Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure DevOps-Analysen und -Berichte bieten leistungsstarke Einblicke in Ihre Entwicklungsprozesse, aber mit dieser Leistung kommt es in die Verantwortung, vertrauliche Daten zu schützen und den Zugriff auf Organisationsmetriken zu steuern. In diesem Artikel werden die Sicherheitskonzepte, Zugriffssteuerungen und bewährten Methoden zum Sichern Ihrer Analyse- und Berichterstellungsimplementierung beschrieben.
Übersicht über das Sicherheitsmodell
Analyse- und Berichterstellungssicherheit basiert auf einem mehrschichtigen Ansatz, der Folgendes umfasst:
- Kontrolle der Datensichtbarkeit: Verwalten, wer Analysedaten anzeigen kann und auf welche Projekte sie zugreifen können.
- Implementieren von Dashboardberechtigungen: Steuern des Zugriffs auf Dashboards und deren zugrunde liegende Daten. Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen
- Konfigurieren des Zugriffs auf Projektebene: Einschränken des Analysezugriffs basierend auf der Projektmitgliedschaft. Weitere Informationen finden Sie unter Standardberechtigungen und Zugriff für Berichte
- Verwalten der Power BI-Integration: Sichere Verbindungen zwischen Azure DevOps und Power BI. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Power BI Data Connector
- Aktivieren von Überwachung und Compliance: Nachverfolgen des Datenzugriffs und Verwalten von Complianceanforderungen. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
Identitäts- und Zugriffsverwaltung
Zugriffsebenen für Die Berichterstellung
Analyse- und Berichterstellungsfunktionen variieren je nach Zugriffsebene. Umfassende Informationen zu Standardberechtigungen für jede Zugriffsebene finden Sie unter Standardberechtigungen und Zugriff für die Berichterstellung.
| Zugriffsebene | Analyse- und Berichterstellungsfunktionen |
|---|---|
| Interessenträger | Anzeigen von freigegebenen Dashboards, eingeschränkten Analyseansichten, grundlegenden Diagramm-Widgets |
| Grundlegend | Vollzugriff auf Analyseansichten, Dashboarderstellung und -bearbeitung, alle Diagramm-Widgets |
| Grundlegend + Testpläne | Umfasst grundlegende Zugriffe sowie Analyse und Berichterstellung für Testpläne |
| Visual Studio Enterprise | Umfasst alle grundlegenden Features sowie erweiterte Analysefunktionen. |
Weitere Informationen finden Sie unter Informationen zu Zugriffsebenen.
Authentifizierung für externe Tools
Wenn Sie externe Berichterstellungstools mit Azure DevOps verbinden, ist die sichere Authentifizierung unerlässlich:
- Verwenden Sie Microsoft Entra-Token: Verwenden Sie die Organisationsidentität für verbesserte Sicherheit und zentrale Verwaltung. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token
- Konfigurieren von OAuth-Anwendungen: Einrichten sicherer OAuth-Flüsse für Nicht-Microsoft-Integrationen. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf REST-APIs mit OAuth 2.0
- Verwenden Sie bei Bedarf persönliche Zugriffstoken (PATs): Erstellen Sie Token mit minimal erforderlichen Bereichen nur, wenn Microsoft Entra ID nicht verfügbar ist. Weitere Informationen finden Sie unter Verwenden von persönlichen Zugriffstoken
- Dienstkonten erstellen: Verwenden Sie dedizierte Konten für Berichtstoolverbindungen.
- Konfigurieren der Windows-Authentifizierung: Integration in Active Directory für nahtlosen Zugriff. Weitere Informationen finden Sie unter Einrichten von Gruppen für die Verwendung in Azure DevOps Server
- Alternative Authentifizierung verwenden: Aktivieren der tokenbasierten Authentifizierung für externe Tools. Weitere Informationen finden Sie unter Authentifizierungsleitfaden für REST-APIs
Analysesicherheit
Datenzugriffsberechtigungen
Die Analysesicherheit basiert auf dem Prinzip der Datensichtbarkeitsvererbung aus Quellprojekten:
- Projektbasierter Zugriff: Benutzer können nur Analysedaten für Projekte sehen, auf die sie Zugriff haben. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektebene
- Sichtbarkeit von Arbeitsaufgaben: Analytics berücksichtigt Pfadberechtigungen für den Arbeitsbereich. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die Arbeitsnachverfolgung.
