Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Azure Boards tillhandahåller flera säkerhetslager för att skydda dina arbetsspårningsdata, kontrollera åtkomsten till känslig information och säkerställa efterlevnad av organisationens principer. Den här artikeln beskriver säkerhetsbegrepp, åtkomstkontroller och metodtips för att skydda implementeringen av Azure Boards.
Översikt över säkerhetsmodell
Azure Boards-säkerhet fungerar på en metod med flera lager som omfattar:
- Kontrollera identitets- och åtkomsthantering: Hantera vem som kan komma åt dina arbetsobjekt och vad de kan göra. Mer information finns i Om åtkomstnivåer
- Implementera behörighetsbaserad åtkomst: Använd detaljerade behörigheter för olika åtgärder för arbetsspårning. Mer information finns i Ange behörigheter för arbetsspårning
- Konfigurera områdes- och iterationssäkerhet: Begränsa åtkomsten till specifika arbetsobjekt baserat på projektområden. Mer information finns i Ange områdessökvägar och tilldela till ett team
- Hantera typer av arbetsobjekt och fältsäkerhet: Kontrollera synlighet och redigerbarhet för arbetsobjektfält. Mer information finns i Lägga till och ändra ett fält
- Aktivera granskning och efterlevnad: Spåra ändringar och upprätthålla efterlevnadskrav. Mer information finns i Åtkomst, export och filtergranskningsloggar
Identitets- och åtkomsthantering
Åtkomstnivåer
Azure Boards använder åtkomstnivåer för att styra vilka funktioner användarna kan komma åt. Omfattande information om standardbehörigheter för varje åtkomstnivå finns i Standardbehörigheter och åtkomstnivåer för Azure Boards.
| Åtkomstnivå | Funktioner i Azure Boards |
|---|---|
| Intressent | Visa arbetsobjekt, lägga till och ändra arbetsobjekt som de skapar, visa instrumentpaneler, begränsad frågeåtkomst |
| Grundläggande | Fullständig åtkomst till arbetsobjekt, frågor, instrumentpaneler, tavlor och kvarvarande uppgifter |
| Grundläggande + testplaner | Innehåller grundläggande åtkomst plus funktioner för testplaner |
| Visual Studio Enterprise | Innehåller alla grundläggande funktioner plus avancerade funktioner |
Mer information finns i Om åtkomstnivåer.
Authentication
Azure Boards stöder flera autentiseringsmetoder:
- Använd Microsoft Entra-ID: Aktivera företagsidentitetshantering med enkel inloggning. Mer information finns i Ansluta din organisation till Microsoft Entra-ID
- Konfigurera Microsoft-konton: Stöd för personliga Microsoft-konton. Mer information finns i Registrera dig, logga in på Azure DevOps
- Implementera GitHub-autentisering: Autentisera GitHub-användare och organisationer. Mer information finns i Autentisera med GitHub
- Integrera Active Directory: Anslut lokal identitetsintegrering. Mer information finns i Konfigurera grupper för användning i Azure DevOps Server
- Skapa lokala konton: Hantera serverbaserade användarkonton
- Konfigurera Microsoft Entra-ID: Aktivera molnbaserad identitetshantering. Mer information finns i Ansluta din organisation till Microsoft Entra-ID
Behörighetsmodell
Säkerhetsgrupper
Azure Boards använder säkerhetsgrupper för att hantera behörigheter effektivt. Mer information om alla tillgängliga säkerhetsgrupper och deras behörigheter finns i Om behörigheter och säkerhetsgrupper. Detaljerad vägledning om hur du konfigurerar teamadministratörer och deras behörigheter finns i Hantera teamadministratörer.
| Säkerhetsgrupp | Standardbehörigheter |
|---|---|
| Projektadministratörer | Fullständig kontroll över projektinställningar, arbetsobjekttyper och teamkonfiguration |
| Bidragsgivare | Skapa, ändra och ta bort arbetsobjekt. hantera tavlor och kvarvarande uppgifter |
| Läsare | Visa arbetsobjekt och projektartefakter |
| Projektsamlingsadministratörer | Organisationsomfattande administration, inklusive säkerhetsinställningar |
Behörigheter för arbetsobjekt
Kontrollera åtkomsten till arbetsobjekt via dessa nyckelbehörigheter. Stegvisa instruktioner för hur du konfigurerar dessa behörigheter finns i Ange behörigheter för arbetsspårning.
