Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Azure DevOps-analys och -rapportering ger kraftfulla insikter om dina utvecklingsprocesser, men med den kraften kommer ansvaret att skydda känsliga data och kontrollera åtkomsten till organisationsmått. Den här artikeln beskriver säkerhetsbegrepp, åtkomstkontroller och metodtips för att skydda din analys- och rapporteringsimplementering.
Översikt över säkerhetsmodell
Analys- och rapporteringssäkerhet fungerar enligt en metod med flera lager som omfattar:
- Kontrollera datasynlighet: Hantera vem som kan visa analysdata och vilka projekt de kan komma åt.
- Implementera instrumentpanelsbehörigheter: Kontrollera åtkomsten till instrumentpaneler och deras underliggande data. Mer information finns i Ange instrumentpanelsbehörigheter
- Konfigurera åtkomst på projektnivå: Begränsa analysåtkomst baserat på projektmedlemskap. Mer information finns i Standardbehörigheter och åtkomst för rapportering
- Hantera Power BI-integrering: Säkra anslutningar mellan Azure DevOps och Power BI. Mer information finns i Ansluta till Power BI Data Connector
- Aktivera granskning och efterlevnad: Spåra dataåtkomst och upprätthålla efterlevnadskrav. Mer information finns i Åtkomst, export och filtergranskningsloggar
Identitets- och åtkomsthantering
Åtkomstnivåer för rapportering
Analys- och rapporteringsfunktionerna varierar beroende på åtkomstnivå. Omfattande information om standardbehörigheter för varje åtkomstnivå finns i Standardbehörigheter och åtkomst för rapportering.
| Åtkomstnivå | Analys- och rapporteringsfunktioner |
|---|---|
| Intressent | Visa delade instrumentpaneler, begränsade analysvyer, grundläggande diagramwidgetar |
| Grundläggande | Fullständig åtkomst till analysvyer, skapande och redigering av instrumentpaneler, alla diagramwidgetar |
| Grundläggande + testplaner | Innehåller grundläggande åtkomst plus analys och rapportering av testplaner |
| Visual Studio Enterprise | Innehåller alla grundläggande funktioner plus avancerade analysfunktioner |
Mer information finns i Om åtkomstnivåer.
Autentisering för externa verktyg
När du ansluter externa rapporteringsverktyg till Azure DevOps är säker autentisering viktigt:
- Använd Microsoft Entra-token: Använd organisationsidentitet för förbättrad säkerhet och centraliserad hantering. Mer information finns i Använda Microsoft Entra-token
- Konfigurera OAuth-program: Konfigurera säkra OAuth-flöden för icke-Microsoft-integreringar. Mer information finns i Auktorisera åtkomst till REST-API:er med OAuth 2.0
- Använd personliga åtkomsttoken (PAT) när det behövs: Skapa token med minimala nödvändiga omfång endast när Microsoft Entra-ID inte är tillgängligt. Mer information finns i Använda personliga åtkomsttoken
- Skapa tjänstkonton: Använd dedikerade konton för rapporteringsverktygsanslutningar.
- Konfigurera Windows-autentisering: Integrera med Active Directory för sömlös åtkomst. Mer information finns i Konfigurera grupper för användning i Azure DevOps Server
- Använd alternativ autentisering: Aktivera tokenbaserad autentisering för externa verktyg. Mer information finns i Autentiseringsvägledning för REST-API:er
Analyssäkerhet
Behörigheter för dataåtkomst
Analyssäkerhet bygger på principen om arv av datasynlighet från källprojekt:
- Projektbaserad åtkomst: Användarna kan bara se analysdata för projekt som de har åtkomst till. Mer information finns i Ändra behörigheter på projektnivå
- Synlighet för arbetsobjekt: Analys respekterar behörigheter för arbetsobjektets områdessökväg. Mer information finns i Ange behörigheter för arbetsspårning
- Åtkomst till lagringsplats: Kodmått filtreras baserat på lagringsplatsbehörigheter. Mer information finns i Ange Behörigheter för Git-lagringsplats
- Synlighet för pipeline: Bygg- och versionsanalys följer säkerhetsinställningarna för pipelinen. Mer information finns i Ange pipelinebehörigheter
Analyssynpunkter
Kontrollera åtkomsten till specifika datauppsättningar via analysvyer. Mer information om hur du skapar och hanterar analysvyer finns i Skapa en analysvy.
