重要
Azure DevOps 不支援替代認證驗證。 如果你還在用備用憑證,請改用更安全的認證方式。
重要
Azure DevOps 中的公開專案已退休。 自2027年起,現有公共項目轉為私營。 欲了解更多資訊,請參閱公共專案退休及從公共專案遷移至GitHub。
本文說明如何管理組織的安全策略,以決定使用者和應用程式如何存取組織中的服務和資源。 您可以在組織設定中存取大部分的原則。
必要條件
| 類別 | 要求 |
|---|---|
| 許可 |
|
管理政策
若要更新貴組織的應用程式連線、安全性或用戶原則,請遵循下列步驟:
登入您的組織,網址為:
https://dev.azure.com/{Your_Organization}。選取
組織設定。![[組織設定] 按鈕的螢幕快照,預覽頁面。](../../media/settings/open-admin-settings-vert.png?view=azure-devops)
選取 原則,然後將所需的原則切換為開啟或關閉。
限制驗證方法
若要允許無縫存取您的組織,而不重複提示使用者認證,應用程式可以使用驗證方法,例如 OAuth、SSH 和個人存取令牌 (PAT)。 根據預設,所有現有的組織都允許存取所有驗證方法。
您可以停用下列應用程式連線原則來限制對這些驗證方法的存取:
- 透過 OAuth 第三方應用程式存取:啟用Azure DevOps OAuth 應用程式,透過 OAuth 存取組織內的資源。 所有新組織預設為關閉此政策。 如果您想要存取 Azure DevOps OAuth 應用程式,請啟用此原則以確保這些應用程式可以存取您組織中的資源。 此原則不會影響 Microsoft Entra ID OAuth 應用程式存取。
- SSH 驗證:讓應用程式透過 SSH 連線到組織的 Git 存放庫。
- 租使用者管理員可以限制全域個人存取令牌建立、限制完整範圍的個人存取令牌建立,以及透過 [Microsoft Entra 設定] 頁面上的租用戶層級原則強制執行最大個人存取令牌生命週期。 新增Microsoft Entra 使用者或群組,使其免於這些原則。
- 組織管理員可以限制在其個別組織中 建立個人存取令牌 。 子原則可讓系統管理員允許建立僅限封裝的 PAT,或建立任何範圍 PAT 以允許列出Microsoft Entra 使用者或群組。
當您拒絕存取驗證方法時,任何應用程式都無法透過該方法存取您的組織。 任何先前具有存取權的應用程式都遇到驗證錯誤,並失去存取權。
Azure DevOps 的條件式存取原則支援
Azure DevOps 的條件存取(CA)是透過 Microsoft Entra ID 強制執行,並支援互動式(網頁)與非互動式(用戶端憑證)流程。在登入時及透過定期的令牌檢查,驗證多因素驗證(MFA)、IP 限制和裝置合規等政策。
SSH 金鑰原則
SSH 驗證
SSH 驗證原則可控制組織是否允許使用 SSH 金鑰。
驗證 SSH 金鑰到期
為避免因 SSH 金鑰過期而失去存取權限,請在目前金鑰到期 之前 建立並上傳新金鑰。 系統會在 到期前 7 天 和到期 後再次 發送自動通知,以幫助您保持領先地位。 如需詳細資訊,請參閱 步驟 1:建立 SSH 金鑰。
依預設,會啟用驗證 SSH 金鑰到期 原則。 當作用中時,它會強制執行到期日期 - 過期的金鑰會立即失效。
如果您停用原則,系統將不再檢查到期日,且過期的金鑰仍可用。
依層級的政策
| 原則 | 組織層級 | 承租者層級 |
|---|---|---|
| 透過 OAuth 進行第三方應用程式存取 | ✅ | |
| SSH 驗證 | ✅ | |
| 驗證 SSH 金鑰到期 | ✅ | |
| 記錄稽核事件 | ✅ | |
| 限制個人存取令牌建立 | ✅ | |
| 允許公用專案 | ✅ | |
| 使用公用套件登錄時的其他保護 | ✅ | |
| 在非互動式流程上啟用IP條件式存取原則驗證 | ✅ | |
| 外部來賓存取 | ✅ | |
| 允許小組和專案管理員邀請新使用者 | ✅ | |
| 要求存取 權可讓使用者透過提供的內部URL要求存取組織 | ✅ | |
| 允許Microsoft從使用者收集意見反應 | ✅ | |
| 限制組織創建 | ✅ | |
| 限制全域個人存取令牌建立 | ✅ | |
| 限制完整範圍的個人存取令牌建立 | ✅ | |
| 強制執行個人存取令牌最長存留期 | ✅ |