Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
O Azure DevOps usa uma combinação de conceitos de segurança para garantir que somente usuários autorizados possam acessar seus recursos, funções e dados. O acesso é determinado por dois processos importantes: autenticação, que verifica as credenciais de um usuário e autorização, que concede permissões com base em direitos de conta. Juntos, esses processos controlam o que cada usuário pode fazer no Azure DevOps.
Este artigo expande sobre Comece com permissões, acesso e grupos de segurança e ajuda os administradores a entender os diferentes tipos de conta, métodos de autenticação e autorização, além das políticas de segurança disponíveis para proteger os ambientes do Azure DevOps.
Tipos de conta
- Usuários
- Proprietário da organização
- Contas de serviço
- Entidades de serviço ou identidades gerenciadas
- Agentes de trabalho
Autenticação
- Credenciais de usuário
- autenticação do Windows
- 2FA (Autenticação de Dois Fatores)
- Autenticação de chave SSH
- Token do Microsoft Entra
- Token de acesso pessoal
- Configuração do Oauth
- Biblioteca de autenticação do Active Directory
Autorização
- Associação a um grupo de segurança
- Controle de acesso baseado em função
- Níveis de acesso
- Sinalizadores de recursos
- Namespaces de segurança & permissões
Políticas
- URL da política de privacidade
- Conexão de aplicativo e políticas de segurança
- Políticas de usuário
- Políticas de repositório e branch do Git
Tipos de conta
- Usuários
- Contas de serviço
- Entidades de serviço ou identidades gerenciadas
- Agentes de trabalho
Autenticação
- Credenciais de usuário
- autenticação do Windows
- 2FA (Autenticação de Dois Fatores)
- Autenticação de chave SSH
- Tokens de acesso pessoal
- Configuração do Oauth
- Biblioteca de autenticação do Active Directory
Autorização
- Associação a um grupo de segurança
- Permissões baseadas em função
- Níveis de acesso
- Sinalizadores de recursos
- Namespaces de segurança & permissões
Políticas
- Políticas de repositório e branch do Git
Importante
O Azure DevOps não oferece suporte à autenticação de credenciais alternativas. Se você ainda estiver usando Credenciais alternativas, recomendamos enfaticamente que mude para um método de autenticação mais seguro.
O Azure DevOps dá suporte ao desenvolvimento de software desde o planejamento até a implantação. Cada plataforma usa a infraestrutura e serviços de Plataforma como Serviço do Microsoft Azure, incluindo bancos de dados SQL do Azure, para fornecer um serviço confiável e disponível globalmente para seus projetos.
Para obter mais informações sobre como a Microsoft garante que seus projetos sejam seguros, disponíveis, seguros e privados, consulte a visão geral da proteção de dados do Azure DevOps.
Contas
Embora as contas de usuário humano sejam o foco principal, o Azure DevOps também dá suporte a vários outros tipos de conta para operações diferentes:
- Proprietário da organização: o criador de uma organização Azure DevOps Services ou proprietário atribuído. Para localizar o proprietário da sua organização, consulte Pesquisar o proprietário da organização.
- Contas de serviço: organização interna do Azure DevOps usada para dar suporte a um serviço específico, como o Serviço de Pool de Agentes, PipelinesSDK. Para obter descrições de contas de serviço, consulte Grupos de segurança, contas de serviço e permissões.
- Entidades de serviço ou identidades gerenciadas: aplicativos ou identidades gerenciadas do Microsoft Entra adicionados à sua organização para executar ações em nome de um aplicativo que não seja da Microsoft. Algumas entidades de serviço consultam a organização interna do Azure DevOps para dar suporte a operações internas.
- Agentes de trabalho: contas internas usadas para executar trabalhos específicos em um agendamento regular.
- Contas de terceiros: contas que exigem acesso para dar suporte a ganchos da Web, conexões de serviço ou outros aplicativos que não sejam da Microsoft.
Em todos os nossos artigos relacionados à segurança, "usuários" se refere a todas as identidades adicionadas ao Hub de usuários, que podem incluir usuários humanos e entidades de serviços.
- Contas de serviço: organização interna do Azure DevOps usada para dar suporte a um serviço específico, como o Serviço de Pool de Agentes, PipelinesSDK. Para obter descrições de contas de serviço, consulte Grupos de segurança, contas de serviço e permissões.
