Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
L'analisi e la creazione di report di Azure DevOps forniscono informazioni dettagliate avanzate sui processi di sviluppo. Con questa potenza è una responsabilità proteggere i dati sensibili e controllare l'accesso alle metriche organizzative. Questo articolo illustra i concetti di sicurezza, i controlli di accesso e le procedure consigliate per proteggere l'implementazione di analisi e report.
Panoramica del modello di sicurezza
La sicurezza di analisi e creazione di report usa un approccio multilivello che include:
- Controllare la visibilità dei dati: consente di gestire chi può visualizzare i dati di analisi e i progetti a cui possono accedere.
- Implementare le autorizzazioni del dashboard: controllare l'accesso ai dashboard e ai relativi dati sottostanti. Per altre informazioni, vedere Impostare le autorizzazioni del dashboard.
- Configurare l'accesso a livello di progetto: limitare l'accesso all'analisi in base all'appartenenza al progetto. Per altre informazioni, vedere Autorizzazioni predefinite e accesso per la creazione di report.
- Gestire l'integrazione di Power BI: proteggere le connessioni tra Azure DevOps e Power BI. Per altre informazioni, vedere Connettersi a Power BI Data Connector.
- Abilitare il controllo e la conformità: tenere traccia dell'accesso ai dati e mantenere i requisiti di conformità. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
Gestione delle identità e degli accessi
Livelli di accesso per la creazione di report
Le funzionalità di analisi e creazione di report variano in base al livello di accesso. Per informazioni complete sulle autorizzazioni predefinite per ogni livello di accesso, vedere Autorizzazioni predefinite e accesso per la creazione di report.
| Livello di accesso | Funzionalità di analisi e creazione di report |
|---|---|
| Portatore d'interessi | Visualizzare dashboard condivisi, visualizzazioni di analisi limitate, widget del grafico di base |
| Basic | Accesso completo alle visualizzazioni di Analisi, creazione e modifica del dashboard, tutti i widget del grafico |
| Basic + Piani di Test | Include l'accesso di base oltre all'analisi e alla creazione di report sui piani di test |
| Visual Studio Enterprise | Include tutte le funzionalità di base e le funzionalità di analisi avanzate |
Per altre informazioni, vedere Informazioni sui livelli di accesso.
Autenticazione per gli strumenti esterni
Quando si connettono strumenti di report esterni ad Azure DevOps, l'autenticazione sicura è essenziale:
- Usare i token Microsoft Entra: usare l'identità dell'organizzazione per la sicurezza avanzata e la gestione centralizzata. Per altre informazioni, vedere Use Microsoft Entra tokens.
- Configurare le applicazioni OAuth: configurare flussi OAuth sicuri per le integrazioni non Microsoft. Per altre informazioni, vedere Autorizzare l'accesso alle API REST con OAuth 2.0.
- Usare i token di accesso personale (PAT) quando necessario: creare token con ambiti minimi necessari solo quando Microsoft Entra ID non è disponibile. Per altre informazioni, vedere Usare i token di accesso personali.
- Creare account di servizio: usare account dedicati per le connessioni degli strumenti di creazione di report.
- Configurare l'autenticazione di Windows: eseguire l'integrazione con Active Directory per un accesso semplice. Per altre informazioni, vedere Configurare i gruppi da usare in Azure DevOps Server.
- Usare l'autenticazione alternativa: abilitare l'autenticazione basata su token per gli strumenti esterni. Per altre informazioni, vedere Linee guida per l'autenticazione per le API REST.
Sicurezza dell'analisi
Autorizzazioni di accesso ai dati
La sicurezza dell'analisi si basa sul principio dell'ereditarietà della visibilità dei dati dai progetti di origine:
- Accesso basato su progetto: gli utenti possono visualizzare solo i dati di analisi per i progetti a cui hanno accesso. Per altre informazioni, vedere Change project-level permissions.
- Visibilità degli elementi di lavoro: Analytics rispetta le autorizzazioni per il percorso dell'area degli elementi di lavoro. Per ulteriori informazioni, vedere Impostare le autorizzazioni per il monitoraggio del lavoro.
- Accesso al repository: le metriche del codice vengono filtrate in base alle autorizzazioni del repository. Per altre informazioni, vedere Impostare le autorizzazioni del repository Git.
