Configurare le impostazioni di protezione dei pool di DevOps gestiti

Per impostazione predefinita, i pool di DevOps gestiti vengono configurati per l'uso con una singola organizzazione Azure DevOps specificata durante la creazione del pool. Quando il pool è configurato per una singola organizzazione, il nome dell'organizzazione viene visualizzato e configurato in Impostazioni pool

Per impostazione predefinita, l'opzione Aggiungi pool a tutti i progetti è impostata su Sì e l'accesso al pool DevOps gestito viene concesso a tutti i progetti dell'organizzazione. Scegli No per specificare un elenco di progetti per limitare quali progetti nella tua organizzazione possono utilizzare il pool.

Le organizzazioni vengono configurate nella organizationProfile proprietà della risorsa Pool DevOps gestiti.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2025-01-21",
            "location": "eastus",
            "properties": {
            ...
            "organizationProfile": {
                "organizations": [
                    {
                        "url": "https://dev.azure.com/fabrikam-tailspin",
                        "projects": [],
                        "parallelism": 4
                    }
                ],
                "permissionProfile": {
                    "kind": "CreatorOnly"
                },
                "kind": "AzureDevOps"
            }
        }
    ]
}

La organizationProfile sezione presenta le proprietà seguenti.

Le organizzazioni vengono configurate nel parametro organization-profile durante la creazione o l'aggiornamento di un pool.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

Nell'esempio seguente viene illustrato un organization-profile oggetto configurato per tutti i progetti dell'organizzazione fabrikam-tailspin con parallelism impostato su 1.

{
  "AzureDevOps":
  {
      "organizations": [
      {
          "url": "https://dev.azure.com/fabrikam-tailspin",
          "projects": [],
          "parallelism": 1
      }
    ]
  }
}

La organizationProfile sezione presenta le proprietà seguenti.

Abilitare Usare il pool in più organizzazioni per usare il pool con più organizzazioni di Azure DevOps. Per ogni organizzazione, specificare i progetti autorizzati a usare il pool o lasciare vuoto per consentire tutti i progetti. Configurare il parallelismo per ogni organizzazione specificando quali parti della concorrenza, come indicato dal Numero massimo di agenti per il pool, da assegnare a ciascuna organizzazione. La somma del parallelismo per tutte le organizzazioni deve corrispondere alla concorrenza massima del pool. Ad esempio, se l'opzione Massimo agenti è impostata su cinque, la somma del parallelismo per le organizzazioni specificate deve essere cinque. Se l'opzione Numero massimo agenti è impostata su uno, è possibile usare solo il pool con un'organizzazione.

Nell'esempio seguente il pool è configurato per essere disponibile per i progetti FabrikamResearch e FabrikamTest nell'organizzazione fabrikam-tailspin e per tutti i progetti nell'organizzazione fabrikam-blue .

Screenshot della configurazione di più organizzazioni.

Se viene visualizzato un errore simile a The sum of parallelism for all organizations must equal the max concurrency., verificare che il numero di agenti massimo per il pool corrisponda alla somma della colonna Parallelism.

Aggiungere altre organizzazioni all'elenco delle organizzazioni per configurare il pool da usare con più organizzazioni. Nell'esempio seguente sono configurate due organizzazioni. La prima organizzazione è configurata per l'uso di pool DevOps gestiti per tutti i progetti e la seconda organizzazione è limitata a due progetti. In questo esempio, l'impostazione massima degli agenti per il pool è quattro e ogni organizzazione può usare due di questi quattro agenti.

"organizationProfile": {
    "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

Le organizzazioni vengono configurate nel parametro organization-profile durante la creazione o l'aggiornamento di un pool.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

Aggiungere altre organizzazioni all'elenco delle organizzazioni per configurare il pool da usare con più organizzazioni. Nell'esempio seguente sono configurate due organizzazioni. La prima organizzazione è configurata per l'uso di pool DevOps gestiti per tutti i progetti e la seconda organizzazione è limitata a due progetti. In questo esempio, l'impostazione massima degli agenti per il pool è quattro e ogni organizzazione può usare due di questi quattro agenti.

{
  "AzureDevOps":
  {
      "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ]
  }
}

Abilitare Consenti l'esecuzione di tutte le pipeline nel pool senza approvazione (accesso aperto) per configurare l'accesso al pool DevOps gestito da tutte le pipeline nei progetti designati.