- Repositoryzugriff: Codemetriken werden basierend auf Repositoryberechtigungen gefiltert. Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen
- Sichtbarkeit der Pipeline: Build- und Releaseanalysen folgen den Pipelinesicherheitseinstellungen. Weitere Informationen finden Sie unter Festlegen von Pipelineberechtigungen
Analytics-Ansichten
Steuern des Zugriffs auf bestimmte Datasets über Analyseansichten. Weitere Informationen zum Erstellen und Verwalten von Analyseansichten finden Sie unter Erstellen einer Analyseansicht.
| Ansichtstyp | Sicherheitsmerkmale |
|---|---|
| Freigegebene Ansichten | Zugriff auf alle Projektmitglieder mit entsprechenden Berechtigungen |
| Private Ansichten | Nur für den Ersteller zugänglich |
| Teamansichten | Auf bestimmte Teammitglieder beschränkt |
Datenfilterung und Datenschutz
Implementieren Sie die Datenfilterung zum Schutz vertraulicher Informationen:
- Konfigurieren von Bereichspfadeinschränkungen: Beschränken Sie Analysedaten auf bestimmte Arbeitsbereiche. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die Arbeitsnachverfolgung.
- Anwenden der Sicherheit auf Feldebene: Ausblenden vertraulicher Arbeitsaufgabenfelder aus analysen. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds
- Verwalten des projektübergreifenden Zugriffs: Steuern der Sichtbarkeit über mehrere Projekte hinweg.
Dashboardsicherheit
Dashboardberechtigungen
Steuern, wer Dashboards anzeigen, bearbeiten und verwalten kann. Schrittweise Anleitungen zum Konfigurieren von Dashboardberechtigungen finden Sie unter "Festlegen von Dashboardberechtigungen".
| Berechtigungsstufe | Fähigkeiten |
|---|---|
| View | Anzeigen des Dashboards und seiner Widgets |
| Bearbeiten | Ändern des Dashboardlayouts und der Widgetkonfiguration |
| Manage | Vollzugriff einschließlich Freigabe- und Berechtigungsverwaltung |
| Löschen | Entfernen von Dashboards und zugehörigen Konfigurationen |
Überlegungen zur Widgetsicherheit
Verschiedene Widgets haben unterschiedliche Sicherheitsauswirkungen:
- Abfragebasierte Widgets: Erben der Sicherheit von zugrunde liegenden Arbeitsaufgabenabfragen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen
- Analyse-Widgets: Folgen Sie den Berechtigungen für die Analyseansicht und dem Projektzugriff.
- Externe Widgets: Erfordert möglicherweise andere Überlegungen zur Authentifizierung und Datenfreigabe. Weitere Informationen finden Sie unter "Bewährte Methoden zur Sicherheit"
- Benutzerdefinierte Widgets: Sicherheit hängt von Implementierung und Datenquellen ab. Weitere Informationen finden Sie unter Hinzufügen, Umbenennen und Löschen von Dashboards
Team- und Projektdashboards
Verwalten des Dashboardzugriffs auf verschiedenen Organisationsebenen:
- Teamdashboards: Barrierefrei für Teammitglieder und Projektbeteiligte. Weitere Informationen finden Sie unter Hinzufügen eines Teams, wechseln von einem Standardteam zu mehreren Teams
- Projektdashboards: Für alle Projektmitwirkenden verfügbar. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektebene
- Persönliche Dashboards: Privat für einzelne Benutzer
- Organisationsdashboards: Sichtbar in der gesamten Organisation. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Organisation oder Sammlungsebene
Weitere Informationen zu Dashboardtypen und Zugriff finden Sie unter Hinzufügen, Umbenennen und Löschen von Dashboards.
Power BI-Integrationssicherheit
Sicherheit von Datenkonnektoren
Wenn Sie Power BI mit Azure DevOps verwenden, implementieren Sie diese Sicherheitsmaßnahmen. Ausführliche Einrichtungsanweisungen finden Sie unter Herstellen einer Verbindung mit Power BI Data Connector.
- Verwenden Sie Dienstprinzipale mit Microsoft Entra ID: Implementieren Sie anwendungsbasierte Authentifizierung für die automatisierte Aktualisierung mit zentralisierter Identitätsverwaltung. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token
- Konfigurieren der Sicherheit auf Zeilenebene: Filtern von Power BI-Daten basierend auf der Benutzeridentität
- Verwalten von Aktualisierungsanmeldeinformationen: Sicheres Speichern und Drehen von Datenquellenanmeldeinformationen mithilfe der Microsoft Entra ID-Authentifizierung
- Anwenden von Arbeitsbereichsberechtigungen: Steuern des Zugriffs auf Power BI-Arbeitsbereiche mit Azure DevOps-Daten
Datenschutz in Power BI
Schützen Vertraulicher Daten beim Freigeben von Power BI-Berichten:
- Konfigurieren von Vertraulichkeitsbezeichnungen für Daten: Anwenden einer geeigneten Klassifizierung auf Berichte und Datasets
- Implementieren von Freigabeeinschränkungen: Steuern, wer auf Power BI-Inhalte zugreifen und freigeben kann
- Überwachen der Datennutzung: Nachverfolgen von Zugriffsmustern und Identifizieren potenzieller Sicherheitsprobleme
- Anwenden von Exporteinschränkungen: Einschränken der Datenexportfunktionen basierend auf Organisationsrichtlinien
Weitere Informationen zu bewährten Power BI-Sicherheitspraktiken finden Sie unter Power BI-Sicherheitsgrundwerte.
