組織のアプリケーション接続とセキュリティ ポリシーを変更する

この記事では、ユーザーとアプリケーションが組織内のサービスやリソースにアクセスする方法を決定する組織のセキュリティ ポリシーを管理する方法について説明します。 これらのポリシーのほとんどは、 Organization 設定でアクセスできます。

前提条件

ポリシーを管理する

組織のアプリケーション接続、セキュリティ、またはユーザー ポリシーを更新するには、次の手順に従います。

1. https://dev.azure.com/{Your_Organization} で組織にサインインします。

2. [設定の編集] を選択します。

   

3. [ ポリシー] を選択し、目的のポリシーの オン と オフを切り替えます。

   

認証方法を制限する

ユーザー資格情報の入力を繰り返し求めることなく組織へのシームレスなアクセスを許可するために、アプリケーションは OAuth、 SSH、 個人用アクセス トークン (AT) などの認証方法を使用できます。 既定では、すべての既存の組織ですべての認証方法へのアクセスが許可されます。

これらの認証方法へのアクセスを制限するには、次のアプリケーション接続ポリシーを無効にします。

• OAuth を使用したサードパーティ アプリケーション アクセス: Azure DevOps OAuth アプリが OAuth を介して組織内のリソースにアクセスできるようにします。 このポリシーは、すべての新しい組織に対して既定で off に設定されます。 Azure DevOps OAuth アプリにアクセスする場合は、このポリシーを有効にして、これらのアプリが組織内のリソースにアクセスできることを確認します。 このポリシーは、 Microsoft Entra ID OAuth アプリのアクセスには影響しません。
• SSH 認証: アプリケーションが SSH 経由で組織の Git リポジトリに接続できるようにします。
• テナント管理者は、グローバルな個人用アクセス トークンの作成を制限し、フル スコープの個人用アクセス トークンの作成を制限し、Microsoft Entra 設定ページのテナント レベルのポリシーを使用して最大の個人用アクセス トークンの有効期間を適用できます。 Microsoft Entra ユーザーまたはグループを追加して、これらのポリシーから除外します。
• 組織の管理者は、それぞれの組織での 個人用アクセス トークンの作成を制限 できます。 サブポリシーを使用すると、管理者はパッケージ化専用の PAT の作成または任意のスコープの PAT の作成を許可して、許可リストに登録された Microsoft Entra ユーザーまたはグループを許可できます。

認証方法へのアクセスを拒否する場合、その方法を使用して組織にアクセスできるアプリケーションはありません。 以前にアクセスしていたすべてのアプリケーションで認証エラーが発生し、アクセスが失われます。

Azure DevOps での条件付きアクセス ポリシーのサポート

Azure DevOps の条件付きアクセス (CA) は Microsoft Entra ID を通じて適用され、対話型 (Web) フローと非対話型 (クライアント資格情報) フローの両方をサポートし、サインイン時に MFA、IP 制限、デバイスコンプライアンスなどのポリシーを検証し、トークン チェックを使用して定期的に検証します。

SSH キー ポリシー

SSH 認証

SSH 認証ポリシーは、組織が SSH キーの使用を許可するかどうかを制御します。

SSH キーの有効期限を検証する

SSH キーの有効期限が切れたためにアクセスが失われないようにするには、現在のキーの有効期限が切れる 前に 新しいキーを作成してアップロードします。 システムは、 有効期限の 7 日前 に自動通知を送信し、 有効期限が切れた後も自動 通知を送信して、先に進むのに役立ちます。 詳細については、「 手順 1: SSH キーを作成する」を参照してください。

SSH キーの有効期限の検証ポリシーは、既定で有効になっています。 アクティブになると、有効期限が適用されます。期限切れのキーはすぐに無効になります。

ポリシーを無効にした場合、システムは有効期限をチェックしなくなり、期限切れのキーは引き続き使用できます。

レベル別のポリシー