Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure DevOps-analyses en -rapportage bieden krachtige inzichten in uw ontwikkelingsprocessen, maar met die kracht is de verantwoordelijkheid om gevoelige gegevens te beschermen en de toegang tot metrische gegevens van de organisatie te beheren. In dit artikel worden de beveiligingsconcepten, toegangscontroles en aanbevolen procedures beschreven voor het beveiligen van uw analyse- en rapportage-implementatie.
Overzicht van beveiligingsmodel
Analyse- en rapportagebeveiliging werkt op een aanpak met meerdere lagen, waaronder:
- Zichtbaarheid van gegevens beheren: beheren wie analysegegevens kan bekijken en tot welke projecten ze toegang hebben.
- Dashboardmachtigingen implementeren: toegang tot dashboards en de onderliggende gegevens beheren. Zie Dashboardmachtigingen instellen voor meer informatie
- Toegang op projectniveau configureren: Analytische toegang beperken op basis van projectlidmaatschap. Zie Standaardmachtigingen en toegang voor rapportage voor meer informatie
- Power BI-integratie beheren: Beveiligde verbindingen tussen Azure DevOps en Power BI. Zie Verbinding maken met Power BI-gegevensconnector voor meer informatie
- Controle en naleving inschakelen: gegevenstoegang bijhouden en nalevingsvereisten onderhouden. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie
Identiteits- en toegangsbeheer
Toegangsniveaus voor rapportage
De analyse- en rapportagemogelijkheden variëren per toegangsniveau. Zie Standaardmachtigingen en toegang voor rapportage voor uitgebreide informatie over standaardmachtigingen voor elk toegangsniveau.
| Toegangsniveau | Analyse- en rapportagemogelijkheden |
|---|---|
| Belanghebbende | Gedeelde dashboards, beperkte analyseweergaven, basisgrafiekwidgets weergeven |
| Basic | Volledige toegang tot analytics-weergaven, het maken en bewerken van dashboards, alle grafiekwidgets |
| Basis- en testplannen | Bevat basistoegang plus analyse en rapportage van testplannen |
| Visual Studio Enterprise | Bevat alle basisfuncties plus geavanceerde analysemogelijkheden |
Zie Over toegangsniveaus voor meer informatie.
Verificatie voor externe hulpprogramma's
Wanneer u externe rapportagehulpprogramma's verbindt met Azure DevOps, is beveiligde verificatie essentieel:
- Microsoft Entra-tokens gebruiken: organisatie-identiteit gebruiken voor verbeterde beveiliging en gecentraliseerd beheer. Zie Microsoft Entra-tokens gebruiken voor meer informatie
- OAuth-toepassingen configureren: Veilige OAuth-stromen instellen voor niet-Microsoft-integraties. Zie Toegang tot REST API's autoriseren met OAuth 2.0 voor meer informatie
- Gebruik persoonlijke toegangstokens (PAT's) indien nodig: maak tokens met minimale vereiste bereiken alleen als Microsoft Entra-id niet beschikbaar is. Zie Persoonlijke toegangstokens gebruiken voor meer informatie
- Serviceaccounts maken: toegewezen accounts gebruiken voor rapportagehulpmiddelverbindingen.
- Windows-verificatie configureren: integreren met Active Directory voor naadloze toegang. Zie Groepen instellen voor gebruik in Azure DevOps Server voor meer informatie
- Gebruik alternatieve verificatie: verificatie op basis van tokens inschakelen voor externe hulpprogramma's. Zie Verificatierichtlijnen voor REST API's voor meer informatie
Analysebeveiliging
Machtigingen voor gegevenstoegang
Analysebeveiliging is gebaseerd op het principe van overname van zichtbaarheid van gegevens uit bronprojecten:
- Op project gebaseerde toegang: gebruikers kunnen alleen analysegegevens zien voor projecten waarvoor ze toegang hebben. Zie Machtigingen op projectniveau wijzigen voor meer informatie
- Zichtbaarheid van werkitems: Analytics respecteert machtigingen voor het werkitempad. Zie Machtigingen voor het bijhouden van werk instellen voor meer informatie
- Toegang tot opslagplaats: metrische codegegevens worden gefilterd op basis van opslagplaatsmachtigingen. Zie Machtigingen voor Git-opslagplaatsen instellen voor meer informatie
- Zichtbaarheid van pijplijnen: Build- en release-analyses volgen de beveiligingsinstellingen voor pijplijnen. Zie Pijplijnmachtigingen instellen voor meer informatie
Weergaven voor analyse
Toegang tot specifieke gegevenssets beheren via analyseweergaven. Zie Een analyseweergave maken voor meer informatie over het maken en beheren van analytics-weergaven.
