保護您的 Azure Boards

Azure DevOps 服務 |Azure DevOps Server |Azure DevOps Server 2022

Azure Boards 提供多層安全性來保護您的工作追蹤數據、控制敏感性資訊的存取，以及確保符合組織原則。本文概述保護 Azure Boards 實作的安全性概念、存取控制和最佳做法。

安全性模型概觀

Azure Boards 安全性會以多層方法運作，其中包括：

控制身分識別和存取管理：管理誰可以存取您的工作專案，以及他們可以執行的動作。如需詳細資訊，請參閱關於存取層級
實施基於權限的訪問：為不同的工作追蹤操作應用細粒度的權限。如需詳細資訊，請參閱設定工作追蹤許可權
配置區域及疊代安全：根據專案區域來限制對特定工作項目的存取權。如需詳細資訊，請參閱設定區域路徑並指派給小組
管理工作專案類型和欄位安全性：控制工作專案欄位的可見度和可編輯性。如需詳細資訊，請參閱新增和修改欄位
啟用稽核和合規性：追蹤變更並維護合規性要求。如需詳細資訊，請參閱存取、匯出及篩選稽核記錄

身分識別與存取權管理

存取層級

Azure Boards 會使用存取層級來控制使用者可以存取的功能。如需每個存取層級預設許可權的完整資訊，請參閱 Azure Boards的預設許可權和存取層級。

存取層級	Azure Boards 功能
利益相關者	檢視工作專案、新增和修改他們建立的工作專案、檢視儀錶板、限制的查詢存取權
基本	工作專案、查詢、儀錶板、面板和待辦專案的完整存取權
基本 + 測試計劃	包括基本存取權和 Test Plans 功能
Visual Studio 企業版	包括所有基本功能以及高級功能

如需詳細資訊，請參閱關於存取層級。

Authentication

Azure Boards 支援多種驗證方法：

使用 Microsoft Entra ID：使用單一登入啟用企業身分識別管理。如需詳細資訊，請參閱將您的組織連線到 Microsoft Entra ID
設定 Microsoft 帳戶：支援個人 Microsoft 帳戶。如需詳細資訊，請參閱註冊、登入 Azure DevOps
實作 GitHub 驗證：驗證 GitHub 使用者和組織。如需詳細資訊，請參閱使用 GitHub 進行驗證

整合 Active Directory：連線內部部署身分識別整合。如需詳細資訊，請參閱設定群組以在 Azure DevOps Server 中使用
建立本機帳戶：管理伺服器型使用者帳戶
設定 Microsoft Entra ID：啟用雲端式身分識別管理。如需詳細資訊，請參閱將您的組織連線到 Microsoft Entra ID

權限模型

安全性群組

Azure Boards 會使用安全性群組來有效率地管理許可權。如需所有可用安全性群組及其許可權的詳細資訊，請參閱關於許可權和安全群組。如需設定小組管理員及其權限的詳細指引，請參閱管理小組管理員。

安全組	預設權限
專案管理員	專案設定、工作專案類型和小組設定的完整控制權
參與者	建立、修改和刪除工作專案;管理面板和待辦專案
讀者	檢視工作專案和專案成品
專案集合管理員	組織範圍的管理，包括安全性設定

工作專案許可權

透過這些關鍵權限來控制工作專案的存取。如需設定這些權限的逐步指示，請參閱設定工作追蹤權限。

權限	Description
檢視此節點中的工作專案	特定區域路徑中工作專案的讀取存取權
編輯此節點中的工作專案	修改特定區域路徑中的工作專案
建立子節點	在現有節點下新增區域路徑
刪除和還原工作專案	移除工作專案並復原已刪除的專案
將工作專案移出此專案	將工作專案轉移至其他專案

區域路徑安全性

區域路徑提供階層式安全性界限：

Project Root
├── Team A (Restricted to Team A members)
├── Team B (Restricted to Team B members)
└── Shared Components (Accessible to all teams)

設定區域路徑權限以：

限制小組對 特定工作專案的存取權
為不同部門創建安全的工作空間
控制敏感專案的可見性

如需設定區域路徑權限的詳細指示，請參閱設定工作追蹤權限。

欄位層級安全性

敏感資料保護

使用以下策略保護敏感資訊：

建立具有受限存取權的自訂欄位，只有特定群組才能檢視或編輯。如需詳細資訊，請參閱新增和修改欄位
限制工作專案類型限制 ，以控制誰可以建立或修改特定工作專案類型。如需詳細資訊，請參閱自訂工作專案類型
將隱藏欄位設定 為對某些使用者群組不可見。如需詳細資訊，請參閱新增和修改欄位
設定唯讀欄位 以防止對關鍵資料進行未經授權的修改。