- Visibilità della Pipeline: l'analisi della compilazione e del rilascio segue le impostazioni di sicurezza della pipeline. Per altre informazioni, vedere Impostare le autorizzazioni della pipeline.
Visualizzazioni di Analisi
Controllare l'accesso a set di dati specifici tramite le visualizzazioni di Analisi. Per altre informazioni sulla creazione e la gestione delle visualizzazioni di Analisi, vedere Creare una visualizzazione di Analisi.
| Tipo di visualizzazione | Caratteristiche di sicurezza |
|---|---|
| Visualizzazioni condivise | Accessibile a tutti i membri del progetto con autorizzazioni appropriate |
| Visualizzazioni private | Accessibile solo all'autore |
| Visualizzazioni del team | Limitato a membri specifici del team |
Filtro dei dati e privacy
Implementare il filtro dei dati per proteggere le informazioni riservate:
- Configurare le restrizioni relative al percorso dell'area: limitare i dati di analisi a aree specifiche degli elementi di lavoro. Per ulteriori informazioni, vedere Impostare le autorizzazioni per il monitoraggio del lavoro.
- Applicare la sicurezza a livello di campo: nascondere i campi degli elementi di lavoro sensibili dall'analisi. Per altre informazioni, vedere Aggiungere e modificare un campo.
- Gestire l'accesso tra progetti: controllare la visibilità tra più progetti.
Sicurezza del dashboard
Autorizzazioni per il dashboard
Controllare chi può visualizzare, modificare e gestire i dashboard. Per istruzioni dettagliate sulla configurazione delle autorizzazioni del dashboard, vedere Impostare le autorizzazioni del dashboard.
| Livello di autorizzazione | Capacità |
|---|---|
| View | Visualizzare il dashboard e i relativi widget |
| Modifica | Modificare il layout del dashboard e la configurazione del widget |
| Manage | Controllo completo, inclusa la gestione delle condivisioni e delle autorizzazioni |
| Elimina | Rimuovere i cruscotti e le configurazioni associate |
Considerazioni sulla sicurezza dei widget
Diversi widget hanno implicazioni di sicurezza diverse:
- Widget basati su query: ereditano la sicurezza dalle query degli elementi di lavoro sottostanti. Per ulteriori informazioni, vedere Impostare le autorizzazioni per le query.
- Widget di analisi: seguire le autorizzazioni di visualizzazione delle analisi e l'accesso al progetto.
- Widget esterni: potrebbe richiedere altre considerazioni sull'autenticazione e sulla condivisione dei dati. Per altre informazioni, vedere Procedure consigliate per la sicurezza.
- Widget personalizzati: la sicurezza dipende dall'implementazione e dalle origini dati. Per altre informazioni, vedere Aggiungere, rinominare ed eliminare dashboard.
Dashboard dei team e dei progetti
Gestire l'accesso al dashboard a diversi livelli organizzativi:
- Dashboard del team: i membri del team e gli stakeholder del progetto possono accedere a questi dashboard. Per altre informazioni, vedere Aggiungere un team, passare da un team predefinito a più team.
- Dashboard del progetto: tutti i collaboratori del progetto possono accedere a questi dashboard. Per altre informazioni, vedere Change project-level permissions.
- Dashboard personali: i singoli utenti mantengono privati questi dashboard.
- Dashboard dell'organizzazione: l'intera organizzazione può visualizzare questi dashboard. Per altre informazioni, vedere Modificare le autorizzazioni a livello di organizzazione o raccolta.
Per altre informazioni sui tipi di dashboard e sull'accesso, vedere Aggiungere, rinominare ed eliminare dashboard.
Sicurezza dell'integrazione di Power BI
Sicurezza del connettore dati
Quando si usa Power BI con Azure DevOps, implementare queste misure di sicurezza. Per istruzioni dettagliate sulla configurazione, vedere Connettersi a Power BI Data Connector.
- Usare i principali di servizio con Microsoft Entra ID: Implementare l'autenticazione basata su applicazione per l'aggiornamento automatizzato con la gestione centralizzata delle identità. Per altre informazioni, vedere Use Microsoft Entra tokens.
- Configurare la sicurezza a livello di riga: filtrare i dati di Power BI in base all'identità utente.
