Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure DevOps-Analysen und -Berichte bieten leistungsstarke Einblicke in Ihre Entwicklungsprozesse. Mit dieser Verantwortung kommt die Pflicht, vertrauliche Daten zu schützen und den Zugriff auf organisatorische Metriken zu steuern. In diesem Artikel werden die Sicherheitskonzepte, Zugriffssteuerungen und bewährten Methoden zum Sichern Ihrer Analyse- und Berichterstellungsimplementierung beschrieben.
Übersicht über das Sicherheitsmodell
Analyse- und Berichterstellungssicherheit verwendet einen mehrschichtigen Ansatz, der Folgendes umfasst:
- Kontrolle der Datensichtbarkeit: Verwalten, wer Analysedaten anzeigen kann und auf welche Projekte sie zugreifen können.
- Implementieren von Dashboardberechtigungen: Steuern des Zugriffs auf Dashboards und deren zugrunde liegende Daten. Weitere Informationen finden Sie unter "Festlegen von Dashboardberechtigungen".
- Konfigurieren des Zugriffs auf Projektebene: Einschränken des Analysezugriffs basierend auf der Projektmitgliedschaft. Weitere Informationen finden Sie unter Standardberechtigungen und Zugriff für Die Berichterstellung.
- Verwalten der Power BI-Integration: Sichere Verbindungen zwischen Azure DevOps und Power BI. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Power BI Data Connector.
- Aktivieren von Überwachung und Compliance: Nachverfolgen des Datenzugriffs und Verwalten von Complianceanforderungen. Weitere Informationen finden Sie unter Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen.
Identitäts- und Zugriffsverwaltung
Zugriffsebenen für die Berichtserstellung
Analyse- und Berichterstellungsfunktionen variieren je nach Zugriffsebene. Umfassende Informationen zu Standardberechtigungen für jede Zugriffsebene finden Sie unter Standardberechtigungen und Zugriff für die Berichterstellung.
| Zugriffsebene | Analyse- und Berichterstellungsfunktionen |
|---|---|
| Interessenträger | Anzeigen von freigegebenen Dashboards, eingeschränkten Analyseansichten, grundlegenden Diagramm-Widgets |
| Grundlegend | Vollzugriff auf Analyseansichten, Dashboarderstellung und -bearbeitung, alle Diagramm-Widgets |
| Grundlegend + Testpläne | Umfasst Basiszugang sowie Testpläne: Analyse und Berichterstellung |
| Visual Studio Enterprise | Umfasst alle grundlegenden Features sowie erweiterte Analysefunktionen. |
Weitere Informationen finden Sie unter Informationen zu Zugriffsebenen.
Authentifizierung für externe Tools
Wenn Sie externe Berichterstellungstools mit Azure DevOps verbinden, ist die sichere Authentifizierung unerlässlich:
- Verwenden Sie Microsoft Entra-Token: Verwenden Sie die Organisationsidentität für verbesserte Sicherheit und zentrale Verwaltung. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token.
- Konfigurieren von OAuth-Anwendungen: Einrichten sicherer OAuth-Flüsse für Nicht-Microsoft-Integrationen. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf REST-APIs mit OAuth 2.0.
- Verwenden Sie bei Bedarf persönliche Zugriffstoken (PATs): Erstellen Sie Token mit minimal erforderlichen Bereichen nur, wenn Microsoft Entra ID nicht verfügbar ist. Weitere Informationen finden Sie unter Verwenden von persönlichen Zugriffstoken.
- Dienstkonten erstellen: Verwenden Sie dedizierte Konten für Berichtstoolverbindungen.
- Konfigurieren der Windows-Authentifizierung: Integration in Active Directory für nahtlosen Zugriff. Weitere Informationen finden Sie unter Einrichten von Gruppen für die Verwendung in Azure DevOps Server.