| Weergavetype | Beveiligingskenmerken |
|---|---|
| Gedeelde weergaven | Toegankelijk voor alle projectleden met de juiste machtigingen |
| Privéweergaven | Alleen toegankelijk voor de maker |
| Teamweergaven | Beperkt tot specifieke teamleden |
Gegevensfilters en privacy
Gegevensfiltering implementeren om gevoelige informatie te beveiligen:
- Beperkingen voor gebiedspaden configureren: beperk analysegegevens tot specifieke werkitemgebieden. Zie Machtigingen voor het bijhouden van werk instellen voor meer informatie
- Beveiliging op veldniveau toepassen: velden voor gevoelige werkitems verbergen in analyse. Zie Een veld toevoegen en wijzigen voor meer informatie
- Toegang voor meerdere projecten beheren: zichtbaarheid beheren voor meerdere projecten.
Dashboardbeveiliging
Dashboardtoegangsrechten
Bepalen wie dashboards kan bekijken, bewerken en beheren. Zie Dashboardmachtigingen instellen voor stapsgewijze instructies voor het configureren van dashboardmachtigingen.
| Machtigingsniveau | Capabilities |
|---|---|
| View | Dashboard en de bijbehorende widgets weergeven |
| Edit | Dashboardindeling en widgetconfiguratie wijzigen |
| Manage | Volledig beheer, inclusief beheer van delen en machtigingen |
| Verwijderen | Dashboards en bijbehorende configuraties verwijderen |
Overwegingen voor widgetbeveiliging
Verschillende widgets hebben verschillende gevolgen voor de beveiliging:
- Op query's gebaseerde widgets: De beveiliging overnemen van onderliggende werkitemquery's. Zie Machtigingen instellen voor query's voor meer informatie
- Analytics-widgets: volg de machtigingen voor analyseweergaven en projecttoegang.
- Externe widgets: hiervoor zijn mogelijk andere overwegingen voor verificatie en gegevensdeling vereist. Zie Best practices voor beveiliging voor meer informatie
- Aangepaste widgets: Beveiliging is afhankelijk van implementatie en gegevensbronnen. Zie Dashboards toevoegen, een andere naam geven en verwijderen voor meer informatie
Team- en projectdashboards
Dashboardtoegang beheren op verschillende organisatieniveaus:
- Teamdashboards: toegankelijk voor teamleden en belanghebbenden van projecten. Zie Een team toevoegen, van één standaardteam naar meerdere teams gaan voor meer informatie
- Projectdashboards: beschikbaar voor alle projectbijdragers. Zie Machtigingen op projectniveau wijzigen voor meer informatie
- Persoonlijke dashboards: Privé voor afzonderlijke gebruikers
- Organisatiedashboards: zichtbaar in de hele organisatie. Zie Machtigingen wijzigen op organisatie- of verzamelingsniveau voor meer informatie
Zie Dashboards toevoegen, hernoemen en verwijderen voor meer informatie over dashboardtypen en toegang.
Beveiliging van Power BI-integratie
Beveiliging van gegevensconnector
Wanneer u Power BI met Azure DevOps gebruikt, moet u deze beveiligingsmaatregelen implementeren. Zie Verbinding maken met Power BI-gegevensconnector voor gedetailleerde installatie-instructies.
