Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A ID do Microsoft Entra permite que os administradores de locatários controlem quais usuários podem acessar recursos da Microsoft usando políticas de Acesso Condicional. Os administradores definem condições específicas que os usuários devem atender para obter acesso, como:
- Associação a um grupo de segurança específico do Microsoft Entra
- Requisitos de localização ou rede
- Uso de um sistema operacional específico
- Uso de um dispositivo gerenciado e habilitado
Com base nessas condições, você pode conceder acesso, exigir mais verificações, como autenticação multifator, ou bloquear totalmente o acesso. Saiba mais sobre políticas de Acesso Condicional na documentação do Microsoft Entra.
Criar uma política de acesso condicional para o Azure DevOps
| Categoria | Requisitos |
|---|---|
| Permissões | Você deve ser pelo menos um Administrador de Acesso Condicional para configurar uma política de Acesso Condicional em seu locatário. Saiba mais nos documentos do Entra "Criar uma política de Acesso Condicional". |
Aviso
Atualmente, os métodos de autenticação externa são incompatíveis com a força da autenticação. Você deve usar o controle de concessão Requerer autenticação multifator. Este exemplo usa a força de autenticação multifator interna, algumas organizações podem optar por usar uma força de autenticação mais forte, como sem senha ou resistente a phishing.
- Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Entra ID>Acesso Condicional>Políticas.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, selecione Todos os usuários
- Na seção Excluir:
- Selecionar Usuários e grupos
- Escolha o acesso de emergência ou as contas de interrupção da sua organização.
- Selecionar Usuários e grupos
- > Em Recursos de destino(anteriormente aplicativos de nuvem)>Inclua, selecione recursos, selecione "Azure DevOps" ou "Microsoft Visual Studio Team Services" (id de recurso: 499b84ac-1321-427f-aa17-267ca6975798) na lista de recursos de destino.
- Em Controles de acesso>Conceder, selecione Conceder acesso, Exigir força de autenticação, selecione Autenticação Multifator e, em seguida, Selecione.
- Confirme suas configurações e defina Habilitar política como Apenas para relatório.
- Selecione Criar para criar e habilitar sua política.
Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância habilitar a política de somente relatório para Ativar.
Comportamento de acesso condicional na Web
Quando você entra no portal da Web de uma organização apoiada pelo Microsoft Entra ID, a ID do Microsoft Entra valida todas as políticas de Acesso Condicional definidas pelos administradores de locatários. Depois de modernizar nossa pilha de autenticação na Web para usar tokens do Microsoft Entra, o Azure DevOps agora impõe a validação da política de acesso condicional em todos os fluxos interativos (Web).
- Atenda às políticas de entrada ao usar PATs (Tokens de Acesso Pessoal) em chamadas à API REST que dependem do Microsoft Entra.
- Remova o Azure DevOps como um recurso da política de Acesso Condicional, o que impede a aplicação de políticas de Acesso Condicional.
- Impor políticas de MFA somente em fluxos da Web; bloqueará o acesso a fluxos não interativos se os usuários não atenderem a uma política de Acesso Condicional.
Condições baseadas em IP
| Categoria | Requisitos |
|---|---|
| Permissões | Você deve ser um Administrador de Coleção de Projetos para habilitar essa política. |
Se a validação da política de Acesso Condicional de IP na política de organização de fluxos não interativos estiver habilitada na página Configurações da Organização , o Azure DevOps verificará as políticas de isolamento IP em fluxos não interativos, como quando você usa um PAT para fazer uma chamada à API REST.
O Azure DevOps dá suporte a políticas de acesso condicional de isolamento IP para endereços IPv4 e IPv6. Se as políticas de Acesso Condicional bloquearem seu endereço IPv6, peça ao administrador do locatário que atualize a política para permitir o endereço IPv6. Além disso, considere incluir o endereço mapeado IPv4 para qualquer endereço IPv6 padrão em todas as condições de política de Acesso Condicional.
Se os usuários acessarem a página de entrada do Microsoft Entra de um endereço IP diferente do usado para acessar recursos do Azure DevOps (o que pode acontecer com o túnel VPN), examine sua configuração de VPN ou configuração de rede. Verifique se o administrador do locatário inclui todos os endereços IP relevantes nas políticas de Acesso Condicional.
Público-alvo do Azure Resource Manager
Observação
Essas alterações entrarão em vigor a partir de 2 de set de 2025. Saiba mais em nossa postagem no blog.
O Azure DevOps não depende do recurso do ARM (Azure Resource Manager) (https://management.azure.com) quando você entra ou atualiza tokens de acesso do Microsoft Entra. Anteriormente, o Azure DevOps exigia o público-alvo do ARM durante os fluxos de entrada e atualização de token. Esse requisito significava que os administradores tinham que permitir que todos os usuários do Azure DevOps ignorassem as políticas de Acesso Condicional do ARM para garantir o acesso.
Se você configurou anteriormente uma política de Acesso Condicional para o Azure Resource Manager ou o aplicativo de API de Gerenciamento de Serviços do Windows Azure associado, essa política não abrange mais as entradas do Azure DevOps. Configure uma nova política de Acesso Condicional do Azure DevOps para cobertura contínua do Azure DevOps.
Os grupos a seguir ainda exigem acesso contínuo ao ARM. Talvez você queira considerar adicioná-las como exclusões a qualquer política de Acesso Condicional da API de Gerenciamento de Serviços do ARM ou do Windows Azure.
- Os administradores de cobrança precisam de acesso ao ARM para configurar assinaturas de cobrança e acesso.
- Os criadores de Conexões de Serviços necessitam de acesso ao ARM para atribuições de função do ARM e atualizações para MSIs (identidades de serviço gerenciadas).
Avaliação contínua de acesso
O Azure DevOps agora dá suporte à CAE (Avaliação de Acesso Contínuo) por meio da ID do Microsoft Entra, permitindo a imposição quase em tempo real de políticas de Acesso Condicional. Com o CAE, os tokens de acesso podem ser revogados imediatamente quando ocorrem eventos críticos, como desabilitação do usuário, alterações de senha ou deslocamentos de local/IP, sem aguardar a expiração do token. Isso aprimora a segurança, reduz a sobrecarga operacional e melhora a resiliência durante interrupções de serviço de identidade.
Os desenvolvedores de aplicativos que usam nossa versão mais recente da biblioteca de clientes do .NET (versão prévia 20.259.0 e posterior) é recomendável que forneçam suporte para tokens habilitados para CAE lidando adequadamente com desafios de declarações. O suporte à CAE chegará às bibliotecas de clientes Python e Go no segundo semestre de 2025.