- Alternative Authentifizierung verwenden: Aktivieren der tokenbasierten Authentifizierung für externe Tools. Weitere Informationen finden Sie unter Authentifizierungsleitfaden für REST-APIs.
Analysesicherheit
Datenzugriffsberechtigungen
Die Analysesicherheit basiert auf dem Prinzip der Datensichtbarkeitsvererbung aus Quellprojekten:
- Projektbasierter Zugriff: Benutzer können nur Analysedaten für Projekte sehen, auf die sie Zugriff haben. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektebene.
- Sichtbarkeit von Arbeitsaufgaben: Analytics berücksichtigt Pfadberechtigungen für den Arbeitsbereich. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die Arbeitsnachverfolgung.
- Repositoryzugriff: Codemetriken werden basierend auf Repositoryberechtigungen gefiltert. Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.
- Sichtbarkeit der Pipeline: Build- und Releaseanalysen folgen den Pipelinesicherheitseinstellungen. Weitere Informationen finden Sie unter Festlegen von Pipelineberechtigungen.
Analytics-Ansichten
Steuern des Zugriffs auf bestimmte Datasets über Analyseansichten. Weitere Informationen zum Erstellen und Verwalten von Analyseansichten finden Sie unter Erstellen einer Analyseansicht.
| Ansichtstyp | Sicherheitsmerkmale |
|---|---|
| Freigegebene Ansichten | Zugriff auf alle Projektmitglieder mit entsprechenden Berechtigungen |
| Private Ansichten | Nur für den Ersteller zugänglich |
| Teamansichten | Auf bestimmte Teammitglieder beschränkt |
Datenfilterung und Datenschutz
Implementieren Sie die Datenfilterung zum Schutz vertraulicher Informationen:
- Konfigurieren von Bereichspfadeinschränkungen: Beschränken Sie Analysedaten auf bestimmte Arbeitsbereiche. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die Arbeitsnachverfolgung.
- Anwenden der Sicherheit auf Feldebene: Ausblenden vertraulicher Arbeitsaufgabenfelder aus analysen. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds.
- Verwalten des projektübergreifenden Zugriffs: Steuern der Sichtbarkeit über mehrere Projekte hinweg.
Dashboard-Sicherheit
Dashboardberechtigungen
Steuern, wer Dashboards anzeigen, bearbeiten und verwalten kann. Schrittweise Anleitungen zum Konfigurieren von Dashboardberechtigungen finden Sie unter "Festlegen von Dashboardberechtigungen".
| Berechtigungsstufe | Fähigkeiten |
|---|---|
| View | Anzeigen des Dashboards und seiner Widgets |
| Bearbeiten | Ändern des Dashboardlayouts und der Widgetkonfiguration |
| Manage | Vollzugriff einschließlich Freigabe- und Berechtigungsverwaltung |
| Löschen | Entfernen von Dashboards und zugehörigen Konfigurationen |
Überlegungen zur Widgetsicherheit
Verschiedene Widgets haben unterschiedliche Sicherheitsauswirkungen:
- Abfragebasierte Widgets: Erben die Sicherheit von unterliegenden Arbeitsaufgabenabfragen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für Abfragen.
- Analyse-Widgets: Folgen Sie den Berechtigungen für die Analyseansicht und dem Projektzugriff.
- Externe Widgets: Erfordert möglicherweise andere Überlegungen zur Authentifizierung und Datenfreigabe. Weitere Informationen finden Sie unter "Bewährte Methoden für Sicherheit".
- Benutzerdefinierte Widgets: Sicherheit hängt von Implementierung und Datenquellen ab. Weitere Informationen finden Sie unter Hinzufügen, Umbenennen und Löschen von Dashboards.
Team- und Projektdashboards
Verwalten des Dashboardzugriffs auf verschiedenen Organisationsebenen:
- Teamdashboards: Teammitglieder und Projektbeteiligte können auf diese Dashboards zugreifen. Weitere Informationen finden Sie unter Hinzufügen eines Teams, wechseln von einem Standardteam zu mehreren Teams.