合規功能

選擇資料落地 以符合資料儲存位置的合規性需求。如需詳細資訊，請參閱 Azure DevOps 的數據位置
啟用稽核記錄 以追蹤工作專案和安全性設定的所有變更。如需詳細資訊，請參閱存取、匯出及篩選稽核記錄
設定匯出功能 以產生合規性報告和資料擷取。如需詳細資訊，請參閱匯出具有存取層級的使用者清單
實施自動資料清理和歸檔的保留策略。如需詳細資訊，請參閱設定組建、發行和測試的保留原則

Azure Boards 安全性的最佳做法

存取管理

套用最低權限原則：授與最低必要權限。如需詳細資訊，請參閱關於權限和安全群組
進行定期訪問審查：定期審核用戶權限和群組成員資格。如需詳細資訊，請參閱匯出具有存取層級的使用者清單
使用群組型管理：管理安全群組，而不是個別權限。如需詳細資訊，請參閱關於權限和安全群組
實作條件式存取：啟用位置和裝置型存取控制。如需詳細資訊，請參閱管理條件式存取

工作專案安全性

設計區域路徑策略：建立符合安全性需求的階層式結構。如需詳細資訊，請參閱設定工作追蹤許可權
配置團隊隔離：將團隊設置為僅訪問其指定的工作項目。如需詳細資訊，請參閱新增小組、從一個預設小組移至數個小組
實施字段安全：限制對預算或個人信息等敏感字段的訪問。如需詳細資訊，請參閱新增和修改欄位
控制連結安全性：管理誰可以在工作專案之間建立相依性。如需詳細資訊，請參閱將工作專案連結至物件

資料保護

謹慎處理敏感資訊：避免將憑證或個人資料儲存在工作專案中
管理文件附件：實施可接受的文件類型和大小的策略
驗證外部連結：核准工作專案中的外部 URL 連結
安全查詢存取：確保查詢不會公開未經授權的資料。如需詳細資訊，請參閱設定查詢和查詢資料夾的權限

監控和合規性

監視活動模式：追蹤工作專案存取模式和異常活動。如需詳細資訊，請參閱存取、匯出及篩選稽核記錄
稽核變更記錄：維護所有工作專案修改的記錄。如需詳細資訊，請參閱查詢工作專案歷程記錄和稽核
實施定期備份：為關鍵工作追蹤數據創建備份策略。如需詳細資訊，請參閱資料保護概觀
建立事件回應：為涉及工作專案的安全事件建立程序。如需詳細資訊，請參閱安全性最佳實務

常見的安全性案例

多團隊專案

當多個團隊在單一專案中工作時，必須建立明確的安全邊界，以確保團隊只能存取其相關工作項目，同時在需要時保持協作。 Azure Boards 會使用區域路徑來建立這些安全性界限，可讓您針對不同的小組和組織層級設定細微的存取控制。

如需為每個小組設定小組系統管理員的指引，請參閱管理小組系統管理員。

範例案例：一個軟體開發專案，其專業團隊負責不同的元件，以及管理監督：

Project: ProductDevelopment
├── Area: Frontend (Frontend team access)
├── Area: Backend (Backend team access)
├── Area: QA (QA team access)
└── Area: Management (Manager access only)

在此配置中：

前端團隊成員 只能在前端區域中查看和編輯工作項目
後端小組成員 的存取權僅限於後端工作專案
QA 小組成員 可以存取 QA 特定的工作項目，以進行測試協調
經理可以 了解管理領域項目以進行戰略規劃和報告
跨團隊依賴關係 可以透過精心配置的共享區域或明確權限來管理

這種方法可確保敏感資訊受到限制，因此團隊可以專注於其特定職責，而不會因不相關的工作項目而分心。

跨專案協作

管理團隊跨專案工作時的安全性：

授予跨項目權限：為外部團隊成員提供特定訪問權限
控制工作專案連結：管理誰可以跨專案建立相依性
管理共享查詢：控制對跨多個項目的查詢的訪問。如需詳細的設定步驟，請參閱設定查詢和查詢資料夾的權限

承包商和供應商訪問

外部貢獻者的安全存取。如需管理外部使用者的完整指引，請參閱將外部使用者新增至您的組織。