Compliance und Überwachung
Überwachungsprotokollierung
Nachverfolgen von Analyse- und Berichterstellungsaktivitäten über umfassende Überwachungsprotokolle:
- Überwachen des Dashboardzugriffs: Nachverfolgen, wer Dashboards anzeigt und ändert. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
- Datenexporte überwachen: Protokollieren, wenn Benutzer Analysedaten exportieren
- Nachverfolgen von Power BI-Verbindungen: Überwachen externer Toolverbindungen und Datenzugriff
- Überprüfen von Berechtigungsänderungen: Verwalten von Protokollen mit Sicherheitskonfigurationsänderungen
Datenaufbewahrung und -compliance
Implementieren sie geeignete Datenaufbewahrungsrichtlinien:
- Konfigurieren der Aufbewahrung von Analysedaten: Festlegen geeigneter Aufbewahrungszeiträume für historische Daten
- Verwalten des Dashboardlebenszyklus: Einrichten von Prozessen für die Dashboardarchivierung und -löschung
- Dokumentdatenlinie: Verwalten von Datensätzen von Datenquellen und Transformationen
- Implementieren von Complianceberichten: Generieren von Berichten für regulatorische Anforderungen
Weitere Informationen zum Datenschutz finden Sie in der Übersicht über den Datenschutz.
Bewährte Methoden für Die Sicherheit von Analysen und Berichten
Zugriffsverwaltung
- Anwenden des Prinzips der geringsten Rechte: Gewähren eines minimal erforderlichen Zugriffs für Analyse- und Berichterstellungsanforderungen
- Regelmäßige Zugriffsüberprüfungen durchführen: Dashboard- und Analyseberechtigungen in regelmäßigen Abständen überwachen
- Gruppenbasierte Verwaltung verwenden: Verwalten von Berechtigungen über Sicherheitsgruppen anstelle einzelner Zuweisungen
- Implementieren des rollenbasierten Zugriffs: Definieren von Standardrollen für unterschiedliche Berichtsanforderungen
Datenschutz
- Klassifizieren der Datenempfindlichkeit: Identifizieren und Schützen vertraulicher Metriken und Berichte. Weitere Informationen finden Sie in der Übersicht über den Datenschutz
- Implementieren sie die Datenmaske: Vertrauliche Informationen in freigegebenen Berichten ausblenden oder verschleiern. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds
- Steuern des Datenexports: Einschränken von Massendatenexportfunktionen basierend auf Benutzerrollen. Weitere Informationen finden Sie unter Ändern der Zugriffsebenen
- Überwachen Sie den anomalien Zugriff: Achten Sie auf ungewöhnliche Muster im Datenzugriff und in der Berichterstellung. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
Integrationssicherheit
- Sichere externe Verbindungen: Verwenden Sie verschlüsselte Verbindungen für alle externen Berichterstellungstools. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token
- Überprüfen von Drittanbietertools: Stellen Sie sicher, dass externe Analysetools Sicherheitsanforderungen erfüllen. Weitere Informationen finden Sie unter "Bewährte Methoden zur Sicherheit"
- Verwalten der Microsoft Entra-Authentifizierung: Verwenden Sie die Organisationsidentitätsverwaltung für externe Integrationen anstelle einzelner Token. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token
- Überwachen der Integrationsnutzung: Nachverfolgen des Datenzugriffs über APIs und externe Verbindungen. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
Organisationsgovernance
- Einrichten von Berichterstellungsstandards: Definieren sie genehmigte Tools und Methoden für die Organisationsberichterstattung. Weitere Informationen finden Sie unter "Bewährte Methoden zur Sicherheit"
- Erstellen Sie Datengovernancerichtlinien: Implementieren Sie Richtlinien für die Datengenauigkeit, den Datenschutz und die Nutzung. Weitere Informationen finden Sie in der Übersicht über den Datenschutz
- Schulung von Benutzern zur Sicherheit: Informieren Sie Teams über sichere Berichterstellungsmethoden und potenzielle Risiken. Weitere Informationen finden Sie unter "Bewährte Methoden zur Sicherheit"
- Dokumentsicherheitsverfahren: Verwalten sie up-to-Datumsdokumentation der Sicherheitskonfigurationen und -prozesse. Weitere Informationen finden Sie unter "Informationen zu Berechtigungen und Sicherheitsgruppen".