- Projektdashboards: Alle Projektmitwirkenden können auf diese Dashboards zugreifen. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektebene.
- Persönliche Dashboards: Einzelne Benutzer behalten diese Dashboards privat.
- Organisationsdashboards: Die gesamte Organisation kann diese Dashboards sehen. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Organisation oder Sammlungsebene.
Weitere Informationen zu Dashboardtypen und Zugriff finden Sie unter Hinzufügen, Umbenennen und Löschen von Dashboards.
Power BI-Integrationssicherheit
Sicherheit von Datenkonnektoren
Wenn Sie Power BI mit Azure DevOps verwenden, implementieren Sie diese Sicherheitsmaßnahmen. Ausführliche Einrichtungsanweisungen finden Sie unter Herstellen einer Verbindung mit Power BI Data Connector.
- Verwenden Sie Dienstprinzipale mit Microsoft Entra ID: Implementieren Sie anwendungsbasierte Authentifizierung für die automatisierte Aktualisierung mit zentralisierter Identitätsverwaltung. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token.
- Konfigurieren der Sicherheit auf Zeilenebene: Filtern von Power BI-Daten basierend auf der Benutzeridentität.
Aktualisierungsanmeldeinformationen verwalten: Sichere Speicherung und Wechsel der Anmeldeinformationen für Datenquellen mithilfe der Microsoft Entra-ID-Authentifizierung. - Anwenden von Arbeitsbereichsberechtigungen: Steuern des Zugriffs auf Power BI-Arbeitsbereiche, die Azure DevOps-Daten enthalten.
Datenschutz in Power BI
Schützen Vertraulicher Daten beim Freigeben von Power BI-Berichten:
- Konfigurieren von Vertraulichkeitsbezeichnungen für Daten: Wenden Sie die entsprechende Klassifizierung auf Berichte und Datasets an.
- Implementieren von Freigabeeinschränkungen: Steuern, wer auf Power BI-Inhalte zugreifen und diese freigeben kann.
- Überwachen sie die Datennutzung: Verfolgen Sie Zugriffsmuster und identifizieren Sie potenzielle Sicherheitsprobleme.
- Anwenden von Exporteinschränkungen: Einschränken der Datenexportfunktionen basierend auf Organisationsrichtlinien.
Weitere Informationen zu bewährten Power BI-Sicherheitspraktiken finden Sie unter Power BI-Sicherheitsgrundwerte.
Compliance und Prüfung
Überwachungsprotokollierung
Nachverfolgen von Analyse- und Berichterstellungsaktivitäten über umfassende Überwachungsprotokolle:
- Überwachen des Dashboardzugriffs: Nachverfolgen, wer Dashboards anzeigt und ändert. Weitere Informationen finden Sie unter Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen.
- Datenexporte überwachen: Protokollieren, wenn Benutzer Analysedaten exportieren.
- Nachverfolgen von Power BI-Verbindungen: Überwachen externer Toolverbindungen und Datenzugriff.
- Überprüfen Von Berechtigungsänderungen: Verwalten von Protokollen von Sicherheitskonfigurationsänderungen.
Datenaufbewahrung und -compliance
Implementieren sie geeignete Datenaufbewahrungsrichtlinien:
- Konfigurieren der Aufbewahrung von Analysedaten: Legen Sie geeignete Aufbewahrungszeiträume für historische Daten fest.
- Verwalten des Dashboardlebenszyklus: Einrichten von Prozessen für die Dashboardarchivierung und -löschung.
- Datenherkunft dokumentieren: Aufzeichnungen von Datenquellen und Transformationen verwalten.
- Implementieren der Complianceberichterstattung: Generieren von Berichten für regulatorische Anforderungen.
Weitere Informationen zum Datenschutz finden Sie in der Übersicht über den Datenschutz.
