Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure Boards bietet mehrere Sicherheitsebenen, um Ihre Arbeitsverfolgungsdaten zu schützen, den Zugriff auf vertrauliche Informationen zu steuern und die Einhaltung von Organisationsrichtlinien sicherzustellen. In diesem Artikel werden die Sicherheitskonzepte, Zugriffssteuerungen und bewährten Methoden zum Sichern Ihrer Azure Boards Implementierung beschrieben.
Übersicht über das Sicherheitsmodell
Azure Boards Sicherheit funktioniert auf einem mehrschichtigen Ansatz, der Folgendes umfasst:
- Steuern der Identitäts- und Zugriffsverwaltung: Verwalten Sie, wer auf Ihre Arbeitsaufgaben zugreifen kann und was sie tun können. Weitere Informationen finden Sie unter "Informationen zu Zugriffsebenen"
- Implementieren sie den berechtigungsbasierten Zugriff: Wenden Sie differenzierte Berechtigungen für unterschiedliche Arbeitsverfolgungsvorgänge an. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die Arbeitsnachverfolgung.
- Konfigurieren von Bereichs- und Iterationssicherheit: Einschränken des Zugriffs auf bestimmte Arbeitsaufgaben basierend auf Projektbereichen. Weitere Informationen finden Sie unter Festlegen von Bereichspfaden und Zuweisen zu einem Team
- Verwalten von Arbeitsaufgabentypen und Feldsicherheit: Steuern der Sichtbarkeit und Bearbeitbarkeit von Arbeitsaufgabenfeldern. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds
- Aktivieren von Überwachung und Compliance: Nachverfolgen von Änderungen und Verwalten von Complianceanforderungen. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
Identitäts- und Zugriffsverwaltung
Zugriffsebenen
Azure Boards verwendet Zugriffsebenen, um zu steuern, auf welche Features Benutzer zugreifen können. Umfassende Informationen zu Standardberechtigungen für jede Zugriffsebene finden Sie unter Default-Berechtigungen und Zugriffsebenen für Azure Boards.
| Zugriffsebene | Azure Boards-Funktionen |
|---|---|
| Projektbeteiligter | Arbeitsaufgaben ansehen, Arbeitsaufgaben hinzufügen und ändern, die sie erstellen, Dashboards anzeigen, eingeschränkter Abfragezugriff. |
| Grundlegend | Vollzugriff auf Arbeitsaufgaben, Abfragen, Dashboards, Boards und Backlogs |
| Basic + Testpläne | Umfasst grundlegenden Zugriff sowie Funktionen für Testpläne. |
| Visual Studio Enterprise | Umfasst alle grundlegenden Features sowie erweiterte Funktionen |
Weitere Informationen finden Sie unter Informationen zu Zugriffsebenen.
Authentifizierung
Azure Boards unterstützt mehrere Authentifizierungsmethoden:
- Use Microsoft Entra ID: Erleichtern Sie das Identitätsmanagement für Unternehmen mit Einmalanmeldung. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Microsoft Entra ID
- Konfigurieren von Microsoft-Konten: Unterstützen Sie persönliche Microsoft-Konten. Weitere Informationen finden Sie unter Sign up, sign in to Azure DevOps
- Implement GitHub-Authentifizierung: Authentifizieren GitHub Benutzer und Organisationen. Weitere Informationen finden Sie unter Authenticate mit GitHub
- Integrate Active Directory: Verbinden der lokalen Identitätsintegration. Weitere Informationen finden Sie unter Einrichten von Gruppen für die Verwendung in Azure DevOps Server
- Erstellen lokaler Konten: Verwalten von serverbasierten Benutzerkonten
- Configure Microsoft Entra ID: Aktivieren der cloudbasierten Identitätsverwaltung. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Microsoft Entra ID
Berechtigungsmodell
Sicherheitsgruppen
Azure Boards verwendet Sicherheitsgruppen, um Berechtigungen effizient zu verwalten. Weitere Informationen zu allen verfügbaren Sicherheitsgruppen und deren Berechtigungen finden Sie unter "Informationen zu Berechtigungen und Sicherheitsgruppen". Ausführliche Anleitungen zum Konfigurieren von Teamadministratoren und deren Berechtigungen finden Sie unter "Verwalten von Teamadministratoren".
