Ändern von Anwendungsverbindungs- und Sicherheitsrichtlinien für Ihre Organisation

Wichtig

Azure DevOps unterstützt keine alternative Anmeldeinformationenauthentifizierung. Wenn Sie noch alternative Anmeldeinformationen verwenden, empfehlen wir Ihnen dringend, zu einer sichereren Authentifizierungsmethode zu wechseln.

In diesem Artikel wird erläutert, wie Sie die Sicherheitsrichtlinien Ihrer Organisation verwalten, die bestimmen, wie Anwendungen auf Dienste und Ressourcen in Ihrer Organisation zugreifen können. Sie können auf die meisten dieser Richtlinien in den Organisationseinstellungen zugreifen.

Voraussetzungen

Berechtigungen: Mitglied der Gruppe "Projektsammlungsadministratoren". Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe.

Verwalten einer Richtlinie

Führen Sie die folgenden Schritte aus, um Anwendungsverbindung, Sicherheit und Benutzerrichtlinien für Ihre Organisation zu ändern.

  1. Melden Sie sich bei Ihrem organization (https://dev.azure.com/{yourorganization}) an.

  2. Wählen Sie zahnradsymbol Organisationseinstellungen.

    Screenshot der Schaltfläche

  3. Wählen Sie "Richtlinien" aus, und schalten Sie ihre Richtlinie nach Bedarf ein oder aus.

Screenshot der richtlinie auswählen und dann ein- oder ausschalten.

Ändern von Anwendungsverbindungsrichtlinien

Um den nahtlosen Zugriff auf Ihre Organisation zu ermöglichen, ohne wiederholt zur Eingabe von Benutzeranmeldeinformationen aufzufordern, verwenden Anwendungen häufig die folgenden Authentifizierungsmethoden:

  • OAuth: Generieren von Token für den Zugriff auf REST-APIs für Azure DevOps. Alle REST-APIs akzeptieren OAuth-Token, wodurch sie zur bevorzugten Methode der Integration über persönliche Zugriffstoken (PATs) werden. Die Organisations-, Profile- und PAT-Verwaltungs-APIs unterstützen nur OAuth. Sie können OAuth-Token auch mit Microsoft Entra-ID verwenden, um eine sichere und nahtlose Authentifizierung für Benutzer in Ihrer Organisation bereitzustellen.

  • SSH: Generieren Sie Verschlüsselungsschlüssel für die Verwendung mit Linux, macOS und Windows, die Git für Windows ausführen. Sie können keine Git-Anmeldeinformationsmanager oder PATs für die HTTPS-Authentifizierung mit SSH verwenden.

  • PATs: Generieren von Token für:

    • Zugreifen auf bestimmte Ressourcen oder Aktivitäten, z. B. Builds oder Arbeitsaufgaben.
    • Clients wie Xcode und NuGet, die Benutzernamen und Kennwörter als grundlegende Anmeldeinformationen erfordern und microsoft-Konto- und Microsoft Entra-Features wie die mehrstufige Authentifizierung nicht unterstützen.
    • Zugreifen auf REST-APIs für Azure DevOps.

Standardmäßig ermöglicht Ihre Organisation den Zugriff auf alle Authentifizierungsmethoden.

Sie können den Zugriff auf OAuth- und SSH-Schlüssel einschränken, indem Sie diese Anwendungsverbindungsrichtlinien deaktivieren:

  • Nicht-Microsoft-Anwendung über OAuth: Aktivieren Sie Nicht-Microsoft-Anwendungen für den Zugriff auf Ressourcen in Ihrer Organisation über OAuth. Diese Richtlinie ist standardmäßig für alle neuen Organisationen deaktiviert. Wenn Sie Zugriff auf Nicht-Microsoft-Anwendungen wünschen, aktivieren Sie diese Richtlinie, um sicherzustellen, dass diese Apps auf Ressourcen in Ihrer Organisation zugreifen können.
  • SSH-Authentifizierung: Ermöglichen Sie Anwendungen, eine Verbindung mit dem Git-Repository Ihrer Organisation über SSH herzustellen.

