變更組織的應用程式連線與安全策略

重要

自 2020 年 3 月 2 日起,Azure DevOps 不再支援替代認證驗證。 如果您仍在使用替代認證,強烈建議您切換到更安全的驗證方法(例如,個人存取令牌)。 深入了解

瞭解如何管理組織的安全策略,以決定應用程式如何存取組織中的服務和資源。 您可以在組織 設定存取大部分的原則。

必要條件

您必須是 Project Collection 管理員 istrators 群組的成員。 組織擁有者會自動成為此群組的成員。

管理原則

完成下列步驟,以變更 Azure DevOps 中組織的應用程式連線、安全性和用戶原則。

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取gear icon組織設定

    Screenshot of Organization settings button, preview page.

  3. 選取 [ 原則],然後在您的原則旁邊,將切換開關移至 開啟關閉

Screenshot of select policy, and then turn On or Off.

應用程式連線原則

若要存取您的組織而不要求使用者認證多次,應用程式通常會使用下列驗證方法:

  • OAuth 可產生令牌以存取 Azure DevOps 的 REST API。 所有 REST API 都接受 OAuth 令牌,這是透過個人存取令牌 (PAT) 進行整合的慣用方法。 組織配置檔PAT 管理 API 僅支援 OAuth。

  • SSH 來產生使用 Linux、macOS 和執行 Git for Windows 的 Windows 加密金鑰,但您無法使用 Git 認證管理員PAT 進行 HTTPS 驗證。

  • 產生令牌的 PAT

    • 存取特定資源或活動,例如組建或工作項目
    • 需要使用者名稱和密碼做為基本認證的用戶端,例如 Xcode 和 NuGet,且不支援 Microsoft 帳戶和 Microsoft Entra 功能,例如多重要素驗證
    • 存取 Azure DevOps 的 REST API

根據預設,您的組織允許存取所有驗證方法。

您可以停用這些應用程式連線原則的存取,以限制 OAuth 和 SSH 金鑰的存取:

  • 透過 OAuth 的協力廠商應用程式 - 啟用協力廠商應用程式,以透過 OAuth 存取組織中的資源。 所有新組織預設 會關閉 此原則。 如果您想要存取協力廠商應用程式,請啟用此原則,以確保這些應用程式可以存取您組織中的資源。
  • SSH 驗證 - 讓應用程式能夠透過 SSH 連線到組織的 Git 存放庫。

當您拒絕存取驗證方法時,任何應用程式都無法透過此方法存取您的組織。 任何先前具有存取權的應用程式都會收到驗證錯誤,且無法再存取您的組織。

若要移除 PAT 的存取權,您必須 撤銷它們

條件式存取原則

Microsoft Entra ID 可讓租使用者定義哪些用戶可透過其 條件式存取原則 (CAP) 功能來存取 Microsoft 資源。 透過這些設定,租用戶系統管理員可以要求成員必須遵守下列任何條件,例如,用戶必須:

  • 成為特定安全組的成員
  • 屬於特定位置和/或網路
  • 使用特定作業系統
  • 在管理系統中使用已啟用的裝置

視使用者滿足的條件而定,您可以接著要求多重要素驗證,或設定進一步檢查以取得存取權,或完全封鎖存取。

Azure DevOps 上的 CAP 支援

如果您登入受 Microsoft Entra ID 支援之組織的入口網站,Microsoft Entra ID 一律會檢查您是否可以執行租用戶系統管理員所設定之任何 CAP 的驗證。。

當您登入並流覽 Microsoft Entra ID 支援的組織上的 Azure DevOps 時,Azure DevOps 也可以執行額外的 CAP 驗證:

  • 如果已啟用「 啟用IP條件式存取原則驗證」 組織原則,我們會檢查Web和非互動式流程上的IP隔離原則,例如搭配 Git 作業使用 PAT 的第三方 Cient 流程。
  • 也可以針對 PAT 強制執行登入原則。 使用 PAT 進行 Microsoft Entra ID 呼叫時,用戶必須遵守所設定的任何登入原則。 例如,如果登入原則要求使用者每隔七天登入一次,則如果您想要繼續使用 PAT 向 Microsoft Entra ID 提出要求,您也必須每隔七天登入一次。
  • 如果您不想將任何 CAP 套用至 Azure DevOps,請移除 Azure DevOps 作為 CAP 的資源。 我們不會在 Azure DevOps 上執行 CAP 的組織強制。

我們只支援 Web 流程上的 MFA 原則。 針對非互動式流程,如果他們不符合條件式存取原則,則不會提示使用者輸入 MFA,而是會被封鎖。

以IP為基礎的條件

我們支援 IPv4 和 IPv6 位址的 IP 隔離條件式存取原則。 如果您發現 IPv6 位址遭到封鎖,建議您檢查租用戶系統管理員是否已設定允許 IPv6 位址通過的 CAP。 同樣地,它可能有助於在所有 CAP 條件中包含任何預設 IPv6 位址的 IPv4 對應位址。

如果使用者透過不同於用來存取 Azure DevOps 資源的 IP 位址來存取 Microsoft Entra 登入頁面(與 VPN 信道通用),請檢查您的 VPN 組態或網路基礎結構,以確定您所使用的所有 IP 位址都包含在租使用者的 CAP 中。