個人存取權杖的新原則

在此短期衝刺中，我們新增了新的原則，以限制 PAT) (個人存取權杖的範圍和存留期。 此外，我們已更新 Team Foundation 版本控制 (TFVC) Windows Shell 擴充功能以支援 Visual Studio 2019。

如需詳細資訊，請參閱下列功能描述。

一般

• 透過 Azure AD 租使用者原則 (PAT) 範圍和生命週期限制個人存取權杖
• IPv6 流量的條件式存取原則支援

Azure Pipelines

• 保留在其他管線中使用的管線
• 自動建立環境的變更
• 從組建管線移除深入解析對話

Azure Repos

• 更新為 VS 2019 Team Foundation 版本控制 (TFVC) Windows Shell 擴充功能

一般

透過 Azure AD 租使用者原則 (PAT) 範圍和生命週期限制個人存取權杖

個人存取權杖 (PAT) 可讓您輕鬆地向 Azure DevOps 進行驗證，以與您的工具和服務整合。 不過，外泄的權杖可能會危害您的 Azure DevOps 帳戶和資料，讓您的應用程式和服務有風險。

我們收到有關系統管理員沒有必要控制措施來限制外泄 PAT 所造成的威脅介面區的意見反應。 根據這些意見反應，我們新增了一組新的原則，可用來限制組織 Azure DevOps 個人存取權杖的範圍和存留期， (PAT) ！ 以下是其運作方式：

指派給 Azure Active Directory 中 Azure DevOps 系統管理員角色的使用者，可以流覽至任何連結至其 Azure AD 之 Azure DevOps 組織之組織設定中的 [Azure Active Directory ] 索引標籤。

系統管理員可以在該處：

1. 限制建立全域個人存取權杖 (這些權杖適用於使用者可存取的所有 Azure DevOps 組織)
2. 限制建立完整範圍的個人存取權杖
3. 定義新個人存取權杖的最長存留期

這些原則會套用至連結至 Azure AD 租使用者之 Azure DevOps 組織使用者所建立的所有新 PAT。 每個原則都有應豁免原則的使用者和群組允許清單。 [允許] 清單中的使用者和群組清單將無法存取管理原則設定。

這些原則僅適用於新的 PAT，且不會影響已建立且正在使用的現有 PAT。 不過，啟用原則之後，任何現有的、現在不符合規範的 PAT 都必須更新為在限制內，才能更新它們。

IPv6 流量的條件式存取原則支援

我們現在擴充條件式存取原則 (CAP) 支援，以包含 IPv6 隔離原則。 當我們看到人們逐漸從 IPv6 位址存取裝置上的 Azure DevOps 資源時，我們想要確保您的小組能夠授與和移除來自任何 IP 位址的存取權，包括來自 IPv6 流量的人員。

Azure Pipelines

保留在其他管線中使用的管線

傳統版本能夠自動保留取用的組建。 這是傳統版本與 YAML 管線之間的其中一個差距，它阻止了一些您移至 YAML。 在此版本中，我們已解決此差距。

現在您可以建立多階段 YAML 管線來代表您的發行，並 取用其中另一個 YAML 管線作為資源。 當您這樣做時，只要保留發行管線，Azure Pipelines 就會自動保留資源管線。 刪除發行管線時，會釋出資源管線上的租用，並遵循自己的保留原則。

自動建立環境的變更

當您撰寫 YAML 管線並參考不存在的環境時，Azure Pipelines 會自動建立環境。 這個自動建立可能會發生在使用者內容或系統內容中。 在下列流程中，Azure Pipelines 知道執行作業的使用者：

• 您可以在 Azure Pipelines Web 體驗中使用 YAML 管線建立精靈，並參考尚未建立的環境。
• 您使用 Azure Pipelines Web 編輯器更新 YAML 檔案，並在對不存在的環境新增參考之後儲存管線。

在上述每個案例中，Azure Pipelines 對執行作業的使用者有清楚的瞭解。 因此，它會建立環境，並將使用者新增至環境的系統管理員角色。 此使用者具有管理環境的擁有權限，以及/或將其他使用者包含在管理環境的各種角色中。

在下列流程中，Azure Pipelines 沒有環境建立者的相關資訊：您使用另一個外部程式碼編輯器來更新 YAML 檔案、將參考新增至不存在的環境，然後觸發手動或持續整合管線。 在此情況下，Azure Pipelines 並不知道使用者的相關資訊。 先前，我們藉由將所有專案參與者新增至環境的系統管理員角色，來處理此案例。 接著，專案的任何成員都可以變更這些權限，並防止其他人存取環境。

我們收到有關將環境系統管理員許可權授與專案所有成員的意見反應。 當我們聆聽您的意見反應時，我們聽說，如果執行作業的使用者不清楚，就不應該自動建立環境。 在此版本中，我們變更了自動建立環境的方式：

• 接下來，管線執行不會在環境不存在且使用者內容未知時自動建立環境。 在這種情況下，管線將會失敗，並 出現環境找不到錯誤。 您必須使用正確的安全性預先建立環境，並在管線中使用之前先檢查設定。
• 具有已知使用者內容的管線仍會像過去一樣自動建立環境。
• 最後，請注意，自動建立環境的功能只會新增，以簡化開始使用 Azure Pipelines 的程式。 它適用于測試案例，不適用於生產案例。 您應該一律使用正確的許可權和檢查預先建立生產環境，然後在管線中使用它們。

從組建管線移除深入解析對話

根據您的意見反應，流覽 [建置管線] 時所顯示的 [工作/管線深入解析] 對話方塊已移除以改善工作流程。 管線分析仍可供使用，因此您有所需的深入解析。

Azure Repos

更新為 Visual Studio 2019 Team Foundation 版本控制 (TFVC) Windows Shell 擴充功能

舊版的 TFVC Windows Shell 擴充功能 只能在已安裝 Visual Studio 2017 的電腦上運作。

我們已發行與 Visual Studio 2019 相容的 新版本 此工具。 此延伸模組提供與 Windows 檔案總管和一般檔案對話方塊的整合。 透過這項整合，您可以執行許多原始檔控制作業，而不需要執行 Visual Studio 或 Team Foundation 命令列工具。

後續步驟

請前往 Azure DevOps 並查看。

如何提供意見反應

我們很樂於聽到您對這些功能的想法。 使用說明功能表來回報問題或提供建議。

您也可以在 Stack Overflow上取得社群所回答的建議和您的問題。

感謝您！

Vijay Machiraju