Alterar a conexão do aplicativo e as políticas de segurança para sua organização

Importante

O Azure DevOps não dá suporte à autenticação de Credenciais Alternativas. Se você ainda estiver usando Credenciais Alternativas, recomendamos que mude para um método de autenticação mais seguro.

Este artigo mostra como gerenciar as políticas de segurança da sua organização que determinam como os aplicativos podem acessar serviços e recursos em sua organização. Você pode acessar a maioria dessas políticas nas configurações da organização.

Pré-requisitos

Permissões: seja membro do grupo Administradores da Coleção de Projetos. Os proprietários da organização são automaticamente membros deste grupo.

Gerir uma política

Para alterar a conexão do aplicativo, a segurança e as políticas de usuário para sua organização, execute as etapas a seguir.

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

    Captura de ecrã do botão Definições da organização, página de pré-visualização.

  3. Selecione Políticas e, em seguida, ative ou desative a política conforme necessário.

Captura de ecrã a mostrar a política de seleção e, em seguida, ative ou desative.

Alterar políticas de conexão de aplicativos

Para permitir o acesso contínuo à sua organização sem solicitar repetidamente credenciais de usuário, os aplicativos geralmente usam os seguintes métodos de autenticação:

  • OAuth: Gere tokens para acessar APIs REST para Azure DevOps. Todas as APIs REST aceitam tokens OAuth, tornando-o o método preferido de integração em relação aos tokens de acesso pessoal (PATs). As APIs de Gestão de Organizações, Perfis e PAT suportam apenas OAuth. Você também pode usar tokens OAuth com o Microsoft Entra ID para fornecer autenticação segura e contínua para usuários em sua organização.

  • SSH: Gere chaves de criptografia para uso com Linux, macOS e Windows executando o Git para Windows. Não é possível usar gerenciadores de credenciais Git ou PATs para autenticação HTTPS com SSH.

  • PATs: Gere tokens para:

    • Acesso a recursos ou atividades específicas, como compilações ou itens de trabalho.
    • Clientes como Xcode e NuGet que exigem nomes de usuário e senhas como credenciais básicas e não suportam conta da Microsoft e recursos do Microsoft Entra, como autenticação multifator.
    • Acessando APIs REST para Azure DevOps.

Por padrão, sua organização permite o acesso a todos os métodos de autenticação.

Você pode limitar o acesso para chaves OAuth e SSH desativando estas políticas de conexão de aplicativo:

  • Aplicativo que não é da Microsoft via OAuth: habilite aplicativos que não sejam da Microsoft para acessar recursos em sua organização por meio do OAuth. Esta política é desativada por padrão para todas as novas organizações. Se você quiser acesso a aplicativos que não sejam da Microsoft, habilite esta política para garantir que esses aplicativos possam acessar recursos em sua organização.
  • Autenticação SSH: habilite os aplicativos para se conectarem aos repositórios Git da sua organização por meio do SSH.

Quando você nega acesso a um método de autenticação, nenhum aplicativo pode acessar sua organização por meio desse método. Qualquer aplicativo que anteriormente tinha acesso encontra erros de autenticação e perde o acesso.

Para remover o acesso para PATs, revogue-os.

Alterar políticas de acesso condicional

O Microsoft Entra ID permite que os locatários definam quais usuários podem acessar os recursos da Microsoft por meio de seu recurso de Política de Acesso Condicional (CAP). Os administradores de locatários podem definir condições que os usuários devem atender para obter acesso. Por exemplo, o utilizador deve:

  • Ser membro de um grupo de segurança específico
  • Pertencer a um determinado local e/ou rede
  • Usar um sistema operacional específico
  • Usar um dispositivo habilitado em um sistema de gerenciamento

Dependendo das condições que o usuário satisfaz, você pode exigir autenticação multifator, definir verificações adicionais para obter acesso ou bloquear o acesso completamente.

Suporte de CAP no Azure DevOps

Quando você entra no portal da Web de uma organização apoiada pelo Microsoft Entra ID, o Microsoft Entra ID sempre executa a validação para quaisquer Políticas de Acesso Condicional (CAPs) definidas por administradores de locatário.

O Azure DevOps também pode executar mais validação de CAP depois que você estiver conectado e navegando por uma organização apoiada pelo Microsoft Entra ID:

  • Se a política da organização "Ativar validação da política de acesso condicional IP" estiver habilitada, verificaremos as políticas de vedação de IP em fluxos da Web e não interativos, como fluxos de clientes que não são da Microsoft, como o uso de uma PAT com operações git.
  • As políticas de entrada também podem ser aplicadas para PATs. O uso de PATs para fazer chamadas de ID do Microsoft Entra requer a adesão a todas as políticas de entrada definidas. Por exemplo, se uma política de entrada exigir que um usuário entre a cada sete dias, você também deverá entrar a cada sete dias para continuar usando PATs para solicitações de ID do Microsoft Entra.
  • Se você não quiser que nenhuma CAP seja aplicada ao Azure DevOps, remova o Azure DevOps como um recurso para a CAP. Não aplicamos CAPs no Azure DevOps por organização.

Apoiamos políticas de AMF apenas em fluxos web. Para fluxos não interativos, se eles não satisfizerem a política de acesso condicional, o usuário não será solicitado para MFA e será bloqueado.

Condições baseadas em IP

Suportamos políticas de acesso condicional (CAPs) de vedação de IP para endereços IPv4 e IPv6. Se o seu endereço IPv6 estiver a ser bloqueado, certifique-se de que o administrador do inquilino configurou CAPs para permitir o seu endereço IPv6. Além disso, considere incluir o endereço mapeado IPv4 para qualquer endereço IPv6 padrão em todas as condições CAP.

Se os usuários acessarem a página de entrada do Microsoft Entra por meio de um endereço IP diferente daquele usado para acessar os recursos do Azure DevOps (comum com o túnel VPN), verifique sua configuração de VPN ou infraestrutura de rede. Certifique-se de incluir todos os endereços IP usados nos CAPs do administrador do locatário.