重要
Azure DevOps 不支持备用凭据身份验证。 如果仍在使用备用凭据,强烈建议切换到更安全的身份验证方法。
本文介绍如何管理组织的安全策略,以确定用户和应用程序如何访问组织中的服务和资源。 可以在组织设置中访问其中大多数策略。
先决条件
| 类别 | 要求 |
|---|---|
| 权限 |
|
管理策略
若要更新组织的应用程序连接、安全性或用户策略,请执行以下步骤:
通过
https://dev.azure.com/{Your_Organization}登录到你的组织。选择
组织设置。
选择“策略”,然后打开或关闭所需的策略。
限制身份验证方法
为了允许无缝访问组织而不重复提示用户凭据,应用程序可以使用身份验证方法,例如 OAuth、SSH 和个人访问令牌(PAT)。 默认情况下,所有现有组织都允许访问所有身份验证方法。
可以通过禁用以下应用程序连接策略来限制对这些身份验证方法的访问:
- 通过 OAuth 进行第三方应用程序访问:支持 Azure DevOps OAuth 应用通过 OAuth 访问组织中的资源。 对于所有新组织,此策略默认 为关闭 。 如果要访问 Azure DevOps OAuth 应用,请启用此策略以确保这些应用可以访问组织中的资源。 此策略不会影响 Microsoft Entra ID OAuth 应用访问。
- SSH 身份验证:允许应用程序通过 SSH 连接到组织的 Git 存储库。
- 租户管理员可以限制全局个人访问令牌创建、限制完全范围的个人访问令牌创建,并通过Microsoft Entra 设置页上的租户级策略强制实施最大个人访问令牌生存期。 添加 Microsoft Entra 用户或组以豁免这些策略。
- 组织管理员可以限制在其各自的组织中 创建个人访问令牌 。 子策略允许管理员为被允许的 Microsoft Entra 用户或组授予创建仅限打包的 PAT 或任意范围 PAT 的权限。
拒绝访问身份验证方法时,任何应用程序都无法通过该方法访问组织。 以前具有访问权限的任何应用程序都遇到身份验证错误并失去访问权限。
Azure DevOps 上的条件访问策略支持
Azure DevOps 中的条件访问(CA) 通过 Microsoft Entra ID 强制执行,并支持交互式(Web)和非交互式(客户端凭据)流,验证登录期间 MFA、IP 限制和设备符合性等策略,以及定期通过令牌检查。
SSH 密钥策略
SSH 身份验证
SSH 身份验证策略控制组织是否允许使用 SSH 密钥。
验证 SSH 密钥过期
为了避免由于 SSH 密钥过期而失去访问权限,请在当前密钥过期 之前 创建并上传一个新密钥。 系统会在 过期前 7 天 发送自动通知, 并在过期后再次 发送,以帮助你保持领先。 有关详细信息,请参阅 步骤 1:创建 SSH 密钥。
默认情况下启用 “验证 SSH 密钥过期 策略”。 处于活动状态时,它会强制实施过期日期 — 过期的密钥会立即变为无效。
如果禁用策略,系统将不再检查过期日期,并且过期的密钥仍然可用。
按级别的政策
| Policy | 组织级别 | 租户级别 |
|---|---|---|
| 通过 OAuth 进行第三方应用程序访问 | ✅ | |
| SSH 身份验证 | ✅ | |
| 验证 SSH 密钥过期 | ✅ | |
| 日志审核事件 | ✅ | |
| 限制个人访问令牌创建 | ✅ | |
| 允许公共项目 | ✅ | |
| 使用公共包注册表时的其他保护 | ✅ | |
| 在非交互式流上启用 IP 条件访问策略验证 | ✅ | |
| 外部来宾访问 | ✅ | |
| 允许团队和项目管理员邀请新用户 | ✅ | |
| 请求访问权限 允许用户使用提供的内部 URL 请求访问组织 | ✅ | |
| 允许Microsoft从用户收集反馈 | ✅ | |
| 限制组织创建 | ✅ | |
| 限制全局个人访问令牌创建 | ✅ | |
| 限制创建全部范围的个人访问令牌 | ✅ | |
| 强制实施最大个人访问令牌有效期 | ✅ |