Azure DevOps Services
本文讨论使用 Microsoft Entra ID 控制对组织的访问。 将组织连接到 Microsoft Entra ID 可增强安全性并简化用户管理。
组织配置选项和优势
Azure DevOps 组织支持两种主要身份验证配置,用于确定哪些类型的用户可以在组织中协作。 虽然访问始终仅限于显式添加的用户,但配置类型控制可从中选择的可用用户池。
连接到 Microsoft Entra ID
这些组织与 Microsoft Entra ID 集成,可实现集中式标识和访问管理。
用户访问:
- ✅ Entra ID 用户(已连接租户的成员或来宾)可以登录。
- ⚠️ 如果您的租户 允许来宾用户访问,Microsoft帐户用户在 接受来宾用户邀请后可以登录到连接的 Microsoft Entra ID 租户。
Benefits:
- 集中管理:从单个位置管理用户访问权限和权限。 Microsoft Entra 管理员负责监督用户访问,提供安全且集中的控制。
- 增强的安全性:利用 MFA 和条件访问等高级安全功能。
- 简化的用户体验:使用 SSO 提供无缝登录体验。
- 基于目录的身份验证:只有目录中的成员或来宾的用户才能访问组织。
- 访问吊销:已禁用或删除的用户没有任何机制(包括 PAT 或 SSH)的访问权限。
- 无缝集成:增强了与 Microsoft 365 服务的集成。
所有权: 组织由 Microsoft Entra 管理员策略管理,如果组织变得孤立无援,则可以由管理员进行恢复。
未连接到 Microsoft Entra ID
以下示例是独立的 Azure DevOps 组织,主要使用Microsoft帐户(MSA)进行身份验证。
用户访问:
- ✅ Microsoft帐户用户可以自由登录。
- ⚠️ 只有当 Entra ID 用户的登录地址与其 Entra 用户主体名称(UPN)匹配时,用户才能登录。 将 Entra 用户添加到组织时,请确保通过 UPN 添加它们。
局限性: 缺少集中式标识治理和企业级安全功能。
所有权: 组织创建者拥有。
将组织连接到 Microsoft Entra ID 的高级步骤
- 连接到 Microsoft Entra ID:如果组织是使用 Microsoft 帐户创建的,请将其连接到 Microsoft Entra ID。 通过此集成,可以集中管理访问并强制实施安全策略。
- 登录:请使用您在 Microsoft 服务上使用的凭证登录到 Azure DevOps。 单一登录(SSO)功能简化了登录过程并提高安全性。
- 强制实施策略:实施并强制实施策略来控制对团队关键资源和关键资产的访问。 Microsoft Entra ID 提供可靠的策略管理功能,包括多重身份验证(MFA)、条件访问和基于角色的访问控制。
Microsoft Entra ID 如何控制对 Azure DevOps 的访问
你的组织通过其目录对用户进行身份验证,确保只有该目录中的成员或来宾可以访问你的组织。 已禁用或删除目录中的用户被任何机制(包括个人访问令牌(PAT)或 SSH 拒绝访问。
访问控制由监督目录中用户管理的特定 Microsoft Entra 管理员 进行管理。 这些管理员可以控制谁有权访问组织,确保安全和集中管理。
如果不Microsoft Entra ID,你只负责控制组织访问权限。 在这种情况下,所有用户仅使用Microsoft帐户登录,并手动管理用户权限和访问权限。
有关详细信息,请参阅 有关 Azure 访问 和 将组织连接到 Microsoft Entra ID 的常见问题解答。