Konfigurieren von Sicherheitseinstellungen für Managed DevOps-Pools

Artikel
10/18/2024

Wichtig

Verwaltete DevOps-Pools befinden sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Sie können die Sicherheitseinstellung für verwaltete DevOps-Pools während der Poolerstellung mithilfe der Registerkarte "Sicherheit " und nach der Poolerstellung mithilfe des Bereichs "Sicherheitseinstellungen " konfigurieren.

Konfigurieren des Organisationszugriffs

Be default, Managed DevOps Pools are configured for a single organization, with access to the pool granted to all projects in the organization. Sie können optional den Zugriff auf bestimmte Projekte in der Organisation einschränken und bei Bedarf Zugriff auf weitere Organisationen gewähren.

Verwenden des Pools mit einer einzigen Organisation
Verwenden des Pools in mehreren Organisationen

Verwenden des Pools mit einer einzigen Organisation

Standardmäßig sind verwaltete DevOps-Pools für die Verwendung mit einer einzelnen Azure DevOps-Organisation konfiguriert, die Sie beim Erstellen des Pools angeben. Wenn Ihr Pool für eine einzelne Organisation konfiguriert ist, wird der Organisationsname in den Pooleinstellungen angezeigt und konfiguriert.

Standardmäßig ist "Pool zu allen Projekten hinzufügen" auf "Ja" festgelegt, und der Zugriff auf den verwalteten DevOps-Pool wird allen Projekten in der Organisation gewährt. Wählen Sie "Nein " aus, um eine Liste von Projekten anzugeben, um einzuschränken, welche Projekte in Ihrer Organisation den Pool verwenden können.

Screenshot der Konfiguration von Projekten für eine einzelne Organisation.

Organisationen werden in der organizationProfile Eigenschaft der Ressource "Managed DevOps Pools" konfiguriert.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2024-04-04-preview",
            "location": "eastus",
            "properties": {
            ...
            "organizationProfile": {
                "organizations": [
                    {
                        "url": "https://dev.azure.com/fabrikam-tailspin",
                        "projects": [],
                        "parallelism": 4
                    }
                ],
                "permissionProfile": {
                    "kind": "CreatorOnly"
                },
                "kind": "AzureDevOps"
            }
        }
    ]
}

Der organizationProfile Abschnitt enthält die folgenden Eigenschaften.

Eigenschaft	Beschreibung
`organizations`	Eine Liste der Organisationen, die Ihren Pool verwenden können. `url` Gibt die URL der Organisation an, ist eine Liste von Projektnamen, `projects` die den Pool verwenden können (eine leere Liste unterstützt alle Projekte in der Organisation), und `parallelism` gibt die Anzahl der Agents an, die von dieser Organisation verwendet werden können. Die Summe der Parallelität für die Organisationen muss mit der Einstellung für maximale Agents für den Pool übereinstimmen.
`permissionProfile`	Geben Sie die Berechtigung an, die dem Azure DevOps-Pool gewährt wird, wenn sie erstellt wird. Dieser Wert kann nur während der Poolerstellung festgelegt werden. Zulässige Werte sind `Inherit`, `CreatorOnly` und `SpecificAccounts`. Wenn `specificAccounts` angegeben, geben Sie eine einzelne E-Mail-Adresse oder eine Liste der E-Mail-Adressen für die `users` Eigenschaft an; andernfalls weglassen `users`. Weitere Informationen finden Sie unter Poolverwaltungsberechtigungen.
`kind`	Dieser Wert gibt den Typ der Organisation für den Pool an und muss auf .`Azure DevOps`

Organisationen werden beim Erstellen oder Aktualisieren eines Pools im organization-profile Parameter konfiguriert.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

Das folgende Beispiel zeigt ein organization-profile Objekt, das für alle Projekte in der Organisation konfiguriert ist, auf parallelism die fabrikam-tailspin 1festgelegt ist.

{
  "AzureDevOps":
  {
      "organizations": [
      {
          "url": "https://dev.azure.com/fabrikam-tailspin",
          "projects": [],
          "parallelism": 1
      }
    ]
  }
}

Der organizationProfile Abschnitt enthält die folgenden Eigenschaften.

Eigenschaft	Beschreibung
`AzureDevOps`	Dieser Wert ist der Name des in `organization-profile` definierten Objekts und muss auf .`Azure DevOps`
`organizations`	Eine Liste der Organisationen, die Ihren Pool verwenden können. `url` Gibt die URL der Organisation an, ist eine Liste von Projektnamen, `projects` die den Pool verwenden können (eine leere Liste unterstützt alle Projekte in der Organisation), und `parallelism` gibt die Anzahl der Agents an, die von dieser Organisation verwendet werden können. Die Summe der Parallelität für die Organisationen muss mit der Einstellung für maximale Agents für den Pool übereinstimmen.
`permissionProfile`	Geben Sie die Berechtigung an, die dem Azure DevOps-Pool gewährt wird, wenn sie erstellt wird. Dieser Wert kann nur während der Poolerstellung festgelegt werden. Zulässige Werte sind `Inherit`, `CreatorOnly` und `SpecificAccounts`. Wenn `specificAccounts` angegeben, geben Sie eine einzelne E-Mail-Adresse oder eine Liste der E-Mail-Adressen für die `users` Eigenschaft an; andernfalls weglassen `users`. Weitere Informationen finden Sie unter Poolverwaltungsberechtigungen.

