Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Analiza i raportowanie usługi Azure DevOps zapewniają zaawansowane informacje na temat procesów programowania, ale wraz z tym uprawnieniem odpowiada ochrona poufnych danych i kontrola dostępu do metryk organizacji. W tym artykule opisano koncepcje zabezpieczeń, mechanizmy kontroli dostępu i najlepsze rozwiązania dotyczące zabezpieczania implementacji analizy i raportowania.
Omówienie modelu zabezpieczeń
Zabezpieczenia analizy i raportowania działają w oparciu o wielowarstwowe podejście obejmujące:
- Kontrolowanie widoczności danych: zarządzaj osobami, które mogą wyświetlać dane analityczne i do których projektów mogą uzyskiwać dostęp.
- Implementowanie uprawnień pulpitu nawigacyjnego: kontrolowanie dostępu do pulpitów nawigacyjnych i ich danych bazowych. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień pulpitu nawigacyjnego
- Konfigurowanie dostępu na poziomie projektu: ogranicz dostęp do analizy na podstawie członkostwa w projekcie. Aby uzyskać więcej informacji, zobacz Uprawnienia domyślne i dostęp do raportowania
- Zarządzanie integracją usługi Power BI: bezpieczne połączenia między usługą Azure DevOps i usługą Power BI. Aby uzyskać więcej informacji, zobacz Connect to Power BI Data Connector (Nawiązywanie połączenia z łącznikiem danych usługi Power BI)
- Włącz inspekcję i zgodność: Śledzenie dostępu do danych i utrzymywanie wymagań dotyczących zgodności. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji)
Zarządzanie tożsamością i dostępem
Poziomy dostępu do raportowania
Możliwości analizy i raportowania różnią się w zależności od poziomu dostępu. Aby uzyskać kompleksowe informacje o uprawnieniach domyślnych dla każdego poziomu dostępu, zobacz Uprawnienia domyślne i dostęp do raportowania.
| Poziom dostępu | Możliwości analizy i raportowania |
|---|---|
| Interesariusz | Wyświetlanie udostępnionych pulpitów nawigacyjnych, ograniczonych widoków analizy, podstawowych widżetów wykresu |
| Basic | Pełny dostęp do widoków analizy, tworzenia i edytowania pulpitu nawigacyjnego, wszystkich widżetów wykresu |
| Plany podstawowe i testowe | Obejmuje dostęp podstawowy oraz analizy i raportowanie planów testów |
| Visual Studio Enterprise | Obejmuje wszystkie funkcje podstawowe oraz zaawansowane możliwości analizy |
Aby uzyskać więcej informacji, zobacz About access levels (Informacje o poziomach dostępu).
Uwierzytelnianie dla narzędzi zewnętrznych
W przypadku łączenia zewnętrznych narzędzi raportowania z usługą Azure DevOps bezpieczne uwierzytelnianie jest niezbędne:
- Użyj tokenów firmy Microsoft Entra: użyj tożsamości organizacyjnej w celu zapewnienia zwiększonych zabezpieczeń i scentralizowanego zarządzania. Aby uzyskać więcej informacji, zobacz Use Microsoft Entra tokens (Używanie tokenów firmy Microsoft Entra)
- Konfigurowanie aplikacji OAuth: konfigurowanie bezpiecznych przepływów protokołu OAuth dla integracji firm innych niż Microsoft. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do interfejsów API REST za pomocą protokołu OAuth 2.0
- W razie potrzeby używaj osobistych tokenów dostępu: utwórz tokeny z minimalnymi wymaganymi zakresami tylko wtedy, gdy identyfikator Entra firmy Microsoft jest niedostępny. Aby uzyskać więcej informacji, zobacz Używanie osobistych tokenów dostępu
- Tworzenie kont usług: użyj dedykowanych kont do raportowania połączeń narzędzi.