- Gestisci le credenziali di aggiornamento: archivia in modo sicuro e ruota le credenziali dell'origine dati utilizzando l'autenticazione di Microsoft Entra ID.
- Applicare le autorizzazioni dell'area di lavoro: controllare l'accesso alle aree di lavoro di Power BI che contengono dati di Azure DevOps.
Privacy dei dati in Power BI
Proteggere i dati sensibili durante la condivisione di report di Power BI:
- Configurare le etichette di riservatezza dei dati: applicare la classificazione appropriata ai report e ai set di dati.
- Implementare restrizioni di condivisione: controllare chi può accedere e condividere il contenuto di Power BI.
- Monitorare l'utilizzo dei dati: tenere traccia dei modelli di accesso e identificare potenziali problemi di sicurezza.
- Applica restrizioni di esportazione: limitare le funzionalità di esportazione dei dati in base ai criteri dell'organizzazione.
Per altre informazioni sulle procedure consigliate per la sicurezza di Power BI, vedere Baseline di sicurezza di Power BI.
Controllo e conformità
Registrazione di controllo
Tenere traccia delle attività di analisi e creazione di report tramite log di controllo completi:
- Monitorare l'accesso al dashboard: tenere traccia degli utenti che visualizzano e modificano i dashboard. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
- Controlla le esportazioni dei dati: registra quando gli utenti esportano i dati di analisi.
- Tenere traccia delle connessioni di Power BI: monitorare le connessioni degli strumenti esterni e l'accesso ai dati.
- Esaminare le modifiche alle autorizzazioni: gestire i log delle modifiche alla configurazione della sicurezza.
Conservazione e conformità dei dati
Implementare i criteri di conservazione dei dati appropriati:
- Configurare la conservazione dei dati di analisi: impostare i periodi di conservazione appropriati per i dati cronologici.
- Gestire il ciclo di vita del dashboard: stabilire processi per l'archiviazione e l'eliminazione del dashboard.
- Derivazione dei dati del documento: mantieni i record delle origini dati e delle trasformazioni.
- Implementare la creazione di report di conformità: generare report per i requisiti normativi.
Per altre informazioni sulla protezione dei dati, vedere Panoramica sulla protezione dei dati.
Procedure consigliate per la sicurezza di Analisi e report
Gestione degli accessi
- Applicare il principio dei privilegi minimi: concedere l'accesso minimo necessario per le esigenze di analisi e creazione di report.
- Eseguire verifiche di accesso regolari: controllare periodicamente le autorizzazioni di dashboard e analisi.
- Usare la gestione basata su gruppi: gestire le autorizzazioni tramite i gruppi di sicurezza anziché le singole assegnazioni.
- Implementare l'accesso basato sui ruoli: definire ruoli standard per esigenze di creazione di report diverse.
Protezione dei dati
- Classificare la riservatezza dei dati: identificare e proteggere metriche e report sensibili. Per altre informazioni, vedere Panoramica della protezione dei dati.
- Implementare la maschera dati: nascondere o offuscare le informazioni riservate nei report condivisi. Per altre informazioni, vedere Aggiungere e modificare un campo.
- Controllare l'esportazione dei dati: limitare le funzionalità di esportazione dei dati in blocco in base ai ruoli utente. Per altre informazioni, vedere Modificare i livelli di accesso.
- Monitorare l'accesso anomalo: controllare i modelli insoliti nell'accesso ai dati e nella creazione di report. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
Sicurezza dell'integrazione
- Proteggere le connessioni esterne: usare connessioni crittografate per tutti gli strumenti di creazione di report esterni. Per altre informazioni, vedere Use Microsoft Entra tokens.
- Convalidare gli strumenti di terze parti: assicurarsi che gli strumenti di analisi esterni soddisfino i requisiti di sicurezza. Per altre informazioni, vedere Procedure consigliate per la sicurezza.
- Gestire l'autenticazione di Microsoft Entra: usare la gestione delle identità dell'organizzazione per le integrazioni esterne anziché i singoli token. Per altre informazioni, vedere Use Microsoft Entra tokens.
- Monitorare l'utilizzo dell'integrazione: tenere traccia dell'accesso ai dati tramite LE API e le connessioni esterne. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
Governance organizzativa
- Stabilire gli standard di creazione di report: definire gli strumenti e le procedure approvati per la creazione di report dell'organizzazione. Per altre informazioni, vedere Procedure consigliate per la sicurezza.