Verwenden des Pools in mehreren Organisationen

Aktivieren Sie "Pool verwenden" in mehreren Organisationen , um Ihren Pool mit mehreren Azure DevOps-Organisationen zu verwenden. Geben Sie für jede Organisation die Projekte an, die den Pool verwenden dürfen, oder lassen Sie es leer, um alle Projekte zuzulassen. Konfigurieren Sie den Parallelismus für jede Organisation, indem Sie angeben, welche Teile der Parallelität durch maximale Agents für den Pool angegeben werden, um sie jeder Organisation zuzuweisen. Die Summe der Parallelität für alle Organisationen muss der maximalen Parallelität des Pools entsprechen. Wenn beispielsweise "Maximale Agenten " auf fünf festgelegt ist, muss die Summe der Parallelität für die angegebenen Organisationen fünf sein. Wenn "Maximale Anzahl von Agents " auf "1" festgelegt ist, können Sie den Pool nur mit einer Organisation verwenden.

Im folgenden Beispiel ist der Pool so konfiguriert, dass er für die FabrikamResearch- und FabrikamTest-Projekte in der Fabrikam-tailspin-Organisation und für alle Projekte in der fabrikam-blue-Organisation verfügbar ist.

Screenshot der Konfiguration mehrerer Organisationen.

Wenn Sie eine Fehlermeldung erhalten, The sum of parallelism for all organizations must equal the max concurrency.stellen Sie sicher, dass die Anzahl der maximalen Agents für den Pool mit der Summe der Spalte "Parallelismus " übereinstimmt.

Fügen Sie der Liste der Organisationen weitere Organisationen hinzu, um Ihren Pool für die Verwendung mit mehreren Organisationen zu konfigurieren. Im folgenden Beispiel sind zwei Organisationen konfiguriert. Die erste Organisation ist für die Verwendung von verwalteten DevOps-Pools für alle Projekte konfiguriert, und die zweiten Organisationen sind auf zwei Projekte beschränkt. In diesem Beispiel beträgt die Einstellung für maximale Agents für den Pool vier, und jede Organisation kann zwei dieser vier Agents verwenden.

"organizationProfile": {
    "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

Organisationen werden beim Erstellen oder Aktualisieren eines Pools im organization-profile Parameter konfiguriert.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

{
  "AzureDevOps":
  {
      "organizations": [
        {
            "url": "https://dev.azure.com/fabrikam-tailspin",
            "projects": [],
            "parallelism": 2
        },
        {
            "url": "https://dev.azure.com/fabrikam-prime",
            "projects": [ "fabrikam-dev", "fabrikam-test" ],
            "parallelism": 2
        }
    ]
  }
}

Konfigurieren des interaktiven Modus

Wenn Ihre Tests eine interaktive Anmeldung für UI-Tests benötigen, aktivieren Sie die interaktive Anmeldung, indem Sie die Einstellung "EnableInteractiveMode " aktivieren.

Screenshot der Konfiguration des interaktiven Modus.

Der interaktive Modus ist im osProfile Abschnitt der fabricProfile Eigenschaft konfiguriert. Legen Sie die Einstellung logonType fest Interactive , um den interaktiven Modus zu aktivieren oder Service den interaktiven Modus zu deaktivieren.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "resources": [
        {
            "name": "fabrikam-managed-pool",
            "type": "microsoft.devopsinfrastructure/pools",
            "apiVersion": "2024-04-04-preview",
            "location": "eastus",
            "properties": {
            ...
            "fabricProfile": {
                "sku": {...},
                "images": [...],
                "osProfile": {
                    "secretsManagementSettings": {...},
                    "logonType": "Interactive"
                },
                "storageProfile": {...},
                "kind": "Vmss"
            }
        }
    ]
}

Der interaktive Modus wird mithilfe der logonType Eigenschaft im Abschnitt im osProfile fabric-profile Parameter beim Erstellen oder Aktualisieren eines Pools konfiguriert.

az mdp pool create \
   --fabric-profile fabric-profile.json
   # other parameters omitted for space

Das folgende Beispiel zeigt den osProfile Abschnitt der fabric-profile.json Datei mit Interactive aktivierter Modus.

{
  "vmss": {
    "sku": {...},
    "images": [...],
    "osProfile": {
      "secretsManagementSettings": {...},
      "logonType": "Interactive"
    },
    "storageProfile": {...}
  }
}

Poolverwaltungsberechtigungen

Im Rahmen des Erstellungsprozesses für verwalteten DevOps-Pool wird ein Agent-Pool auf Organisationsebene in Azure DevOps erstellt. Die Einstellung "Poolverwaltungsberechtigungen " gibt an, welche Benutzer der Administratorrolle des neu erstellten Azure DevOps-Pools gewährt werden.

Screenshot der Konfiguration von Poolverwaltungsberechtigungen.