| Vytyp | Säkerhetsegenskaper |
|---|---|
| Delade vyer | Tillgänglig för alla projektmedlemmar med lämpliga behörigheter |
| Privata vyer | Endast tillgänglig för skaparen |
| Teamvyer | Begränsad till specifika gruppmedlemmar |
Datafiltrering och sekretess
Implementera datafiltrering för att skydda känslig information:
- Konfigurera begränsningar för områdessökväg: Begränsa analysdata till specifika arbetsobjektområden. Mer information finns i Ange behörigheter för arbetsspårning
- Tillämpa säkerhet på fältnivå: Dölj känsliga arbetsobjektfält från analys. Mer information finns i Lägga till och ändra ett fält
- Hantera åtkomst mellan projekt: Kontrollera synligheten för flera projekt.
Säkerhet på instrumentpanelen
Kontrollpanelsbehörigheter
Kontrollera vem som kan visa, redigera och hantera instrumentpaneler. Stegvisa instruktioner för hur du konfigurerar instrumentpanelsbehörigheter finns i Ange instrumentpanelsbehörigheter.
| Behörighetsnivå | Capabilities |
|---|---|
| View | Visa instrumentpanelen och dess widgetar |
| Edit | Ändra instrumentpanelslayout och widgetkonfiguration |
| Manage | Fullständig kontroll, inklusive hantering av delning och behörigheter |
| Ta bort | Ta bort instrumentpaneler och associerade konfigurationer |
Säkerhetsöverväganden för widget
Olika widgetar har olika säkerhetskonsekvenser:
- Frågebaserade widgetar: Ärver säkerhet från underliggande frågor om arbetsobjekt. Mer information finns i Ange behörigheter för frågor
- Analyswidgetar: Följ behörigheter för analysvyn och projektåtkomst.
- Externa widgetar: Kan kräva andra överväganden för autentisering och datadelning. Mer information finns i Metodtips för säkerhet
- Anpassade widgetar: Säkerhet beror på implementering och datakällor. Mer information finns i Lägga till, byta namn på och ta bort instrumentpaneler
Team- och projektinstrumentpaneler
Hantera instrumentpanelsåtkomst på olika organisationsnivåer:
- Teaminstrumentpaneler: Tillgänglig för gruppmedlemmar och projektintressenter. Mer information finns i Lägga till ett team, flytta från ett standardteam till flera team
- Projektinstrumentpaneler: Tillgängligt för alla projektdeltagare. Mer information finns i Ändra behörigheter på projektnivå
- Personliga instrumentpaneler: Privat för enskilda användare
- Organisationsinstrumentpaneler: Synliga i hela organisationen. Mer information finns i Ändra behörigheter på organisations- eller samlingsnivå
Mer information om instrumentpanelstyper och åtkomst finns i Lägga till, byta namn på och ta bort instrumentpaneler.
Power BI-integreringssäkerhet
Säkerhet för dataanslutning
När du använder Power BI med Azure DevOps implementerar du dessa säkerhetsåtgärder. Detaljerade installationsinstruktioner finns i Ansluta till Power BI Data Connector.
