更改组织的应用程序连接和安全策略

  • 项目

重要

自 2020 年 3 月 2 日开始,Azure DevOps 不再支持备用凭据身份验证。 如果你仍在使用备用凭据,我们强烈建议你切换到更安全的身份验证方法, (例如个人访问令牌) 。 了解详细信息

了解如何管理组织的安全策略,以确定应用程序如何访问组织中的服务和资源。 可以在组织设置访问其中大多数策略。

先决条件

您必须是 Project 集合管理员组的成员。 组织所有者自动是此组的成员。

管理策略

完成以下步骤,更改 Azure DevOps 中组织的应用程序连接、安全性和用户策略。

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 gear icon“组织设置”。

    Screenshot of Organization settings button, preview page.

  3. 选择“策略”,然后在策略旁边移动开关打开关闭

Screenshot of select policy, and then turn On or Off.

应用程序连接策略

若要在不多次请求用户凭据的情况下访问组织,应用程序通常使用以下身份验证方法:

默认情况下,组织允许访问所有身份验证方法。

可以通过禁用对这些应用程序连接策略的访问来限制 OAuth 和 SSH 密钥的访问:

  • 通过 OAuth 的第三方应用程序 - 使第三方应用程序能够通过 OAuth 访问组织中的资源。 对于所有新组织,此策略默认 为关闭 。 如果想要访问第三方应用程序,请启用此策略以确保这些应用可以访问组织中的资源。
  • SSH 身份验证 - 允许应用程序通过 SSH 连接到组织的 Git 存储库。

拒绝访问身份验证方法时,任何应用程序都无法通过此方法访问组织。 以前具有访问权限的任何应用程序都会收到身份验证错误,并且不再有权访问组织。

若要删除对 PAT 的访问权限,必须 撤销它们

条件性访问策略

Microsoft Entra ID 允许租户定义允许哪些用户通过其 条件访问策略 (CAP) 功能获取对 Microsoft 资源的访问权限。 通过这些设置,租户管理员可以要求成员必须遵守以下任何条件,例如,用户必须:

  • 是特定安全组的成员
  • 属于特定位置和/或网络
  • 使用特定操作系统
  • 在管理系统中使用已启用的设备

然后,根据用户满足的条件,可以要求多重身份验证或设置进一步检查以获取访问权限,或完全阻止访问。

Azure DevOps 上的 CAP 支持

如果登录到 Microsoft Entra ID 支持的组织的 Web 门户,Microsoft Entra ID 将始终检查可以通过对租户管理员设置的任何 CAP 执行验证来向前推进。

登录并在 Microsoft Entra ID 支持的组织中浏览 Azure DevOps 后,Azure DevOps 还可以执行额外的 CAP 验证:

  • 如果启用了“启用 IP 条件访问策略验证”组织策略,我们将在 Web 流和非交互式流上检查 IP 隔离策略,例如第三方 Cient 流,例如将 PAT 与 git 操作配合使用。
  • 也可以对 PAT 强制实施登录策略。 使用 PAT 进行 Microsoft Entra ID 调用需要用户遵守设置的任何登录策略。 例如,如果登录策略要求用户每七天登录一次,则如果希望继续使用 PAT 向 Microsoft Entra ID 发出请求,则还必须每隔七天登录一次。
  • 如果不希望将任何 CAP 应用到 Azure DevOps,请删除 Azure DevOps 作为 CAP 的资源。 我们不会在 Azure DevOps 上对 CAP 执行组织。

我们仅支持 Web 流上的 MFA 策略。 对于非交互式流,如果它们不满足条件访问策略,则不会提示用户执行 MFA,将改为被阻止。

基于 IP 的条件

我们支持 IPv4 和 IPv6 地址的 IP 隔离条件访问策略。 如果发现 IPv6 地址被阻止,我们建议检查租户管理员已配置允许 IPv6 地址通过的 CAP。 同样,它可能有助于在所有 CAP 条件中包含任何默认 IPv6 地址的 IPv4 映射地址。

如果用户通过与用于访问 Azure DevOps 资源(与 VPN 隧道通用)不同的 IP 地址访问 Microsoft Entra 登录页,检查 VPN 配置或网络基础结构,以确保正在使用的所有 IP 地址都包含在租户管理员的 CAP 中。