Cambio de las directivas de conexión y seguridad de la aplicación para su organización

Importante

Azure DevOps ya no admite la autenticación de credenciales alternativas desde el 2 de marzo de 2020. Si sigue usando credenciales alternativas, le recomendamos encarecidamente cambiar a un método de autenticación más seguro (por ejemplo, tokens de acceso personal). Más información.

Obtenga información sobre cómo administrar las directivas de seguridad de su organización que determinan cómo las aplicaciones pueden acceder a los servicios y recursos de su organización. Puede acceder a la mayoría de estas directivas en La organización Configuración.

Requisitos previos

Debe ser miembro del grupo Administradores de la colección de proyectos. Los propietarios de la organización son miembros automáticamente de este grupo.

Administrar una directiva

Complete los pasos siguientes para cambiar las directivas de conexión, seguridad y usuario de la aplicación para su organización en Azure DevOps.

1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

2. Seleccione Configuración de la organización.

   

3. Seleccione Directivas y, después, junto a la directiva, mueva el botón de alternancia a activado o desactivado.

Directivas de conexión de aplicaciones

Para acceder a su organización sin pedir credenciales de usuario varias veces, las aplicaciones suelen usar los métodos de autenticación siguientes:

• OAuth para generar tokens para acceder a las API REST para Azure DevOps. Todas las API REST aceptan tokens de OAuth y este es el método preferido de integración sobre tokens de acceso personal (PAT). Las API de administración de organizaciones, perfiles y PAT solo admiten OAuth.

• SSH para generar claves de cifrado para usar Linux, macOS y Windows que ejecutan Git para Windows, pero no puede usar administradores de credenciales de Git ni PAT para la autenticación HTTPS.

• PAT para generar tokens para:

  • Acceso a recursos o actividades específicos, como compilaciones o elementos de trabajo
  • Clientes, como Xcode y NuGet, que requieren nombres de usuario y contraseñas como credenciales básicas y no admiten las características de Microsoft y Microsoft Entra, como la autenticación multifactor
  • Acceso a las API REST para Azure DevOps

De forma predeterminada, la organización permite el acceso a todos los métodos de autenticación.

Puede limitar el acceso a las claves OAuth y SSH deshabilitando el acceso a estas directivas de conexión de aplicaciones:

• Aplicación de terceros a través de OAuth: habilite aplicaciones de terceros para acceder a los recursos de su organización a través de OAuth. Esta directiva está desactivada de forma predeterminada para todas las nuevas organizaciones. Si desea acceder a aplicaciones de terceros, habilite esta directiva para asegurarse de que estas aplicaciones pueden obtener acceso a los recursos de su organización.
• Autenticación SSH: habilite las aplicaciones para conectarse a los repositorios de Git de su organización a través de SSH.

Cuando se deniega el acceso a un método de autenticación, ninguna aplicación puede acceder a su organización a través de este método. Cualquier aplicación que tuviera acceso anteriormente obtendrá errores de autenticación y ya no tendrá acceso a su organización.

Para quitar el acceso a los PAT, debe revocarlos.

Directivas de acceso condicional

Microsoft Entra ID permite a los inquilinos definir qué usuarios pueden obtener acceso a los recursos de Microsoft a través de su característica de directiva de acceso condicional (CAP). A través de esta configuración, el administrador de inquilinos puede requerir que los miembros cumplan cualquiera de las condiciones siguientes, por ejemplo, el usuario debe:

• ser miembro de un grupo de seguridad específico
• pertenece a una determinada ubicación o red
• usar un sistema operativo específico
• usar un dispositivo habilitado en un sistema de administración

En función de las condiciones que cumpla el usuario, puede requerir autenticación multifactor o establecer comprobaciones adicionales para obtener acceso o bloquear el acceso por completo.

Compatibilidad con CAP en Azure DevOps

Si inicia sesión en el portal web de una organización respaldada por id. de Microsoft Entra, el id. de Microsoft Entra siempre comprobará que puede avanzar realizando la validación de las CAP establecidas por los administradores de inquilinos.

Azure DevOps también puede realizar una validación cap adicional una vez que haya iniciado sesión y vaya a través de Azure DevOps en una organización respaldada por el identificador de Microsoft Entra:

• Si la directiva de organización "Habilitar la validación de directivas de acceso condicional de IP" está habilitada, comprobaremos las directivas de barrera de IP en flujos web y no interactivos, como flujos científicos de terceros, como el uso de un PAT con operaciones de Git.
• Las directivas de inicio de sesión también se pueden aplicar para los PAT. El uso de PAT para realizar llamadas de id. de Entra de Microsoft requiere que el usuario cumpla las directivas de inicio de sesión que se establecen. Por ejemplo, si una directiva de inicio de sesión requiere que un usuario inicie sesión cada siete días, también debe iniciar sesión cada siete días, si desea seguir usando PAT para realizar solicitudes a Microsoft Entra ID.
• Si no quiere que se aplique ninguna CAP a Azure DevOps, quite Azure DevOps como recurso para el CAP. No vamos a hacer la aplicación de las CAP por organización en Azure DevOps.

Solo se admiten directivas de MFA en flujos web. En el caso de los flujos no interactivos, si no cumplen la directiva de acceso condicional, el usuario no se le pedirá MFA y se bloqueará en su lugar.

Condiciones basadas en IP

Se admiten directivas de acceso condicional de barrera IP para direcciones IPv4 e IPv6. Si encuentra que la dirección IPv6 está bloqueada, se recomienda comprobar que el administrador de inquilinos ha configurado las CAP que permiten la dirección IPv6. Del mismo modo, puede ayudar a incluir la dirección asignada por IPv4 para cualquier dirección IPv6 predeterminada en todas las condiciones cap.

Si los usuarios acceden a la página de inicio de sesión de Microsoft Entra a través de una dirección IP diferente a la que se usa para acceder a los recursos de Azure DevOps (comunes con la tunelización de VPN), compruebe la configuración de VPN o la infraestructura de red para asegurarse de que todas las direcciones IP que usa se incluyen en las CAP del administrador de inquilinos.

Artículos relacionados

• Deshabilitar la directiva de acceso de solicitud
• Impedir que los usuarios creen nuevas organizaciones con la directiva de Microsoft Entra
• Impedir que los administradores de equipos y proyectos inviten a nuevos usuarios
• ¿Qué es el acceso condicional?
• Instrucciones detalladas y requisitos para el acceso condicional