加強管線安全性的改善

透過此更新，我們包括加強 Azure DevOps 中安全性的改善。 現在，您可以在建立 Azure Container Registry 的 Docker 登錄服務連線時，使用系統指派的受控識別。 此外，我們已增強代理程式集區的存取管理，讓您指定 YAML 管線內的資源使用。 最後，我們會將複製的公用 GitHub 存放庫的 GitHub 存取令牌限制為具有唯讀權限。

如需詳細資訊，請參閱版本資訊。

Azure Boards

• 複製批注連結

Azure Pipelines

• 容器註冊表服務連線現在可以使用 Azure 管理的身份
• 與管線許可權相關的稽核記錄事件
• 確定您的組織只會使用 YAML 管線
• 更新管線一般設定所需的新 PAT 範圍
• 代理程式集區的精細存取管理
• 防止授與所有管線對受保護資源的存取權
• 從分支 GitHub 存放庫建置提取要求時，改善的安全性
• macOS-latest 標籤會指向 macOS-12 映像檔
• Ubuntu-latest 標籤會指向 ubuntu-22.04 映射

Azure Boards

複製批註連結

您現在可以使用 [複製連結] 動作，將連結複製到特定工作專案批注。 然後，您可以將該連結貼到另一個工作專案批注或描述中。 按兩下時，將會開啟工作專案，並反白顯示批注。

此功能的優先順序是根據社群建議票證 。

請注意

這項功能僅適用於 New Boards Hubs 預覽版。

Azure Pipelines

Container Registry 服務連線現在可以使用 Azure 受控識別

您可以在建立 Azure Container Registry 的 Docker 登錄服務連線時，使用系統指派的受控識別。 這可讓您使用與自我裝載的 Azure Pipelines 代理程式相關聯的受控識別來存取 Azure Container Registry，而不需要管理認證。

注意

用來存取 Azure Container Registry 的 Managed Identity 需要具備適當的 Azure 角色型存取控制 (RBAC) 指派，例如 AcrPull 或 AcrPush 角色。

稽核記錄與管線許可權相關的事件

當您限制受保護資源的管線許可權，例如服務連線時，相關聯的稽核事件記錄檔現在會正確地指出資源已成功 未經授權的專案。

確定您的組織只會使用YAML管線

Azure DevOps 現在可讓您藉由停用建立傳統組建管線、傳統發行管線、工作組和部署群組，來確保組織只使用 YAML 管線。 您現有的傳統管線將會繼續執行，而且您將能夠編輯它們，但您將無法建立新的管線。

您可以開啟對應的切換，以停用在組織層級或專案層級建立傳統管線。 切換可在 專案/組織設定 -> 管線 -> 設定中找到。

切換狀態預設為關閉，您需要系統管理員許可權才能變更狀態。 如果開關在組織層級開啟，則停用將被強制執行於所有項目。 否則，每個專案皆可自由選擇是否要強制執行停用。

強制執行停用建立傳統管線時，與建立傳統管線、工作組和部署群組相關的 REST API 將會失敗。 建立 YAML 管線的 REST API 將會運作。

現有組織可以選擇停用傳統管線的建立功能。 對於新組織，暫時採用選擇加入的方式。

更新管線一般設定所需的新 PAT 範圍

叫用 一般設定 - 更新 REST API 現在需要 PAT，其範圍涵蓋 專案與團隊 -> 讀取 & 寫入。

代理程式集區的精細存取管理

代理程式集區可讓您指定和管理管線執行所在的機器。

先前，如果您使用自訂代理程式池，管理允許存取的管線是比較粗略的。 您可以允許所有管線使用它，或者要求每個管線徵求許可。 不幸的是，一旦您授與代理程式集區的管線訪問許可權，您便無法使用管線 UI 來撤銷它。

Azure Pipelines 現在為代理程式集區提供更細緻的存取管理。 此體驗類似於管理服務連線管線許可權的體驗。

防止授與所有管線對受保護資源的存取權

當您建立受保護的資源，例如服務連線或環境時，您可以選擇選取 [將訪問許可權授與所有管線] 複選框。 到目前為止，此選項預設是勾選的。

雖然這可讓管線更容易使用新的受保護資源，但相反的是，它偏好不小心授與太多管線存取資源的許可權。

若要促進以安全為優先的默認選擇，Azure DevOps 現在將複選框預設為不勾選。

改善從衍生的 GitHub 存放庫建立拉取請求時的安全性

您可以使用 Azure DevOps 來建置及測試公用 GitHub 存放庫。 擁有公用 GitHub 存放庫可讓您與世界各地的開發人員共同作業，但隨附 安全性考慮，與從分支存放庫建置提取要求 （PR）有關。

為了防止從派生的 GitHub 存放庫的拉取請求 (PR) 對您的存放庫進行不想要的變更，Azure DevOps 現在會將 GitHub 存取令牌限制為具有唯讀範圍。

Macos-latest 標籤會指向 macos-12 映像檔

macos-12 Monterey 映像檔已準備好成為 Azure Pipelines 中「macos-latest」標籤的預設版本，使用 Microsoft 託管的代理程式。 到目前為止，這個標籤指向 macos-11 Big Sur 代理程式。

如需 macos-12 與 macos-11 之間差異的完整清單，請瀏覽 GitHub 問題。 如需映像上安裝的完整軟體清單，請參閱這裡 。

Ubuntu-latest 標籤會指向 ubuntu-22.04 影像

ubuntu-22.04 映像檔已準備好成為 Azure Pipelines Microsoft 裝載代理程式中 ubuntu-latest 標籤的預設版本。 到目前為止，此標籤指向 ubuntu-20.04 代理程式。

如需 ubuntu-22.04 與 ubuntu-20.04 之間差異的完整清單，請流覽 GitHub 問題。 如需映像上安裝的完整軟體清單，請參閱這裡 。

後續步驟

注意

這些功能將在未來兩到三周內推出。

前往 Azure DevOps 並查看。

移至 Azure DevOps

如何提供意見反應

我們很樂意聽到您對於這些功能的看法。 使用說明功能表來回報問題或提供建議。

您也可以在 Stack Overflow上取得社群所回答的建議和問題。

謝謝

Vijay Machiraju