Cambio de las directivas de & seguridad de conexión de aplicaciones para su organización

Azure DevOps Services

Obtenga información sobre cómo administrar las directivas de seguridad y las directivas que determinan qué aplicaciones se pueden integrar con los servicios y recursos de su organización. De forma predeterminada, la organización permite el acceso a la mayoría de los métodos de autenticación. Puede limitar el acceso, pero debe restringir específicamente el acceso para cada método. Cuando se deniega el acceso a un método de autenticación, ninguna aplicación puede acceder a su organización. Cualquier aplicación que previamente tuviera acceso obtiene un error de autenticación y no tiene acceso a su organización.

Directivas de conexión de aplicaciones

Para acceder a su organización sin pedir credenciales de usuario varias veces, las aplicaciones usan los siguientes métodos de autenticación.

• OAuth para generar tokens para acceder a las API REST para Azure DevOps. Las API de organizaciones y perfiles solo admiten OAuth.

• Autenticación SSH para generar claves de cifrado para usar Linux, macOS y Windows que ejecutan Git para Windows,pero no puede usar administradores de credenciales de Git ni tokens de acceso personal (PAT) para la autenticación HTTPS.

• PAT para generar tokens para:

  • Acceso a recursos o actividades específicos, como compilaciones o elementos de trabajo
  • Clientes como Xcode y NuGet que requieren nombres de usuario y contraseñas como credenciales básicas y no admiten características de cuenta microsoft y Azure Active Directory como la autenticación multifactor
  • Acceso a las API REST para Azure DevOps

Para quitar el acceso de los PAT, debe revocarlos.

Directivas de nivel de inquilino

Puede usar la directiva de nivel de inquilino para restringir la creación de nuevas organizaciones solo a los usuarios deseados. Consulte Restringir la creación de la organización para obtener más detalles.

Directivas de acceso condicional

Azure DevOps todas las directivas de acceso condicional al 100 % para nuestros flujos web. En el caso del flujo de cliente de terceros, como el uso de un PAT con git.exe, solo se admiten directivas de protección de IP, ya que no se admiten directivas mfa. Consulte los siguientes ejemplos:

• Directiva 1: bloquear todo el acceso desde fuera del intervalo IP x, y y z.
  • Al Azure DevOps a través de la web, se permite al usuario desde ip x, y y z. Si está fuera de esa lista, el usuario está bloqueado.
  • Al Azure DevOps a través de alt-auth, se permite al usuario desde ip x, y y z. Si está fuera de esa lista, el usuario está bloqueado.
• Directiva 2: requerir MFA cuando esté fuera del intervalo IP x, y y z.
  • Al Azure DevOps a través de la web, se permite al usuario desde ip x, y y z. Se solicita al usuario MFA si está fuera de esa lista.
  • Al Azure DevOps a través de alt-auth, se permite al usuario desde ip x, y y z. Si está fuera de esa lista, el usuario está bloqueado.

De forma predeterminada, la organización permite el acceso a todos los métodos de autenticación. Puede limitar el acceso, pero debe restringir específicamente el acceso para cada método. Cuando se deniega el acceso a un método de autenticación, ninguna aplicación puede acceder a su organización. Cualquier aplicación que anteriormente tuviera acceso obtiene un error de autenticación y no tiene acceso a su organización.

Directivas de seguridad

Puede habilitar o deshabilitar la siguiente directiva de seguridad.

• Permitir proyectos públicos: permite a los usuarios que no son miembros de un proyecto y a los usuarios que no han iniciado sesión en solo lectura, acceso limitado a los artefactos y servicios del proyecto. El acceso anónimo se usa para acceder a repositorios privados y públicos. Obtenga más información en Make your project public (Hacer que el proyecto sea público) y Enable anonymous access to projects for your organization (Habilitar el acceso anónimo a proyectos para su organización).

• Habilitar Azure Active Directory (Azure AD) validación de directiva de acceso condicional (CAP): esta directiva está establecida en desactivada de forma predeterminada y solo se aplica a otros métodos de autenticación aparte del flujo web. Azure AD acceso condicional se aplica al flujo web independientemente de esta configuración de directiva.

  Puede requerir las siguientes condiciones, por ejemplo:

  • Pertenencia a grupos de seguridad
  • Ubicación e identidad de red
  • Sistema operativo específico
  • Dispositivo habilitado en un sistema de administración

  Dependiendo de las condiciones que cumpla el usuario, puede requerir autenticación multifactor, comprobaciones adicionales o bloquear el acceso.

  Para más información, consulte el artículo de referencia de la API rest, sección Asignación de versiones de API.

Requisitos previos

Para cambiar una directiva, necesita al menos acceso básico y permisos de propietario de la organización Project administrador de recopilación. Cómo encuentra el propietario de la organización?

Administración de una directiva

Complete los pasos siguientes para cambiar la conexión de la aplicación, la seguridad y las directivas de usuario para su organización en Azure DevOps.

1. Inicie sesión en su organización ( https://dev.azure.com/{yourorganization} ).

2. Seleccione el Configuración de laorganización.

   

3. Seleccione Directivasy, a continuación, junto a la directiva, mueva el botón de alternancia a activar o desactivar.

Artículos relacionados

• Deshabilitar la directiva de acceso de solicitud
• Impedir que los usuarios creen nuevas organizaciones con Azure AD directiva
• Impedir que los administradores Project equipos inviten a nuevos usuarios
• ¿Qué es el acceso condicional en Azure Active Directory?
• Instrucciones y requisitos detallados para el acceso condicional