Delen via

Nieuw beleid voor persoonlijke toegangstokens

  • Artikel

In deze sprint hebben we nieuw beleid toegevoegd om het bereik en de levensduur van persoonlijke toegangstokens (PAT) te beperken. Daarnaast hebben we de Windows Shell-extensie Team Foundation Version Control (TFVC) bijgewerkt om Visual Studio 2019 te ondersteunen.

Bekijk de volgende functiebeschrijvingen voor meer informatie.

Algemeen

Azure Pipelines

Azure-opslagplaatsen

Algemeen

Bereik en levensduur van persoonlijk toegangstoken (PAT) beperken via Azure AD tenantbeleid

Persoonlijke toegangstokens (PAW's) maken het eenvoudig om te verifiëren bij Azure DevOps om te integreren met uw hulpprogramma's en services. Gelekte tokens kunnen echter uw Azure DevOps-account en -gegevens in gevaar brengen, waardoor uw toepassingen en services risico lopen.

We hebben feedback ontvangen over beheerders die niet over de benodigde controles beschikken om het bedreigingsoppervlak van gelekte PAW's te beperken. Op basis van deze feedback hebben we een nieuwe set beleidsregels toegevoegd die kan worden gebruikt om het bereik en de levensduur van de persoonlijke toegangstokens (PAW's) van Azure DevOps van uw organisatie te beperken. Ze werken als volgt:

Gebruikers die zijn toegewezen aan de rol Azure DevOps-beheerder in Azure Active Directory, kunnen navigeren naar het tabblad Azure Active Directory in de organisatie-instellingen van elke Azure DevOps-organisatie die is gekoppeld aan hun Azure AD.

Pat-besturingselementen voor installatiekopieën

Daar kunnen beheerders het volgende doen:

  1. het maken van algemene persoonlijke toegangstokens (tokens die werken voor alle Azure DevOps-organisaties die toegankelijk zijn voor de gebruiker) beperken
  2. het maken van persoonlijke toegangstokens met een volledige omvang beperken
  3. een maximale levensduur definiëren voor nieuwe persoonlijke toegangstokens

Dit beleid is van toepassing op alle nieuwe PAT's die door gebruikers zijn gemaakt voor Azure DevOps-organisaties die zijn gekoppeld aan de Azure AD-tenant. Elk beleid heeft een acceptatielijst voor gebruikers en groepen die moeten worden uitgesloten van het beleid. De lijst met gebruikers en groepen in de lijst Toestaan heeft geen toegang tot het beheren van beleidsconfiguratie.

Deze beleidsregels zijn alleen van toepassing op nieuwe PAT's en zijn niet van invloed op bestaande PAT's die al zijn gemaakt en worden gebruikt. Nadat het beleid is ingeschakeld, moeten echter alle bestaande, nu niet-compatibele PAW's worden bijgewerkt om binnen de beperkingen te vallen voordat ze kunnen worden vernieuwd.

Ondersteuning voor beleid voor voorwaardelijke toegang voor IPv6-verkeer

We breiden nu de ondersteuning voor beleid voor voorwaardelijke toegang (CAP) uit met het IPv6-fencingbeleid. Omdat we zien dat mensen steeds meer toegang hebben tot Azure DevOps-resources op apparaten vanaf IPv6-adressen, willen we ervoor zorgen dat uw teams zijn uitgerust om toegang te verlenen en te verwijderen van elk IP-adres, met inbegrip van ip-adressen die afkomstig zijn van IPv6-verkeer.

Azure Pipelines

Pijplijnen behouden die worden gebruikt in andere pijplijnen

Klassieke releases hadden de mogelijkheid om de builds die ze gebruiken, automatisch te behouden. Dit was een van de hiaten tussen klassieke releases en YAML-pijplijnen, en het voorkwam dat sommigen van u naar YAML overstapten. Met deze release hebben we deze kloof aangepakt.

U kunt nu een YAML-pijplijn met meerdere fasen maken om uw release weer te geven en er een andere YAML-pijplijn in gebruiken als resource. Wanneer u dit doet, behoudt Azure Pipelines automatisch de resourcepijplijn zolang de release-pijplijn behouden blijft. Wanneer de release-pijplijn wordt verwijderd, wordt de lease voor de resourcepijplijn vrijgegeven en wordt het eigen bewaarbeleid gevolgd.

