Beveiligingsinstellingen voor beheerde DevOps-groepen configureren
Artikel
U kunt de beveiligingsinstelling configureren voor beheerde DevOps-pools tijdens het maken van de pool met behulp van het tabblad Beveiliging en na het maken van de pool met behulp van het deelvenster Beveiligingsinstellingen .
Toegang tot de organisatie configureren
Standaard zijn beheerde DevOps-pools geconfigureerd voor één organisatie, met toegang tot de pool die is verleend aan alle projecten in de organisatie. U kunt desgewenst de toegang tot specifieke projecten in de organisatie beperken en u kunt desgewenst toegang verlenen aan aanvullende organisaties.
Beheerde DevOps-pools worden standaard geconfigureerd voor gebruik met één Azure DevOps-organisatie die u opgeeft wanneer u de pool maakt. Wanneer uw pool is geconfigureerd voor één organisatie, wordt de naam van de organisatie weergegeven en geconfigureerd in de poolinstellingen
Groep toevoegen aan alle projecten is standaard ingesteld op Ja en toegang tot de beheerde DevOps-pool wordt verleend aan alle projecten in de organisatie. Kies Nee om een lijst met projecten op te geven om te beperken welke projecten in uw organisatie de groep kunnen gebruiken.
Organisaties worden geconfigureerd in de organizationProfile eigenschap van de resource Beheerde DevOps-pools.
De organizationProfile sectie heeft de volgende eigenschappen.
Eigenschappen
Beschrijving
organizations
Een lijst met de organisaties die uw pool kunnen gebruiken. url geeft de URL van de organisatie, projects is een lijst met projectnamen die de groep kunnen gebruiken (een lege lijst ondersteunt alle projecten in de organisatie) en parallelism geeft het aantal agents op dat door deze organisatie kan worden gebruikt. De som van de parallelle uitvoering voor de organisaties moet overeenkomen met de maximuminstelling voor agents voor de pool.
permissionProfile
Geef de machtiging op die is verleend aan de Azure DevOps-pool wanneer deze wordt gemaakt. Deze waarde kan alleen worden ingesteld tijdens het maken van een pool. Toegestane waarden zijn Inherit, CreatorOnlyen SpecificAccounts. Als specificAccounts dit is opgegeven, geeft u één e-mailadres of een lijst met e-mailadressen voor de users eigenschap op. Laat usersanders weg. Zie Groepsbeheermachtigingen voor meer informatie.
kind
Met deze waarde wordt het type organisatie voor de pool opgegeven en moet deze worden ingesteld op Azure DevOps.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
In het volgende voorbeeld ziet u een organization-profile object dat is geconfigureerd voor alle projecten in de fabrikam-tailspin organisatie waarop parallelism deze is ingesteld 1.
De organizationProfile sectie heeft de volgende eigenschappen.
Eigenschappen
Beschrijving
AzureDevOps
Deze waarde is de naam van het object waarin is gedefinieerd organization-profile en moet worden ingesteld op Azure DevOps.
organizations
Een lijst met de organisaties die uw pool kunnen gebruiken. url geeft de URL van de organisatie, projects is een lijst met projectnamen die de groep kunnen gebruiken (een lege lijst ondersteunt alle projecten in de organisatie) en parallelism geeft het aantal agents op dat door deze organisatie kan worden gebruikt. De som van de parallelle uitvoering voor de organisaties moet overeenkomen met de maximuminstelling voor agents voor de pool.
permissionProfile
Geef de machtiging op die is verleend aan de Azure DevOps-pool wanneer deze wordt gemaakt. Deze waarde kan alleen worden ingesteld tijdens het maken van een pool. Toegestane waarden zijn Inherit, CreatorOnlyen SpecificAccounts. Als specificAccounts dit is opgegeven, geeft u één e-mailadres of een lijst met e-mailadressen voor de users eigenschap op. Laat usersanders weg. Zie Groepsbeheermachtigingen voor meer informatie.
Schakel Pool in meerdere organisaties in om uw pool te gebruiken met meerdere Azure DevOps-organisaties. Geef voor elke organisatie de projecten op die zijn toegestaan om de pool te gebruiken of laat leeg om alle projecten toe te staan. Configureer het parallellisme voor elke organisatie door op te geven welke delen van de gelijktijdigheid, zoals opgegeven door Maximumagenten voor de groep, moet worden toegewezen aan elke organisatie. De som van de parallelle uitvoering voor alle organisaties moet gelijk zijn aan de maximale gelijktijdigheid van de pool. Als maximumagenten bijvoorbeeld zijn ingesteld op vijf, moet de som van de parallelle uitvoering voor de opgegeven organisaties vijf zijn. Als maximumagenten is ingesteld op één, kunt u de groep alleen gebruiken met één organisatie.
