Изменение политики безопасности для подключения приложения & для Организации

Azure DevOps Services

Важно!

Azure DevOps больше не поддерживает проверку подлинности с помощью альтернативных учетных данных с начала 2 марта 2020 г. Если вы все еще используете альтернативные учетные данные, настоятельно рекомендуем переключиться на более безопасный метод проверки подлинности (например, личные маркеры доступа). Подробнее.

Узнайте, как управлять политиками безопасности и политиками, которые определяют, какие приложения можно интегрировать со службами и ресурсами в Организации. По умолчанию организация разрешает доступ для большинства методов проверки подлинности. Доступ можно ограничить, но необходимо специально ограничить доступ для каждого метода. Если запретить доступ к методу проверки подлинности, приложение не сможет получить доступ к вашей организации. Любое приложение, к которому ранее был предоставлен доступ, получает ошибку проверки подлинности и не имеет доступа к вашей организации.

Политики подключения приложений

Чтобы получить доступ к Организации, не запрашивая учетные данные пользователя несколько раз, приложения используют следующие методы проверки подлинности.

Чтобы удалить доступ для ПАТС, необходимо отозвать их.

Политики уровня клиента

Политику уровня клиента можно использовать для ограничения создания новых организаций только для нужных пользователей. Для получения дополнительных сведений установите флажок ограничить создание Организации .

Политики условного доступа

Azure DevOps учитывает все политики условного доступа 100% для наших веб-потоков. Для сторонних потоков клиентов, таких как использование PAT с git.exe, мы поддерживаем только политики разграничения IP-адресов — мы не поддерживаем политики MFA. См. следующие примеры.

  • Политика 1. Блокировка доступа вне диапазона IP-адресов x, y и z.
    • доступ к Azure DevOps через интернет, разрешенный пользователю с IP x, y и z. Если за пределами этого списка, пользователь блокируется.
    • доступ к Azure DevOps через alt-auth, разрешенный пользователем из IP x, y и z. Если за пределами этого списка, пользователь блокируется.
  • Политика 2. требует MFA, если вне диапазона IP-адресов x, y и z.
    • доступ к Azure DevOps через интернет, разрешенный пользователю с IP x, y и z. Пользователю будет предложено указать MFA вне этого списка.
    • доступ к Azure DevOps через alt-auth, разрешенный пользователем из IP x, y и z. Если за пределами этого списка, пользователь блокируется.

По умолчанию в Организации разрешен доступ для всех методов проверки подлинности. Доступ можно ограничить, но необходимо специально ограничить доступ для каждого метода. Если запретить доступ к методу проверки подлинности, приложение не сможет получить доступ к вашей организации. Любое приложение, к которому ранее был предоставлен доступ, получает ошибку проверки подлинности и не имеет доступа к вашей организации.

Примечание

Мы поддерживаем политики условного доступа разграничения IP-адресов как для IPv4, так и для IPv6.

Политики безопасности

Вы можете включить или отключить следующую политику безопасности.

  • Разрешить открытые проекты . разрешает не являющиеся членами проекта и пользователей, которые не вошли в службу только для чтения, ограниченный доступ к артефактам и службам проекта. Анонимный доступ используется для доступа к частным и общедоступным репозиториям. Узнайте больше о том, как сделать проект общедоступным и Разрешить анонимный доступ к проектам для вашей организации.

  • включить проверку политики условного доступа (CAP) Azure Active Directory (Azure AD) . эта политика по умолчанию имеет значение off и применяется только к другим методам проверки подлинности, кроме веб-потока. Условный доступ Azure AD применяется для веб-потока независимо от этого параметра политики.

    Можно потребовать следующие условия, например:

    • Членство в группе безопасности
    • Расположение и сетевое удостоверение
    • Конкретная операционная система
    • Включенное устройство в системе управления

    В зависимости от условий, которые удовлетворяет пользователь, можно потребовать многофакторную проверку подлинности, дополнительные проверки или заблокировать доступ.

    Дополнительные сведения см. в REST API справочной статье сопоставление версий APIраздела.

Предварительные требования

для изменения политики необходим по крайней мере базовый доступ, владелец организации или администратор сбора Project. Разделы справки найти владельца Организации?

Управление политикой

Выполните следующие действия, чтобы изменить политики подключения приложения, безопасности и пользователей для Организации в Azure DevOps.

  1. Войдите в свою организацию ( https://dev.azure.com/{yourorganization} ).

  2. Выберите  значок шестеренки Параметры организации.

    Снимок экрана: кнопка "Параметры организации", страница "предварительный просмотр".

  3. Выберите политики, а затем рядом с политикой передвиньте переключатель в положение вкл . или Откл.

Снимок экрана: выбор политики, а затем Включение или отключение.