Kuruluş için uygulama & bağlantısı güvenlik ilkelerini değiştirme

  • Makale
  • Okumak için 3 dakika

Azure DevOps Services

Önemli

Azure DevOps 2 Mart 2020'den itibaren Alternatif Kimlik Bilgileri kimlik doğrulamasını desteklemez. Hala Alternatif Kimlik Bilgileri kullanıyorsanız, daha güvenli bir kimlik doğrulama yöntemine (örneğin, kişisel erişim belirteçleri) geçmenizi kesinlikle tavsiye edersiniz. Daha fazla bilgi edinin.

Güvenlik ilkelerinizi ve hangi uygulamaların kuruluşta hizmet ve kaynaklarla tümleştirileyene karar verdirecek ilkeleri yönetmeyi öğrenin. Varsayılan olarak, kuruluş çoğu kimlik doğrulama yöntemi için erişime izin verir. Erişimi sınırlaya bilebilirsiniz, ancak her yöntem için erişimi özellikle kısıtlamalısiniz. Bir kimlik doğrulama yöntemine erişimi reddedersiniz, hiçbir uygulama, kuruluşa erişe değildir. Daha önce erişimi olan tüm uygulamalarda kimlik doğrulaması hatası alır ve bu uygulamanın kuruluşa erişimi yoktur.

Uygulama bağlantı ilkeleri

Uygulamalar, kullanıcı kimlik bilgilerini birden çok kez istemeden kuruluşa erişmek için aşağıdaki kimlik doğrulama yöntemlerini kullanır.

  • Azure DevOps için REST API'lere erişmek için belirteçler oluşturmak içinOAuth. Kuruluşlar ve ProfillerAPI'leri yalnızca OAuth'ı destekler.

  • Linux,macOS ve Windows için Git'i çalıştırmaya yönelik şifreleme anahtarları oluşturmak için SSH kimlik doğrulaması Windows, ancak HTTPS kimlik doğrulaması için Git kimlik bilgileri yöneticilerini veya kişisel erişim belirteçlerini (PAT) kullanaabilirsiniz.

  • Belirteçler oluşturmak için ŞU PAT'lar:

    • Derlemeler veya iş öğeleri gibi belirli kaynaklara veya etkinliklere erişme
    • Xcode ve NuGet temel kimlik bilgileri olarak kullanıcı adı ve parola gerektiren ve çok faktörlü kimlik doğrulaması gibi Microsoft hesabı ve Azure Active Directory özelliklerini desteklemeyen istemciler
    • Azure DevOps için REST API'lere erişme

PAT'lere erişimi kaldırmak için bunları iptal etmelisiniz.

Kiracı düzeyi ilkeleri

Yeni kuruluş oluşturmayı yalnızca istenen kullanıcılarla kısıtlamak için kiracı düzeyi ilkesi kullanabilirsiniz. Daha fazla ayrıntı için kuruluş oluşturma kısıtlamayı kontrol edin.

Koşullu erişim ilkeleri

Azure DevOps web akışlarımız için tüm koşullu erişim ilkelerini %100 kabul ediyor. git.exe ile PAT kullanma gibi üçüncü taraf istemci akışı için yalnızca IP yalıtma ilkelerini destekliyoruz; MFA ilkelerini desteklemeziz. Aşağıdaki örneklere bakın:

  • İlke 1 - Ip aralığı x, y ve z dışından gelen tüm erişimi engelle.
    • Web Azure DevOps erişim, kullanıcının IP x, y ve z'den erişmesine izin verilir. Bu listenin dışında ise kullanıcı engellenir.
    • Alt Azure DevOps kimlik doğrulaması aracılığıyla erişim, kullanıcının IP x, y ve z'den erişmesine izin verilir. Bu listenin dışında ise kullanıcı engellenir.
  • İlke 2 - X, y ve z IP aralığının dışındayken MFA gerektir.
    • Web Azure DevOps erişim, kullanıcının IP x, y ve z'den erişmesine izin verilir. Bu listenin dışında ise kullanıcıdan MFA istenir.
    • Alt Azure DevOps kimlik doğrulaması aracılığıyla erişim, kullanıcının IP x, y ve z'den erişmesine izin verilir. Bu listenin dışında ise kullanıcı engellenir.

Varsayılan olarak, kuruluş tüm kimlik doğrulama yöntemleri için erişime izin verir. Erişimi sınırlaya bilebilirsiniz, ancak her yöntem için erişimi özellikle kısıtlamalısiniz. Bir kimlik doğrulama yöntemine erişimi reddedersiniz, hiçbir uygulama, kuruluşa erişe değildir. Daha önce erişimi olan tüm uygulamalarda kimlik doğrulaması hatası alır ve bu uygulamanın kuruluşa erişimi yoktur.

Not

Hem IPv4 hem de IPv6 için IP yalıtma koşullu erişim ilkelerini destekliyoruz.

Güvenlik ilkeleri

Aşağıdaki güvenlik ilkesi etkinleştir veya devre dışı bırak.

  • Ortak projelere izin ver - Bir projenin üyesi olmayan üyelerine ve salt okunur oturumları olmayan kullanıcıların projenin yapıtlarına ve hizmetlerine sınırlı erişime izin verir. Anonim erişim hem özel hem de genel depolara erişmek için kullanılır. Daha fazla bilgi için, Projenizi genel yapma veProjelerinize anonim erişimi etkinleştirme hakkında daha fazla bilgi için.

  • Azure Active Directory (Azure AD) Koşullu Erişim İlkesi (CAP) doğrulamasını etkinleştirin. Bu ilke varsayılan olarak kapalı olarak ayarlanır ve yalnızca web akışı dışında diğer kimlik doğrulama yöntemleri için geçerlidir. Azure AD Koşullu Erişim, bu ilke ayarına bakılmaksızın web akışına uygulanır.

    Aşağıdaki koşulları gerekli yapabilirsiniz, örneğin:

    • Güvenlik grubu üyeliği
    • Konum ve ağ kimliği
    • Belirli işletim sistemi
    • Yönetim sisteminde etkin cihaz

    Kullanıcının hangi koşulları karşılarsa, çok faktörlü kimlik doğrulaması, ek denetimler veya erişimi engellemesi gerekir.

    Daha fazla bilgi için API sürümü REST API makalesine bakın.

Önkoşullar

Bir ilkeyi değiştirmek için en azından Temel erişime ve kuruluş Sahibine veya koleksiyon Project izinlerine sahip olmak gerekir. Nasıl yaparım? sahibini bulamıyor musunuz?

İlkeyi yönetme

Uygulama bağlantısı, güvenlik ve kullanıcı ilkelerini değiştirmek için aşağıdaki adımları tamamlayın ve Azure DevOps.

  1. Kuruluşta oturum açma ( https://dev.azure.com/{yourorganization} ).

  2. Dişli simgesini Kuruluşayarları'ı seçin.

    Kuruluş ayarları düğmesinin önizleme sayfasının ekran görüntüsü.

  3. İlkeler'iseçin ve ilkenizin yanındaki iki durumlu düğmeyi açık veya kapalı olarak hareket ettirin.

İlke seçin ve ardından Aç veya Kapat'ın ekran görüntüsü.