Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure Boards biedt meerdere beveiligingslagen om uw werktraceringsgegevens te beschermen, de toegang tot gevoelige informatie te beheren en ervoor te zorgen dat het beleid van de organisatie wordt nageleefd. In dit artikel vindt u een overzicht van de beveiligingsconcepten, toegangscontroles en aanbevolen procedures voor het beveiligen van uw Azure Boards implementatie.
Overzicht van beveiligingsmodel
Azure Boards beveiliging werkt op een benadering met meerdere lagen, waaronder:
- Identiteits- en toegangsbeheer beheren: beheren wie toegang heeft tot uw werkitems en wat ze kunnen doen. Zie Over toegangsniveaus voor meer informatie
- Toegang op basis van machtigingen implementeren: fijnmazige machtigingen toepassen voor verschillende bewerkingen voor het bijhouden van werk. Zie Machtigingen voor het bijhouden van werk instellen voor meer informatie
- Gebieds- en iteratiebeveiliging configureren: beperk de toegang tot specifieke werkitems op basis van projectgebieden. Zie Gebiedspaden instellen en toewijzen aan een team voor meer informatie
- Werkitemtypen en veldbeveiliging beheren: Zichtbaarheid en bewerkbaarheid van werkitemvelden beheren. Zie Een veld toevoegen en wijzigen voor meer informatie
- Controle en naleving inschakelen: Wijzigingen bijhouden en nalevingsvereisten onderhouden. Voor meer informatie, zie toegang tot, exporteren en filteren van auditlogboeken.
Identiteits- en toegangsbeheer
Toegangsniveaus
Azure Boards gebruikt toegangsniveaus om te bepalen waartoe gebruikers toegang hebben. Zie Default-machtigingen en toegangsniveaus voor Azure Boards voor uitgebreide informatie over standaardmachtigingen voor elk toegangsniveau.
| Toegangsniveau | Azure Boards mogelijkheden |
|---|---|
| Belanghebbende | Werkitems weergeven, werkitems toevoegen en wijzigen die ze maken, dashboards weergeven, beperkte toegang tot query's |
| Basisch | Volledige toegang tot werkitems, query's, dashboards, borden en achterstanden |
| Basic + Test-abonnementen | Bevat basistoegang plus functies voor testplannen |
| Visual Studio Enterprise | Bevat alle basisfuncties plus geavanceerde mogelijkheden |
Zie Over toegangsniveaus voor meer informatie.
Authenticatie
Azure Boards ondersteunt meerdere verificatiemethoden:
- Gebruik Microsoft Entra ID: Schakel identiteitsbeheer voor ondernemingen in met single sign-on. Zie voor meer informatie Connect your organization to Microsoft Entra ID
- Microsoft-accounts configureren: persoonlijke Microsoft-accounts ondersteunen. Zie voor meer informatie Aanmelden bij Azure DevOps
- Implement GitHub authenticatie: GitHub gebruikers en organisaties authenticeren. Zie voor meer informatie Authenticate with GitHub
- Integrate Active Directory: On-premises identiteitsintegratie verbinden. Zie Groepen instellen voor gebruik in Azure DevOps Server voor meer informatie
- Lokale accounts maken: servergebruikersaccounts beheren
- Configuratie Microsoft Entra ID: cloudidentiteitsbeheer inschakelen. Zie voor meer informatie Connect your organization to Microsoft Entra ID
Machtigingsmodel
Beveiligingsgroepen
Azure Boards gebruikt beveiligingsgroepen om machtigingen efficiënt te beheren. Zie Over machtigingen en beveiligingsgroepen voor meer informatie over alle beschikbare beveiligingsgroepen en de bijbehorende machtigingen. Zie Teambeheerders beheren voor gedetailleerde richtlijnen voor het configureren van teambeheerders en hun machtigingen.
| Beveiligingsgroep | Standaardmachtigingen |
|---|---|
| Projectbeheerders | Volledige controle over projectinstellingen, typen werkitems en teamconfiguratie |
| Bijdragers | Werkitems maken, wijzigen en verwijderen; borden en achterstanden beheren |
| Lezers | Werkitems en projectartefacten weergeven |
| Beheerders van projectverzamelingen | Organisatiebreed beheer, inclusief beveiligingsinstellingen |
Machtigingen voor werkitems
Toegang tot werkitems beheren via deze sleutelmachtigingen. Zie Werk bijhouden machtigingen instellen voor stapsgewijze instructies over het configureren van deze machtigingen.