- Gebruik service-principals met Microsoft Entra ID: Implementeer verificatie op basis van toepassingen voor geautomatiseerde vernieuwing met gecentraliseerd identiteitsbeheer. Zie Microsoft Entra-tokens gebruiken voor meer informatie
- Beveiliging op rijniveau configureren: Power BI-gegevens filteren op basis van gebruikersidentiteit
- Vernieuwingsreferenties beheren: Gegevensbronreferenties veilig opslaan en roteren met behulp van Microsoft Entra ID-verificatie
- Werkruimtemachtigingen toepassen: Toegang tot Power BI-werkruimten met Azure DevOps-gegevens beheren
Gegevensprivacy in Power BI
Gevoelige gegevens beveiligen bij het delen van Power BI-rapporten:
- Vertrouwelijkheidslabels voor gegevens configureren: de juiste classificatie toepassen op rapporten en gegevenssets
- Beperkingen voor delen implementeren: bepalen wie toegang heeft tot Power BI-inhoud en deze kan delen
- Gegevensgebruik bewaken: toegangspatronen bijhouden en potentiële beveiligingsproblemen identificeren
- Exportbeperkingen toepassen: mogelijkheden voor gegevensexport beperken op basis van organisatiebeleid
Zie de Power BI-beveiligingsbasislijn voor meer informatie over aanbevolen procedures voor Power BI-beveiliging.
Naleving en controle
Auditlogboekregistratie
Analyse- en rapportageactiviteiten bijhouden via uitgebreide auditlogboeken:
- Dashboardtoegang bewaken: bijhouden wie dashboards bekijkt en wijzigt. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie
- Export van gegevens controleren: logboek wanneer gebruikers analysegegevens exporteren
- Power BI-verbindingen bijhouden: Verbindingen met externe hulpprogramma's en gegevenstoegang bewaken
- Machtigingswijzigingen controleren: logboeken met wijzigingen in de beveiligingsconfiguratie onderhouden
Gegevensretentie en naleving
Implementeer het juiste bewaarbeleid voor gegevens:
- Retentie van analysegegevens configureren: de juiste bewaarperioden instellen voor historische gegevens
- Levenscyclus van dashboards beheren: processen voor archivering en verwijdering van dashboards instellen
- Gegevensherkomst documentleren: records van gegevensbronnen en transformaties onderhouden
- Nalevingsrapportage implementeren: rapporten genereren voor wettelijke vereisten
Zie het overzicht van gegevensbescherming voor meer informatie over gegevensbescherming.
Best practices voor beveiliging van analyse en rapportage
Toegangsbeheer
- Principe van minimale bevoegdheden toepassen: minimale vereiste toegang verlenen voor analyse- en rapportagebehoeften
- Regelmatig toegangsbeoordelingen uitvoeren: dashboard- en analysemachtigingen periodiek controleren
- Beheer op basis van groepen gebruiken: Machtigingen beheren via beveiligingsgroepen in plaats van afzonderlijke toewijzingen
- Op rollen gebaseerde toegang implementeren: Standaardrollen definiëren voor verschillende rapportagebehoeften
Gegevensbescherming
- Vertrouwelijkheid van gegevens classificeren: gevoelige metrische gegevens en rapporten identificeren en beveiligen. Zie Het overzicht van gegevensbeveiliging voor meer informatie
- Gegevensmaskering implementeren: gevoelige informatie verbergen of verbergen in gedeelde rapporten. Zie Een veld toevoegen en wijzigen voor meer informatie
- Gegevensexport beheren: mogelijkheden voor bulkgegevensexport beperken op basis van gebruikersrollen. Zie Toegangsniveaus wijzigen voor meer informatie
- Afwijkende toegang bewaken: Kijk naar ongebruikelijke patronen in gegevenstoegang en -rapportage. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie
Integratiebeveiliging
- Externe verbindingen beveiligen: versleutelde verbindingen gebruiken voor alle hulpprogramma's voor externe rapportage. Zie Microsoft Entra-tokens gebruiken voor meer informatie
- Valideer hulpprogramma's van derden: zorg ervoor dat externe analysehulpprogramma's voldoen aan de beveiligingsvereisten. Zie Best practices voor beveiliging voor meer informatie
- Microsoft Entra-verificatie beheren: Organisatie-identiteitsbeheer gebruiken voor externe integraties in plaats van afzonderlijke tokens. Zie Microsoft Entra-tokens gebruiken voor meer informatie
- Integratiegebruik bewaken: gegevenstoegang bijhouden via API's en externe verbindingen. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie
Organisatiebeheer
- Rapportagestandaarden vaststellen: goedgekeurde hulpprogramma's en procedures definiëren voor organisatierapportage. Zie Best practices voor beveiliging voor meer informatie
- Beleid voor gegevensbeheer maken: beleidsregels implementeren voor nauwkeurigheid, privacy en gebruik van gegevens. Zie Het overzicht van gegevensbeveiliging voor meer informatie
- Gebruikers trainen op beveiliging: informeer teams over veilige rapportageprocedures en potentiële risico's. Zie Best practices voor beveiliging voor meer informatie
- Documentbeveiligingsprocedures: behoud up-to-datumdocumentatie van beveiligingsconfiguraties en -processen. Zie Over machtigingen en beveiligingsgroepen voor meer informatie
Algemene beveiligingsscenario's
Analyse van meerdere projecten
Bij het implementeren van analyses in meerdere projecten moet u duidelijke beveiligingsgrenzen vaststellen:
Voorbeeldscenario: Een organisatie met meerdere productteams heeft geconsolideerde rapportage nodig, terwijl projectisolatie behouden blijft:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
In deze configuratie:
- Teamleden hebben alleen toegang tot analyses voor hun toegewezen projecten. Zie Machtigingen op projectniveau wijzigen voor meer informatie
- Metrische gegevens van Shared Services zijn zichtbaar voor alle teams voor het bijhouden van afhankelijkheden.