| Sicherheitsgruppe | Standardberechtigungen |
|---|---|
| Projektadministratoren | Vollzugriff auf Projekteinstellungen, Arbeitsaufgabentypen und Teamkonfiguration |
| Beitragende | Erstellen, Ändern und Löschen von Arbeitsaufgaben; Verwalten von Boards und Backlogs |
| Leser | Anzeigen von Arbeitsaufgaben und Projektartefakten |
| Projektauflistungsadministratoren | Organisationsweite Verwaltung einschließlich Sicherheitseinstellungen |
Arbeitselementberechtigungen
Steuern des Zugriffs auf Arbeitsaufgaben über diese Schlüsselberechtigungen. Schrittweise Anleitungen zum Konfigurieren dieser Berechtigungen finden Sie unter "Festlegen von Arbeitsverfolgungsberechtigungen".
| Erlaubnis | Description |
|---|---|
| Workitems in diesem Knoten anzeigen | Lesezugriff auf Arbeitselemente in bestimmten Bereichspfaden |
| Bearbeiten von Arbeitsaufgaben in diesem Knoten | Ändern von Arbeitsaufgaben in bestimmten Bereichspfaden |
| Erstellen von untergeordneten Knoten | Hinzufügen neuer Bereichspfade unter vorhandenen Knoten |
| Arbeitselemente löschen und wiederherstellen | Entfernen von Arbeitsaufgaben und Wiederherstellen gelöschter Elemente |
| Arbeitselemente aus diesem Projekt verschieben | Übertragen von Arbeitsaufgaben in andere Projekte |
Bereichspfadsicherheit
Bereichspfade bieten hierarchische Sicherheitsgrenzen:
Project Root
├── Team A (Restricted to Team A members)
├── Team B (Restricted to Team B members)
└── Shared Components (Accessible to all teams)
Konfigurieren Sie Bereichspfadberechtigungen für:
- Einschränken des Teamzugriffs auf bestimmte Arbeitsaufgaben
- Erstellen sicherer Arbeitsbereiche für verschiedene Abteilungen
- Steuern der Sichtbarkeit vertraulicher Projekte
Ausführliche Anweisungen zum Einrichten von Bereichspfadberechtigungen finden Sie im Abschnitt Festlegen von Arbeitsverfolgungsberechtigungen.
Sicherheit auf Feldebene
Schutz vertraulicher Daten
Schützen Sie vertrauliche Informationen mithilfe dieser Strategien:
- Erstellen Sie benutzerdefinierte Felder mit eingeschränktem Zugriff, die nur bestimmte Gruppen anzeigen oder bearbeiten können. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds
- Beschränken Sie Einschränkungen für den Arbeitsaufgabentyp , um zu steuern, wer bestimmte Arbeitsaufgabentypen erstellen oder ändern kann. Weitere Informationen finden Sie unter Anpassen eines Arbeitsaufgabentyps
- Konfigurieren Sie ausgeblendete Felder so, dass sie für bestimmte Benutzergruppen unsichtbar sind. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds
- Legen Sie schreibgeschützte Felder fest, um nicht autorisierte Änderungen an kritischen Daten zu verhindern.
Compliancefeatures
- Wählen Sie "Data Residency" aus, um die Complianceanforderungen für den Datenspeicherort zu erfüllen. Weitere Informationen finden Sie unter Datenspeicherorte für Azure DevOps
- Aktivieren Sie Überwachungsprotokolle , um alle Änderungen an Arbeitsaufgaben und Sicherheitseinstellungen nachzuverfolgen. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
- Konfigurieren Sie Exportfunktionen zum Generieren von Complianceberichten und Datenextrakten. Weitere Informationen finden Sie unter Exportieren der Benutzerliste mit Zugriffsebenen
- Implementieren Sie Aufbewahrungsrichtlinien für die automatische Datenbereinigung und -archivierung. Weitere Informationen finden Sie unter Festlegen von Aufbewahrungsrichtlinien für Builds, Versionen und Tests
Bewährte Methoden für Azure Boards Sicherheit
Zugriffsverwaltung
- Prinzip des geringsten Privilegs anwenden: Erteilen Sie nur die unbedingt erforderlichen Berechtigungen. Weitere Informationen finden Sie unter "Informationen zu Berechtigungen und Sicherheitsgruppen".