Ersteller nur – Der Benutzer, der den verwalteten DevOps-Pool erstellt hat, wird als Administrator des Azure DevOps-Agentpools hinzugefügt, und die Vererbung wird in den Sicherheitseinstellungen des Agentpools auf "Aus " festgelegt. Creator ist nur die Standardeinstellung.
Erben Sie Berechtigungen von Projekt – Der Benutzer, der den verwalteten DevOps-Pool erstellt hat, wird als Administrator des Azure DevOps-Agentpools hinzugefügt, und die Vererbung wird in den Sicherheitseinstellungen für den Agentpool auf "Ein " festgelegt.
Bestimmte Konten – Geben Sie die Konten an, die als Administratoren des erstellten Agentpools in Azure DevOps hinzugefügt werden sollen. Standardmäßig wird der Ersteller des verwalteten DevOps-Pools zur Liste hinzugefügt.

Hinweis

Die Poolverwaltungsberechtigungen sind auf der Registerkarte "Sicherheit " beim Erstellen des Pools konfiguriert und werden nach dem Erstellen des Pools nicht in den Sicherheitseinstellungen angezeigt. Informationen zum Anzeigen und Verwalten der Azure DevOps-Agentpoolberechtigungen nach dem Erstellen des verwalteten DevOps-Pools finden Sie unter Erstellen und Verwalten von Agentpools – Sicherheit von Agentpools.

Poolverwaltungsberechtigungen werden in der permissionsProfile Eigenschaft des organizationProfile Abschnitts der Ressource "Managed DevOps Pools" konfiguriert.

{
"organizationProfile": {
    "organizations": [...],
    "permissionProfile": {
        "kind": "CreatorOnly"
    },
    "kind": "AzureDevOps"
}

Die permissionProfile Eigenschaft kann nur während der Poolerstellung festgelegt werden. Zulässige Werte sind Inherit, CreatorOnly und SpecificAccounts.

CreatorOnly – Der Benutzer, der den verwalteten DevOps-Pool erstellt hat, wird als Administrator des Azure DevOps-Agentpools hinzugefügt, und die Vererbung wird in den Sicherheitseinstellungen für den Agentpool auf "Aus " festgelegt. Creator ist nur die Standardeinstellung.
Inherit – Der Benutzer, der den verwalteten DevOps-Pool erstellt hat, wird als Administrator des Azure DevOps-Agentpools hinzugefügt, und die Vererbung wird in den Sicherheitseinstellungen für den Agentpool auf "Ein " festgelegt.
SpecificAccounts – Geben Sie die Konten an, die als Administratoren des erstellten Agentpools in Azure DevOps hinzugefügt werden sollen. Standardmäßig wird der Ersteller des verwalteten DevOps-Pools zur Liste hinzugefügt. Geben Sie eine einzelne E-Mail-Adresse oder eine Liste der E-Mail-Adressen für die users Eigenschaft an, andernfalls weg.users
```
{
"organizationProfile": {
     "organizations": [...],
     "permissionProfile": {
         "kind": "SpecificAccounts",
         "users" : ["User1@fabrikam.com", "User2@fabrikam.com" ]
     },
     "kind": "AzureDevOps"
  }
```

Poolverwaltungsberechtigungen werden beim Erstelleneines Pools im organization-profile Parameter konfiguriert.

az mdp pool create \
   --organization-profile organization-profile.json
   # other parameters omitted for space

{
  "AzureDevOps":
  {
    "organizations":  [...],
    "permissionProfile": {
        "kind": "CreatorOnly"
    }
  }
}

Die permissionProfile Eigenschaft kann nur während der Poolerstellung festgelegt werden. Zulässige Werte sind Inherit, CreatorOnly und SpecificAccounts.

CreatorOnly – Der Benutzer, der den verwalteten DevOps-Pool erstellt hat, wird als Administrator des Azure DevOps-Agentpools hinzugefügt, und die Vererbung wird in den Sicherheitseinstellungen für den Agentpool auf "Aus " festgelegt. Creator ist nur die Standardeinstellung.
Inherit – Der Benutzer, der den verwalteten DevOps-Pool erstellt hat, wird als Administrator des Azure DevOps-Agentpools hinzugefügt, und die Vererbung wird in den Sicherheitseinstellungen für den Agentpool auf "Ein " festgelegt.
SpecificAccounts – Geben Sie die Konten an, die als Administratoren des erstellten Agentpools in Azure DevOps hinzugefügt werden sollen. Standardmäßig wird der Ersteller des verwalteten DevOps-Pools zur Liste hinzugefügt. Geben Sie eine einzelne E-Mail-Adresse oder eine Liste der E-Mail-Adressen für die users Eigenschaft an, andernfalls weg.users
```
  {
      "AzureDevOps" : {
          "organizationProfile": {
          "organizations": [...],
          "permissionProfile": {
          "kind": "SpecificAccounts",
          "users" : ["User1@fabrikam.com", "User2@fabrikam.com" ]
          }
      }
  }
```

Siehe auch

Konfigurieren von Pooleinstellungen

Freigeben über