Bewährte Methoden für Die Sicherheit von Analysen und Berichten
Zugriffsverwaltung
- Anwenden des Prinzips der geringsten Rechte: Gewähren Sie mindestens erforderlichen Zugriff für Analyse- und Berichtsanforderungen.
- Führen Sie regelmäßige Zugriffsüberprüfungen durch: Überwachen Sie regelmäßig Dashboard- und Analyseberechtigungen.
- Verwenden Sie die gruppenbasierte Verwaltung: Verwalten von Berechtigungen über Sicherheitsgruppen anstelle einzelner Zuweisungen.
- Implementieren des rollenbasierten Zugriffs: Definieren von Standardrollen für unterschiedliche Berichtsanforderungen.
Datenschutz
- Klassifizieren der Datenempfindlichkeit: Identifizieren und Schützen vertraulicher Metriken und Berichte. Weitere Informationen finden Sie unter Übersicht zum Datenschutz.
- Implementieren sie die Datenmaske: Vertrauliche Informationen in freigegebenen Berichten ausblenden oder verschleiern. Weitere Informationen finden Sie unter Hinzufügen und Ändern eines Felds.
- Steuern des Datenexports: Einschränken von Massendatenexportfunktionen basierend auf Benutzerrollen. Weitere Informationen finden Sie unter Ändern von Zugriffsebenen.
- Überwachen Sie den anomalien Zugriff: Achten Sie auf ungewöhnliche Muster im Datenzugriff und in der Berichterstellung. Weitere Informationen finden Sie unter Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen.
Integrationssicherheit
- Sichere externe Verbindungen: Verwenden Sie verschlüsselte Verbindungen für alle externen Berichterstellungstools. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token.
- Überprüfen von Drittanbietertools: Stellen Sie sicher, dass externe Analysetools Sicherheitsanforderungen erfüllen. Weitere Informationen finden Sie unter "Bewährte Methoden für Sicherheit".
- Verwalten der Microsoft Entra-Authentifizierung: Verwenden Sie die Organisationsidentitätsverwaltung für externe Integrationen anstelle einzelner Token. Weitere Informationen finden Sie unter Verwenden von Microsoft Entra-Token.
- Überwachen der Integrationsnutzung: Nachverfolgen des Datenzugriffs über APIs und externe Verbindungen. Weitere Informationen finden Sie unter Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen.
Organisationsführung
- Einrichten von Berichterstellungsstandards: Definieren sie genehmigte Tools und Methoden für die Organisationsberichterstattung. Weitere Informationen finden Sie unter "Bewährte Methoden für Sicherheit".
- Erstellen Sie Datengovernancerichtlinien: Implementieren Sie Richtlinien für die Datengenauigkeit, den Datenschutz und die Nutzung. Weitere Informationen finden Sie unter Übersicht zum Datenschutz.
- Schulung von Benutzern zur Sicherheit: Informieren Sie Teams über sichere Berichterstellungsmethoden und potenzielle Risiken. Weitere Informationen finden Sie unter "Bewährte Methoden für Sicherheit".
- Dokumentsicherheitsverfahren: Verwalten Sie aktuelle Dokumentationen der Sicherheitskonfigurationen und -prozesse. Weitere Informationen finden Sie unter "Informationen zu Berechtigungen und Sicherheitsgruppen".
Allgemeine Sicherheitsszenarien
Multiprojektanalyse
Wenn Sie Analysen in mehreren Projekten implementieren, richten Sie klare Sicherheitsgrenzen ein:
Beispielszenario: Eine Organisation mit mehreren Produktteams benötigt konsolidierte Berichte und gleichzeitig die Projektisolation:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
In dieser Konfiguration:
- Teammitglieder können nur auf Analysen für ihre zugewiesenen Projekte zugreifen. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektebene.
- Metriken für gemeinsame Dienste sind für alle Teams für die Nachverfolgung von Abhängigkeiten sichtbar.