Allgemeine Sicherheitsszenarien
Multiprojektanalyse
Stellen Sie bei der Implementierung von Analysen in mehreren Projekten klare Sicherheitsgrenzen fest:
Beispielszenario: Eine Organisation mit mehreren Produktteams benötigt konsolidierte Berichte und gleichzeitig die Projektisolation:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
In dieser Konfiguration:
- Teammitglieder können nur auf Analysen für ihre zugewiesenen Projekte zugreifen. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektebene
- Metriken für gemeinsame Dienste sind für alle Teams für die Nachverfolgung von Abhängigkeiten sichtbar.
- Das Geschäftsleitungsdashboard stellt allgemeine Metriken bereit, ohne vertrauliche Projektdetails verfügbar zu geben. Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen
- Projektübergreifende Abfragen werden basierend auf Benutzerberechtigungen eingeschränkt. Weitere Informationen finden Sie unter Erstellen einer Analyseansicht
Berichterstellung externer Stakeholder
Verwalten der Sicherheit beim Freigeben von Berichten für externe Projektbeteiligte:
- Erstellen von stakeholderspezifischen Dashboards: Entwurfsansichten, die relevante Metriken ohne vertrauliche Details anzeigen
- Schreibgeschützten Zugriff verwenden: Bereitstellen von Schreibschutzberechtigungen für externe Benutzer
- Implementieren des zeitlich begrenzten Zugriffs: Festlegen von Ablaufdaten für den externen Benutzerzugriff
- Anwenden der Datenfilterung: Sicherstellen, dass externe Benutzer nur genehmigte Informationen sehen
Anleitungen zum Verwalten externer Benutzer finden Sie unter Hinzufügen externer Benutzer zu Ihrer Organisation.
Berichterstellung zur Einhaltung gesetzlicher Vorschriften
Für Organisationen mit Complianceanforderungen:
- Implementieren Sie Überwachungspfade: Verwalten Sie detaillierte Protokolle aller Datenzugriffe und -änderungen. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
- Anwenden von Datenaufbewahrungsrichtlinien: Stellen Sie sicher, dass Analysedaten gesetzliche Aufbewahrungsanforderungen erfüllen. Weitere Informationen finden Sie in der Übersicht über den Datenschutz
- Steuern des Datenspeicherorts: Verstehen Sie bei Cloudinstanzen, wo Analysedaten gespeichert werden. Weitere Informationen finden Sie unter "Datenspeicherorte für Azure DevOps"
- Erstellen von Complianceberichten: Erstellen standardisierter Berichte für behördliche Übermittlungen. Weitere Informationen finden Sie unter Exportieren der Benutzerliste mit Zugriffsebenen
Prüfliste für die Sicherheitskonfiguration
Anfangssetup
- [ ] Konfigurieren geeigneter Zugriffsstufen für Analysebenutzer
- [ ] Einrichten von Sicherheitsgruppen, die den Berichtsanforderungen entsprechen
- [ ] Konfigurieren von Projektberechtigungen für den Analysezugriff
- [ ] Festlegen von Dashboardberechtigungen für Team- und Projektdashboards
- [ ] Konfigurieren von Analyseansichten mit geeigneten Zugriffssteuerelementen
- [ ] Festlegen von Arbeitsverfolgungsberechtigungen zum Steuern der Datensichtbarkeit
Externe Integrationen
- [ ] Konfigurieren der Microsoft Entra-Authentifizierung für externe Berichterstellungstools
- [ ] Konfigurieren von Power BI-Verbindungen mit der Microsoft Entra ID-Authentifizierung
- [ ] Einrichten der Sicherheit auf Zeilenebene in Power BI für Szenarien mit mehreren Mandanten
- [ ] Dokument und Genehmigen aller externen Toolverbindungen
Laufendes Management
- [ ] Durchführen regelmäßiger Berechtigungsprüfungen für Analyse- und Dashboardzugriff
- [ ] Überwachen von Überwachungsprotokollen auf ungewöhnliche Analyseaktivitäten
- [ ] Überprüfen und Aktualisieren von Dashboardberechtigungen, wenn Teams sich ändern
- [ ] Verwalten der Microsoft Entra-Authentifizierung und Drehen von Anmeldeinformationen für externe Integrationen
- [ ] Überprüfen, ob die Analysedatenfilterung ordnungsgemäß funktioniert