Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Microsoft Entra-ID können Mandantenadministratoren steuern, welche Benutzer mithilfe von Richtlinien für bedingten Zugriff auf Microsoft-Ressourcen zugreifen können. Administratoren legen bestimmte Bedingungen fest, die Benutzer erfüllen müssen, um Zugriff zu erhalten, z. B.:
- Mitgliedschaft in einer bestimmten Microsoft Entra-Sicherheitsgruppe
- Standort- oder Netzwerkanforderungen
- Verwendung eines bestimmten Betriebssystems
- Verwendung eines verwalteten und aktivierten Geräts
Basierend auf diesen Bedingungen können Sie Zugriff gewähren, mehr Überprüfungen wie die mehrstufige Authentifizierung erfordern oder den Zugriff vollständig blockieren. Weitere Informationen zu Richtlinien für bedingten Zugriff finden Sie in der Microsoft Entra-Dokumentation.
Erstellen einer Richtlinie für bedingten Zugriff für Azure DevOps
| Kategorie | Anforderungen |
|---|---|
| Erlaubnisse | Sie müssen mindestens ein Administrator für bedingten Zugriff sein, um eine Richtlinie für bedingten Zugriff in Ihrem Mandanten einzurichten. Weitere Informationen finden Sie in den Entra-Dokumenten "Erstellen einer Richtlinie für bedingten Zugriff". |
Warnung
Externe Authentifizierungsmethoden sind derzeit mit der Authentifizierungsstärke nicht kompatibel. Sie sollten stattdessen das Zuweisungssteuerelement Multi-Faktor-Authentifizierung erforderlich verwenden. In diesem Beispiel wird die integrierte mehrstufige Authentifizierungsstärke verwendet, einige Organisationen können eine stärkere Authentifizierungsstärke verwenden, z. B. kennwortlos oder phishingsicher.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
- Navigieren Sie zu Entra ID-Richtlinien> fürbedingten Zugriff>.
- Wählen Sie Neue Richtlinie.
- Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
- Unter Assignments wählen Sie Benutzer oder Workload-Identitäten aus.
- Wählen Sie unter "Einschließen" die Option "Alle Benutzer" aus.
- Führen Sie unter Ausschließen die folgenden Schritte aus:
-
Benutzer und Gruppen auswählen
- Wählen Sie die Konten für den Notfallzugriff bzw. Notfallkonten Ihrer Organisation aus.
-
Benutzer und Gruppen auswählen
- Wählen Sie unter "Ressourcen für Zielressourcen>" (ehemals Cloud-Apps)>Ressourcen aus, wählen Sie "Azure DevOps" oder "Microsoft Visual Studio Team Services" (Ressourcen-ID: 499b84ac-1321-427f-aa17-267ca6975798) in der Liste der Zielressourcen aus.
- Wählen Sie unter „Zugriffssteuerungen>gewähren“ die Option „Zugriff gewähren“,„Authentifizierungsstärke erforderlich“, wählen Sie Multifaktor-Authentifizierung und dann „Auswählen“ aus.
- Bestätigen Sie Ihre Einstellungen und legen Sie Richtlinie aktivieren auf Nur Berichten fest.
- Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.
Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder berichtsgeschützten Modus bestätigt haben, verschieben Sie den Umschalter "Richtlinie aktivieren " von " Nur Bericht " auf "Ein".
Verhalten des bedingten Zugriffs im Web
Wenn Sie sich beim Webportal einer Microsoft Entra-ID-gesicherten Organisation anmelden, überprüft die Microsoft Entra-ID alle von Mandantenadministratoren festgelegten Richtlinien für bedingten Zugriff. Nach der Modernisierung unseres Webauthentifizierungsstapels zur Verwendung von Microsoft Entra-Token erzwingt Azure DevOps jetzt die Richtlinienüberprüfung für den bedingten Zugriff auf alle interaktiven (Web)-Flüsse.
- Erfüllen Sie Anmelderichtlinien, wenn Sie persönliche Zugriffstoken (PATs) für REST-API-Aufrufe verwenden, die auf Microsoft Entra basieren.
- Entfernen Sie Azure DevOps als Ressource aus der Richtlinie für bedingten Zugriff, wodurch verhindert wird, dass Richtlinien für bedingten Zugriff angewendet werden.
- Erzwingen von MFA-Richtlinien nur für Webflüsse; Blockieren des Zugriffs für nicht-interaktive Abläufe, wenn Benutzer die Richtlinien für bedingten Zugriff nicht erfüllen.