- Entidades de serviço ou identidades gerenciadas: aplicativos ou identidades gerenciadas do Microsoft Entra adicionados à sua organização para executar ações em nome de um aplicativo que não seja da Microsoft. Algumas entidades de serviço consultam a organização interna do Azure DevOps para dar suporte a operações internas.
- Agentes de trabalho: contas internas usadas para executar trabalhos específicos em um agendamento regular.
- Contas de terceiros: contas que exigem acesso para dar suporte a ganchos da Web, conexões de serviço ou outros aplicativos que não sejam da Microsoft.
A maneira mais eficaz de gerenciar contas é adicionando-as a grupos de segurança.
Observação
O proprietário da organização e os membros do grupo Administradores da Coleção de Projetos têm acesso total a quase todos os recursos e funções.
Autenticação
A autenticação verifica a identidade de um usuário com base nas credenciais fornecidas durante a entrada no Azure DevOps. O Azure DevOps integra-se a vários sistemas de identidade para gerenciar a autenticação:
- ID do Microsoft Entra: recomendado para organizações que gerenciam um grande grupo de usuários. Fornece autenticação robusta baseada em nuvem e gerenciamento de usuários.
- Conta da Microsoft (MSA): adequada para bases de usuários menores que acessam organizações do Azure DevOps. Dá suporte à autenticação na nuvem.
- Active Directory (AD): recomendado para implantações locais com muitos usuários, usando sua infraestrutura existente do AD.
A ID do Microsoft Entra e as contas da Microsoft dão suporte à autenticação na nuvem. Para obter mais informações, consulte Sobre como acessar o Azure DevOps com a ID do Microsoft Entra.
Para ambientes locais, use o Active Directory para gerenciar com eficiência o acesso do usuário. Saiba mais em Configurar grupos para uso em implantações locais.
Autenticar programaticamente
Acesse sua organização do Azure DevOps programaticamente sem inserir repetidamente seu nome de usuário e senha escolhendo um dos métodos de autenticação disponíveis. Use os seguintes métodos para automatizar fluxos de trabalho, integrar-se às APIs REST ou criar aplicativos personalizados:
- Use o OAuth para criar aplicativos que executam ações em nome dos usuários. Os usuários devem consentir com o aplicativo. Para novos aplicativos, use o Microsoft Entra OAuth.
- Use entidades de serviço ou identidades gerenciadas para automatizar fluxos de trabalho ou criar ferramentas que acessam regularmente os recursos da organização. Emita tokens do Microsoft Entra em nome do próprio aplicativo.
- Use a ID do Microsoft Entra para autenticação segura baseada em nuvem e gerenciamento de usuário.
- Use PATs (tokens de acesso pessoal) para solicitações ad hoc ou protótipos antecipados. Evite PATs para desenvolvimento de aplicativos de longo prazo, pois eles são mais suscetíveis a vazamentos e uso indevido.
Dica
Sempre armazene credenciais com segurança e siga as práticas recomendadas para gerenciar métodos de autenticação.
Por padrão, sua organização permite o acesso a todos os métodos de autenticação. Os administradores da organização podem restringir o acesso a esses métodos de autenticação desabilitando políticas de segurança. Os administradores de locatários podem reduzir ainda mais o risco de PAT restringindo as maneiras pelas quais podem ser criados.
Autorização
A autorização determina se uma identidade autenticada tem as permissões necessárias para acessar um serviço, recurso, função, objeto ou método específico no Azure DevOps. As verificações de autorização sempre ocorrem após a autenticação bem-sucedida— se a autenticação falhar, a autorização nunca será avaliada. Mesmo após a autenticação, os usuários ou grupos poderão ter acesso negado a determinadas ações se não tiverem as permissões necessárias.
O Azure DevOps gerencia a autorização por meio de permissões atribuídas diretamente aos usuários ou herdadas por meio de grupos ou funções de segurança. Os níveis de acesso e os sinalizadores de recursos podem controlar ainda mais o acesso a recursos específicos. Para saber mais sobre esses métodos de autorização, consulte Introdução a permissões, acesso e grupos de segurança.
