Microsoft Entra を使用して Azure DevOps を認証する

Microsoft Entra ID は、企業が組織のメンバーシップを管理し、会社のリソースを保護できるようにする ID およびアクセス管理 (IAM) プラットフォームです。 多くの Azure DevOps 企業のお客様は、 Azure DevOps 組織を Microsoft Entra ID テナントに接続 して、社内の大量のユーザーの管理をサポートし、 Microsoft Entra が提供するその他のセキュリティ機能を利用することを選択しています。

接続されると、Microsoft Entra ID の上にある Microsoft ID アプリケーション プラットフォーム を使用して、Azure テナントにアクセスするためのアプリケーションを登録し、Azure DevOps を含む Azure リソースから必要なアクセス許可を定義できます。

アプリ開発は次の目的でサポートされています。

• Microsoft Entra OAuth アプリ (代理ユーザー)
• Microsoft Entra サービス プリンシパルとマネージド ID (代理アプリ)

Azure DevOps ベースの認証と Entra ベースの認証

多くのネイティブ Azure DevOps ベースの認証 ( 個人用アクセス トークン (AT) や Azure DevOps OAuth アプリなど) は、Microsoft Entra より前に作成されました。 Microsoft Entra トークンは、更新が必要になるまで 1 時間のみ持続する安全な代替手段を提供します。 Entra トークンを生成するための認証プロトコルはより堅牢で安全です。 条件付きアクセス ポリシーなどのセキュリティ対策は、トークンの盗難やリプレイ攻撃から保護します。 一方、ネイティブ トークンは Azure の外部にあり、テナントや条件付きアクセスなどの概念に対するネイティブ サポートはありません。

各プラットフォームによって発行されるトークンも異なります。 Microsoft Entra OAuth アプリは、Azure DevOps アクセス トークンではなく、Microsoft Entra トークンを発行します。 これらのトークンは、各プラットフォームで同じ意味で使用することはできません。 Azure DevOps OAuth から Microsoft Entra OAuth への移行を検討している場合、ユーザーは新しいアプリを再認証する必要があります。

個人アクセス トークン (PAT) を Microsoft Entra トークンに置き換える

個人用アクセス トークン (AT) は、作成と使用が容易なため、Azure DevOps 認証の一般的な形式です。 ただし、PAT の管理とストレージが不十分な場合は、Azure DevOps 組織へのリークや未承認のアクセスが発生する可能性があります。 有効期間が長い、または範囲が広い PAT は、漏洩した場合に重大な損害を引き起こす可能性のあるリスクを高めます。 ユーザーに対して、可能な限り PAT の代わりに Microsoft Entra トークンを使用することを探索するようお勧めします。

一般的な PAT の代替手段

リスクが高まっているため、管理者は PAT の作成を 制限するセキュリティ ポリシーをますます要求しています。 その結果、PAT は、プログラムで Azure DevOps にアクセスするための実行可能な代替手段としての有効性が低下しつつあります。 既存のアプリ開発を Microsoft Identity プラットフォームに移行することを除いて、これまでは PAT に依存していた一般的なユースケースと、その推奨される Microsoft Entra の代替案を Azure DevOps 全体で共有します。