Ändra programanslutnings- och säkerhetsprinciper för din organisation

  • Artikel

Viktigt!

Azure DevOps stöder inte autentisering med alternativa autentiseringsuppgifter. Om du fortfarande använder alternativa autentiseringsuppgifter rekommenderar vi starkt att du byter till en säkrare autentiseringsmetod.

Den här artikeln visar hur du hanterar organisationens säkerhetsprinciper som avgör hur program kan komma åt tjänster och resurser i din organisation. Du kan komma åt de flesta av dessa principer i Organisationsinställningar.

Förutsättningar

Behörigheter: Vara medlem i gruppen Projektsamlingsadministratörer. Organisationsägare är automatiskt medlemmar i den här gruppen.

Hantera en princip

Utför följande steg för att ändra programanslutning, säkerhet och användarprinciper för din organisation.

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

    Skärmbild av knappen Organisationsinställningar, förhandsgranskningssidan.

  3. Välj Principer och växla sedan principen till eller av efter behov.

Skärmbild av välj princip och sedan På eller Av.

Ändra anslutningsprinciper för program

Program använder ofta följande autentiseringsmetoder för att ge sömlös åtkomst till din organisation utan upprepade frågor om användarautentiseringsuppgifter:

  • OAuth: Generera token för åtkomst till REST-API:er för Azure DevOps. Alla REST-API:er accepterar OAuth-token, vilket gör det till den bästa metoden för integrering över personliga åtkomsttoken (PAT). API:er för organisationer, profiler och PAT-hantering stöder endast OAuth. Du kan också använda OAuth-token med Microsoft Entra-ID för att tillhandahålla säker och sömlös autentisering för användare i din organisation.

  • SSH: Generera krypteringsnycklar för användning med Linux, macOS och Windows som kör Git för Windows. Du kan inte använda Git-autentiseringshanterare eller PAT för HTTPS-autentisering med SSH.

  • PAT: Generera token för:

    • Åtkomst till specifika resurser eller aktiviteter, till exempel byggen eller arbetsobjekt.
    • Klienter som Xcode och NuGet som kräver användarnamn och lösenord som grundläggande autentiseringsuppgifter och inte stöder Microsoft-konto- och Microsoft Entra-funktioner, till exempel multifaktorautentisering.
    • Åtkomst till REST-API:er för Azure DevOps.

Som standard tillåter din organisation åtkomst för alla autentiseringsmetoder.

Du kan begränsa åtkomsten för OAuth- och SSH-nycklar genom att inaktivera dessa programanslutningsprinciper:

  • Icke-Microsoft-program via OAuth: Aktivera icke-Microsoft-program för åtkomst till resurser i din organisation via OAuth. Den här principen är som standard inaktiverad för alla nya organisationer. Om du vill ha åtkomst till program som inte kommer från Microsoft aktiverar du den här principen för att säkerställa att dessa appar kan komma åt resurser i din organisation.
  • SSH-autentisering: Gör det möjligt för program att ansluta till organisationens Git-lagringsplatser via SSH.

När du nekar åtkomst till en autentiseringsmetod kan inget program komma åt din organisation via den metoden. Alla program som tidigare hade åtkomst stöter på autentiseringsfel och förlorar åtkomst.

Om du vill ta bort åtkomst för PAT:er återkallar du dem.

Ändra principer för villkorlig åtkomst

Med Microsoft Entra-ID kan klientorganisationer definiera vilka användare som kan komma åt Microsoft-resurser via sin cap-funktion (Conditional Access Policy). Klientadministratörer kan ange villkor som användarna måste uppfylla för att få åtkomst. Användaren måste till exempel:

  • Vara medlem i en specifik säkerhetsgrupp
  • Tillhör en viss plats och/eller nätverk
  • Använda ett specifikt operativsystem
  • Använda en aktiverad enhet i ett hanteringssystem

Beroende på vilka villkor användaren uppfyller kan du sedan kräva multifaktorautentisering, ange ytterligare kontroller för att få åtkomst eller blockera åtkomst helt och hållet.

CAP-stöd för Azure DevOps

När du loggar in på webbportalen för en Microsoft Entra-ID-baserad organisation utför Microsoft Entra-ID alltid validering för alla principer för villkorlig åtkomst (CAP: er) som angetts av klientadministratörer.

Azure DevOps kan också utföra mer CAP-validering när du är inloggad och navigera genom en Microsoft Entra-ID-stödd organisation:

  • Om organisationsprincipen "Aktivera validering av IP-principvalidering" är aktiverad kontrollerar vi IP-fäktningsprinciper på både webb- och icke-interaktiva flöden, till exempel icke-Microsoft-klientflöden som att använda en PAT med git-åtgärder.
  • Inloggningsprinciper kan också tillämpas för PAT:er. Användning av PAT:er för att göra Microsoft Entra-ID-anrop kräver efterlevnad av alla inloggningsprinciper som har angetts. Om en inloggningsprincip till exempel kräver att en användare loggar in var sjunde dag måste du också logga in var sjunde dag för att fortsätta använda PAT för Microsoft Entra-ID-begäranden.
  • Om du inte vill att några CAP:er ska tillämpas på Azure DevOps tar du bort Azure DevOps som en resurs för den gemensamma jordbrukspolitiken. Vi tillämpar inte CAP:er på Azure DevOps på organisationsbasis.

Vi stöder endast MFA-principer för webbflöden. Om de inte uppfyller principen för villkorsstyrd åtkomst för icke-interaktiva flöden uppmanas användaren inte att använda MFA och blockeras i stället.

IP-baserade villkor

Vi stöder IP-fäktning av principer för villkorlig åtkomst (CAP) för både IPv4- och IPv6-adresser. Om din IPv6-adress blockeras kontrollerar du att klientadministratören har konfigurerat CAP:er för att tillåta din IPv6-adress. Överväg också att inkludera den IPv4-mappade adressen för alla standard-IPv6-adresser i alla CAP-villkor.

Om användarna kommer åt Inloggningssidan för Microsoft Entra via en annan IP-adress än den som används för att komma åt Azure DevOps-resurser (vanligt med VPN-tunneltrafik) kontrollerar du VPN-konfigurationen eller nätverksinfrastrukturen. Se till att inkludera alla använda IP-adresser i klientadministratörens CAP:er.