kuruluşunuzdaki kaynaklara erişmesini etkinleştirin. Bu ilke tüm yeni kuruluşlar için varsayılan olarak kapalı olarak ayarlanır. Microsoft dışı uygulamalara erişim istiyorsanız, bu uygulamaların kuruluşunuzdaki kaynaklara erişebildiğinden emin olmak için bu ilkeyi etkinleştirin.
  • SSH Kimlik Doğrulaması: Uygulamaların SSH aracılığıyla kuruluşunuzun Git depolarına bağlanmasına olanak tanıyın.

Bir kimlik doğrulama yöntemine erişimi reddettiyseniz, hiçbir uygulama bu yöntem aracılığıyla kuruluşunuza erişemez. Daha önce erişimi olan tüm uygulamalar kimlik doğrulama hatalarıyla karşılaşır ve erişimi kaybeder.

PAT'lere erişimi kaldırmak için bunları iptal edin.

Koşullu erişim ilkelerini değiştirme

Microsoft Entra Id, kiracıların Koşullu Erişim İlkesi (CAP) özelliği aracılığıyla Microsoft kaynaklarına erişebilecek kullanıcıları tanımlamasına olanak tanır. Kiracı yöneticileri, kullanıcıların erişim kazanmak için karşılaması gereken koşulları ayarlayabilir. Örneğin, kullanıcının şunları yapması gerekir:

  • Belirli bir güvenlik grubunun üyesi olma
  • Belirli bir konuma ve/veya ağa ait
  • Belirli bir işletim sistemini kullanma
  • Yönetim sisteminde etkin bir cihaz kullanma

Kullanıcının hangi koşulları karşıladığına bağlı olarak, çok faktörlü kimlik doğrulaması gerektirebilir, erişim kazanmak için başka denetimler ayarlayabilir veya erişimi tamamen engelleyebilirsiniz.

Azure DevOps'ta CAP desteği

Microsoft Entra Id destekli bir kuruluşun web portalında oturum açtığınızda, Microsoft Entra Id her zaman kiracı yöneticileri tarafından ayarlanan tüm Koşullu Erişim İlkeleri (CAP' ler) için doğrulama gerçekleştirir.

Oturum açtıktan ve Microsoft Entra Kimliği destekli bir kuruluşta gezindikten sonra Azure DevOps daha fazla CAP doğrulaması da gerçekleştirebilir:

  • "IP Koşullu Erişim ilkesi Doğrulamasını Etkinleştir" kuruluş ilkesi etkinleştirildiyse, git işlemleriyle PAT kullanma gibi Microsoft dışı istemci akışları gibi hem web hem de etkileşimli olmayan akışlarda IP eskrim ilkelerini denetleriz.
  • Oturum açma ilkeleri, PAT'ler için de zorunlu kılınabilir. Microsoft Entra ID çağrıları yapmak için PAT'leri kullanmak, ayarlanan tüm oturum açma ilkelerine bağlı kalmayı gerektirir. Örneğin, bir oturum açma ilkesi kullanıcının yedi günde bir oturum açmasını gerektiriyorsa, Microsoft Entra Id istekleri için PAT'leri kullanmaya devam etmek için yedi günde bir de oturum açmanız gerekir.
  • Azure DevOps'a herhangi bir CAP uygulanmasını istemiyorsanız CAP için kaynak olarak Azure DevOps'yi kaldırın. Azure DevOps'ta KURULUŞ bazında CAP'leri zorunlu kılmayız.

Yalnızca web akışlarında MFA ilkelerini destekliyoruz. Etkileşimli olmayan akışlar için, koşullu erişim ilkesini karşılamazlarsa, kullanıcıdan MFA istenmez ve bunun yerine engellenir.

IP tabanlı koşullar

Hem IPv4 hem de IPv6 adresleri için IP eskrim koşullu erişim ilkelerini (CAP) destekliyoruz. IPv6 adresiniz engelleniyorsa, kiracı yöneticisinin IP'leri IPv6 adresinize izin verecek şekilde yapılandırdığından emin olun. Ayrıca, tüm CAP koşullarına herhangi bir varsayılan IPv6 adresi için IPv4 eşlenmiş adresi eklemeyi göz önünde bulundurun.

Kullanıcılar Microsoft Entra oturum açma sayfasına Azure DevOps kaynaklarına erişmek için kullanılandan farklı bir IP adresi aracılığıyla erişiyorsa (VPN tüneli ile ortaktır), VPN yapılandırmanızı veya ağ altyapınızı denetleyin. Kiracı yöneticinizin CAP'lerine kullanılan tüm IP adreslerini eklediğinizden emin olun.