培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Azure DevOps 采用各种安全概念来确保只有授权用户才能访问功能、功能和数据。 用户通过对其安全凭据的身份验证及其帐户权利授权来访问 Azure DevOps。 这两者的组合决定了用户对特定功能或功能的访问权限。
本文基于 权限、访问权限和安全组入门中提供的信息。 管理员可以从了解用于保护 Azure DevOps 的帐户类型、身份验证方法、授权方法和策略中获益。
帐户类型
身份验证
授权
策略
帐户类型
身份验证
授权
策略
重要
Azure DevOps 不支持备用凭据身份验证。 如果仍在使用备用凭据,强烈建议切换到更安全的身份验证方法。
Azure DevOps Services(云)和 Azure DevOps Server(本地)都支持从规划到部署的软件开发。 每个平台利用Microsoft Azure 的平台即服务基础结构和服务(包括 Azure SQL 数据库)为项目提供可靠的全局可用服务。
有关如何Microsoft确保 Azure DevOps Services 项目安全、可用、安全和专用的详细信息,请参阅 Azure DevOps Services 数据保护概述。
虽然人工用户帐户是主要关注点,但 Azure DevOps 还支持各种其他帐户类型以执行不同的作:
在整个安全相关文章中,“用户”是指添加到用户中心的所有标识,其中包括人类用户和服务主体。
管理帐户 的最有效方法是将其添加到安全组。
备注
项目集合管理员组的组织所有者和成员有权完全访问几乎所有的功能和功能。
身份验证基于登录到 Azure DevOps 期间提供的凭据验证帐户的标识。 这些系统集成并依赖于以下其他系统的安全功能:
Microsoft Entra ID 和 MSA 支持云身份验证。 建议使用 Microsoft Entra ID 来管理大量用户。 对于访问 Azure DevOps 组织的小型用户群,Microsoft帐户已足够。 有关详细信息,请参阅 关于使用 Microsoft Entra ID 访问 Azure DevOps。
对于本地部署,建议使用 AD 来管理大量用户。 有关详细信息,请参阅 设置用于本地部署的组。
其他应用程序和服务可以与 Azure DevOps 集成。 若要在不重复请求用户凭据的情况下访问帐户,应用可以使用以下身份验证方法:
服务主体或托管标识 ,用于代表应用程序或服务生成 Microsoft Entra 令牌,通常自动执行需要访问 Azure DevOps 资源的工作流。 通常由服务帐户和 PAT 执行的大多数操作都可以使用服务主体或托管标识来完成。
个人访问令牌 (PAT),用于代表你自己生成令牌。 PAT 对于不支持Microsoft帐户或功能(如多重身份验证(MFA)的 Xcode 和 NuGet 等客户端可能很有帮助。
使用 Linux、macOS 或运行 Git for Windows 的 Windows 时自行生成加密密钥的 SSH 身份验证,不能使用 Git 凭据管理器或 PAT 进行身份验证。
默认情况下,帐户或集合允许访问所有身份验证方法。 可以通过专门限制每个方法来限制访问。 拒绝访问某个身份验证方法时,任何应用都无法使用该方法访问帐户。 以前具有访问权限的任何应用都会收到身份验证错误,并且无法访问你的帐户。
有关详细信息,请参阅以下文章:
授权验证尝试连接的标识是否具有访问服务、功能、函数、对象或方法所需的权限。 仅在身份验证成功之后才进行授权。 如果未对连接进行身份验证,则会在执行任何授权检查之前失败。 即使身份验证成功,如果用户或组缺少授权,仍可能不允许执行特定操作。
授权取决于分配给用户的权限,无论是直接还是通过安全组或安全角色的成员身份。 访问级别和功能标志还可以管理对特定功能的访问。 有关这些授权方法的详细信息,请参阅 权限、访问权限和安全组入门。
安全命名空间确定针对资源的特定操作的用户访问级别。
有关详细信息,请参阅 安全命名空间和权限参考。
若要保护组织和代码,可以设置各种策略。 具体而言,可以启用或禁用以下策略:
使用 Microsoft Entra 租户策略将新建组织限制为仅所需用户。 此策略默认处于关闭状态,仅在组织连接到 Microsoft Entra ID 时才有效。 有关详细信息,请参阅 限制组织创建。
以下策略确定授予组织内用户和应用程序的访问权限:
默认情况下,添加到组织的用户可以查看所有组织和项目信息和设置,包括用户列表、项目列表、计费详细信息、使用情况数据等。
若要限制某些用户(如利益干系人、Microsoft Entra 来宾用户或特定安全组的成员),可以启用 “限制用户可见性和协作”功能,使其适用于组织的特定项目 预览功能。 启用后,以以下方式限制添加到 Project-Scoped 用户 组的任何用户或组:
有关详细信息,请参阅“管理组织”、“限制项目的用户可见性”和“管理预览”功能。
警告
使用此预览功能时,请考虑以下限制:
azure devops
CLI 命令,项目成员可以访问受限数据。若要保护代码,可以设置各种 Git 存储库和分支策略。 有关详细信息,请参阅以下文章。
由于存储库和生成和发布管道带来了独特的安全挑战,因此本文中讨论的功能以外的其他功能也受到使用。 有关详细信息,请参阅以下文章。
培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。