个人访问令牌的新策略

在此冲刺中，我们添加了新策略来限制个人访问令牌的范围和期限 (PAT) 。 此外，我们更新了 Team Foundation 版本控制 (TFVC) Windows Shell 扩展以支持 Visual Studio 2019。

有关详细信息，请查看以下功能说明。

常规

• 通过 Azure AD 租户策略限制个人访问令牌 (PAT) 范围和生存期
• IPv6 流量的条件访问策略支持

Azure Pipelines

• 保留在其他管道中使用的管道
• 自动创建环境的更改
• 从生成管道中删除见解对话

Azure Repos

• 汇报 vs 2019 Team Foundation 版本控制 (TFVC) Windows Shell 扩展

常规

通过 Azure AD 租户策略限制个人访问令牌 (PAT) 范围和生存期

个人访问令牌 (PAC) 可以轻松地针对 Azure DevOps 进行身份验证，以便与工具和服务集成。 但是，泄露的令牌可能会危及 Azure DevOps 帐户和数据，使应用程序和服务面临风险。

我们收到了有关管理员没有必要的控制来限制泄漏的 PAC 构成的威胁外围区域的反馈。 根据这些反馈，我们添加了一组新的策略，可用于限制组织的 Azure DevOps 个人访问令牌的范围和期限， (PAC) ！ 以下是它们的工作原理：

在 Azure Active Directory 中分配到 Azure DevOps 管理员角色的用户可以导航到链接到其 Azure AD 的任何 Azure DevOps 组织的组织设置中的“Azure Active Directory”选项卡。

在那里，管理员可以：

1. 限制创建全局个人访问令牌（适用于用户可访问的所有 Azure DevOps 组织的令牌）
2. 限制创建全范围的个人访问令牌
3. 定义新个人访问令牌的最长生命期

这些策略将应用于用户为链接到 Azure AD 租户的 Azure DevOps 组织创建的所有新 PAC。 每个策略都有一个允许列表，适用于应免除策略的用户和组。 “允许”列表中的用户和组列表将无权管理策略配置。

这些策略仅适用于新的 PAT，并且不会影响已创建且正在使用的现有 PAT 。 但是，启用策略后，必须更新任何现有的、现在不合规的 PAT，使其在限制范围内，然后才能续订。

IPv6 流量的条件访问策略支持

我们现在正在扩展条件访问策略 (CAP) 支持，以包括 IPv6 隔离策略。 随着人们越来越多地从 IPv6 地址访问设备上的 Azure DevOps 资源，我们希望确保你的团队能够授予和删除来自任何 IP 地址（包括来自 IPv6 流量的 IP 地址）的访问权限。

Azure Pipelines

保留在其他管道中使用的管道

经典版本能够自动保留它们使用的生成。 这是经典版本和 YAML 管道之间的差距之一，它阻止了你们中的一些人迁移到 YAML。 在此版本中，我们解决了这一差距。

现在，可以创建多阶段 YAML 管道来表示发布，并使用 其中的另一个 YAML 管道作为资源。 执行此操作时，只要保留发布管道，Azure Pipelines 就会自动保留资源管道。 删除发布管道时，将释放资源管道上的租约，并遵循其自己的保留策略。

自动创建环境的更改

创作 YAML 管道并引用不存在的环境时，Azure Pipelines 会自动创建环境。 此自动创建可以在用户上下文或系统上下文中进行。 在以下流中，Azure Pipelines 知道执行操作的用户：

• 在 Azure Pipelines Web 体验中使用 YAML 管道创建向导，并引用尚未创建的环境。
• 使用 Azure Pipelines Web 编辑器更新 YAML 文件，并在添加对不存在的环境的引用后保存管道。

在上述每种情况下，Azure Pipelines 都清楚地了解执行操作的用户。 因此，它会创建环境并将用户添加到环境的管理员角色。 此用户具有管理环境和/或将其他用户纳入管理环境的各种角色的所有权限。

在以下流中，Azure Pipelines 没有关于创建环境的用户的信息：使用其他外部代码编辑器更新 YAML 文件，添加对不存在的环境的引用，然后触发手动或持续集成管道。 在这种情况下，Azure Pipelines 并不了解用户。 以前，我们通过将所有项目参与者添加到环境的管理员角色来处理这种情况。 然后，项目的任何成员都可以更改这些权限，并阻止其他人访问环境。

我们收到了你关于向项目的所有成员授予环境管理员权限的反馈。 当我们听取你的反馈时，我们听说，如果不清楚执行操作的用户是谁，则不应自动创建环境。 在此版本中，我们更改了自动创建环境的方式：

• 今后，如果环境不存在且用户上下文未知，则管道运行不会自动创建环境。 在这种情况下，管道将失败并 出现“找不到环境”错误。 在管道中使用它之前，需要预先创建具有正确安全性的环境并检查配置。
• 具有已知用户上下文的管道仍将像过去一样自动创建环境。
• 最后，应注意的是，添加自动创建环境的功能只是为了简化 Azure Pipelines 入门的过程。 它适用于测试方案，而不是生产方案。 应始终使用正确的权限和检查预先创建生产环境，然后在管道中使用它们。

从生成管道中删除见解对话

根据你的反馈，导航生成管道时显示的任务/管道见解对话框已被删除，以改进工作流。 管道分析仍然可用，以便获得所需的见解。

Azure Repos

汇报 visual Studio 2019 Team Foundation 版本控制 (TFVC) Windows Shell 扩展

以前版本的 TFVC Windows Shell 扩展仅适用于已安装 Visual Studio 2017 的计算机。

我们发布了与 Visual Studio 2019 兼容的此工具 的新版本 。 该扩展提供与 Windows 资源管理器和常见文件对话框的集成。 通过此集成，可以执行许多源代码管理操作，而无需运行 Visual Studio 或 Team Foundation 命令行工具。

后续步骤

注意

这些功能将在未来两到三周内推出。

前往 Azure DevOps 并了解一下。

转到 Azure DevOps

如何提供反馈

我们很想听听你对这些功能的看法。 使用帮助菜单报告问题或提供建议。

你还可以在 Stack Overflow 上获取社区的建议和问题解答。

此致

Vijay Machiraju