| Toestemming | Description |
|---|---|
| Werkitems in dit knooppunt weergeven | Leestoegang tot werkitems in specifieke gebiedspaden |
| Werkitems in dit knooppunt bewerken | Werkitems in specifieke gebiedspaden wijzigen |
| Onderliggende knooppunten aanmaken | Nieuwe gebiedspaden toevoegen onder bestaande knooppunten |
| Werkitems verwijderen en herstellen | Werkitems verwijderen en verwijderde items herstellen |
| Werkitems uit dit project verplaatsen | Werkitems overdragen naar andere projecten |
Gebiedspadbeveiliging
Gebiedenpaden bieden hiërarchische beveiligingsgrenzen:
Project Root
├── Team A (Restricted to Team A members)
├── Team B (Restricted to Team B members)
└── Shared Components (Accessible to all teams)
Machtigingen voor gebiedspaden configureren voor:
- Teamtoegang tot specifieke werkitems beperken
- Veilige werkruimten maken voor verschillende afdelingen
- Zichtbaarheid van gevoelige projecten beheren
Zie Machtigingen voor werktracering instellen voor gedetailleerde instructies voor het instellen van machtigingen voor gebiedspaden.
Beveiliging op veldniveau
Bescherming van gevoelige gegevens
Beveilig gevoelige informatie met behulp van deze strategieën:
- Aangepaste velden maken met beperkte toegang die alleen specifieke groepen kunnen bekijken of bewerken. Zie Een veld toevoegen en wijzigen voor meer informatie
- Beperk beperkingen voor werkitems om te bepalen wie bepaalde typen werkitems kan maken of wijzigen. Zie Een werkitemtype aanpassen voor meer informatie
- Configureer verborgen velden om onzichtbaar te zijn voor bepaalde gebruikersgroepen. Zie Een veld toevoegen en wijzigen voor meer informatie
- Stel alleen-lezenvelden in om niet-geautoriseerde wijzigingen in kritieke gegevens te voorkomen.
Nalevingsfuncties
- Kies voor gegevensresidentie om te voldoen aan de nalevingsvereisten voor de locatie van gegevensopslag. Zie voor meer informatie Datalocaties voor Azure DevOps
- Schakel auditlogboeken in om alle wijzigingen in werkitems en beveiligingsinstellingen bij te houden. Zie Toegang krijgen tot, exporteren en filteren van auditlogboeken voor meer informatie
- Configureer exportmogelijkheden om nalevingsrapporten en gegevensextracten te genereren. Zie Lijst met gebruikers exporteren met toegangsniveaus voor meer informatie
- Bewaarbeleid implementeren voor het automatisch opschonen en archiveren van gegevens. Zie voor meer informatie Bewaarbeleid instellen voor builds, releases en tests
Aanbevolen procedures voor Azure Boards beveiliging
Toegangsbeheer
- Principe van minimale bevoegdheden toepassen: minimale vereiste machtigingen verlenen. Zie Over machtigingen en beveiligingsgroepen voor meer informatie
- Regelmatig toegangsbeoordelingen uitvoeren: controleer regelmatig gebruikersmachtigingen en groepslidmaatschappen. Zie Lijst met gebruikers exporteren met toegangsniveaus voor meer informatie
- Op groepen gebaseerd beheer gebruiken: Beveiligingsgroepen beheren in plaats van afzonderlijke machtigingen. Zie Over machtigingen en beveiligingsgroepen voor meer informatie
- Voorwaardelijke toegang implementeren: locatie- en apparaattoegangsbeheer inschakelen. Zie Voorwaardelijke toegang beheren voor meer informatie
Beveiliging van werkitems
- Strategie voor ontwerpgebiedpaden: een hiërarchische structuur maken die overeenkomt met de beveiligingsvereisten. Zie Machtigingen voor het bijhouden van werk instellen voor meer informatie
- Teamisolatie configureren: stel teams in om alleen toegang te krijgen tot hun aangewezen werkitems. Zie Een team toevoegen, van één standaardteam naar meerdere teams gaan voor meer informatie
- Veldbeveiliging implementeren: beperk de toegang tot gevoelige velden, zoals budget- of persoonlijke gegevens. Zie Een veld toevoegen en wijzigen voor meer informatie
- Beveiliging van koppelingsbeheer: beheren wie afhankelijkheden tussen werkitems kan maken. Zie Werkitems koppelen aan objecten voor meer informatie
Gegevensbescherming
- Gevoelige informatie zorgvuldig verwerken: Vermijd het opslaan van referenties of persoonlijke gegevens in werkitems
- Bestandsbijlagen beheren: beleid implementeren voor acceptabele bestandstypen en -grootten
- Externe koppelingen valideren: externe URL-koppelingen goedkeuren in werkitems
- Beveiligde toegang tot query's: zorg ervoor dat query's geen onbevoegde gegevens beschikbaar maken. Zie Machtigingen instellen voor query's en querymappen voor meer informatie
Monitoring en naleving
- Activiteitenpatronen bewaken: toegangspatronen voor werkitems en ongebruikelijke activiteiten bijhouden. Zie Toegang tot auditlogs, exporteren en filteren voor meer informatie.