IP-basierte Bedingungen
| Kategorie | Anforderungen |
|---|---|
| Erlaubnisse | Sie müssen ein Project-Sammlungsadministrator sein, um diese Richtlinie zu aktivieren. |
Wenn die Richtlinie für den bedingten Zugriff für nicht interaktive Flüsse auf der Seite " Organisationseinstellungen " aktiviert ist, überprüft Azure DevOps IP-Fencing-Richtlinien für nicht interaktive Flüsse, z. B. wenn Sie einen PAT verwenden, um einen REST-API-Aufruf durchzuführen.
Azure DevOps unterstützt IP-Fencing-Richtlinien für bedingten Zugriff sowohl für IPv4- als auch für IPv6-Adressen. Wenn Richtlinien für bedingten Zugriff Ihre IPv6-Adresse blockieren, bitten Sie Ihren Mandantenadministrator, die Richtlinie zu aktualisieren, um Ihre IPv6-Adresse zuzulassen. Erwägen Sie außerdem, die IPv4-zugeordnete Adresse für jede standardmäßige IPv6-Adresse in alle Richtlinienbedingungen für bedingten Zugriff einzuordnen.
Wenn Benutzer von einer anderen IP-Adresse auf die Microsoft Entra-Anmeldeseite zugreifen als die, die für den Zugriff auf Azure DevOps-Ressourcen verwendet wird (was mit VPN-Tunneling geschehen kann), überprüfen Sie Die VPN-Konfiguration oder das Netzwerksetup. Stellen Sie sicher, dass Ihr Mandantenadministrator alle relevanten IP-Adressen in den Richtlinien für bedingten Zugriff enthält.
Azure Resource Manager-Zielgruppe
Hinweis
Diese Änderungen werden ab dem 2. September 2025 wirksam. Weitere Informationen finden Sie in unserem Blogbeitrag.
Azure DevOps hängt nicht von der Azure Resource Manager-Ressource (https://management.azure.comARM) ab, wenn Sie sich anmelden oder Microsoft Entra-Zugriffstoken aktualisieren. Zuvor benötigte Azure DevOps die ARM-Zielgruppe während der Anmelde- und Aktualisierungs-Token Flows. Diese Anforderung bedeutete, dass Administratoren allen Azure DevOps-Benutzern erlauben mussten, ARM-Richtlinien für bedingten Zugriff zu umgehen, um den Zugriff sicherzustellen.
Wenn Sie zuvor eine Richtlinie für bedingten Zugriff für Azure Resource Manager oder die zugeordnete Windows Azure Service Management API-Anwendung eingerichtet haben, deckt diese Richtlinie die Azure DevOps-Anmeldungen nicht mehr ab. Richten Sie eine neue Azure DevOps-Richtlinie für bedingten Zugriff für eine fortgesetzte Abdeckung von Azure DevOps ein.
Für die folgenden Gruppen ist weiterhin ein fortgesetzter Zugriff auf ARM erforderlich. Möglicherweise sollten Sie sie als Ausschlüsse zu beliebigen ARM- oder Windows Azure-Dienstverwaltungs-API-Richtlinien für bedingten Zugriff hinzufügen.
- Abrechnungsadministratoren benötigen Zugriff auf ARM, um Abrechnungs- und Zugriffsabonnements einzurichten.
- Dienstverbindungsersteller benötigen Zugriff auf ARM für ARM-Rollenzuweisungen und Updates für verwaltete Dienstidentitäten (MANAGED Service Identities, MSIs).
Kontinuierliche Zugriffsauswertung
Azure DevOps unterstützt jetzt Continuous Access Evaluation (CAE) über Microsoft Entra ID und ermöglicht die Durchsetzung von Richtlinien für bedingten Zugriff nahezu in Echtzeit. Mit caE können Zugriffstoken sofort widerrufen werden, wenn wichtige Ereignisse auftreten , z. B. Benutzerdeaktivierung, Kennwortänderungen oder Standort-/IP-Schichten, ohne auf den Tokenablauf zu warten. Dadurch wird die Sicherheit verbessert, der Betriebsaufwand reduziert und die Resilienz während Ausfällen des Identitätsdiensts verbessert.
App-Entwicklern, die unsere neueste .NET-Clientbibliotheksversion (20.259.0-Preview und darüber hinaus) verwenden, wird empfohlen, die Unterstützung für CAE-fähige Token bereitzustellen, indem sie die Anspruchsherausforderungen ordnungsgemäß behandeln. Der CAE-Support wird in der zweiten Hälfte des Jahres 2025 für die Python- und Go-Clientbibliotheken verfügbar sein.