- Führen Sie regelmäßige Zugriffsüberprüfungen durch: Überwachen Sie regelmäßig Benutzerberechtigungen und Gruppenmitgliedschaften. Weitere Informationen finden Sie unter Exportieren der Benutzerliste mit Zugriffsebenen
- Verwenden Sie die gruppenbasierte Verwaltung: Verwalten von Sicherheitsgruppen anstelle einzelner Berechtigungen. Weitere Informationen finden Sie unter "Informationen zu Berechtigungen und Sicherheitsgruppen".
- Implementieren des bedingten Zugriffs: Aktivieren von Standort- und gerätebasierten Zugriffssteuerungen. Weitere Informationen finden Sie unter Verwalten des bedingten Zugriffs
Sicherheit von Arbeitsobjekten
- Strategie für den Entwurfsbereichspfad: Erstellen Sie eine hierarchische Struktur, die den Sicherheitsanforderungen entspricht. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die Arbeitsnachverfolgung.
- Konfigurieren der Teamisolation: Richten Sie Teams so ein, dass nur auf ihre festgelegten Arbeitsaufgaben zugegriffen wird. Weitere Informationen finden Sie unter Hinzufügen eines Teams, wechseln von einem Standardteam zu mehreren Teams
- Implementieren der Feldsicherheit: Einschränken des Zugriffs auf vertrauliche Felder wie Budget- oder persönliche Informationen. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds
- Steuerung der Verknüpfungssicherheit: Verwalten, wer Abhängigkeiten zwischen Arbeitsaufgaben erstellen kann. Weitere Informationen finden Sie unter Verknüpfen von Arbeitsaufgaben mit Objekten
Datenschutz
- Behandeln von vertraulichen Informationen sorgfältig: Vermeiden Sie das Speichern von Anmeldeinformationen oder personenbezogenen Daten in Arbeitselementen.
- Verwalten von Dateianlagen: Implementieren von Richtlinien für akzeptable Dateitypen und -größen
- Überprüfen externer Links: Genehmigen externer URL-Links in Arbeitsaufgaben
- Sicherer Abfragezugriff: Stellen Sie sicher, dass Abfragen keine nicht autorisierten Daten verfügbar machen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen und Abfrageordner
Überwachung und Compliance
- Überwachen von Aktivitätsmustern: Nachverfolgen von Zugriffsmustern für Arbeitsaufgaben und ungewöhnliche Aktivitäten. Weitere Informationen finden Sie unter Access-, Export- und Filterüberwachungsprotokolle
- Änderungsprotokolle prüfen: Verwalten von Protokollen aller Änderungen von Arbeitselementen. Weitere Informationen finden Sie unter "Arbeitsaufgabenverlauf abfragen" und "Überwachung"
- Implementieren Sie regelmäßige Sicherungen: Erstellen Sie Sicherungsstrategien für kritische Arbeitsverfolgungsdaten. Weitere Informationen finden Sie in der Übersicht über den Datenschutz
- Einrichten der Reaktion auf Vorfälle: Erstellen Sie Verfahren für Sicherheitsvorfälle, die Arbeitsaufgaben betreffen. Weitere Informationen finden Sie unter "Bewährte Methoden zur Sicherheit"
Allgemeine Sicherheitsszenarien
Multi-Team-Projekte
Wenn mehrere Teams innerhalb eines einzelnen Projekts arbeiten, ist es wichtig, klare Sicherheitsgrenzen festzulegen, um sicherzustellen, dass Teams nur auf ihre relevanten Arbeitsaufgaben zugreifen können, während die Zusammenarbeit bei Bedarf beibehalten wird. Azure Boards verwendet Bereichspfade, um diese Sicherheitsgrenzen zu erstellen, sodass Sie eine präzise Zugriffssteuerung für verschiedene Teams und Organisationsebenen konfigurieren können.
