Microsoft Entra ID を使用すると、テナント管理者は 条件付きアクセス ポリシーを使用して Microsoft リソースにアクセスできるユーザーを制御できます。 管理者は、次のようなアクセス権を取得するためにユーザーが満たす必要がある特定の条件を設定します。
- 特定の Microsoft Entra セキュリティ グループのメンバーシップ
- 場所またはネットワークの要件
- 特定のオペレーティング システムの使用
- 管理されており有効化されたデバイスの使用
これらの条件に基づいて、アクセス権を付与したり、多要素認証などのより多くのチェックを要求したり、アクセスを完全にブロックすることができます。 条件付きアクセス ポリシーの詳細については、Microsoft Entra のドキュメントを参照してください。
Azure DevOps の条件付きアクセス ポリシーを作成する
| カテゴリ | 要求事項 |
|---|---|
| アクセス許可 | テナントで 条件付きアクセス ポリシーを設定するには、少なくとも条件付きアクセス管理者である必要があります。 詳細については、 Entra ドキュメントの「条件付きアクセス ポリシーの作成」を参照してください。 |
Warnung
外部認証方法 は、現在、認証強度と互換性がありません。 [多要素認証の許可を要求する] コントロールを使用する必要があります。 この例では 、組み込みの多要素認証強度を使用します。一部の組織では、パスワードレスやフィッシングに対する耐性など、より強力な認証強度を使用することを選択できます。
- Microsoft Entra 管理センターに、少なくとも条件付きアクセス管理者としてサインインします。
- Entra ID>Conditional Access>Policies に移動します。
- [新しいポリシー] を選択します。
- ポリシーの名前を設定してください。 ポリシーの名前に対する意味のある標準を組織で作成することをお勧めします。
-
[割り当て] で、 [ユーザーまたはワークロード ID] を選択します。
- [含める] で、[すべてのユーザー] を選択します
-
[除外] で、次のようにします。
-
ユーザーとグループの選択
- 組織の緊急アクセス用またはブレイクグラスアカウントを選択します。
-
ユーザーとグループの選択
- [ターゲット リソース>リソース (以前のクラウド アプリ)]>リソースを選択し、"Azure DevOps" または "Microsoft Visual Studio Team Services" リソース (リソース ID: 499b84ac-1321-427f-aa17-267ca6975798) を選択して、ターゲット リソースの一覧に移動します。
- [ アクセス制御>許可] で、[ アクセス権の付与]、[ 認証強度が必要] の順に選択し、[ 多要素認証] を選択し、[選択] を 選択します。
- 設定を確認し、 [ポリシーの有効化] を [レポート専用] に設定します。
- [作成] を選択して、ポリシーを作成および有効化します。
ポリシーの影響モードまたはレポート専用モードを使用して設定を確認したら、[ポリシーの有効化] トグルを [レポートのみ] から [オン] に移動します。
Web での条件付きアクセスの動作
Microsoft Entra ID に基づく組織の Web ポータルにサインインすると、Microsoft Entra ID はテナント管理者によって設定されたすべての条件付きアクセス ポリシーを検証します。 Microsoft Entra トークンを使用するように Web 認証スタックを最新化した後、Azure DevOps では、すべての対話型 (Web) フローで条件付きアクセス ポリシー検証が適用されるようになりました。
- Microsoft Entra に依存する REST API 呼び出しで 個人用アクセス トークン (AT) を 使用する場合は、サインイン ポリシーを満たします。
- 条件付きアクセス ポリシーからリソースとしての Azure DevOps を削除します。これにより、条件付きアクセス ポリシーが適用されなくなります。
- Web フローにのみ MFA ポリシーを適用する。ユーザーが条件付きアクセス ポリシーを満たしていない場合は、非対話型フローのアクセスをブロックします。
IP ベースの条件
| カテゴリ | 要求事項 |
|---|---|
| アクセス許可 | このポリシーを有効にするには、 プロジェクト コレクション管理者 である必要があります。 |
非対話型フローの組織ポリシーの IP 条件付きアクセス ポリシー検証が [組織の設定] ページで有効になっている場合、Azure DevOps は、PAT を使用して REST API 呼び出しを行う場合など、非対話型フローで IP フェンス ポリシーをチェックします。
Azure DevOps では、IPv4 アドレスと IPv6 アドレスの両方に対して IP フェンス条件付きアクセス ポリシーがサポートされています。 条件付きアクセス ポリシーによって IPv6 アドレスがブロックされる場合は、IPv6 アドレスを許可するようにポリシーを更新するようにテナント管理者に依頼してください。 また、すべての条件付きアクセス ポリシー条件に、既定の IPv6 アドレスの IPv4 マップ アドレスを含めることもできます。
ユーザーが Azure DevOps リソースへのアクセスに使用した IP アドレスとは異なる IP アドレス (VPN トンネリングで発生する可能性があります) から Microsoft Entra サインイン ページにアクセスする場合は、VPN 構成またはネットワークの設定を確認します。 テナント管理者が条件付きアクセス ポリシーに関連するすべての IP アドレスを含めるようにします。
Azure Resource Manager の対象ユーザー
注
これらの変更は、2025 年 9 月 2 日から有効になります。 詳細については、ブログ記事をご覧ください。
Azure DevOps は、Microsoft Entra アクセス トークンにサインインまたは更新するときに、Azure Resource Manager (ARM) リソース (https://management.azure.com) に依存しません。 以前は、Azure DevOps では、サインインフローとトークン更新フロー中に ARM 対象ユーザーが必要になりました。 この要件は、すべての Azure DevOps ユーザーがアクセスを確保するために ARM 条件付きアクセス ポリシーをバイパスすることを管理者が許可する必要があることを意味しました。
以前に Azure Resource Manager または関連する Windows Azure Service Management API アプリケーションの条件付きアクセス ポリシーを設定した場合、このポリシーでは Azure DevOps サインインは扱われません。Azure DevOps の継続的なカバレッジのために、新しい Azure DevOps 条件付きアクセス ポリシーを設定します。
次のグループでは、引き続き ARM への継続的なアクセスが必要です。 ARM または Windows Azure Service Management API の条件付きアクセス ポリシーに除外として追加することを検討できます。
- 課金管理者は、 請求とアクセスのサブスクリプションを設定するために ARM にアクセスする必要があります。
- サービス接続作成者は、 ARM ロールの割り当てとマネージド サービス ID (MSI) の更新のために ARM にアクセスする必要があります。
継続的アクセス評価
Azure DevOps では、 Microsoft Entra ID を使用した継続的アクセス評価 (CAE) がサポートされるようになりました。これにより、条件付きアクセス ポリシーをほぼリアルタイムで適用できるようになりました。 CAE を使用すると、ユーザーの無効化、パスワードの変更、場所/IP シフトなどの重要なイベントが発生したときに、トークンの有効期限を待たずに、アクセス トークンをすぐに取り消すことができます。 これにより、セキュリティが強化され、運用上のオーバーヘッドが軽減され、ID サービスの停止時の回復性が向上します。
最新の .NET クライアント ライブラリ バージョン (20.259.0-preview 以降) を使用するアプリ開発者は、 要求の課題を適切に処理することで、CAE 対応トークンのサポートを提供することをお勧めします。 CAE のサポートは、2025 年後半に Python および Go クライアント ライブラリに提供される予定です。