更改组织的应用程序连接 & 安全策略

  • 项目

重要

自 2020 年 3 月 2 日开始以来,Azure DevOps 不再支持备用凭据身份验证。 如果仍在使用备用凭据,强烈建议切换到更安全的身份验证方法 (例如,个人访问令牌) 。 了解详细信息

了解如何管理组织的安全策略,以确定应用程序如何访问组织中的服务和资源。 可以在 “组织设置”中访问其中大多数策略。

先决条件

必须是 项目集合管理员组的成员。 组织所有者是此组的自动成员。

管理策略

完成以下步骤以在 Azure DevOps 中更改组织的应用程序连接、安全性和用户策略。

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择 齿轮图标“组织设置”。

    “组织设置”按钮的屏幕截图,预览页。

  3. 选择 “策略”,然后在策略旁边,将开关移动到 打开关闭

选择策略的屏幕截图,然后打开或关闭。

应用程序连接策略

若要在不多次请求用户凭据的情况下访问组织,应用程序通常使用以下身份验证方法:

  • 用于生成用于访问 Azure DevOps 的 REST API 的令牌的 OAuth。 所有 REST API 都接受 OAuth 令牌,这是与个人访问令牌 (PAT) 集成的首选方法。 组织配置文件PAT 管理 API 仅支持 OAuth。

  • SSH 生成用于使用 Linux、macOS 和运行 Git for Windows 的 Windows 的加密密钥,但不能使用 Git 凭据管理器PAT 进行身份验证。

  • 要为其生成令牌的 PAT

    • 访问特定资源或活动,例如生成或工作项
    • 需要用户名和密码作为基本凭据的 Xcode 和 NuGet 的客户端不支持 Microsoft 帐户和 Azure Active Directory (Azure AD) 功能,例如多重身份验证
    • 访问 Azure DevOps 的 REST API

默认情况下,组织允许访问所有身份验证方法。

可以通过禁用对这些应用程序连接策略的访问来限制 OAuth 和 SSH 密钥的访问:

  • 通过 OAuth 的第三方应用程序 - 使第三方应用程序能够通过 OAuth 访问组织中的资源。 此策略默认为所有新组织 关闭 。 如果想要访问第三方应用程序,请启用此策略以确保这些应用可以访问组织中的资源。
  • SSH 身份验证 - 允许应用程序通过 SSH 连接到组织的 Git 存储库。

拒绝访问身份验证方法时,任何应用程序都无法通过此方法访问组织。 以前具有访问权限的任何应用程序都会收到身份验证错误,并且不再有权访问组织。

若要删除 PAT 的访问权限,必须 撤销它们

条件性访问策略

Azure AD 允许租户定义哪些用户可以通过 其条件访问策略 (CAP) 功能获取对 Microsoft 资源的访问权限。 通过这些设置,租户管理员可以要求成员必须遵守以下任何条件,例如,用户必须:

  • 是特定安全组的成员
  • 属于特定位置和/或网络
  • 使用特定操作系统
  • 在管理系统中使用已启用的设备

然后,根据用户满足的条件,可以要求进行多重身份验证或进一步检查以获取访问权限,或完全阻止访问。

如果登录到 Azure AD 支持的组织的 Web 门户,Azure AD 会检查是否可以通过对租户管理员设置的任何 CAP 执行验证来向前推进。

登录并浏览 Azure DevOps 后,Azure DevOps 还可以执行更多 CAP 验证。

  • 如果启用了 “启用 Azure AD CAP 验证 策略”,则所有条件访问策略都遵循 100% 的 Web 流。 如果禁用策略,Azure DevOps 不会执行更多的 CAP 验证,但 Azure AD 始终在登录时检查 CAP。
  • 对于第三方客户端流,例如将 PAT 与git.exe配合使用,我们仅支持 IP 隔离策略。 用户可能会发现,也可以为 PAT 强制实施登录策略。 使用 PAT 进行 Azure AD 调用需要用户遵守设置的任何登录策略。 例如,如果登录策略要求用户每隔七天登录一次,则如果希望继续使用 PAT 向 Azure AD 发出请求,则还必须每七天登录一次。

对于这些第三方客户端流,我们不支持在 CAP 验证后设置的任何 MFA 策略。 请看以下示例:

  • 策略 1 - 阻止来自 IP 范围 x、y 和 z 之外的所有访问。
    • 通过 Web 访问 Azure DevOps,该用户允许从 IP x、y 和 z 访问。 如果该列表外部,则用户被阻止。
    • 通过 alt-auth 访问 Azure DevOps,该用户允许从 IP x、y 和 z 访问。 如果该列表外部,则用户被阻止。
  • 策略 2 - 在 IP 范围 x、y 和 z 之外要求 MFA。
    • 通过 Web 访问 Azure DevOps,该用户允许从 IP x、y 和 z 访问。 如果用户不在该列表之外,系统会提示用户输入 MFA。
    • 通过 alt-auth 访问 Azure DevOps,该用户允许从 IP x、y 和 z 访问。 如果该列表外部,则用户被阻止。

基于 IP 的条件

我们支持 IPv4 和 IPv6 地址的 IP 隔离条件访问策略。

如果发现 IPv6 地址被阻止,我们建议确认它们已将 CAP 配置为允许 IPv6 地址。 此外,它可能有助于在所有 CAP 条件中包含 IPv6 地址的 IPv4 映射地址。

我们发现的另一个问题是,用户可能通过与用于访问 Azure DevOps 资源的 IP 地址不同的 IP 地址访问 Azure AD 登录页。 检查 VPN 配置或网络基础结构,确保正在使用的所有 IP 地址都包含在租户管理员的 CAP 中。