Alterar as políticas de conexão e segurança do aplicativo para sua organização

Importante

O Azure DevOps não dá suporte à autenticação de credenciais alternativas. Se você ainda estiver usando credenciais alternativas, recomendamos que você mude para um método de autenticação mais seguro.

Este artigo mostra como gerenciar as políticas de segurança da sua organização que determinam como os aplicativos podem acessar serviços e recursos em sua organização. Você pode acessar a maioria dessas políticas nas configurações da organização.

Pré-requisitos

Permissões: seja membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo.

Gerenciar uma política

Para alterar a conexão do aplicativo, a segurança e as políticas de usuário da sua organização, execute as etapas a seguir.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

    Captura de tela do botão Configurações da organização, página de visualização.

  3. Selecione Políticas e alterne sua política para ativar ou desativar conforme necessário.

Captura de tela da política selecionada e, em seguida, ative ou desative.

Alterar políticas de conexão de aplicativo

Para permitir o acesso contínuo à sua organização sem solicitar repetidamente as credenciais do usuário, os aplicativos geralmente usam os seguintes métodos de autenticação:

  • OAuth: gere tokens para acessar APIs REST para Azure DevOps. Todas as APIs REST aceitam tokens OAuth, tornando-o o método preferencial de integração em relação aos tokens de acesso pessoal (PATs). As APIs de gerenciamento de organizações, perfis e PAT são compatíveis apenas com OAuth. Você também pode usar tokens OAuth com a ID do Microsoft Entra para fornecer autenticação segura e contínua para usuários em sua organização.

  • SSH: gere chaves de criptografia para uso com Linux, macOS e Windows executando o Git para Windows. Você não pode usar gerenciadores de credenciais Git ou PATs para autenticação HTTPS com SSH.

  • PATs: Gere tokens para:

    • Acessar recursos ou atividades específicas, como builds ou itens de trabalho.
    • Clientes como Xcode e NuGet que exigem nomes de usuário e senhas como credenciais básicas e não dão suporte a recursos de conta da Microsoft e Microsoft Entra, como autenticação multifator.
    • Acessando APIs REST para Azure DevOps.

Por padrão, sua organização permite o acesso a todos os métodos de autenticação.

Você pode limitar o acesso a chaves OAuth e SSH desativando estas políticas de conexão de aplicativos:

  • Aplicativo que não é da Microsoft via OAuth: permita que aplicativos que não são da Microsoft acessem recursos em sua organização por meio do OAuth. Essa política é desativada por padrão para todas as novas organizações. Se você quiser acessar aplicativos que não são da Microsoft, habilite essa política para garantir que esses aplicativos possam acessar recursos em sua organização.
  • Autenticação SSH: permita que os aplicativos se conectem aos repositórios Git da sua organização por meio do SSH.

Quando você nega acesso a um método de autenticação, nenhum aplicativo pode acessar sua organização por meio desse método. Qualquer aplicativo que anteriormente tinha acesso encontra erros de autenticação e perde o acesso.

Para remover o acesso aos PATs, revogue-os.

Alterar políticas de acesso condicional

A ID do Microsoft Entra permite que os locatários definam quais usuários podem acessar os recursos da Microsoft por meio do recurso CAP (Política de Acesso Condicional). Os administradores de locatários podem definir condições que os usuários devem atender para obter acesso. Por exemplo, o usuário deve:

  • Ser membro de um grupo de segurança específico
  • Pertencer a um determinado local e/ou rede
  • Use um sistema operacional específico
  • Usar um dispositivo habilitado em um sistema de gerenciamento

Dependendo de quais condições o usuário satisfaz, você pode exigir autenticação multifator, definir verificações adicionais para obter acesso ou bloquear o acesso completamente.

Suporte ao CAP no Azure DevOps

Quando você entra no portal da Web de uma organização com suporte de ID do Microsoft Entra, a ID do Microsoft Entra sempre executa a validação de todas as CAPs (Políticas de Acesso Condicional) definidas pelos administradores de locatários.

O Azure DevOps também pode executar mais validação de CAP depois que você estiver conectado e navegando por uma organização com suporte de ID do Microsoft Entra:

  • Se a política da organização "Habilitar validação de política de acesso condicional de IP" estiver habilitada, verificaremos as políticas de isolamento de IP em fluxos da Web e não interativos, como fluxos de cliente que não são da Microsoft, como usar um PAT com operações git.
  • As políticas de entrada também podem ser impostas para PATs. O uso de PATs para fazer chamadas de ID do Microsoft Entra requer a adesão a todas as políticas de entrada definidas. Por exemplo, se uma política de entrada exigir que um usuário entre a cada sete dias, você também deverá entrar a cada sete dias para continuar usando PATs para solicitações de ID do Microsoft Entra.
  • Se você não quiser que nenhum CAPs seja aplicado ao Azure DevOps, remova o Azure DevOps como um recurso para o CAP. Não impomos CAPs no Azure DevOps em uma base de organização por organização.

Oferecemos suporte a políticas de MFA apenas em fluxos da Web. Para fluxos não interativos, se eles não atenderem à política de acesso condicional, o usuário não será solicitado a fornecer MFA e, em vez disso, será bloqueado.

Condições baseadas em IP

Oferecemos suporte a CAPs (políticas de acesso condicional) de isolamento IP para endereços IPv4 e IPv6. Se o endereço IPv6 estiver sendo bloqueado, certifique-se de que o administrador do locatário configurou os CAPs para permitir o endereço IPv6. Além disso, considere incluir o endereço mapeado IPv4 para qualquer endereço IPv6 padrão em todas as condições CAP.

Se os usuários acessarem a página de entrada do Microsoft Entra por meio de um endereço IP diferente daquele usado para acessar recursos do Azure DevOps (comum com o túnel VPN), verifique a configuração de VPN ou a infraestrutura de rede. Certifique-se de incluir todos os endereços IP usados nos CAPs do administrador de locatários.