如何限制组织中的特定用户从办公室IP外部访问Azure DevOps

时间:2019-02-19 12:27:06

标签: visual-studio azure-devops azure-active-directory

我们的Azure DevOps组织中有近16个用户。我具有Azure帐户的管理员权限。我看到了一些有关 Active Directory启用方法的博客。但是还不清楚。

我们如何在Azure DevOps中管理此限制。

NB:-我们的用户正在通过其Outlook帐户访问Azure DevOps。例如:-sample.orgnization@outlook.com

2 个答案:

答案 0 :(得分:1)

取决于您的设置,有两个选项:

在Azure DevOps中配置为具有AAD来宾支持的MSA的Azure DevOps

将您的Azure DevOps帐户配置为由Microsoft帐户(以前的Live ID,或Outlook.com或Hotmail.com)支持时,它可以将Azure Active Directory用户作为来宾添加到该帐户中。去年秋天添加了此功能。

在此配置中,您可以直接从Azure DevOps邀请AAd和MSA用户,而MSA用户无权访问Azure帐户。

在Azure Active Directory中配置为以AAD为后盾的AAD的Azure DevOps

将您的Azure DevOps帐户配置为由Azure Active Directory支持时,它只能添加Azure Active Directory中已知的用户。但是,您可以邀请Microsoft帐户作为来宾加入AAD。您甚至可以邀请其他AAD的用户作为联合来宾。

在此配置中,您只能邀请AAD已知的用户加入您的Azure DevOps帐户。如果他们不在AAD中,则必须首先邀请他们加入AAD。

切换

您可以在不同的关联模式之间切换帐户。要将现有用户从一种类型迁移到另一种类型(AAD-> MSA,MSA-> AAD),当前需要open a support request to get all of the users mapped over。在这种情况下,您将从帐户中获得excel导出,并在新旧uesr帐户之间提供了映射。支持人员将为您进行映射。

手动过程

您也可以采用手动方法。这个模型没有很好的文档。而且,当手动进行mappign时,您还必须手动重新应用安全权限。因此,不建议使用这种方法。

一次进入AAD

一旦您的用户全部位于Azure Active目录中,就可以在其访问模式上设置策略,限制IP地址,需要2FA令牌等。该值对于外部用户而言是可疑的,因为它不适用于所有来宾类型。这对您的拥有用户非常有价值。您可以对您的 AAD中的用户实施政策。建议与联盟伙伴合作,以确保他们也为自己的用户使用正确的策略。

答案 1 :(得分:1)

我认为这将对您有帮助,我也遇到了与我提到的问题相同的问题,article非常详细地解释了我们如何应用“条件访问策略”以避免对Azure存储库进行未经授权的访问(代码)。在Azure门户上应用策略后,我们需要在dev.portal Enable Conditional Access for Azure DevOps上启用该选项,希望对您有所帮助。