- Konfigurowanie uwierzytelniania systemu Windows: integracja z usługą Active Directory w celu zapewnienia bezproblemowego dostępu. Aby uzyskać więcej informacji, zobacz Konfigurowanie grup do użycia w usłudze Azure DevOps Server
- Użyj uwierzytelniania alternatywnego: włącz uwierzytelnianie oparte na tokenach dla narzędzi zewnętrznych. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące uwierzytelniania dla interfejsów API REST
Zabezpieczenia analizy
Uprawnienia dostępu do danych
Zabezpieczenia analizy są oparte na zasadzie dziedziczenia widoczności danych z projektów źródłowych:
- Dostęp oparty na projekcie: użytkownicy mogą wyświetlać tylko dane analityczne dla projektów, do których mają dostęp. Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień na poziomie projektu
- Widoczność elementu roboczego: Analiza uwzględnia uprawnienia ścieżki obszaru elementu roboczego. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień śledzenia pracy
- Dostęp do repozytorium: metryki kodu są filtrowane na podstawie uprawnień repozytorium. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień repozytorium Git
- Widoczność potoku: Analiza kompilacji i wydania są zgodne z ustawieniami zabezpieczeń potoku. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień potoku
Widoki analityczne
Kontrolowanie dostępu do określonych zestawów danych za pośrednictwem widoków analizy. Aby uzyskać więcej informacji na temat tworzenia widoków analizy i zarządzania nimi, zobacz Tworzenie widoku analizy.
| Typ widoku | Charakterystyka zabezpieczeń |
|---|---|
| Widoki udostępnione | Dostępny dla wszystkich członków projektu z odpowiednimi uprawnieniami |
| Widoki prywatne | Tylko dostęp do twórcy |
| Widoki zespołu | Ograniczone do określonych członków zespołu |
Filtrowanie i prywatność danych
Zaimplementuj filtrowanie danych, aby chronić poufne informacje:
- Konfigurowanie ograniczeń ścieżki obszaru: ogranicz dane analizy do określonych obszarów elementów roboczych. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień śledzenia pracy
- Zastosuj zabezpieczenia na poziomie pola: Ukryj poufne pola elementów roboczych z analizy. Aby uzyskać więcej informacji, zobacz Dodawanie i modyfikowanie pola
- Zarządzanie dostępem między projektami: kontrolowanie widoczności w wielu projektach.
Zabezpieczenia pulpitu nawigacyjnego
Uprawnienia pulpitu nawigacyjnego
Kontrolowanie, kto może wyświetlać, edytować i zarządzać pulpitami nawigacyjnymi. Aby uzyskać instrukcje krok po kroku dotyczące konfigurowania uprawnień pulpitu nawigacyjnego, zobacz Ustawianie uprawnień pulpitu nawigacyjnego.
| Poziom uprawnień | Capabilities |
|---|---|
| View | Wyświetlanie pulpitu nawigacyjnego i jego widżetów |
| Edit | Modyfikowanie układu pulpitu nawigacyjnego i konfiguracji widżetu |
| Manage | Pełna kontrola, w tym zarządzanie udostępnianiem i uprawnieniami |
| Delete | Usuwanie pulpitów nawigacyjnych i skojarzonych konfiguracji |
Zagadnienia dotyczące zabezpieczeń widżetu
Różne widżety mają różne implikacje dotyczące zabezpieczeń:
- Widżety oparte na zapytaniach: dziedziczą zabezpieczenia po podstawowych zapytaniach dotyczących elementów roboczych. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień dotyczących zapytań
- Widżety analizy: postępuj zgodnie z uprawnieniami widoku analizy i dostępem do projektu.
- Widżety zewnętrzne: mogą wymagać innych zagadnień dotyczących uwierzytelniania i udostępniania danych. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń
- Niestandardowe widżety: zabezpieczenia zależą od implementacji i źródeł danych. Aby uzyskać więcej informacji, zobacz Dodawanie, zmienianie nazwy i usuwanie pulpitów nawigacyjnych
Pulpity nawigacyjne zespołu i projektu
Zarządzanie dostępem do pulpitu nawigacyjnego na różnych poziomach organizacji:
- Pulpity nawigacyjne zespołu: dostępne dla członków zespołu i uczestników projektu. Aby uzyskać więcej informacji , zobacz Dodawanie zespołu, przechodzenie z jednego domyślnego zespołu do kilku zespołów
- Pulpity nawigacyjne projektu: dostępne dla wszystkich współautorów projektu. Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień na poziomie projektu
- Osobiste pulpity nawigacyjne: prywatne dla poszczególnych użytkowników
- Pulpity nawigacyjne organizacji: widoczne w całej organizacji. Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień na poziomie organizacji lub kolekcji
Aby uzyskać więcej informacji na temat typów pulpitów nawigacyjnych i dostępu, zobacz Dodawanie, zmienianie nazwy i usuwanie pulpitów nawigacyjnych.