• Se l'opzione Aggiungi pool a tutti i progetti è impostata su Sì, i pool di DevOps gestiti configurano l'accesso aperto per tutte le pipeline in tutti i progetti.
• Se l'opzione Aggiungi pool a tutti i progetti è impostata su No, i pool di DevOps gestiti configurano l'accesso aperto per tutte le pipeline solo nei progetti elencati.

Se si abilita Usa pool in più organizzazioni, è possibile specificare Open access singolarmente per ogni organizzazione.

Le organizzazioni vengono configurate nella organizationProfile proprietà della risorsa Pool DevOps gestiti. Nell'esempio seguente sono configurate due organizzazioni.

• L'organizzazione fabrikam-tailspin è configurata con Accesso aperto in tutti i progetti.
• L'organizzazione fabrikam-prime è configurata per la disponibilità con due progetti, con Accesso aperto abilitato solo in questi due progetti.

"organizationProfile": {
    "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "openAccess": true,
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "openAccess": true,
            "parallelism": 2
        }
    ],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

L'impostazione openAccess viene configurata nel parametro organization-profile durante la creazione di un pool.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

Nell'esempio seguente orgaization-profile sono configurate due organizzazioni.

• L'organizzazione fabrikam-tailspin è configurata con Accesso aperto in tutti i progetti.
• L'organizzazione fabrikam-prime è configurata per la disponibilità con due progetti, con Accesso aperto abilitato solo in questi due progetti.

{
  "AzureDevOps":
  {
      "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ]
  }
}

Screenshot della configurazione della modalità interattiva.

La modalità interattiva è configurata nella osProfile sezione della fabricProfile proprietà . Impostare logonType su Interactive per abilitare la modalità interattiva o Service per disabilitare la modalità interattiva.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2025-01-21",
            "location": "eastus",
            "properties": {
            ...
            "fabricProfile": {
                "sku": {...},
                "images": [...],
                "osProfile": {
                    "secretsManagementSettings": {...},
                    "logonType": "Interactive"
                },
                "storageProfile": {...},
                "kind": "Vmss"
            }
        }
    ]
}

La modalità interattiva viene configurata usando la proprietà logonType nella sezione osProfile nel parametro fabric-profile quando si crea o si aggiorna un pool.

az mdp pool create \
   --fabric-profile fabric-profile.json
   # other parameters omitted for space

Nell'esempio seguente viene illustrata la osProfile sezione del file fabric-profile.json con Interactive la modalità abilitata.

{
  "vmss": {
    "sku": {...},
    "images": [...],
    "osProfile": {
      "secretsManagementSettings": {...},
      "logonType": "Interactive"
    },
    "storageProfile": {...}
  }
}

• Solo creatore : l'utente che ha creato il pool di DevOps gestiti viene aggiunto come amministratore del pool di agenti di Azure DevOps e l'ereditarietà è impostata su Disattivato nelle impostazioni di sicurezza del pool di agenti. Solo creatore è l'impostazione predefinita.
• Eredita le autorizzazioni dal progetto : l'utente che ha creato il pool devOps gestito viene aggiunto come amministratore del pool di agenti di Azure DevOps e l'ereditarietà è impostata su Sì nelle impostazioni di sicurezza del pool di agenti.
• Account specifici: specificare gli account da aggiungere come amministratori del pool di agenti creato in Azure DevOps. Per impostazione predefinita, l'autore del pool DevOps gestito viene aggiunto all'elenco.

Le autorizzazioni di amministrazione del pool vengono configurate nella proprietà permissionsProfile della sezione organizationProfile della risorsa Gestione dei Pool DevOps.

{
"organizationProfile": {
    "organizations": [...],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

La permissionProfile proprietà può essere impostata solo durante la creazione del pool. I valori consentiti sono Inherit, CreatorOnly e SpecificAccounts.

• CreatorOnly - L'utente che ha creato il pool devOps gestito viene aggiunto come amministratore del pool di agenti di Azure DevOps e l'ereditarietà è impostata su Disattivato nelle impostazioni di sicurezza del pool di agenti. Solo creatore è l'impostazione predefinita.

• Inherit - L'utente che ha creato il pool devOps gestito viene aggiunto come amministratore del pool di agenti di Azure DevOps e l'ereditarietà è impostata su Sì nelle impostazioni di sicurezza del pool di agenti.