Anleitungen zum Einrichten von Teamadministratoren für jedes Team finden Sie unter "Verwalten von Teamadministratoren".
Beispielszenario: Ein Softwareentwicklungsprojekt mit spezialisierten Teams, die an verschiedenen Komponenten arbeiten, sowie eine Aufsicht über das Management:
Project: ProductDevelopment
├── Area: Frontend (Frontend team access)
├── Area: Backend (Backend team access)
├── Area: QA (QA team access)
└── Area: Management (Manager access only)
In dieser Konfiguration:
- Frontend-Teammitglieder können Arbeitsaufgaben nur im Front-End-Bereich anzeigen und bearbeiten.
- Back-End-Teammitglieder haben Zugriff auf Back-End-Arbeitsaufgaben beschränkt
- QA-Teammitglieder können auf QA-spezifische Arbeitsaufgaben für die Testkoordination zugreifen.
- Manager haben Einblicke in den Managementbereich für strategische Planung und Berichterstellung.
- Teamübergreifende Abhängigkeiten können über sorgfältig konfigurierte freigegebene Bereiche oder explizite Berechtigungen verwaltet werden.
Mit diesem Ansatz wird sichergestellt, dass vertrauliche Informationen eingeschränkt bleiben, sodass sich Teams auf ihre spezifischen Verantwortlichkeiten konzentrieren können, ohne dass sie von nicht verwandten Arbeitsaufgaben ablenken.
Projektübergreifende Zusammenarbeit
Verwalten der Sicherheit, wenn Teams über Projekte hinweg arbeiten:
- Gewähren von projektübergreifenden Berechtigungen: Gewähren eines bestimmten Zugriffs auf externe Teammitglieder
- Steuern der Verknüpfung von Arbeitsaufgaben: Verwalten, wer Abhängigkeiten über Projekte hinweg erstellen kann
- Verwalten freigegebener Abfragen: Steuern des Zugriffs auf Abfragen, die mehrere Projekte umfassen. Ausführliche Konfigurationsschritte finden Sie unter Festlegen von Berechtigungen für Abfragen und Abfrageordner
Auftragnehmer- und Lieferantenzugriff
Sicherer Zugriff für externe Mitwirkende. Umfassende Anleitungen zum Verwalten externer Benutzer finden Sie unter Hinzufügen externer Benutzer zu Ihrer Organisation.
- Zuweisen eingeschränkter Zugriffsebenen: Konfigurieren der entsprechenden Zugriffsebenen für externe Benutzer
- Implementieren von zeitgebundenen Berechtigungen: Erstellen eines temporären Zugriffs mit Ablaufdatum
- Einschränken des Bereichszugriffs: Einschränken des Vertragsnehmerzugriffs auf bestimmte Projektbereiche
- Externe Aktivität überwachen: Überwachen aller Aktionen durch externe Benutzer
Prüfliste für die Sicherheitskonfiguration
Anfangssetup
- [ ] Konfigurieren geeigneter Zugriffsstufen für alle Benutzer
- [ ] Einrichten von Sicherheitsgruppen, die an der Organisationsstruktur ausgerichtet sind
- [ ] Entwurfsbereichspfadhierarchie basierend auf Sicherheitsanforderungen
- [ ] Konfigurieren von Teamberechtigungen und Zugriffsgrenzen
- [ ] Festlegen von Berechtigungen zur Arbeitsverfolgung für Bereichspfade und Iterationen
- [ ] Konfigurieren von Abfrageordnerberechtigungen zum Steuern des Zugriffs auf freigegebene Abfragen
Laufendes Management
- [ ] Durchführen regelmäßiger Berechtigungsprüfungen und Zugriffsüberprüfungen
- [ ] Zugriffsmuster auf Arbeitsaufgaben und Anomalien überwachen
- [ ] Sicherheitskonfigurationen aktualisieren, während teams weiterentwickelt werden
- [ ] Verwalten der Dokumentation von Sicherheitsentscheidungen und Änderungen
- [ ] Überprüfen und Aktualisieren von Teamadministratorzuweisungen nach Bedarf