Zabezpieczenia integracji usługi Power BI
Zabezpieczenia łącznika danych
W przypadku korzystania z usługi Power BI z usługą Azure DevOps zaimplementuj te środki zabezpieczeń. Aby uzyskać szczegółowe instrukcje dotyczące konfiguracji, zobacz Connect to Power BI Data Connector (Nawiązywanie połączenia z łącznikiem danych usługi Power BI).
- Użyj jednostek usługi z identyfikatorem Entra firmy Microsoft: zaimplementuj uwierzytelnianie oparte na aplikacji na potrzeby automatycznego odświeżania za pomocą scentralizowanego zarządzania tożsamościami. Aby uzyskać więcej informacji, zobacz Use Microsoft Entra tokens (Używanie tokenów firmy Microsoft Entra)
- Konfigurowanie zabezpieczeń na poziomie wiersza: filtrowanie danych usługi Power BI na podstawie tożsamości użytkownika
- Zarządzanie poświadczeniami odświeżania: bezpieczne przechowywanie i obracanie poświadczeń źródła danych przy użyciu uwierzytelniania identyfikatora Entra firmy Microsoft
- Stosowanie uprawnień obszaru roboczego: kontrolowanie dostępu do obszarów roboczych usługi Power BI zawierających dane usługi Azure DevOps
Prywatność danych w usłudze Power BI
Ochrona poufnych danych podczas udostępniania raportów usługi Power BI:
- Konfigurowanie etykiet poufności danych: stosowanie odpowiedniej klasyfikacji do raportów i zestawów danych
- Implementowanie ograniczeń udostępniania: kontrolowanie, kto może uzyskiwać dostęp do zawartości usługi Power BI i udostępniać je
- Monitorowanie użycia danych: śledzenie wzorców dostępu i identyfikowanie potencjalnych problemów z zabezpieczeniami
- Stosowanie ograniczeń eksportu: Ograniczanie możliwości eksportowania danych na podstawie zasad organizacji
Aby uzyskać więcej informacji na temat najlepszych rozwiązań w zakresie zabezpieczeń usługi Power BI, zobacz Punkt odniesienia zabezpieczeń usługi Power BI.
Zgodność z przepisami i audyty
Rejestrowanie inspekcji
Śledzenie działań analitycznych i raportowania za pomocą kompleksowych dzienników inspekcji:
- Monitorowanie dostępu do pulpitu nawigacyjnego: śledzenie, kto wyświetla i modyfikuje pulpity nawigacyjne. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji)
- Inspekcja eksportów danych: rejestrowanie podczas eksportowania danych analitycznych przez użytkowników
- Śledzenie połączeń usługi Power BI: Monitorowanie połączeń narzędzi zewnętrznych i dostępu do danych
- Przegląd zmian uprawnień: obsługa dzienników modyfikacji konfiguracji zabezpieczeń
Przechowywanie danych i zgodność
Zaimplementuj odpowiednie zasady przechowywania danych:
- Konfigurowanie przechowywania danych analitycznych: ustawianie odpowiednich okresów przechowywania danych historycznych
- Zarządzanie cyklem życia pulpitu nawigacyjnego: ustanawianie procesów archiwizacji i usuwania pulpitu nawigacyjnego
- Pochodzenie danych dokumentu: obsługa rekordów źródeł danych i przekształceń
- Implementowanie raportowania zgodności: generowanie raportów pod kątem wymagań prawnych
Aby uzyskać więcej informacji na temat ochrony danych, zobacz Omówienie ochrony danych.