| Tillåtelse | Description |
|---|---|
| Visa arbetsobjekt i den här noden | Läs åtkomst till arbetsobjekt i specifika områdessökvägar |
| Redigera arbetsobjekt i den här noden | Ändra arbetsobjekt i specifika områdessökvägar |
| Skapa underordnade noder | Lägga till nya områdessökvägar under befintliga noder |
| Ta bort och återställa arbetsobjekt | Ta bort arbetsobjekt och återställa borttagna objekt |
| Flytta arbetsobjekt från det här projektet | Överföra arbetsobjekt till andra projekt |
Säkerhet för områdessökväg
Områdessökvägar ger hierarkiska säkerhetsgränser:
Project Root
├── Team A (Restricted to Team A members)
├── Team B (Restricted to Team B members)
└── Shared Components (Accessible to all teams)
Konfigurera behörigheter för områdessökväg till:
- Begränsa teamåtkomst till specifika arbetsobjekt
- Skapa säkra arbetsytor för olika avdelningar
- Kontrollera synligheten för känsliga projekt
Detaljerade anvisningar om hur du konfigurerar behörigheter för områdessökväg finns i Ange behörigheter för arbetsspårning.
Säkerhet på fältnivå
Känsligt dataskydd
Skydda känslig information med hjälp av dessa strategier:
- Skapa anpassade fält med begränsad åtkomst som endast specifika grupper kan visa eller redigera. Mer information finns i Lägga till och ändra ett fält
- Begränsa begränsningar för arbetsobjektstyp för att styra vem som kan skapa eller ändra vissa typer av arbetsobjekt. Mer information finns i Anpassa en typ av arbetsobjekt
- Konfigurera dolda fält så att de är osynliga för vissa användargrupper. Mer information finns i Lägga till och ändra ett fält
- Ange skrivskyddade fält för att förhindra obehöriga ändringar av kritiska data.
Efterlevnadsfunktioner
- Välj datahemvist för att uppfylla efterlevnadskraven för datalagringsplats. Mer information finns i Dataplatser för Azure DevOps
- Aktivera granskningsloggar för att spåra alla ändringar i arbetsobjekt och säkerhetsinställningar. Mer information finns i Åtkomst, export och filtergranskningsloggar
- Konfigurera exportfunktioner för att generera efterlevnadsrapporter och dataextrakt. Mer information finns i Exportera användarlista med åtkomstnivåer
- Implementera kvarhållningsprinciper för automatisk rensning och arkivering av data. Mer information finns i Ange kvarhållningsprinciper för byggen, versioner och tester
Metodtips för Säkerhet i Azure Boards
Åtkomsthantering
- Tillämpa lägsta behörighetsprincip: Bevilja minsta nödvändiga behörigheter. Mer information finns i Om behörigheter och säkerhetsgrupper
- Utför regelbundna åtkomstgranskningar: Granska användarbehörigheter och gruppmedlemskap regelbundet. Mer information finns i Exportera användarlista med åtkomstnivåer
- Använd gruppbaserad hantering: Hantera säkerhetsgrupper i stället för enskilda behörigheter. Mer information finns i Om behörigheter och säkerhetsgrupper
- Implementera villkorlig åtkomst: Aktivera plats- och enhetsbaserade åtkomstkontroller. Mer information finns i Hantera villkorlig åtkomst
Säkerhet för arbetsobjekt
- Strategi för designområdessökväg: Skapa en hierarkisk struktur som överensstämmer med säkerhetskraven. Mer information finns i Ange behörigheter för arbetsspårning
- Konfigurera teamisolering: Konfigurera team för att endast komma åt deras avsedda arbetsobjekt. Mer information finns i Lägga till ett team, flytta från ett standardteam till flera team
- Implementera fältsäkerhet: Begränsa åtkomsten till känsliga fält som budget eller personlig information. Mer information finns i Lägga till och ändra ett fält
- Kontrollera länksäkerhet: Hantera vem som kan skapa beroenden mellan arbetsobjekt. Mer information finns i Länka arbetsobjekt till objekt
Dataskydd
- Hantera känslig information noggrant: Undvik att lagra autentiseringsuppgifter eller personliga data i arbetsobjekt
- Hantera bifogade filer: Implementera principer för godkända filtyper och storlekar
- Verifiera externa länkar: Godkänn externa URL-länkar i arbetsobjekt
- Säker frågeåtkomst: Se till att frågor inte exponerar obehöriga data. Mer information finns i Ange behörigheter för frågor och frågemappar
Övervakning och efterlevnad
- Övervaka aktivitetsmönster: Spåra åtkomstmönster för arbetsobjekt och ovanliga aktiviteter. Mer information finns i Åtkomst, export och filtergranskningsloggar
- Granska ändringsloggar: Underhåll loggar för alla ändringar av arbetsobjekt. Mer information finns i Artikeln om historik och granskning av arbetsobjekt
- Implementera regelbundna säkerhetskopior: Skapa säkerhetskopieringsstrategier för viktiga arbetsspårningsdata. Mer information finns i Översikt över dataskydd
- Upprätta incidenthantering: Skapa procedurer för säkerhetsincidenter med arbetsobjekt. Mer information finns i Metodtips för säkerhet
Vanliga säkerhetsscenarier
Projekt med flera team
När flera team arbetar inom ett enda projekt är det viktigt att upprätta tydliga säkerhetsgränser för att säkerställa att teamen bara kan komma åt sina relevanta arbetsobjekt samtidigt som samarbete upprätthålls där det behövs. Azure Boards använder områdessökvägar för att skapa dessa säkerhetsgränser, så att du kan konfigurera detaljerad åtkomstkontroll för olika team och organisationsnivåer.