Wijzigingen in het automatisch maken van omgevingen

Wanneer u een YAML-pijplijn maakt en verwijst naar een omgeving die niet bestaat, wordt de omgeving automatisch door Azure Pipelines gemaakt. Deze automatische creatie kan plaatsvinden in de gebruikerscontext of de systeemcontext. In de volgende stromen weet Azure Pipelines over de gebruiker die de bewerking uitvoert:

  • U gebruikt de wizard YAML-pijplijn maken in de webervaring van Azure Pipelines en verwijst naar een omgeving die nog niet is gemaakt.
  • U werkt het YAML-bestand bij met behulp van de Azure Pipelines-webeditor en slaat de pijplijn op nadat u een verwijzing hebt toegevoegd aan een omgeving die niet bestaat.

In elk van de bovenstaande gevallen heeft Azure Pipelines een duidelijk inzicht in de gebruiker die de bewerking uitvoert. Daarom wordt de omgeving gemaakt en wordt de gebruiker toegevoegd aan de beheerdersrol voor de omgeving. Deze gebruiker heeft alle machtigingen om de omgeving te beheren en/of om andere gebruikers op te nemen in verschillende rollen voor het beheren van de omgeving.

In de volgende stromen bevat Azure Pipelines geen informatie over de gebruiker die de omgeving maakt: u werkt het YAML-bestand bij met een andere externe code-editor, voegt een verwijzing toe naar een omgeving die niet bestaat en zorgt er vervolgens voor dat een handmatige of continue integratiepijplijn wordt geactiveerd. In dit geval weet Azure Pipelines niet van de gebruiker. Eerder hebben we deze case afgehandeld door alle projectbijdragers toe te voegen aan de beheerdersrol van de omgeving. Elk lid van het project kan deze machtigingen vervolgens wijzigen en voorkomen dat anderen toegang krijgen tot de omgeving.

We hebben uw feedback ontvangen over het verlenen van beheerdersmachtigingen voor een omgeving aan alle leden van een project. Terwijl we naar uw feedback hebben geluisterd, hebben we gehoord dat we niet automatisch een omgeving moeten maken als het niet duidelijk is wie de gebruiker is die de bewerking uitvoert. Met deze release hebben we wijzigingen aangebracht in de wijze waarop omgevingen automatisch worden gemaakt:

  • In de toekomst maken pijplijnuitvoeringen niet automatisch een omgeving als deze niet bestaat en als de gebruikerscontext niet bekend is. In dergelijke gevallen mislukt de pijplijn met de fout Omgeving niet gevonden. U moet de omgevingen vooraf maken met de juiste beveiliging en de configuratie controleren voordat u deze in een pijplijn gebruikt.
  • Pijplijnen met een bekende gebruikerscontext worden nog steeds automatisch omgevingen gemaakt, net zoals in het verleden.
  • Ten slotte moet worden opgemerkt dat de functie voor het automatisch maken van een omgeving alleen is toegevoegd om het proces om aan de slag te gaan met Azure Pipelines te vereenvoudigen. Het was bedoeld voor testscenario's en niet voor productiescenario's. U moet altijd vooraf productieomgevingen maken met de juiste machtigingen en controles en deze vervolgens gebruiken in pijplijnen.

Dialoogvenster Inzichten verwijderen uit build-pijplijn

Op basis van uw feedback is het dialoogvenster Inzichten voor taak/pijplijn dat wordt weergegeven wanneer u door de build-pijplijn navigeert, verwijderd om de werkstroom te verbeteren. De pijplijnanalyses zijn nog steeds beschikbaar, zodat u de inzichten hebt die u nodig hebt.

Azure-opslagplaatsen

Updates voor De Windows Shell-extensie Team Foundation Version Control (TFVC) voor Visual Studio 2019

De vorige versie van de TFVC Windows Shell-extensie werkte alleen op computers waarop Visual Studio 2017 was geïnstalleerd.

We hebben een nieuwe versie van dit hulpprogramma uitgebracht die compatibel is met Visual Studio 2019. De extensie biedt integratie met Windows Verkenner en de algemene bestandsdialoogvensters. Met deze integratie kunt u veel broncodebeheerbewerkingen uitvoeren zonder Visual Studio of een opdrachtregelprogramma van Team Foundation uit te voeren.

Volgende stappen

Notitie

Deze functies worden in de komende twee tot drie weken uitgerold.

Ga naar Azure DevOps en neem een kijkje.

Ga naar Azure DevOps

Feedback geven

We horen graag wat u vindt van deze functies. Gebruik het menu Help om een probleem te melden of een suggestie te doen.

Een suggestie doen

U kunt ook advies krijgen en uw vragen worden beantwoord door de community op Stack Overflow.

Met vriendelijke groet,

Vijay Machiraju