Najlepsze rozwiązania dotyczące zabezpieczeń analizy i raportowania
Zarządzanie dostępem
- Zastosuj zasadę najniższych uprawnień: udzielanie minimalnego wymaganego dostępu na potrzeby analizy i raportowania
- Przeprowadzanie regularnych przeglądów dostępu: Okresowo przeprowadzaj inspekcję uprawnień pulpitu nawigacyjnego i analizy
- Zarządzanie oparte na grupach: zarządzanie uprawnieniami za pomocą grup zabezpieczeń, a nie poszczególnych przypisań
- Implementowanie dostępu opartego na rolach: Definiowanie ról standardowych dla różnych potrzeb raportowania
Ochrona danych
- Klasyfikowanie poufności danych: identyfikowanie i ochrona poufnych metryk i raportów. Aby uzyskać więcej informacji, zobacz Omówienie ochrony danych
- Implementowanie maskowania danych: ukrywanie lub zaciemnianie poufnych informacji w udostępnionych raportach. Aby uzyskać więcej informacji, zobacz Dodawanie i modyfikowanie pola
- Eksportowanie danych kontrolnych: ogranicz możliwości eksportu danych zbiorczych na podstawie ról użytkownika. Aby uzyskać więcej informacji, zobacz Zmienianie poziomów dostępu
- Monitorowanie nietypowego dostępu: obserwuj nietypowe wzorce w dostępie do danych i raportowaniu. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji)
Zabezpieczenia integracji
- Bezpieczne połączenia zewnętrzne: użyj szyfrowanych połączeń dla wszystkich zewnętrznych narzędzi raportowania. Aby uzyskać więcej informacji, zobacz Use Microsoft Entra tokens (Używanie tokenów firmy Microsoft Entra)
- Zweryfikuj narzędzia innych firm: upewnij się, że zewnętrzne narzędzia analityczne spełniają wymagania dotyczące zabezpieczeń. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń
- Zarządzanie uwierzytelnianiem firmy Microsoft Entra: użyj zarządzania tożsamościami organizacji na potrzeby integracji zewnętrznych zamiast pojedynczych tokenów. Aby uzyskać więcej informacji, zobacz Use Microsoft Entra tokens (Używanie tokenów firmy Microsoft Entra)
- Monitorowanie użycia integracji: śledzenie dostępu do danych za pośrednictwem interfejsów API i połączeń zewnętrznych. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji)
Nadzór organizacyjny
- Ustanów standardy raportowania: Zdefiniuj zatwierdzone narzędzia i praktyki dotyczące raportowania organizacyjnego. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń
- Tworzenie zasad ładu danych: zaimplementuj zasady dotyczące dokładności danych, prywatności i użycia. Aby uzyskać więcej informacji, zobacz Omówienie ochrony danych
- Szkolenie użytkowników w zakresie zabezpieczeń: edukuj zespoły w zakresie bezpiecznych praktyk raportowania i potencjalnego ryzyka. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zabezpieczeń
- Procedury zabezpieczeń dokumentów: zachowaj up-to-date dokumentacji konfiguracji i procesów zabezpieczeń. Aby uzyskać więcej informacji, zobacz About permissions and security groups (Informacje o uprawnieniach i grupach zabezpieczeń)
Typowe scenariusze zabezpieczeń
Analiza wielu projektów
Podczas implementowania analizy w wielu projektach ustanów jasne granice zabezpieczeń:
Przykładowy scenariusz: Organizacja z wieloma zespołami produktów wymaga skonsolidowanego raportowania przy zachowaniu izolacji projektu:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
W tej konfiguracji:
- Członkowie zespołu mogą uzyskiwać dostęp do analiz tylko dla przypisanych projektów. Aby uzyskać więcej informacji, zobacz Zmienianie uprawnień na poziomie projektu
- Metryki usług udostępnionych są widoczne dla wszystkich zespołów na potrzeby śledzenia zależności.
