Изменение политик подключения и безопасности приложений для вашей организации

Внимание

Azure DevOps не поддерживает проверку подлинности альтернативных учетных данных. Если вы по-прежнему используете альтернативные учетные данные, мы настоятельно рекомендуем переключиться на более безопасный метод проверки подлинности.

В этой статье показано, как управлять политиками безопасности организации, определяющими способ доступа приложений к службам и ресурсам в организации. Большинство этих политик можно получить в параметрах организации.

Необходимые компоненты

Разрешения. Быть членом группы администраторов коллекции проектов. Владельцы организации автоматически входят в эту группу.

Управление политикой

Чтобы изменить подключение приложения, безопасность и политики пользователей для вашей организации, выполните следующие действия.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

    Снимок экрана: кнопка

  3. Выберите политики, а затем включите или отключите политику по мере необходимости.

Снимок экрана: выбор политики, а затем включение или отключение.

Изменение политик подключения приложения

Чтобы обеспечить простой доступ к организации без многократного запроса учетных данных пользователя, приложения часто используют следующие методы проверки подлинности:

  • OAuth: создание маркеров для доступа к REST API для Azure DevOps. Все ИНТЕРФЕЙСы REST API принимают маркеры OAuth, что делает его предпочтительным методом интеграции с личными маркерами доступа (PATs). API управления организациями, профилями и PAT поддерживают только OAuth. Маркеры OAuth также можно использовать с идентификатором Microsoft Entra для обеспечения безопасной и простой проверки подлинности для пользователей в организации.

  • SSH: создание ключей шифрования для использования с Linux, macOS и Windows под управлением Git для Windows. Вы не можете использовать диспетчеры учетных данных Git или PATs для проверки подлинности HTTPS с помощью SSH.

  • PATs: создание маркеров для:

    • Доступ к определенным ресурсам или действиям, таким как сборки или рабочие элементы.
    • Клиенты, такие как Xcode и NuGet, требующие имен пользователей и паролей в качестве основных учетных данных и не поддерживают функции Учетной записи Майкрософт и Microsoft Entra, такие как многофакторная проверка подлинности.
    • Доступ к REST API для Azure DevOps.

По умолчанию ваша организация предоставляет доступ ко всем методам проверки подлинности.

Доступ к ключам OAuth и SSH можно ограничить, отключив следующие политики подключения приложения:

  • Приложение, отличное от Майкрософт через OAuth, позволяет приложениям, отличным от Майкрософт, получать доступ к ресурсам в организации через OAuth. Эта политика по умолчанию отключена для всех новых организаций. Если вы хотите получить доступ к приложениям, отличным от Майкрософт, включите эту политику, чтобы обеспечить доступ к этим приложениям в организации.
  • Проверка подлинности SSH: включение приложений для подключения к репозиториям Git организации через SSH.

При запрете доступа к методу проверки подлинности приложение не может получить доступ к вашей организации с помощью этого метода. Любое приложение, которое ранее имело доступ, столкнулось с ошибками проверки подлинности и потеряет доступ.

Чтобы удалить доступ для PATs, отмените их.

Изменение политик условного доступа

Идентификатор Microsoft Entra позволяет клиентам определять, какие пользователи могут получить доступ к ресурсам Майкрософт с помощью функции политики условного доступа (CAP). Администраторы клиента могут задать условия, которые пользователи должны соответствовать для получения доступа. Например, пользователь должен:

  • Быть членом определенной группы безопасности
  • Принадлежит определенному расположению и /или сети
  • Использование определенной операционной системы
  • Использование устройства с поддержкой в системе управления

В зависимости от того, какие условия удовлетворяет пользователь, можно затем требовать многофакторную проверку подлинности, настроить дополнительные проверки для получения доступа или заблокировать доступ полностью.

Поддержка CAP в Azure DevOps

При входе на веб-портал организации, поддерживаемой идентификатором Microsoft Entra, идентификатор Microsoft Entra всегда выполняет проверку для всех политик условного доступа (ЦС), заданных администраторами клиента.

Azure DevOps также может выполнять дополнительную проверку CAP после входа и перехода через организацию, поддерживаемую идентификатором Microsoft Entra:

  • Если включена политика проверки политики условного доступа IP, мы проверяем политики ограждения IP-адресов как в интернете, так и в неинтерактивных потоках, таких как потоки клиентов, отличные от Майкрософт, такие как использование PAT с операциями git.
  • Политики входа также могут применяться для PATs. Использование PATS для вызовов Идентификатора Microsoft Entra требует соблюдения всех установленных политик входа. Например, если политика входа требует, чтобы пользователь входить каждые семь дней, необходимо также войти каждые семь дней, чтобы продолжить использование PATs для запросов идентификатора Microsoft Entra.
  • Если вы не хотите применять какие-либо ЦС к Azure DevOps, удалите Azure DevOps в качестве ресурса для CAP. Мы не применяем ЦС в Azure DevOps на основе организации.

Мы поддерживаем политики MFA только в веб-потоках. Для неинтерактивных потоков, если они не удовлетворяют политике условного доступа, пользователь не запрашивает MFA и блокируется.

Условия на основе IP-адресов

Мы поддерживаем политики условного доступа для IP-ограждения (ЦС) как для IPv4, так и для IPv6-адресов. Если ваш IPv6-адрес заблокирован, убедитесь, что администратор клиента настроил ЦС, чтобы разрешить IPv6-адрес. Кроме того, рекомендуется включить IPv4-сопоставленный адрес для любого адреса IPv6 по умолчанию во всех условиях CAP.

Если пользователи получают доступ к странице входа Microsoft Entra с помощью другого IP-адреса, отличного от используемого для доступа к ресурсам Azure DevOps (обычно с туннелированием VPN), проверьте конфигурацию VPN или сетевую инфраструктуру. Убедитесь, что все используемые IP-адреса будут включены в ЦС администратора клиента.