Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
С помощью Microsoft Entra ID администраторы клиентов управляют доступом пользователей к ресурсам Майкрософт с помощью политик Conditional Access. Администраторы устанавливают определенные условия, которые должны соответствовать пользователям для получения доступа, например:
- Членство в определенной группе безопасности Microsoft Entra
- Требования к расположению или сети
- Использование определенной операционной системы
- Использование управляемого и включенного устройства
В зависимости от этих условий можно предоставить доступ, требовать больше проверок, таких как многофакторная проверка подлинности или полностью блокировать доступ. Дополнительные сведения см. в разделе Условные политики доступа документации по Microsoft Entra.
Подсказка
Вы можете использовать ИИ, чтобы помочь с этой задачей позже в этой статье или ознакомиться с включение помощи ИИ в Azure DevOps MCP Server, чтобы начать работу.
Предпосылки
| Категория | Требования |
|---|---|
| Разрешения | По крайней мере Администратор условного доступа в вашем клиенте. Дополнительные сведения см. в статье "Создание политики условного доступа". |
Создание политики условного доступа для Azure DevOps
Предупреждение
Внешние методы проверки подлинности в настоящее время несовместимы с надежностью проверки подлинности. Используйте элемент управления " Требовать многофакторную проверку подлинности ". В этом примере используется встроенная многофакторная проверка подлинности, но некоторые организации могут использовать более надежную степень проверки подлинности, например без пароля или фишинга.
- Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
- Перейдите к Entra ID>условному доступу>политикам.
- Выберите Новая политика.
- Введите имя для вашей политики. Создайте значимый стандарт для наименований ваших политик.
- В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить":
- Выберите пользователей и группы.
- Выберите учетные записи экстренного или аварийного доступа вашей организации.
- Выберите пользователей и группы.
- В разделе Target resources>Resources (ранее облачные приложения)>Include, Select resources, добавить "Azure DevOps" или "Microsoft Visual Studio Team Services" (идентификатор ресурса: 499b84ac-1321-427f-aa17-267ca6975798) в список целевых ресурсов.
- В разделе "Управление доступом>Предоставление" выберите "Предоставить доступ", "Требовать уровень надежности проверки подлинности", выберите многофакторную проверку подлинности и выберите 'Выбрать'.
- Подтвердите параметры и установите включение политики в режим только для отчетов.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния политики или режима только отчета, переместите переключатель "Включить политику" с "Только отчет" на "Вкл".
Центр администрирования Microsoft Entra, показывающий, как добавить Azure DevOps в качестве целевого ресурса в новой политике условного доступа.
Поведение условного доступа в Интернете
При входе на веб-портал организации, поддерживаемой Microsoft Entra ID, Microsoft Entra ID проверяет все политики условного доступа, заданные администраторами клиентов. После модернистизации стека веб-проверки подлинности для использования маркеров Microsoft Entra Azure DevOps принудительно выполняет проверку политики условного доступа во всех интерактивных (веб-) потоках.
- Соблюдайте политики входа в систему при использовании персональных маркеров доступа (PATs) в вызовах REST API, которые зависят от Microsoft Entra.
- Удалите Azure DevOps в качестве ресурса из политики условного доступа, чтобы предотвратить применение политик условного доступа.
- Применение политики MFA только для веб-потоков. Блокировать доступ для неинтерактивных потоков, если пользователи не соответствуют политике условного доступа.
Условия на основе IP-адресов
| Категория | Требования |
|---|---|
| Разрешения | Чтобы включить эту политику, необходимо быть администратором коллекции проектов . |
Если включить проверку политики условного доступа IP на неинтерактивных потоках на странице Параметры организации, Azure DevOps проверяет политики ограждения IP-адресов в неинтерактивных потоках, например, при использовании персонального токена доступа (PAT) для вызова REST API.
Azure DevOps поддерживает политики условного доступа для ограничения по IP-адресам как для IPv4, так и для IPv6. Если политики условного доступа блокируют адрес IPv6, попросите администратора клиента обновить политику, чтобы разрешить IPv6-адрес. Кроме того, рекомендуется включить IPv4-сопоставленный адрес для любого адреса IPv6 по умолчанию во всех условиях политики условного доступа.