- Använd tjänstens huvudnamn med Microsoft Entra-ID: Implementera programbaserad autentisering för automatisk uppdatering med centraliserad identitetshantering. Mer information finns i Använda Microsoft Entra-token
- Konfigurera säkerhet på radnivå: Filtrera Power BI-data baserat på användaridentitet
- Hantera uppdateringsautentiseringsuppgifter: Lagra och rotera datakällans autentiseringsuppgifter på ett säkert sätt med Microsoft Entra ID-autentisering
- Tillämpa arbetsytebehörigheter: Kontrollera åtkomsten till Power BI-arbetsytor som innehåller Azure DevOps-data
Datasekretess i Power BI
Skydda känsliga data när du delar Power BI-rapporter:
- Konfigurera känslighetsetiketter för data: Tillämpa lämplig klassificering på rapporter och datauppsättningar
- Implementera delningsbegränsningar: Kontrollera vem som kan komma åt och dela Power BI-innehåll
- Övervaka dataanvändning: Spåra åtkomstmönster och identifiera potentiella säkerhetsproblem
- Tillämpa exportbegränsningar: Begränsa dataexportfunktioner baserat på organisationsprinciper
Mer information om metodtips för Power BI-säkerhet finns i Säkerhetsbaslinje för Power BI.
Efterlevnad och granskning
Granskningsloggning
Spåra analys- och rapporteringsaktiviteter via omfattande granskningsloggar:
- Övervaka instrumentpanelsåtkomst: Spåra vem som visar och ändrar instrumentpaneler. Mer information finns i Åtkomst, export och filtergranskningsloggar
- Granska dataexporter: Logga när användare exporterar analysdata
- Spåra Power BI-anslutningar: Övervaka externa verktygsanslutningar och dataåtkomst
- Granska behörighetsändringar: Underhålla loggar med ändringar i säkerhetskonfigurationen
Datakvarhållning och efterlevnad
Implementera lämpliga principer för datakvarhållning:
- Konfigurera kvarhållning av analysdata: Ange lämpliga kvarhållningsperioder för historiska data
- Hantera instrumentpanelens livscykel: Upprätta processer för arkivering och borttagning av instrumentpaneler
- Dokumentdata härkomst: Underhålla poster för datakällor och transformeringar
- Implementera efterlevnadsrapportering: Generera rapporter för regelkrav
Mer information om dataskydd finns i Översikt över dataskydd.
Metodtips för analys och rapporteringssäkerhet
Åtkomsthantering
- Tillämpa lägsta behörighetsprincip: Bevilja minsta nödvändiga åtkomst för analys- och rapporteringsbehov
- Utföra regelbundna åtkomstgranskningar: Granska instrumentpanels- och analysbehörigheter regelbundet
- Använd gruppbaserad hantering: Hantera behörigheter via säkerhetsgrupper i stället för enskilda tilldelningar
- Implementera rollbaserad åtkomst: Definiera standardroller för olika rapporteringsbehov
Dataskydd
- Klassificera datakänslighet: Identifiera och skydda känsliga mått och rapporter. Mer information finns i Översikt över dataskydd
- Implementera datamaskering: Dölj eller dölja känslig information i delade rapporter. Mer information finns i Lägga till och ändra ett fält
- Kontrollera dataexport: Begränsa massdataexportfunktioner baserat på användarroller. Mer information finns i Ändra åtkomstnivåer
- Övervaka avvikande åtkomst: Håll utkik efter ovanliga mönster i dataåtkomst och rapportering. Mer information finns i Åtkomst, export och filtergranskningsloggar
Integreringssäkerhet
- Säkra externa anslutningar: Använd krypterade anslutningar för alla externa rapporteringsverktyg. Mer information finns i Använda Microsoft Entra-token
- Verifiera verktyg från tredje part: Se till att externa analysverktyg uppfyller säkerhetskraven. Mer information finns i Metodtips för säkerhet
- Hantera Microsoft Entra-autentisering: Använd organisationsidentitetshantering för externa integreringar i stället för enskilda token. Mer information finns i Använda Microsoft Entra-token
- Övervaka integreringsanvändning: Spåra dataåtkomst via API:er och externa anslutningar. Mer information finns i Åtkomst, export och filtergranskningsloggar
Organisationsstyrning
- Upprätta rapporteringsstandarder: Definiera godkända verktyg och metoder för organisationsrapportering. Mer information finns i Metodtips för säkerhet
- Skapa principer för datastyrning: Implementera principer för datanoggrannhet, sekretess och användning. Mer information finns i Översikt över dataskydd
- Utbilda användare om säkerhet: Utbilda team om säkra rapporteringsmetoder och potentiella risker. Mer information finns i Metodtips för säkerhet
- Dokumentsäkerhetsprocedurer: Underhåll up-to-date-dokumentation om säkerhetskonfigurationer och -processer. Mer information finns i Om behörigheter och säkerhetsgrupper
Vanliga säkerhetsscenarier
Analys för flera projekt
När du implementerar analys i flera projekt upprättar du tydliga säkerhetsgränser:
Exempelscenario: En organisation med flera produktteam behöver konsoliderad rapportering samtidigt som projektisolering upprätthålls:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
I den här konfigurationen:
- Gruppmedlemmar kan endast komma åt analys för sina tilldelade projekt. Mer information finns i Ändra behörigheter på projektnivå
- Mått för delade tjänster är synliga för alla team för beroendespårning.
