Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификатор Microsoft Entra позволяет администраторам клиентов управлять доступом пользователей к ресурсам Майкрософт с помощью политик условного доступа. Администраторы устанавливают определенные условия, которые должны соответствовать пользователям для получения доступа, например:
- Членство в определенной группе безопасности Microsoft Entra
- Требования к расположению или сети
- Использование определенной операционной системы
- Использование управляемого и включенного устройства
В зависимости от этих условий можно предоставить доступ, требовать больше проверок, таких как многофакторная проверка подлинности или полностью блокировать доступ. Дополнительные сведения о политиках условного доступа см. в документации по Microsoft Entra.
Создание политики условного доступа для Azure DevOps
| Категория | Требования |
|---|---|
| Разрешения | Чтобы настроить политику условного доступа в клиенте, вы должны быть как минимум администратором условного доступа. Дополнительные сведения см. в документации "Создание политики условного доступа". |
Предупреждение
внешние методы проверки подлинности в настоящее время несовместимы с силой проверки подлинности. Необходимо использовать управление предоставлением Требовать многофакторную аутентификацию. В этом примере используется встроенная многофакторная проверка подлинности, некоторые организации могут использовать более надежную силу проверки подлинности, например без пароля или фишинговое.
- Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
- Перейдите к Entra ID>условному доступу>политикам.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки".
- В разделе Включить выберите Все пользователи.
- В разделе " Исключить":
- Выбор пользователей и групп
- Выберите учетные записи экстренного или аварийного доступа вашей организации.
- Выбор пользователей и групп
- В разделе " Целевые ресурсы>" (ранее облачные приложения)>Включите, выберите ресурсы"Azure DevOps" или "Microsoft Visual Studio Team Services" (идентификатор ресурса: 499b84ac-1321-427f-aa17-267ca6975798) в список целевых ресурсов.
- В разделе "Предоставление>" выберите "Предоставить доступ", "Требовать силу проверки подлинности", выберите многофакторную проверку подлинности, а затем нажмите кнопку "Выбрать".
- Подтвердите параметры и установите включение политики в режим только для отчетов.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров с помощью режима влияния политики или режима только для отчета переместите переключатель политики "Включить" из "Только отчет".
Поведение условного доступа в Интернете
При входе на веб-портал организации, поддерживаемой идентификатором Microsoft Entra, идентификатор Microsoft Entra проверяет все политики условного доступа, заданные администраторами клиентов. После модернизации стека веб-проверки подлинности для использования маркеров Microsoft Entra Azure DevOps теперь применяет проверку политики условного доступа ко всем интерактивным (веб-) потокам.
- Соблюдайте политики входа при использовании личных маркеров доступа (PATs) в вызовах REST API, использующих Microsoft Entra.
- Удалите Azure DevOps в качестве ресурса из политики условного доступа, которая предотвращает применение политик условного доступа.
- Применение политик MFA только в веб-потоках; блокировать доступ для неинтерактивных потоков, если пользователи не соответствуют политике условного доступа.
Условия на основе IP-адресов
| Категория | Требования |
|---|---|
| Разрешения | Чтобы включить эту политику, необходимо быть администратором коллекции проектов . |
Если на странице "Параметры организации" включена проверка политики условного доступа IP-адресов для неинтерактивных потоков, Azure DevOps проверяет политики ограждения IP-адресов в неинтерактивных потоках, например при использовании PAT для вызова REST API.
Azure DevOps поддерживает политики условного доступа для IP-ограждения как для IPv4, так и для IPv6-адресов. Если политики условного доступа блокируют адрес IPv6, попросите администратора клиента обновить политику, чтобы разрешить IPv6-адрес. Кроме того, рекомендуется включить IPv4-сопоставленный адрес для любого адреса IPv6 по умолчанию во всех условиях политики условного доступа.
Если пользователи получают доступ к странице входа Microsoft Entra с другого IP-адреса, отличного от используемого для доступа к ресурсам Azure DevOps (что может произойти с туннелированием VPN), просмотрите конфигурацию VPN или настройку сети. Убедитесь, что администратор клиента содержит все соответствующие IP-адреса в политиках условного доступа.
Аудитория Azure Resource Manager
Замечание
Эти изменения будут внесены в силу начиная с 2 сентября 2025 года. Дополнительные сведения см. в записи блога.
Azure DevOps не зависит от ресурса Azure Resource Manager (ARM) приhttps://management.azure.com авторизации или обновлении токенов доступа Microsoft Entra. Ранее Azure DevOps требовала ARM-подписку во время процессов входа и обновления токенов. Это требование означало, что администраторы должны были разрешить всем пользователям Azure DevOps обходить политики условного доступа ARM для обеспечения доступа.
Если вы ранее настроили политику условного доступа для Azure Resource Manager или связанного приложения API управления службами Windows Azure, эта политика больше не охватывает входы Azure DevOps. Настройте новую политику условного доступа Azure DevOps для продолжения охвата Azure DevOps.
Следующие группы по-прежнему требуют продолжения доступа к ARM. Вам может потребоваться добавить их как исключения в политики условного доступа к API управления службами ARM или Windows Azure.
- Администраторам выставления счетов нужен доступ к ARM для настройки выставления счетов и доступа к подпискам.
- Создатели подключений к службе требуют доступа к ARM для назначений ролей ARM и обновлений идентификации управляемых служб (MSI).
Непрерывная оценка доступа
Azure DevOps теперь поддерживает непрерывную оценку доступа (CAE) с помощью идентификатора Microsoft Entra, что позволяет практически в режиме реального времени применять политики условного доступа. С помощью CAE маркеры доступа могут быть немедленно отозваны при возникновении критических событий, таких как отключение пользователя, изменение пароля или смены ip-адресов без ожидания истечения срока действия маркера. Это повышает безопасность, снижает эксплуатационные расходы и повышает устойчивость во время сбоя службы идентификации.
Разработчикам приложений, использующим последнюю версию клиентской библиотеки .NET (предварительная версия 20.259.0 и более поздние версии), рекомендуется обеспечить поддержку маркеров с поддержкой CAE путем корректной обработки проблем с утверждениями. Поддержка CAE появится в клиентских библиотеках Python и Go во второй половине 2025 года.