In het volgende voorbeeld is de pool geconfigureerd voor de fabrikamResearch - en FabrikamTest-projecten in de fabrikam-tailspin-organisatie en voor alle projecten in de fabrikam-blue-organisatie .
Als u een foutmelding krijgt zoals The sum of parallelism for all organizations must equal the max concurrency., controleert u of het maximumaantal agents voor de pool overeenkomt met de som van de kolom Parallellisme .
Voeg extra organisaties toe aan de lijst met organisaties om uw pool te configureren voor gebruik met meerdere organisaties. In het volgende voorbeeld zijn twee organisaties geconfigureerd. De eerste organisatie is geconfigureerd voor het gebruik van beheerde DevOps-pools voor alle projecten en de tweede organisatie is beperkt tot twee projecten. In dit voorbeeld is de maximuminstelling voor agents voor de pool vier en kan elke organisatie twee van deze vier agents gebruiken.
az mdp pool create \
--organization-profile organization-profile.json
# other parameters omitted for space
Voeg extra organisaties toe aan de lijst met organisaties om uw pool te configureren voor gebruik met meerdere organisaties. In het volgende voorbeeld zijn twee organisaties geconfigureerd. De eerste organisatie is geconfigureerd voor het gebruik van beheerde DevOps-pools voor alle projecten en de tweede organisatie is beperkt tot twee projecten. In dit voorbeeld is de maximuminstelling voor agents voor de pool vier en kan elke organisatie twee van deze vier agents gebruiken.
Als uw tests een interactieve aanmelding nodig hebben voor het testen van de gebruikersinterface, schakelt u interactieve aanmelding in door de instelling EnableInteractiveMode in te schakelen.
De interactieve modus wordt geconfigureerd in de osProfile sectie van de fabricProfile eigenschap. Stel logonType deze optie in om Interactive de interactieve modus in te schakelen of Service om de interactieve modus uit te schakelen.
De interactieve modus wordt geconfigureerd met behulp van de logonType eigenschap in de osProfile sectie in de parameter bij het fabric-profile maken of bijwerken van een pool.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
In het volgende voorbeeld ziet u de osProfile sectie van het bestand fabric-profile.json met Interactive de modus ingeschakeld.
Als onderdeel van het proces voor het maken van een beheerde DevOps-pool wordt een agentgroep op organisatieniveau gemaakt in Azure DevOps. De instelling voor groepsbeheermachtigingen geeft aan welke gebruikers de beheerdersrol van de zojuist gemaakte Azure DevOps-pool krijgen. Als u de machtigingen voor de Azure DevOps-agentgroep wilt weergeven en beheren nadat de beheerde DevOps-pool is gemaakt, raadpleegt u Agentpools maken en beheren - Beveiliging van agentpools.
Alleen maker: de gebruiker die de beheerde DevOps-pool heeft gemaakt, wordt toegevoegd als beheerder van de Azure DevOps-agentgroep en Overname is ingesteld op Uit in de beveiligingsinstellingen van de agentgroep. Creator is alleen de standaardinstelling.
Machtigingen overnemen van project : de gebruiker die de beheerde DevOps-pool heeft gemaakt, wordt toegevoegd als beheerder van de Azure DevOps-agentgroep en Overname is ingesteld op Aan in de beveiligingsinstellingen van de agentgroep.
Specifieke accounts : geef de accounts op die moeten worden toegevoegd als beheerders van de gemaakte agentgroep in Azure DevOps. De maker van de beheerde DevOps-pool wordt standaard toegevoegd aan de lijst.
Notitie
De instelling voor groepsbeheermachtigingen wordt geconfigureerd op het tabblad Beveiliging wanneer de pool wordt gemaakt en wordt niet weergegeven in de beveiligingsinstellingen nadat de pool is gemaakt. Als u de machtigingen voor de Azure DevOps-agentgroep wilt weergeven en beheren nadat de beheerde DevOps-pool is gemaakt, raadpleegt u Agentpools maken en beheren - Beveiliging van agentpools.
Groepsbeheermachtigingen worden geconfigureerd in de permissionsProfile eigenschap van de sectie van de organizationProfile resource Beheerde DevOps-pools.
De permissionProfile eigenschap kan alleen worden ingesteld tijdens het maken van een pool. Toegestane waarden zijn Inherit, CreatorOnlyen SpecificAccounts.
CreatorOnly - De gebruiker die de beheerde DevOps-pool heeft gemaakt, wordt toegevoegd als beheerder van de Azure DevOps-agentgroep en Overname is ingesteld op Uit in de beveiligingsinstellingen van de agentgroep. Creator is alleen de standaardinstelling.
Inherit - De gebruiker die de beheerde DevOps-pool heeft gemaakt, wordt toegevoegd als beheerder van de Azure DevOps-agentgroep en Overname is ingesteld op Aan in de beveiligingsinstellingen van de agentgroep.