- Instrumentpanelen Executive tillhandahåller mått på hög nivå utan att exponera känslig projektinformation. Mer information finns i Ange instrumentpanelsbehörigheter
- Frågor mellan projekt begränsas baserat på användarbehörigheter. Mer information finns i Skapa en analysvy
Rapportering av externa intressenter
Hantera säkerhet vid delning av rapporter med externa intressenter:
- Skapa intressentspecifika instrumentpaneler: Designvyer som visar relevanta mått utan känslig information
- Använd skrivskyddad åtkomst: Ge endast visningsbehörighet för externa användare
- Implementera tidsbegränsad åtkomst: Ange förfallodatum för extern användaråtkomst
- Tillämpa datafiltrering: Se till att externa användare endast ser godkänd information
Mer information om hur du hanterar externa användare finns i Lägga till externa användare i din organisation.
Rapportering av regelefterlevnad
För organisationer med efterlevnadskrav:
- Implementera spårningsloggar: Underhålla detaljerade loggar för all dataåtkomst och alla ändringar. Mer information finns i Åtkomst, export och filtergranskningsloggar
- Tillämpa principer för datakvarhållning: Se till att analysdata uppfyller kraven för regelkvarhållning. Mer information finns i Översikt över dataskydd
- Kontrollera dataplats: För molninstanser ska du förstå var analysdata lagras. Mer information finns i Dataplatser för Azure DevOps
- Generera efterlevnadsrapporter: Skapa standardiserade rapporter för regelöverföringar. Mer information finns i Exportera användarlista med åtkomstnivåer
Checklista för säkerhetskonfiguration
Inledande installation
- [ ] Konfigurera lämpliga åtkomstnivåer för analysanvändare
- [ ] Konfigurera säkerhetsgrupper som är anpassade till rapporteringsbehov
- [ ] Konfigurera projektbehörigheter för analysåtkomst
- [ ] Ange instrumentpanelsbehörigheter för team- och projektinstrumentpaneler
- [ ] Konfigurera analysvyer med lämpliga åtkomstkontroller
- [ ] Ange behörigheter för arbetsspårning för att kontrollera datasynlighet
Externa integreringar
- [ ] Konfigurera Microsoft Entra-autentisering för externa rapporteringsverktyg
- [ ] Konfigurera Power BI-anslutningar med Microsoft Entra ID-autentisering
- [ ] Konfigurera säkerhet på radnivå i Power BI för scenarier med flera klientorganisationer
- [ ] Dokumentera och godkänn alla externa verktygsanslutningar
Löpande hantering
- [ ] Utföra regelbundna behörighetsgranskningar för analys- och instrumentpanelsåtkomst
- [ ] Övervaka granskningsloggar för ovanlig analysaktivitet
- [ ] Granska och uppdatera instrumentpanelsbehörigheter när teamen ändras
- [ ] Hantera Microsoft Entra-autentisering och rotera autentiseringsuppgifter för externa integreringar
- [ ] Kontrollera att analysdatafiltreringen fungerar korrekt