Если пользователи получают доступ к странице входа Microsoft Entra с другого IP-адреса, отличного от используемого для доступа к ресурсам Azure DevOps (обычно с туннелированием VPN), просмотрите конфигурацию VPN или настройку сети. Убедитесь, что администратор клиента включает все соответствующие IP-адреса в политиках условного доступа.
аудитория Azure Resource Manager
Замечание
Эти изменения вступили в силу в сентябре 2025 года. Дополнительные сведения см. в записи блога Azure DevOps.
Azure DevOps не зависит от ресурса Azure Resource Manager (ARM) (https://management.azure.com) при входе или обновлении токенов доступа Microsoft Entra. Ранее Azure DevOps требовал наличия аудитории Azure Resource Manager при входе и обновлении токенов, что означало необходимость разрешить пользователям Azure DevOps обход условных политик доступа Azure Resource Manager.
Если вы ранее настроили политику условного доступа для Azure Resource Manager или связанного приложения, использующего классическую модель развертывания Microsoft Azure, эта политика больше не охватывает входы в Azure DevOps. Настройте новую политику условного доступа Azure DevOps для продолжения охвата.
Следующие группы по-прежнему требуют доступа к Azure Resource Manager. Рассмотрите возможность добавления их в качестве исключений для любых политик условного доступа в Azure Resource Manager или в классической модели развертывания Microsoft Azure.
- Администраторам по выставлению счетов требуется доступ к Azure Resource Manager для настройки выставления счетов и доступа к подпискам.
- Создателям подключений к службам требуется доступ к Azure Resource Manager для назначения ролей в Azure Resource Manager и обновления управляемых идентификаторов службы (MSI).
Непрерывная оценка доступа
Azure DevOps поддерживает оценку доступа Continuous Access Evaluation (CAE) через Microsoft Entra ID, которая обеспечивает практически в режиме реального времени применение политик условного доступа. При использовании CAE маркеры доступа можно немедленно отозвать при возникновении критических событий, например при отключении пользователя, изменении пароля или смене расположения или IP-адреса, не ожидая истечения срока действия маркера. Этот подход повышает безопасность, снижает эксплуатационные издержки и повышает устойчивость во время сбоя службы удостоверений.
Разработчики приложений, использующие последнюю версию клиентской библиотеки .NET (20.259.0-preview и более поздние версии), должны поддерживать маркеры с поддержкой CAE, элегантно обрабатывая проблемы утверждений.
Использование искусственного интеллекта для управления политиками условного доступа
Если у вас настроен Azure DevOps MCP Server, вы можете использовать помощники по искусственному интеллекту для просмотра параметров политики условного доступа для организации Azure DevOps с помощью запросов естественного языка. Сервер MCP предоставляет помощнику по искусственному интеллекту безопасный доступ к данным Azure DevOps, что позволяет проверять конфигурации политик и параметры безопасности организации без перехода по нескольким порталам.
Примеры подсказок для политики условного доступа
| задачи | Пример запроса |
|---|---|
| Устранение неполадок заблокированного доступа | A user <user-email> can't access <organization-name> from their home network - what conditional access policies might be blocking them? |
| Покрытие политики аудита | What authentication and conditional access policies are currently enforced for <organization-name> and are there any gaps? |
| Проверка ограничений на основе IP-адресов | Is IP conditional access validation enabled for <organization-name> and which client flows does it apply to - web, non-interactive, both? |
| Проверка соответствующей политики устройства | Can users access <organization-name> from personal devices, or is there a compliant/hybrid-joined device requirement? |
| Проверка доступа к сторонним инструментам | If I have a conditional access policy requiring MFA on <organization-name>, will third-party CI/CD tools using PATs be affected? |
| Обзор политики для гостевых пользователей | What conditional access policies apply to external guest users accessing <organization-name> and do they differ from member policies? |
Подсказка
Если вы используете Visual Studio Code, agent mode особенно полезно для просмотра конфигураций политик условного доступа в организациях.
- Чтобы избежать использования устаревших или кэшированных данных из предыдущих запросов, добавьте в запрос
Do not use previously fetched data.