組織のアプリケーション接続 & セキュリティポリシーを変更する

Azure DevOps Services

重要

Azure DevOps では、2020年3月2日以降の代替資格情報認証がサポートされなくなりました。 引き続き別の資格情報を使用している場合は、より安全な認証方法 (個人用アクセストークンなど) に切り替えることを強くお勧めします。 詳細については、こちらを参照してください

組織内のサービスやリソースと統合できるアプリケーションを決定するセキュリティポリシーとポリシーを管理する方法について説明します。 既定では、組織はほとんどの認証方法に対してアクセスを許可します。 アクセスを制限することはできますが、各メソッドのアクセスを明示的に制限する必要があります。 認証方法へのアクセスを拒否すると、アプリケーションから組織にアクセスできなくなります。 以前にアクセス権を持っていたアプリケーションでは、認証エラーが発生し、組織へのアクセス権がありません。

アプリケーション接続ポリシー

ユーザーの資格情報を何度も要求せずに組織にアクセスするには、アプリケーションで次の認証方法を使用します。

このような場合のアクセスを削除するには、 それらを取り消す必要があります。

テナントレベルのポリシー

テナントレベルのポリシーを使用して、新しい組織の作成を目的のユーザーのみに制限することができます。 詳細については、 組織の作成を制限 するチェックボックスをオンにします。

条件付きアクセス ポリシー

Azure DevOps は、すべての条件付きアクセスポリシーを Web フローに対して100% として受け入れます。 git.exe で PAT を使用する場合と同様に、サードパーティのクライアントフローでは、IP フェンスポリシーのみがサポートされます。 MFA ポリシーはサポートされていません。 次の例を参照してください。

  • ポリシー 1-IP 範囲 x、y、z の外部からのすべてのアクセスをブロックします。
    • IP x、y、z から許可されたユーザーである、web 経由で Azure DevOps にアクセスします。 この一覧の外部にある場合、ユーザーはブロックされます。
    • Alt-auth を使用して Azure DevOps にアクセスします。これは、IP x、y、z から許可されたユーザーです。 この一覧の外部にある場合、ユーザーはブロックされます。
  • ポリシー 2-IP 範囲 x、y、z の外で MFA を要求します。
    • IP x、y、z から許可されたユーザーである、web 経由で Azure DevOps にアクセスします。 ユーザーは、そのリストの外部で MFA を要求されます。
    • Alt-auth を使用して Azure DevOps にアクセスします。これは、IP x、y、z から許可されたユーザーです。 この一覧の外部にある場合、ユーザーはブロックされます。

既定では、組織はすべての認証方法に対してアクセスを許可します。 アクセスを制限することはできますが、各メソッドのアクセスを明示的に制限する必要があります。 認証方法へのアクセスを拒否すると、アプリケーションから組織にアクセスできなくなります。 以前にアクセス権を持っていたすべてのアプリで認証エラーが発生し、組織へのアクセス権がありません。

注意

IPv4 と IPv6 の両方で、IP フェンス条件付きアクセスポリシーがサポートされています。

セキュリティ ポリシー

次のセキュリティポリシーを有効または無効にすることができます。

  • パブリックプロジェクトを許可 する-プロジェクトのメンバー以外のユーザー、およびプロジェクトの成果物とサービスへのアクセスを制限された読み取り専用のユーザーに許可します。 匿名アクセスは、プライベートリポジトリとパブリックリポジトリの両方にアクセスするために使用されます。 詳細については、「 プロジェクトをパブリック にして、 組織のプロジェクトへの匿名アクセスを有効にする」を参照してください。

  • Azure Active Directory (Azure AD) 条件付きアクセスポリシー (CAP) の検証を有効 にする-このポリシーは、既定では オフ に設定されており、web フローとは別の認証方法にのみ適用されます。 このポリシーは、Azure DevOps の設定に関係なく、Azure AD で設定された Cap には適用されません。

    たとえば、次の条件を満たす必要があります。

    • セキュリティグループのメンバーシップ
    • 場所とネットワーク id
    • 特定のオペレーティングシステム
    • 管理システムでデバイスを有効にする

    ユーザーが満たす条件に応じて、多要素認証を要求したり、さらに確認したり、アクセスをブロックしたりすることができます。

    詳細については、REST API リファレンス記事「 API バージョンのマッピング」を参照してください。

前提条件

ポリシーを変更するには、少なくとも基本的なアクセス権と組織所有者またはプロジェクトコレクション管理者のアクセス許可が必要です。 組織の所有者を検索操作方法には

ポリシーを管理する

Azure DevOps で組織のアプリケーション接続、セキュリティ、およびユーザーポリシーを変更するには、次の手順を実行します。

  1. 組織 () にサインイン https://dev.azure.com/{yourorganization} します。

  2. ![歯車アイコン 組織の設定] を選択します。

    [組織の設定] ボタンのスクリーンショット ([プレビュー] ページ)。

  3. [ ポリシー] を選択し、ポリシーの横にある切り替えを [オン ] または [ オフ] に移動します。

[ポリシーの選択] のスクリーンショットを表示し、有効または無効にします。