Namespaces e permissões de segurança
Namespaces de segurança definem níveis de acesso do usuário para ações específicas em recursos do Azure DevOps.
- Cada família de recursos, por exemplo, itens de trabalho ou repositórios Git, tem seu próprio namespace exclusivo.
- Em cada namespace, pode haver várias ACLs (listas de controle de acesso).
- Cada ACL contém um token, um sinalizador herdado e uma ou mais ACEs (entradas de controle de acesso).
- Cada ACE especifica um descritor de identidade, uma máscara de bits para permissões autorizadas e outra para permissões negadas.
Para obter mais informações, consulte Namespaces de segurança e referência de permissão.
Políticas de segurança
Para proteger sua organização e código, os administradores de nível organizacional (Administrador de Coleção de Projetos) ou de nível de locatário (Administrador do Azure DevOps) podem habilitar ou desabilitar várias políticas de segurança, dependendo do escopo da política. As principais políticas a serem consideradas incluem:
- Especifique uma URL de política de privacidade para descrever como você lida com a privacidade de dados de convidado interno e externo.
- Decida se os usuários em sua organização têm permissão para criar projetos públicos.
Se sua organização estiver conectada à ID do Microsoft Entra, você terá acesso aos seguintes outros recursos de segurança:
- Restringir a criação da organização a usuários específicos.
- Convide convidados externos para a organização.
- Permitir que administradores de equipe e projeto convidem novos usuários.
- Habilitar a validação da CAP (política de acesso condicional).
- Acompanhe eventos e fluxos de auditoria em sua organização.
Examine e configure essas políticas para fortalecer a postura de segurança da sua organização e garantir a conformidade com seus requisitos de privacidade e acesso de dados.
grupo Usuários do Project-Scoped
Por padrão, os usuários adicionados a uma organização podem exibir todas as informações e configurações da organização e do projeto, incluindo listas de usuários, listas de projetos, detalhes de cobrança, dados de uso e muito mais.
Para limitar o acesso a usuários específicos, como Partes Interessadas, usuários convidados do Microsoft Entra ou membros de um grupo de segurança específico, habilite o recurso de pré-visualização 'Limitar visibilidade de usuários e colaboração a projetos específicos' para sua organização. Quando esse recurso está habilitado, qualquer usuário ou grupo adicionado ao grupo Project-Scoped Usuários fica restrito das seguintes maneiras:
- O acesso é limitado às páginasVisão Geral e Projetos nas configurações da Organização.
- Os usuários só podem se conectar e exibir projetos aos quais são adicionados explicitamente.
- Os usuários só podem selecionar identidades de usuário e grupo que são explicitamente adicionadas ao mesmo projeto.
Para obter mais informações, consulte Gerenciar sua organização: limite a visibilidade do usuário para projetos e muito mais eGerencie recursos de visualização.
Aviso
Considere as seguintes limitações ao usar este recurso de visualização:
- Os recursos de visibilidade limitados descritos nesta seção se aplicam apenas a interações por meio do portal da Web. Com as APIs REST ou
azure devopscomandos da CLI, os membros do projeto podem acessar os dados restritos. - Os usuários do grupo limitado só podem selecionar usuários que são adicionados explicitamente ao Azure DevOps e não aos usuários que têm acesso por meio da associação de grupo do Microsoft Entra.
- Os usuários convidados que são membros do grupo limitado com acesso padrão no Microsoft Entra ID não podem procurar usuários com o seletor de pessoas.
Políticas de repositório e branch do Git
Para proteger seu código, você pode definir várias políticas de ramificação e repositório Git. Para obter mais informações, consulte os seguintes artigos.
segurança do Azure Repos e do Azure Pipelines
Como repositórios e pipelines de build e lançamento representam desafios de segurança exclusivos, outros recursos além dos recursos discutidos neste artigo são empregados. Para obter mais informações, consulte os seguintes artigos.
- Proteger o Azure Pipelines
- Planejar a proteção de pipelines YAML
- Proteção do repositório
- Recursos do pipeline
- Recomendações para estruturar projetos com segurança em seu pipeline
- Segurança por meio de modelos
- Como usar variáveis e parâmetros com segurança em seu pipeline
- Recomendações para proteger a infraestrutura compartilhada no Azure Pipelines
- Outras considerações de segurança