- Pulpit nawigacyjny executive udostępnia metryki wysokiego poziomu bez ujawniania poufnych szczegółów projektu. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień pulpitu nawigacyjnego
- Zapytania obejmujące wiele projektów są ograniczone na podstawie uprawnień użytkownika. Aby uzyskać więcej informacji, zobacz Tworzenie widoku analizy
Raportowanie zewnętrznych uczestników projektu
Zarządzanie zabezpieczeniami podczas udostępniania raportów osobom biorącym udział w projekcie zewnętrznym:
- Tworzenie pulpitów nawigacyjnych specyficznych dla uczestników projektu: widoki projektu, które pokazują odpowiednie metryki bez poufnych szczegółów
- Użyj dostępu tylko do odczytu: podaj uprawnienia tylko do wyświetlania dla użytkowników zewnętrznych
- Implementowanie dostępu ograniczonego czasowo: ustawianie dat wygaśnięcia dla dostępu użytkowników zewnętrznych
- Zastosuj filtrowanie danych: Upewnij się, że użytkownicy zewnętrzni widzą tylko zatwierdzone informacje
Aby uzyskać wskazówki dotyczące zarządzania użytkownikami zewnętrznymi, zobacz Dodawanie użytkowników zewnętrznych do organizacji.
Raportowanie zgodności z przepisami
W przypadku organizacji z wymaganiami dotyczącymi zgodności:
- Implementowanie dzienników inspekcji: zachowaj szczegółowe dzienniki wszystkich danych dostępu i modyfikacji. Aby uzyskać więcej informacji, zobacz Access, export, and filter audit logs (Uzyskiwanie dostępu, eksportowanie i filtrowanie dzienników inspekcji)
- Stosowanie zasad przechowywania danych: Upewnij się, że dane analityczne spełniają wymagania dotyczące przechowywania przepisów. Aby uzyskać więcej informacji, zobacz Omówienie ochrony danych
- Lokalizacja danych kontroli: w przypadku wystąpień w chmurze dowiedz się, gdzie są przechowywane dane analityczne. Aby uzyskać więcej informacji, zobacz Lokalizacje danych dla usługi Azure DevOps
- Generowanie raportów zgodności: tworzenie standardowych raportów na potrzeby przesyłania przepisów. Aby uzyskać więcej informacji, zobacz Eksportowanie listy użytkowników przy użyciu poziomów dostępu
Lista kontrolna konfiguracji zabezpieczeń
Konfiguracja początkowa
- [ ] Konfigurowanie odpowiednich poziomów dostępu dla użytkowników analizy
- [ ] Konfigurowanie grup zabezpieczeń dostosowanych do potrzeb raportowania
- [ ] Konfigurowanie uprawnień projektu na potrzeby dostępu do analizy
- [ ] Ustawianie uprawnień pulpitu nawigacyjnego dla pulpitów nawigacyjnych zespołu i projektu
- [ ] Konfigurowanie widoków analizy przy użyciu odpowiednich mechanizmów kontroli dostępu
- [ ] Ustawianie uprawnień do śledzenia pracy w celu kontrolowania widoczności danych
Integracje zewnętrzne
- [ ] Konfigurowanie uwierzytelniania entra firmy Microsoft dla zewnętrznych narzędzi do raportowania
- [ ] Konfigurowanie połączeń usługi Power BI z uwierzytelnianiem identyfikatora entra firmy Microsoft
- [ ] Konfigurowanie zabezpieczeń na poziomie wiersza w usłudze Power BI dla scenariuszy wielodostępnych
- [ ] Dokumentowanie i zatwierdzanie wszystkich połączeń narzędzi zewnętrznych
Bieżące zarządzanie
- [ ] Przeprowadzanie regularnych inspekcji uprawnień na potrzeby analizy i dostępu do pulpitu nawigacyjnego
- [ ] Monitorowanie dzienników inspekcji pod kątem nietypowych działań analitycznych
- [ ] Przeglądanie i aktualizowanie uprawnień pulpitu nawigacyjnego w miarę zmiany w zespołach
- [ ] Zarządzanie uwierzytelnianiem w usłudze Microsoft Entra i obracanie poświadczeń na potrzeby integracji zewnętrznych
- [ ] Sprawdź, czy filtrowanie danych analitycznych działa prawidłowo