SpecificAccounts - Geef de accounts op die moeten worden toegevoegd als beheerders van de gemaakte agentpool in Azure DevOps. De maker van de beheerde DevOps-pool wordt standaard toegevoegd aan de lijst. Geef één e-mailadres of een lijst met e-mailadressen voor de users eigenschap op; laat anders weg users.
De permissionProfile eigenschap kan alleen worden ingesteld tijdens het maken van een pool. Toegestane waarden zijn Inherit, CreatorOnlyen SpecificAccounts.
CreatorOnly - De gebruiker die de beheerde DevOps-pool heeft gemaakt, wordt toegevoegd als beheerder van de Azure DevOps-agentgroep en Overname is ingesteld op Uit in de beveiligingsinstellingen van de agentgroep. Creator is alleen de standaardinstelling.
Inherit - De gebruiker die de beheerde DevOps-pool heeft gemaakt, wordt toegevoegd als beheerder van de Azure DevOps-agentgroep en Overname is ingesteld op Aan in de beveiligingsinstellingen van de agentgroep.
SpecificAccounts - Geef de accounts op die moeten worden toegevoegd als beheerders van de gemaakte agentpool in Azure DevOps. De maker van de beheerde DevOps-pool wordt standaard toegevoegd aan de lijst. Geef één e-mailadres of een lijst met e-mailadressen voor de users eigenschap op; laat anders weg users.
Beheerde DevOps-pools bieden de mogelijkheid om certificaten op te halen uit een Azure Key Vault tijdens het inrichten. Dit betekent dat de certificaten al op de computer bestaan wanneer uw Azure DevOps-pijplijnen worden uitgevoerd. Als u deze functie wilt gebruiken, moet u een identiteit in uw pool configureren en moet deze identiteit de gebruikersmachtigingen voor Key Vault-geheimen hebben om het geheim op te halen uit uw Key Vault. Als u uw identiteit wilt toewijzen aan de gebruikersrol Key Vault-geheimen, raadpleegt u Toegang verlenen tot Key Vault-sleutels, -certificaten en -geheimen met een op rollen gebaseerd toegangsbeheer van Azure.
Notitie
api-version 2024-10-19Als u deze functie gebruikt, kunt u slechts één identiteit in de pool gebruiken. Ondersteuning voor meerdere identiteiten wordt binnenkort toegevoegd.
Er kan slechts één identiteit worden gebruikt om geheimen op te halen uit de Key Vault.
Key Vault-integratie is geconfigureerd in Instellingenbeveiliging>.
Notitie
Key Vault-integratie-instellingen kunnen alleen worden geconfigureerd nadat de pool is gemaakt. Key Vault-integratie-instellingen kunnen niet worden geconfigureerd tijdens het maken van de pool en worden niet weergegeven op het tabblad Beveiliging tijdens het maken van een pool.
Azure Key Vault is geconfigureerd in de osProfile sectie van de fabricProfile eigenschap. Stel de secretManagementSettings optie in om toegang te krijgen tot het gewenste certificaat.
Azure Key Vault wordt geconfigureerd in de sectie van de fabricProfile eigenschap bij het osProfile maken of bijwerken van een pool. Stel de secretManagementSettings optie in om toegang te krijgen tot het gewenste certificaat.
az mdp pool create \
--fabric-profile fabric-profile.json
# other parameters omitted for space
In het volgende voorbeeld ziet u de osProfile sectie van het fabric-profile.json-bestand met secretsManagementSettingsgeconfigureerde configuratie.
Certificaten die worden opgehaald met behulp van de SecretManagementSettings groep, worden automatisch gesynchroniseerd met de meest recente versies die zijn gepubliceerd in Key Vault. Deze geheimen bevinden zich op de machine op het moment dat er een Azure DevOps-pijplijn wordt uitgevoerd, wat betekent dat u tijd kunt besparen en taken voor het ophalen van certificaten kunt verwijderen.
Belangrijk
Het inrichten van uw virtuele agentmachines mislukt als het geheim niet kan worden opgehaald uit de Key Vault vanwege een probleem met machtigingen of netwerk.
Voor Windows mag de locatie van het certificaatarchief worden ingesteld op LocalMachine of CurrentUser. Deze instelling zorgt ervoor dat het geheim op die locatie op de computer is geïnstalleerd. Zie de documentatie voor de Azure VMSS Key Vault-extensie voor Windows voor specifieke werking van het ophalen van geheimen.
Voor Linux kan de locatie van het certificaatarchief elke map op de computer zijn en worden de certificaten gedownload en gesynchroniseerd naar die locatie. Zie de documentatie voor de Azure VMSS Key Vault-extensie voor Linux voor specifieke informatie over standaardinstellingen en geheimgedrag.
