다음을 통해 공유

Azure DevOps에서 조건부 액세스 정책 설정

Microsoft Entra ID를 사용하면 테넌트 관리자가 조건부 액세스 정책을 사용하여 Microsoft 리소스에 액세스할 수 있는 사용자를 제어할 수 있습니다. 관리자는 다음과 같은 액세스 권한을 얻기 위해 사용자가 충족해야 하는 특정 조건을 설정합니다.

  • 특정 Microsoft Entra 보안 그룹의 멤버 자격
  • 위치 또는 네트워크 요구 사항
  • 특정 운영 체제 사용
  • 관리되고 활성화된 디바이스 사용

이러한 조건에 따라 액세스 권한을 부여하거나, 다단계 인증과 같은 더 많은 검사를 요구하거나, 액세스를 완전히 차단할 수 있습니다. Microsoft Entra 설명서에서 조건부 액세스 정책에 대해 자세히 알아봅니다.

Azure DevOps에 대한 조건부 액세스 정책 만들기

카테고리 요구 사항
권한 테넌트에서 조건부 액세스 정책을 설정하려면 최소한 조건부 액세스 관리자여야 합니다. "조건부 액세스 정책 만들기" Entra 문서에서 자세히 알아보세요.
  1. Azure Portal로 이동하여 "Microsoft Entra 조건부 액세스" 서비스를 찾습니다.
  2. 오른쪽 사이드바에서 "정책" 을 선택합니다.
  3. "+ 새 정책" 단추를 선택합니다. 정책에 이름을 지정합니다.
  4. "대상 리소스" 할당의 경우 "리소스 선택"을 전환하고 "Azure DevOps" 또는 "Microsoft Visual Studio Team Services" 리소스(리소스 ID: 499b84ac-1321-427f-aa17-267ca6975798)를 대상 리소스 목록에 추가합니다.
  5. 원하는 대로 다른 설정을 구성합니다.
  6. 저장을 선택하여 이 새 정책을 적용합니다.

Microsoft Entra 포털의 새 조건부 액세스 정책에서 Azure DevOps를 대상 리소스로 추가하는 방법을 보여 주는 스크린샷

웹의 조건부 액세스 동작

Microsoft Entra ID 지원 조직의 웹 포털에 로그인하면 Microsoft Entra ID는 테넌트 관리자가 설정한 모든 조건부 액세스 정책의 유효성을 검사합니다. Microsoft Entra 토큰을 사용하도록 웹 인증 스택을 현대화한 후 Azure DevOps는 이제 모든 대화형(웹) 흐름에서 조건부 액세스 정책 유효성 검사를 적용합니다.

  • Microsoft Entra를 사용하는 REST API 호출에서 PAT(개인 액세스 토큰) 를 사용하는 경우 로그인 정책을 충족합니다.
  • 조건부 액세스 정책에서 Azure DevOps를 리소스로 제거하면 조건부 액세스 정책이 적용되지 않습니다.
  • 웹 흐름에만 MFA 정책 적용; 사용자가 조건부 액세스 정책을 충족하지 않는 경우 비대화형 흐름에 대한 액세스를 차단합니다.

IP 기반 조건

카테고리 요구 사항
권한 이 정책을 사용하려면 프로젝트 컬렉션 관리자 여야 합니다.

대화형 흐름 조직 정책에 대한 IP 조건부 액세스 정책 유효성 검사가조직 설정 페이지에서 사용하도록 설정된 경우 Azure DevOps는 PAT를 사용하여 REST API를 호출하는 경우와 같이 비대화형 흐름에서 IP 펜싱 정책을 확인합니다.

Azure DevOps는 IPv4 및 IPv6 주소 모두에 대한 IP 펜싱 조건부 액세스 정책을 지원합니다. 조건부 액세스 정책이 IPv6 주소를 차단하는 경우 테넌트 관리자에게 IPv6 주소를 허용하도록 정책을 업데이트하도록 요청합니다. 또한 모든 조건부 액세스 정책 조건에서 기본 IPv6 주소에 대한 IPv4 매핑 주소를 포함하는 것이 좋습니다.

사용자가 Azure DevOps 리소스(VPN 터널링에서 발생할 수 있음)에 액세스하는 데 사용되는 IP 주소와 다른 IP 주소에서 Microsoft Entra 로그인 페이지에 액세스하는 경우 VPN 구성 또는 네트워킹 설정을 검토합니다. 테넌트 관리자가 조건부 액세스 정책에 모든 관련 IP 주소를 포함하는지 확인합니다.

Azure Resource Manager 대상 그룹

비고

이러한 변경 내용은 2025년 9월 2일부터 적용됩니다. 블로그 게시물에서 자세히 알아보세요.

Azure DevOps는 Microsoft Entra 액세스 토큰에 로그인하거나 새로 고칠 때 ARM(Azure Resource Manager) 리소스(https://management.azure.com)에 의존하지 않습니다. 이전에는 Azure DevOps에서 로그인 및 토큰 새로 고침 흐름 중에 ARM 대상 그룹을 필요로 했습니다. 이 요구 사항은 관리자가 모든 Azure DevOps 사용자가 액세스를 보장하기 위해 ARM 조건부 액세스 정책을 바이패스하도록 허용해야 했음을 의미합니다.

이전에 Azure Resource Manager 또는 연결된 Windows Azure Service Management API 애플리케이션에 대한 조건부 액세스 정책을 설정한 경우 이 정책은 더 이상 Azure DevOps 로그인에 적용되지 않습니다. Azure DevOps의 지속적인 적용 범위를 위해 새 Azure DevOps 조건부 액세스 정책을 설정합니다.

다음 그룹은 여전히 ARM에 계속 액세스해야 합니다. ARM 또는 Windows Azure Service Management API 조건부 액세스 정책에 제외로 추가하는 것이 좋습니다.

  • 청구 관리자는 청구를 설정하고 구독에 액세스하려면 ARM에 액세스해야 합니다.
  • 서비스 연결 작성자는 ARM 역할 할당 및 MSI(관리 서비스 ID)에 대한 업데이트를 위해 ARM에 액세스해야 합니다.

연속 액세스 평가

이제 Azure DevOps는 Microsoft Entra ID를 통해 CAE(지속적인 액세스 평가)를 지원하므로 조건부 액세스 정책을 거의 실시간으로 적용할 수 있습니다. CAE를 사용하면 토큰 만료를 기다리지 않고 사용자 사용 안 함, 암호 변경 또는 위치/IP 이동과 같은 중요한 이벤트가 발생할 때 즉시 액세스 토큰을 해지할 수 있습니다. 이렇게 하면 보안이 향상되고, 운영 오버헤드가 감소하며, ID 서비스 중단 시 복원력이 향상됩니다.

최신 .NET 클라이언트 라이브러리 버전 (20.259.0-preview 이상)을 사용하는 앱 개발자는 클레임 챌린지를 정상적으로 처리하여 CAE 지원 토큰을 지원하는 것이 좋습니다. CAE 지원은 2025년 하반기에 Python 및 Go 클라이언트 라이브러리에 제공될 예정입니다.

관련 콘텐츠

  • 조직 대한 애플리케이션 연결 & 보안 정책 변경