Vägledning om hur du konfigurerar teamadministratörer för varje team finns i Hantera teamadministratörer.
Exempelscenario: Ett programutvecklingsprojekt med specialiserade team som arbetar med olika komponenter, plus hanteringstillsyn:
Project: ProductDevelopment
├── Area: Frontend (Frontend team access)
├── Area: Backend (Backend team access)
├── Area: QA (QA team access)
└── Area: Management (Manager access only)
I den här konfigurationen:
- Medlemmar i klientdelsteamet kan endast visa och redigera arbetsobjekt i klientdelsområdet
- Medlemmar i serverdelsteamet har begränsad åtkomst till backend-arbetsobjekt
- QA-teammedlemmar kan komma åt QA-specifika arbetsobjekt för testningssamordning
- Chefer har insyn i hanteringsområdesobjekt för strategisk planering och rapportering
- Beroenden mellan team kan hanteras via noggrant konfigurerade delade områden eller explicita behörigheter
Den här metoden säkerställer att känslig information förblir begränsad, så att teamen kan fokusera på sina specifika ansvarsområden utan distraktioner från orelaterade arbetsobjekt.
Samarbete mellan projekt
Hantera säkerhet när team arbetar mellan olika projekt:
- Bevilja behörigheter mellan projekt: Ge specifik åtkomst till externa gruppmedlemmar
- Styra länkning av arbetsobjekt: Hantera vem som kan skapa beroenden mellan projekt
- Hantera delade frågor: Kontrollera åtkomsten till frågor som omfattar flera projekt. Detaljerade konfigurationssteg finns i Ange behörigheter för frågor och frågemappar
Leverantörsåtkomst och leverantörsåtkomst
Säker åtkomst för externa deltagare. Omfattande vägledning om hur du hanterar externa användare finns i Lägga till externa användare i din organisation.
- Tilldela begränsade åtkomstnivåer: Konfigurera lämpliga åtkomstnivåer för externa användare
- Implementera tidsbundna behörigheter: Skapa tillfällig åtkomst med förfallodatum
- Begränsa områdesåtkomst: Begränsa entreprenörens åtkomst till specifika projektområden
- Granska extern aktivitet: Övervaka alla åtgärder av externa användare
Checklista för säkerhetskonfiguration
Inledande installation
- [ ] Konfigurera lämpliga åtkomstnivåer för alla användare
- [ ] Konfigurera säkerhetsgrupper som är anpassade till organisationens struktur
- [ ] Designområdessökvägshierarki baserat på säkerhetskrav
- [ ] Konfigurera teambehörigheter och åtkomstgränser
- [ ] Ange behörigheter för arbetsspårning för områdessökvägar och iterationer
- [ ] Konfigurera behörigheter för frågemappar för att styra åtkomsten till delade frågor
Löpande hantering
- [ ] Utföra regelbundna behörighetsgranskningar och åtkomstgranskningar
- [ ] Övervaka åtkomstmönster och avvikelser för arbetsobjekt
- [ ] Uppdatera säkerhetskonfigurationer när teamen utvecklas
- [ ] Underhålla dokumentation om säkerhetsbeslut och ändringar
- [ ] Granska och uppdatera gruppadministratörstilldelningar efter behov