조직의 애플리케이션 연결 및 보안 정책 변경
Important
Azure DevOps는 대체 자격 증명 인증을 지원하지 않습니다. 대체 자격 증명을 계속 사용하는 경우 보다 안전한 인증 방법으로 전환하는 것이 좋습니다.
이 문서에서는 애플리케이션이 조직의 서비스 및 리소스에 액세스하는 방법을 결정하는 조직의 보안 정책을 관리하는 방법을 보여 줍니다. 조직 설정에서 이러한 정책의 대부분에 액세스할 수 있습니다.
필수 조건
사용 권한: 프로젝트 컬렉션 관리자 그룹의 구성원이 됩니다. 조직 소유자는 자동으로 이 그룹의 구성원입니다.
정책 관리
조직의 애플리케이션 연결, 보안 및 사용자 정책을 변경하려면 다음 단계를 수행합니다.
조직에 로그인합니다(
https://dev.azure.com/{yourorganization}
).조직 설정을 선택합니다 .
정책을 선택한 다음 필요에 따라 정책을 켜거나 끕니다.
애플리케이션 연결 정책 변경
사용자 자격 증명을 반복적으로 묻는 메시지를 표시하지 않고 조직에 원활하게 액세스할 수 있도록 애플리케이션은 종종 다음 인증 방법을 사용합니다.
OAuth: Azure DevOps용 REST API에 액세스하기 위한 토큰을 생성합니다. 모든 REST API는 OAuth 토큰을 허용하므로 개인용 액세스 토큰(PAT)을 통해 통합하는 기본 방법이 됩니다. 조직, 프로필 및 PAT 관리 API는 OAuth만 지원합니다. 또한 Microsoft Entra ID와 함께 OAuth 토큰을 사용하여 조직 내 사용자에게 안전하고 원활한 인증을 제공할 수 있습니다.
SSH: Windows용 Git을 실행하는 Linux, macOS 및 Windows에서 사용할 암호화 키를 생성합니다. SSH를 사용한 HTTPS 인증에는 Git 자격 증명 관리자 또는 PAT를 사용할 수 없습니다.
PAT: 다음을 위한 토큰을 생성합니다.
- 특정 리소스 또는 작업(예: 빌드 또는 작업 항목)에 액세스
- 기본 자격 증명으로 사용자 이름 및 암호를 필요로 하고 다단계 인증과 같은 Microsoft 계정 및 Microsoft Entra 기능을 지원하지 않는 Xcode 및 NuGet과 같은 클라이언트.
- Azure DevOps용 REST API 액세스
기본적으로 조직에서는 모든 인증 방법에 대한 액세스를 허용합니다.
다음 애플리케이션 연결 정책을 사용하지 않도록 설정하여 OAuth 및 SSH 키에 대한 액세스를 제한할 수 있습니다.
-
OAuth를 통한 타사 애플리케이션 액세스: Azure DevOps OAuth 앱이 OAuth를 통해 귀하의 조직의 리소스에 액세스할 수 있도록 활성화합니다. 이 정책은 모든 새 조직에 대해 기본적으로 해제됩니다. azure DevOps OAuth 앱
액세스하려면 이 정책을 사용하도록 설정하여 이러한 앱이 조직의 리소스에 액세스할 수 있도록 합니다. 이 정책은 Microsoft Entra ID OAuth 앱 액세스에 영향을 주지 않습니다. - SSH 인증: 애플리케이션이 SSH를 통해 조직의 Git 리포지토리에 연결할 수 있도록 합니다.
인증 방법에 대한 액세스를 거부하는 경우 어떤 애플리케이션도 해당 방법을 통해 조직에 액세스할 수 없습니다. 이전에 액세스한 모든 애플리케이션에 인증 오류가 발생하고 액세스 권한이 손실됩니다.
PAT에 대한 액세스를 제거하려면 해당 PAT 를 해지합니다.
조건부 액세스 정책 변경
Microsoft Entra ID를 사용하면 테넌트가 CAP(조건부 액세스 정책) 기능을 통해 Microsoft 리소스에 액세스할 수 있는 사용자를 정의할 수 있습니다. 테넌트 관리자는 액세스 권한을 얻기 위해 사용자가 충족해야 하는 조건을 설정할 수 있습니다. 예를 들어 사용자는 다음을 수행해야 합니다.
- 특정 보안 그룹의 구성원이 되
- 특정 위치 및/또는 네트워크에 속
- 특정 운영 체제 사용
- 관리 시스템에서 사용 가능한 디바이스 사용
사용자가 충족하는 조건에 따라 다단계 인증을 요구하거나, 액세스를 얻기 위해 추가 검사를 설정하거나, 액세스를 완전히 차단할 수 있습니다.
Azure DevOps의 CAP 지원
Microsoft Entra ID 지원 조직의 웹 포털에 로그인하면 Microsoft Entra ID는 항상 테넌트 관리자가 설정한 모든 CAP(조건부 액세스 정책)에 대한 유효성 검사를 수행합니다.
로그인하고 Microsoft Entra ID 기반 조직을 탐색하면 Azure DevOps에서 더 많은 CAP 유효성 검사를 수행할 수도 있습니다.
- "IP 조건부 액세스 정책 유효성 검사 사용" 조직 정책을 사용하는 경우 git 작업과 함께 PAT를 사용하는 것과 같이 비 Microsoft 클라이언트 흐름과 같이 웹 및 비대화형 흐름 모두에서 IP 펜싱 정책을 확인합니다.
- 로그인 정책도 PAT에 적용할 수 있습니다. PAT를 사용하여 Microsoft Entra ID 호출을 수행하려면 설정된 모든 로그인 정책을 준수해야 합니다. 예를 들어 로그인 정책에 따라 사용자가 7일마다 로그인해야 하는 경우 Microsoft Entra ID 요청에 대한 PAT를 계속 사용하려면 7일마다 로그인해야 합니다.
- AZURE DevOps에 CAP를 적용하지 않으려면 CAP에 대한 리소스로 Azure DevOps를 제거합니다. 조직별로 Azure DevOps에 CAP를 적용하지 않습니다.
웹 흐름에서만 MFA 정책을 지원합니다. 비대화형 흐름의 경우 조건부 액세스 정책을 충족하지 않으면 사용자에게 MFA를 묻는 메시지가 표시되지 않고 대신 차단됩니다.
IP 기반 조건
IPv4 및 IPv6 주소 모두에 IP 펜싱 CAP(조건부 액세스 정책)를 지원합니다. IPv6 주소가 차단되는 경우 테넌트 관리자가 IPv6 주소를 허용하도록 CAP를 구성했는지 확인합니다. 또한 모든 CAP 조건에서 기본 IPv6 주소에 대한 IPv4 매핑 주소를 포함하는 것이 좋습니다.
사용자가 Azure DevOps 리소스에 액세스하는 데 사용되는 IP 주소와 다른 IP 주소(VPN 터널링에 공통)를 통해 Microsoft Entra 로그인 페이지에 액세스하는 경우 VPN 구성 또는 네트워킹 인프라를 확인합니다. 테넌트 관리자의 CAP 내에 사용된 모든 IP 주소를 포함해야 합니다.