Wenn Sie den Zugriff auf eine Authentifizierungsmethode verweigern, kann keine Anwendung über diese Methode auf Ihre Organisation zugreifen. Jede Anwendung, die zuvor Zugriff hatte, tritt auf Authentifizierungsfehler auf und verliert den Zugriff.

Um den Zugriff für PATs zu entfernen, widerrufen Sie sie.

Ändern von Richtlinien für bedingten Zugriff

Mit der Microsoft Entra-ID können Mandanten definieren, welche Benutzer über ihre CAP-Funktion (Conditional Access Policy) auf Microsoft-Ressourcen zugreifen können. Mandantenadministratoren können Bedingungen festlegen, die Benutzer erfüllen müssen, um Zugriff zu erhalten. Der Benutzer muss z. B. folgendes ausführen:

  • Mitglied einer bestimmten Sicherheitsgruppe sein
  • Gehören zu einem bestimmten Standort und/oder Netzwerk
  • Verwenden eines bestimmten Betriebssystems
  • Verwenden eines aktivierten Geräts in einem Verwaltungssystem

Je nachdem, welche Bedingungen der Benutzer erfüllt, können Sie dann eine mehrstufige Authentifizierung anfordern, weitere Überprüfungen festlegen, um Zugriff zu erhalten oder den Zugriff vollständig zu blockieren.

CAP-Unterstützung für Azure DevOps

Wenn Sie sich beim Webportal einer microsoft Entra-ID-gesicherten Organisation anmelden, führt die Microsoft Entra-ID immer eine Überprüfung für alle Richtlinien für bedingten Zugriff (Conditional Access Policies, CAPs) durch Mandantenadministratoren durch.

Azure DevOps kann auch eine weitere CAP-Überprüfung durchführen, sobald Sie angemeldet sind und durch eine microsoft Entra-ID-gesicherte Organisation navigieren:

  • Wenn die Organisationsrichtlinie "Richtlinie für bedingten Zugriff aktivieren" aktiviert ist, überprüfen wir IP-Fencing-Richtlinien sowohl im Web als auch in nicht interaktiven Flüssen, z. B. Nicht-Microsoft-Clientflüsse wie die Verwendung eines PAT mit Git-Vorgängen.
  • Anmelderichtlinien können auch für PATs erzwungen werden. Die Verwendung von PATs zum Ausführen von Microsoft Entra-ID-Aufrufen erfordert die Einhaltung aller festgelegten Anmelderichtlinien. Wenn beispielsweise eine Anmelderichtlinie erfordert, dass sich ein Benutzer alle sieben Tage anmeldet, müssen Sie sich auch alle sieben Tage anmelden, um weiterhin PATs für Microsoft Entra-ID-Anforderungen zu verwenden.
  • Wenn keine CAPs auf Azure DevOps angewendet werden sollen, entfernen Sie Azure DevOps als Ressource für die CAP. Wir erzwingen keine CAPs auf Azure DevOps auf Organisationsbasis.

Wir unterstützen nur MFA-Richtlinien für Webflüsse. Bei nicht interaktiven Flüssen wird der Benutzer nicht zur Eingabe der MFA aufgefordert und wird stattdessen blockiert, wenn er die Richtlinie für bedingten Zugriff nicht erfüllt.

IP-basierte Bedingungen

Wir unterstützen IP-Fencing-Richtlinien für bedingten Zugriff (CaPs) für IPv4- und IPv6-Adressen. Wenn Ihre IPv6-Adresse blockiert wird, stellen Sie sicher, dass der Mandantenadministrator CAPs konfiguriert hat, um Ihre IPv6-Adresse zuzulassen. Darüber hinaus sollten Sie die IPv4-zugeordnete Adresse für jede standardmäßige IPv6-Adresse in alle CAP-Bedingungen einschließen.

Wenn Benutzer über eine andere IP-Adresse auf die Microsoft Entra-Anmeldeseite zugreifen als die, die für den Zugriff auf Azure DevOps-Ressourcen (häufig mit VPN-Tunneling) verwendet wird, überprüfen Sie Ihre VPN-Konfiguration oder Netzwerkinfrastruktur. Stellen Sie sicher, dass alle verwendeten IP-Adressen in die CAPs Ihres Mandantenadministrators einbezogen werden.