• SpecificAccounts - Specificare gli account da aggiungere come amministratori del pool di agenti creato in Azure DevOps. Per impostazione predefinita, l'autore del pool DevOps gestito viene aggiunto all'elenco. Specificare un singolo indirizzo di posta elettronica o un elenco di indirizzi di posta elettronica per la users proprietà; in caso contrario, omettere users.

  {
  "organizationProfile": {
       "organizations": [...],
       "permissionProfile": {
           "kind": "SpecificAccounts",
           "users" : ["[email protected]", "[email protected]" ]
       },
       "kind": "AzureDevOps"
    }
  

Le autorizzazioni di amministrazione del pool vengono configurate nel parametro durante la organization-profilecreazione diun pool.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

{
  "AzureDevOps":
  {
    "organizations":  [...],
    "permissionProfile": {
        "kind": "CreatorOnly"
    }
  }
}

La permissionProfile proprietà può essere impostata solo durante la creazione del pool. I valori consentiti sono Inherit, CreatorOnly e SpecificAccounts.

• CreatorOnly - L'utente che ha creato il pool devOps gestito viene aggiunto come amministratore del pool di agenti di Azure DevOps e l'ereditarietà è impostata su Disattivato nelle impostazioni di sicurezza del pool di agenti. Solo creatore è l'impostazione predefinita.

• Inherit - L'utente che ha creato il pool devOps gestito viene aggiunto come amministratore del pool di agenti di Azure DevOps e l'ereditarietà è impostata su Sì nelle impostazioni di sicurezza del pool di agenti.

• SpecificAccounts - Specificare gli account da aggiungere come amministratori del pool di agenti creato in Azure DevOps. Per impostazione predefinita, l'autore del pool DevOps gestito viene aggiunto all'elenco. Specificare un singolo indirizzo di posta elettronica o un elenco di indirizzi di posta elettronica per la users proprietà; in caso contrario, omettere users.

    {
        "AzureDevOps" : {
            "organizationProfile": {
            "organizations": [...],
            "permissionProfile": {
            "kind": "SpecificAccounts",
            "users" : ["[email protected]", "[email protected]" ]
            }
        }
    }
  

L'integrazione di Key Vault è configurata in > delle impostazioni.

Azure Key Vault è configurato nella osProfile sezione della fabricProfile proprietà . Imposta il secretManagementSettings per poter accedere al certificato desiderato.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2025-01-21",
            "location": "eastus",
            "properties": {
            ...
            "fabricProfile": {
                "sku": {...},
                "images": [...],
                "osProfile": {
                    "secretsManagementSettings": {
                        "certificateStoreLocation": "LocalMachine",
                        "certificateStoreName": "Root",
                        "observedCertificates": [
                            "https://<keyvault-uri>/secrets/<certificate-name>"
                        ],
                        "keyExportable": false
                    }
                },
                "storageProfile": {...},
                "kind": "Vmss"
            }
        }
    ]
}

Azure Key Vault viene configurato nella osProfile sezione della proprietà durante la fabricProfile o l'aggiornamento di un pool. Imposta il secretManagementSettings per poter accedere al certificato desiderato.

az mdp pool create \
   --fabric-profile fabric-profile.json
   # other parameters omitted for space

Nell'esempio seguente viene illustrata la osProfile sezione del file fabric-profile.json con secretsManagementSettingsconfigurato.

{
  "vmss": {
    "sku": {...},
    "images": [...],
    "osProfile": {
      "secretsManagementSettings": {
          "certificateStoreLocation": "LocalMachine",
          "observedCertificates": [
              "https://<keyvault-uri>/secrets/<certificate-name>"
          ],
          "keyExportable": false
      },
      "logonType": "Interactive"
    },
    "storageProfile": {...}
  }
}

Per Windows, il percorso dell'archivio certificati può essere impostato su LocalMachine o CurrentUser. Questa impostazione garantisce che il segreto sia installato in tale posizione nel computer. Per il comportamento specifico del recupero dei segreti, vedere Azure Key Vault Extension per Windows.

Per Linux, il percorso dell'archivio certificati può essere qualsiasi directory nel computer e i certificati verranno scaricati e sincronizzati con tale percorso. Per informazioni specifiche sulle impostazioni predefinite e sul comportamento dei segreti, vedere Estensione macchina virtuale Key Vault per Linux.