トークン ライフサイクル管理がプライベート プレビューになりました
以前は、個人用アクセス トークンを作成、更新、有効期限切れにするために、Azure DevOps UI に依存していました。 このリリースでは、個人用アクセス トークンに対する Azure DevOps REST API のサポートを発表し、プライベート プレビューで利用できるようになりました。
詳細については、以下の機能の一覧を参照してください。
全般
- PAT ライフサイクル管理 API (プライベート プレビュー)
- 監査ログにトークン管理イベントが表示されるようになりました
- ユーザーの可視性とコラボレーションを特定のプロジェクトに制限する
- 組織の設定を非表示にする
Azure Pipelines
Azure Artifacts
全般
PAT ライフサイクル管理 API (プライベート プレビュー)
Azure DevOps の個人用アクセス トークン (AT) のライフサイクルを管理するための新しい API のリリースをお知らせします。 この豊富な API セットを使用すると、チームは、所有する PAT の管理を簡素化し、目的のスコープと期間で新しい個人用アクセス トークンを作成したり、既存のトークンを更新または期限切れにしたりするなどの新しい機能を提供できます。
現在、AT (個人用アクセス トークン) を管理する主な方法は、UI を使用するか、プロジェクト コレクション管理者専用の限られた API セットを使用することです。 この新しい API により、ビルド パイプラインの設定や作業項目の操作など、組織が AT を含む自動化を設定できるようになります。
PAT ライフサイクル管理 API は、組織がプライベート プレビューで使用できるようになりました。
API とドキュメントにアクセスするにはユース ケースと Azure DevOps 組織にお問い合わせください。 この API が組織にどのように役立ったか、またはニーズを満たすためにさらに改善できる方法に関するフィードバックをお寄せください。
監査ログにトークン管理イベントが表示されるようになりました
個人用アクセス トークン (AT) と SSH キーを使用すると、ユーザーとチームメイトは非対話型の方法で Azure DevOps で認証できます。 多くのユーザーは、承認されていないユーザーによる悪意のあるアクティビティを防ぐために、誰が、どのようにこれらのトークンを使用するかを理解する必要があることを表明しています。 このリリースでは、これらのトークンが正常に作成、更新、取り消され、削除されるたびに、新しいイベントが監査ログに追加されます。
これらの新しいイベントを表示するには、組織の設定ページから [監査] ページに移動します。 これらの新しいイベントと監査ログで使用可能なすべてのイベントの詳細については、 ドキュメントを参照してください。
ユーザーの可視性とコラボレーションを特定のプロジェクトに制限する
このスプリントでは、Azure DevOps の組織管理者がさまざまなプロジェクトのユーザーを表示および共同作業できないようにするためのパブリック プレビュー機能をリリースします。 この機能により、別のレベルの分離とアクセス制御がプロジェクトにもたらされます。 お客様の早期フィードバックは、エクスペリエンスの向上に役立ちます。
既定では、組織に追加されたユーザーは、すべての組織のメタデータと設定を表示できます。 これには、組織内のユーザーの一覧、プロジェクトの一覧、課金の詳細、使用状況データ、組織の設定からアクセスできるものの表示が含まれます。 さらに、ユーザーは、さまざまなユーザー 選択ツールを使用して、他のすべての組織メンバーを検索、表示、選択、タグ付けできます。これらのユーザーが同じプロジェクトに属していない場合でも同様です。
この情報からユーザーを制限するには、 ユーザーの可視性とコラボレーションを有効にして、組織の特定のプロジェクト プレビュー機能を使用できます。 有効にすると、組織レベルのセキュリティ グループである Project-Scoped Users グループが Azure DevOps 組織に追加されます。 この新しいグループに追加されたユーザーとグループ ([組織の設定] -> アクセス許可) には、非表示の組織設定と制限付きのユーザー選択の検索とタグ付けの 2 つの制限があります。
非表示の組織の設定