- Das Geschäftsleitungsdashboard stellt allgemeine Metriken bereit, ohne vertrauliche Projektdetails verfügbar zu geben. Weitere Informationen finden Sie unter "Festlegen von Dashboardberechtigungen".
- Projektübergreifende Abfragen werden basierend auf Benutzerberechtigungen eingeschränkt. Weitere Informationen finden Sie unter Erstellen einer Analytics-Ansicht.
Berichterstellung externer Stakeholder
Verwalten Sie die Sicherheit, wenn Sie Berichte für externe Projektbeteiligte freigeben:
- Erstellen Sie stakeholderspezifische Dashboards: Entwurfsansichten, die relevante Metriken ohne vertrauliche Details anzeigen.
- Verwenden Sie schreibgeschützten Zugriff: Gewähren Sie Leseberechtigungen für externe Benutzer.
- Implementieren sie zeitlich begrenzten Zugriff: Legen Sie Ablaufdaten für den externen Benutzerzugriff fest.
- Anwenden der Datenfilterung: Stellen Sie sicher, dass externe Benutzer nur genehmigte Informationen sehen.
Anleitungen zum Verwalten externer Benutzer finden Sie unter Hinzufügen externer Benutzer zu Ihrer Organisation.
Berichterstellung zur Einhaltung gesetzlicher Vorschriften
Für Organisationen mit Complianceanforderungen:
- Implementieren Sie Überwachungspfade: Verwalten Sie detaillierte Protokolle aller Datenzugriffe und -änderungen. Weitere Informationen finden Sie unter Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen.
- Anwenden von Datenaufbewahrungsrichtlinien: Stellen Sie sicher, dass Analysedaten gesetzliche Aufbewahrungsanforderungen erfüllen. Weitere Informationen finden Sie unter Übersicht zum Datenschutz.
- Steuern des Datenspeicherorts: Verstehen Sie bei Cloudinstanzen, wo Analysedaten gespeichert werden. Für weitere Informationen siehe Datenorte für Azure DevOps.
- Erstellen von Complianceberichten: Erstellen standardisierter Berichte für behördliche Übermittlungen. Weitere Informationen finden Sie unter Exportieren der Benutzerliste mit Zugriffsebenen.
Prüfliste für die Sicherheitskonfiguration
Anfangssetup
- [ ] Konfigurieren sie geeignete Zugriffsstufen für Analysebenutzer.
- [ ] Einrichten von Sicherheitsgruppen, die an den Berichtsanforderungen angepasst sind.
- [ ] Konfigurieren von Projektberechtigungen für den Analysezugriff.
- [ ] Festlegen von Dashboardberechtigungen für Team- und Projektdashboards.
- [ ] Konfigurieren von Analyseansichten mit entsprechenden Zugriffssteuerungen.
- [ ] Legen Sie Arbeitsverfolgungsberechtigungen fest, um die Sichtbarkeit von Daten zu steuern.
Externe Integrationen
- [ ] Konfigurieren der Microsoft Entra-Authentifizierung für externe Berichterstellungstools.
- [ ] Konfigurieren von Power BI-Verbindungen mit der Microsoft Entra ID-Authentifizierung.
- [ ] Einrichten der Zeilenebenen-Sicherheit in Power BI für Multi-Tenant-Szenarien.
- [ ] Dokumentieren und genehmigen Sie alle externen Toolverbindungen.
Laufendes Management
- [ ] Führen Sie regelmäßige Berechtigungsprüfungen für Analyse- und Dashboardzugriff durch.
- [ ] Überwachen Sie Prüfprotokolle auf ungewöhnliche Analyseaktivitäten.
- [ ] Überprüfen und Aktualisieren von Dashboardberechtigungen, wenn Teams sich ändern.
- [ ] Verwalten von Microsoft Entra-Authentifizierung und Aktualisieren von Anmeldeinformationen für externe Integrationen.
- [ ] Überprüfen, ob die Analysedatenfilterung ordnungsgemäß funktioniert.