Microsoft告知我们,Azure DevOps Services支持租户限制。尽管我们在许多其他服务上启用了租户限制,但它似乎不适用于DevOps。我们不仅仍然可以登录到租户以外的组织,还可以登录到自己的组织,如果将公司电子邮件添加为该组织的用户,该组织也会显示出来。我希望我们的用户将无法登录或访问任何外部组织。
我对为什么它不能按预期方式工作感到困惑,尽管他们说Azure DevOps Services支持租户限制,但我没有找到太多文档来支持这一点。
您是否能够迁移到Azure DevOps Services并确保您的用户只能访问自己租户内的组织?怎么样?
答案 0 :(得分:1)
Azure DevOps服务支持Azure Active Directory(Azure AD)租户策略,以限制用户在Azure DevOps中创建组织。默认情况下,此策略是关闭的。您必须是Azure AD中的Azure DevOps管理员才能管理此策略。
查看以下链接以了解更多详细信息:
通知:
此政策仅受公司拥有的支持(Azure Active 目录)组织。用户使用他们的组织创建组织 个人帐户(MSA或GitHub)没有限制。
答案 1 :(得分:0)
我们最终从总理支持小组收到了对该问题的更具体答案。听起来内部也不是很清楚。 Azure DevOps Services支持提供从客户端到代理的租户限制的TRv1,但不支持提供服务器到服务器限制的TRv2租户限制。 TRv1会阻止您直接对租户外部的组织进行身份验证,但是如果您的帐户配置为能够访问辅助租户的组织,则不会阻止后台身份验证。服务器到服务器的连接剥夺了限制您访问辅助租户所需的标头信息。尽管此功能可能已成为人们的关注,但目前尚无发布该产品的期望或时间表。