"Project-Scoped Users" グループに追加されたユーザーは、Overview Projects を除き、Organization Settings ページへのアクセスが制限され、所属するプロジェクトからのデータのみを表示するように制限されます。
制限付きのユーザー 選択ウィンドウの検索とタグ付け
製品のさまざまなユーザー ピッカーを使用すると、"Project-Scoped Users" グループに追加されたユーザーとグループは、現在属しているプロジェクトのメンバーでもあるメンバーのみを検索、表示、選択、タグ付けできます。
Azure Pipelines
監査ログで使用可能な承認者の詳細
これで、監査ログでパイプラインを承認したユーザーに関する詳細を表示できるようになりました。 この情報を含むように、"Check Suite Completed" イベントを更新しました。 監査ログには、 Organization Settings ->Auditing からアクセスできます。
パブリック プロジェクトで無料のパイプライン許可を取得するためのプロセスの変更
Azure Pipelines では、2018 年 9 月以降、オープンソース プロジェクトに対して無料の CI/CD が提供されています。 これは無料のコンピューティングを提供するため、常に不正使用のターゲット (特に暗号マイニング) でした。 この不正使用を最小限に抑えることは、常にチームのエネルギーを取っています。 この数か月間、状況は大幅に悪化し、Azure DevOps の新しいパブリック プロジェクトの割合が高く、暗号化マイニングやその他のアクティビティに使用されています。 これにより、チームからエネルギーが増えるだけでなく、ホストされたエージェント プールがストレスにさらされ、オープンソースと有料の両方のユーザーのエクスペリエンスが低下します。
この状況に対処するために、Azure DevOps で作成された新しいパブリック プロジェクトでは、並列ジョブの無料の許可が取得されなくなります。 その結果、新しいパブリック プロジェクトを作成するときにパイプラインを実行できなくなります。 ただし、 azpipelines-ossgrant@microsoft.com に電子メールを送信し、次の詳細を指定することで、無料の許可を要求できます。
- 名前
- 無料の許可を要求している Azure DevOps 組織
- ビルドする予定のリポジトリへのリンク
- プロジェクトの簡単な説明
並列ジョブと無料の許可の詳細については、 ドキュメントを参照してください。
Azure Artifacts
Azure Artifacts アップストリームの動作に対する変更
以前は、Azure Artifacts フィードには、すべてのアップストリーム ソースからのパッケージ バージョンが表示されました。 このアップストリームには、もともと Azure Artifacts フィード (内部ソース) にプッシュされたパッケージ バージョンと、npmjs.com、NuGet.org、Maven Central、PyPI (外部ソース) などの一般的なパブリック リポジトリからのパッケージ バージョンが含まれます。
このスプリントでは、内部ソース パッケージが既に存在する場合に外部ソース パッケージへのアクセスを制限することで、プライベート フィードのセキュリティを強化する新しい動作が導入されます。 この機能により、新しいセキュリティ層が提供されます。これにより、悪意のあるパッケージがパブリック レジストリから誤って使用されるのを防ぐことができます。 これらの変更は、フィードで既に使用またはキャッシュされているパッケージ バージョンには影響しません。
外部から提供されるパッケージ バージョンを許可する必要がある一般的なパッケージ シナリオの詳細と、パブリック パッケージのブロックが不要な他のいくつかのシナリオ、およびアップストリームの動作を構成する方法については、ドキュメント「 アップストリーム動作の構成 - Azure Artifacts |Microsoft Docs
次のステップ
Note
これらの機能は、今後 2 ~ 3 週間にわたってロールアウトされます。
Azure DevOps に向かい、見てみましょう。
フィードバックの提供方法
これらの機能に関するご意見をお聞かせください。 ヘルプ メニューを使用して、問題を報告したり、提案を提供したりします。
Stack Overflow のコミュニティからアドバイスや質問に回答してもらうこともできます。
よろしくお願いします。
Aaron Halberg