- Wijzigingenlogboeken controleren: logboeken van alle wijzigingen in werkitems onderhouden. Zie De geschiedenis en controle van werkitems opvragen voor meer informatie
- Regelmatige back-ups implementeren: Maak strategieën voor back-ups van kritieke werkvolggegevens. Zie Het overzicht van gegevensbeveiliging voor meer informatie
- Incidentrespons vaststellen: procedures maken voor beveiligingsincidenten met betrekking tot werkitems. Zie Best practices voor beveiliging voor meer informatie
Algemene beveiligingsscenario's
Projecten met meerdere teams
Wanneer meerdere teams binnen één project werken, is het essentieel om duidelijke beveiligingsgrenzen vast te stellen om ervoor te zorgen dat teams alleen toegang hebben tot hun relevante werkitems terwijl ze waar nodig samenwerken. Azure Boards maakt gebruik van gebiedspaden om deze beveiligingsgrenzen te maken, zodat u gedetailleerd toegangsbeheer kunt configureren voor verschillende teams en organisatieniveaus.
Zie Teambeheerders beheren voor hulp bij het instellen van teambeheerders voor elk team.
Voorbeeldscenario: Een softwareontwikkelingsproject met gespecialiseerde teams die aan verschillende onderdelen werken, plus toezicht op beheer:
Project: ProductDevelopment
├── Area: Frontend (Frontend team access)
├── Area: Backend (Backend team access)
├── Area: QA (QA team access)
└── Area: Management (Manager access only)
In deze configuratie:
- Teamleden van front-end kunnen alleen werkitems bekijken en bewerken in het gebied Front-end
- Leden van het backendteam hebben toegang beperkt tot back-end werkitems
- QA-teamleden hebben toegang tot QA-specifieke werkitems voor testcoördinatie
- Managers hebben inzicht in beheergebieditems voor strategische planning en rapportage
- Afhankelijkheden tussen teams kunnen worden beheerd via zorgvuldig geconfigureerde gedeelde gebieden of expliciete machtigingen
Deze aanpak zorgt ervoor dat gevoelige informatie beperkt blijft, zodat teams zich kunnen richten op hun specifieke verantwoordelijkheden zonder afleiding van niet-gerelateerde werkitems.
Samenwerking tussen projecten
Beveiliging beheren wanneer teams in verschillende projecten werken:
- Machtigingen voor meerdere projecten verlenen: specifieke toegang bieden aan externe teamleden
- Koppeling van werkitems beheren: Beheren wie afhankelijkheden kan maken in projecten
- Gedeelde query's beheren: toegang beheren tot query's die meerdere projecten omvatten. Voor gedetailleerde configuratiestappen, zie Machtigingen instellen voor query's en querymappen
Toegang tot aannemer en leverancier
Beveiligde toegang voor externe inzenders. Zie Externe gebruikers toevoegen aan uw organisatie voor uitgebreide richtlijnen voor het beheren van externe gebruikers.
- Beperkte toegangsniveaus toewijzen: de juiste toegangsniveaus configureren voor externe gebruikers
- Tijdsgebonden machtigingen implementeren: tijdelijke toegang maken met vervaldatums
- Gebiedstoegang beperken: De toegang van aannemers beperken tot specifieke projectgebieden
- Externe activiteit controleren: alle acties van externe gebruikers controleren
Controlelijst voor beveiligingsconfiguratie
Eerste installatie
- [ ] De juiste toegangsniveaus configureren voor alle gebruikers
- [ ] Beveiligingsgroepen instellen die zijn afgestemd op de organisatiestructuur
- [ ] Ontwerpgebiedpadhiërarchie op basis van beveiligingsvereisten
- [ ] Teammachtigingen en toegangsgrenzen configureren
- [ ] Machtigingen voor het bijhouden van werk instellen voor gebiedspaden en iteraties
- [ ] Machtigingen voor querymappen configureren om de toegang tot gedeelde query's te beheren
Doorlopend beheer
- [ ] Regelmatig machtigingscontroles en toegangsbeoordelingen uitvoeren
- [ ] Toegangspatronen en afwijkingen voor werkitems bewaken
- [ ] Beveiligingsupdates bijwerken naarmate teams zich ontwikkelen
- [ ] Documentatie over beveiligingsbeslissingen en wijzigingen onderhouden
- [ ] Controleer en werk de toewijzingen van teambeheerders indien nodig bij