- Leidinggevend dashboard biedt metrische gegevens op hoog niveau zonder gevoelige projectdetails weer te geven. Zie Dashboardmachtigingen instellen voor meer informatie
- Query's voor meerdere projecten worden beperkt op basis van gebruikersmachtigingen. Zie Een analyseweergave maken voor meer informatie
Rapportage van externe belanghebbenden
Beveiliging beheren bij het delen van rapporten met externe belanghebbenden:
- Dashboards maken die specifiek zijn voor belanghebbenden: ontwerpweergaven met relevante metrische gegevens zonder gevoelige details
- Alleen-lezentoegang gebruiken: machtigingen voor alleen-weergeven opgeven voor externe gebruikers
- Tijdgebonden toegang implementeren: vervaldatums instellen voor externe gebruikerstoegang
- Gegevens filteren toepassen: zorg ervoor dat externe gebruikers alleen goedgekeurde informatie zien
Zie Externe gebruikers toevoegen aan uw organisatie voor hulp bij het beheren van externe gebruikers.
Rapportage over naleving van regelgeving
Voor organisaties met nalevingsvereisten:
- Audittrails implementeren: gedetailleerde logboeken van alle gegevenstoegang en wijzigingen onderhouden. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie
- Beleid voor gegevensretentie toepassen: zorg ervoor dat analysegegevens voldoen aan wettelijke bewaarvereisten. Zie Het overzicht van gegevensbeveiliging voor meer informatie
- Locatie van beheergegevens: voor cloudexemplaren moet u begrijpen waar analysegegevens worden opgeslagen. Zie Gegevenslocaties voor Azure DevOps voor meer informatie
- Nalevingsrapporten genereren: gestandaardiseerde rapporten maken voor het indienen van regelgeving. Zie Lijst met gebruikers exporteren met toegangsniveaus voor meer informatie
Controlelijst voor beveiligingsconfiguratie
Eerste installatie
- [ ] De juiste toegangsniveaus configureren voor analysegebruikers
- [ ] Beveiligingsgroepen instellen die zijn afgestemd op rapportagebehoeften
- [ ] Projectmachtigingen configureren voor analysetoegang
- [ ] Dashboardmachtigingen instellen voor team- en projectdashboards
- [ ] Analytics-weergaven configureren met de juiste besturingselementen voor toegang
- [ ] Machtigingen voor het bijhouden van werk instellen om de zichtbaarheid van gegevens te beheren
Externe integraties
- [ ] Microsoft Entra-verificatie configureren voor externe rapportagehulpprogramma's
- [ ] Power BI-verbindingen configureren met Microsoft Entra ID-verificatie
- [ ] Beveiliging op rijniveau instellen in Power BI voor scenario's met meerdere tenants
- [ ] Alle externe hulpprogrammaverbindingen documenteren en goedkeuren
Doorlopend beheer
- [ ] Regelmatig machtigingscontroles uitvoeren voor analyse- en dashboardtoegang
- [ ] Auditlogboeken controleren op ongebruikelijke analyseactiviteit
- [ ] Dashboardmachtigingen controleren en bijwerken wanneer teams veranderen
- [ ] Microsoft Entra-verificatie beheren en referenties roteren voor externe integraties
- [ ] Controleren of het filteren van analysegegevens correct werkt