更改组织的应用程序连接和安全策略

本文介绍如何管理组织的安全策略，以确定用户和应用程序如何访问组织中的服务和资源。 可以在组织设置中访问其中大多数策略。

先决条件

管理策略

若要更改组织的应用程序连接、安全性和用户策略，请执行以下步骤。

1. (https://dev.azure.com/{yourorganization}) 登录到组织。

2. 选择 组织设置。

   

3. 选择“策略”，然后根据需要将策略切换为打开或关闭。

限制身份验证方法

为了允许无缝访问组织而不重复提示用户凭据，应用程序可以使用身份验证方法，例如 OAuth、SSH 和个人访问令牌（PAT）。 默认情况下，所有现有组织都允许访问所有身份验证方法。

可以通过禁用这些应用程序连接策略来限制对这些身份验证方法的访问：

• 通过 OAuth 进行第三方应用程序访问：支持 Azure DevOps OAuth 应用通过 OAuth 访问组织中的资源。 对于所有新组织，此策略默认 为关闭 。 如果要访问 Azure DevOps OAuth 应用，请启用此策略以确保这些应用可以访问组织中的资源。 该政策不影响 Microsoft Entra ID OAuth 应用程序访问.
• SSH 身份验证：允许应用程序通过 SSH 连接到组织的 Git 存储库。
• 租户管理员可以限制全局个人访问令牌创建、限制完全范围的个人访问令牌创建，并通过Microsoft Entra 设置页上的租户级策略强制实施最大个人访问令牌生存期。 添加 Microsoft Entra 用户或组以豁免这些策略。
• 组织管理员可以限制在其各自的组织中 创建个人访问令牌 。 子策略允许管理员为被允许的 Microsoft Entra 用户或组授予创建仅限打包的 PAT 或任意范围 PAT 的权限。

拒绝访问身份验证方法时，任何应用程序都无法通过该方法访问组织。 以前具有访问权限的任何应用程序都遇到身份验证错误并失去访问权限。

强制实施条件访问策略

Microsoft Entra ID 允许租户定义哪些用户可以通过其条件访问策略（CAP）功能访问 Microsoft 资源。 租户管理员可以设置用户必须满足的条件以获取访问权限，例如要求用户：

• 成为特定 Entra 安全组的成员
• 属于特定位置和/或网络
• 使用特定的操作系统
• 在管理系统中使用已启用的设备

然后，根据用户满足的条件，你可以允许他们访问、需要其他检查（如多重身份验证）或完全阻止访问。 详细了解 条件访问策略 以及如何在 Entra 文档中 为 Azure DevOps 设置条件 访问策略。

Azure DevOps 上的 CAP 支持

登录到 Microsoft Entra ID 支持的组织的 Web 门户时，Microsoft Entra ID 始终对租户管理员设置的任何条件访问策略执行验证。 由于 将 Web 身份验证堆栈现代化以使用 Microsoft Entra 令牌，因此现在还对所有交互式 （Web） 流强制实施条件访问策略的验证。

• 对依赖于 Microsoft Entra 请求的 REST API 调用使用 PAT 要求也满足租户管理员设置的任何登录策略。 例如，如果登录策略要求用户每七天登录一次，则还必须每七天登录一次才能继续使用 PAT。
• 如果不希望将任何 CAP 应用到 Azure DevOps，请删除 Azure DevOps 作为 CAP 的资源。
• 我们仅支持 Web 流上的 MFA 策略。 对于非交互流，若用户未满足 CAP 要求，则不会提示他们进行 MFA，而是直接阻止访问。

基于 IP 的条件

如果启用了 非交互式流策略上的“启用 IP 条件访问策略验证 ”，我们会检查非交互式流上的 IP 隔离策略，例如，使用 PAT 进行 REST API 调用时。

我们支持 IPv4 和 IPv6 地址的条件访问策略（CAP）。 如果 IPv6 地址被阻止，请确保租户管理员配置了 CAP 以允许 IPv6 地址。 此外，请考虑在所有 CAP 条件中包含任何默认 IPv6 地址的 IPv4 映射地址。

如果用户通过与用于访问 Azure DevOps 资源（与 VPN 隧道通用）不同的 IP 地址访问 Microsoft Entra 登录页，请检查 VPN 配置或网络基础结构。 请确保在租户管理员的 CAP 中包含所有已用 IP 地址。

按级别的政策