- Creare criteri di governance dei dati: implementare criteri per l'accuratezza, la privacy e l'utilizzo dei dati. Per altre informazioni, vedere Panoramica della protezione dei dati.
- Formare gli utenti alla sicurezza: informare i team sulle procedure di creazione di report sicure e sui potenziali rischi. Per altre informazioni, vedere Procedure consigliate per la sicurezza.
- Procedure di sicurezza dei documenti: Mantenere la documentazione aggiornata relativa a configurazioni e processi di sicurezza. Per altre informazioni, vedere Informazioni sulle autorizzazioni e sui gruppi di sicurezza.
Scenari di sicurezza comuni
Analisi multiprogetto
Quando si implementano analisi in più progetti, stabilire limiti di sicurezza chiari:
Scenario di esempio: un'organizzazione con più team di prodotto necessita di report consolidati mantenendo l'isolamento del progetto:
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
In questa configurazione:
- I membri del team possono accedere all'analisi solo per i progetti assegnati. Per altre informazioni, vedere Change project-level permissions.
- Le metriche dei servizi condivisi sono visibili a tutti i team per il rilevamento delle dipendenze.
- Il dashboard esecutivo fornisce metriche di alto livello senza esporre i dettagli sensibili del progetto. Per altre informazioni, vedere Impostare le autorizzazioni del dashboard.
- Le query tra progetti sono limitate in base alle autorizzazioni utente. Per altre informazioni, vedere Creare una visualizzazione di Analisi.
Reportistica per stakeholder esterni
Gestire la sicurezza quando si condividono report con stakeholder esterni:
- Creare un dashboard specifico per gli stakeholder: Progettare visualizzazioni che mostrino metriche pertinenti senza dettagli sensibili.
- Usare l'accesso in sola lettura: fornire autorizzazioni di sola visualizzazione per gli utenti esterni.
- Implementare l'accesso limitato al tempo: impostare le date di scadenza per l'accesso utente esterno.
- Applica filtro dati: assicurarsi che gli utenti esterni visualizzino solo le informazioni approvate.
Per indicazioni sulla gestione degli utenti esterni, vedere Aggiungere utenti esterni all'organizzazione.
Creazione di report sulla conformità alle normative
Per le organizzazioni con requisiti di conformità:
- Implementare tracce di controllo: mantenere registri dettagliati di tutti gli accessi ai dati e le modifiche. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
- Applicare i criteri di conservazione dei dati: assicurarsi che i dati di analisi soddisfino i requisiti di conservazione normativi. Per altre informazioni, vedere Panoramica della protezione dei dati.
- Controllare la posizione dei dati: per le istanze cloud, comprendere dove vengono archiviati i dati di analisi. Per altre informazioni, vedere Località dei dati per Azure DevOps.
- Generare report di conformità: creare report standardizzati per gli invii normativi. Per altre informazioni, vedere Esportare l'elenco utenti con livelli di accesso.
Elenco di controllo per la configurazione della sicurezza
Configurazione iniziale
- [ ] Configurare i livelli di accesso appropriati per gli utenti di analisi.
- [ ] Configurare i gruppi di sicurezza allineati alle esigenze di creazione di report.
- [ ] Configurare le autorizzazioni del progetto per l'accesso all'analisi.
- [ ] Impostare le autorizzazioni del dashboard per i dashboard del team e del progetto.
- [ ] Configurare le visualizzazioni di Analytics con i controlli di accesso appropriati.
- [ ] Impostare le autorizzazioni di rilevamento del lavoro per controllare la visibilità dei dati.
Integrazioni esterne
- [ ] Configurare l'autenticazione di Microsoft Entra per gli strumenti di creazione di report esterni.
- [ ] Configurare le connessioni di Power BI con l'autenticazione di Microsoft Entra ID.
- [ ] Configurare la sicurezza a livello di riga in Power BI per scenari multi-tenant.
- [ ] Documentare e approvare tutte le connessioni degli strumenti esterni.
Gestione continua
- [ ] Eseguire controlli regolari delle autorizzazioni per l'analisi e l'accesso al dashboard.
- [ ] Monitorare i log di controllo per attività di analisi insolite.
- [ ] Esaminare e aggiornare le autorizzazioni del dashboard man mano che i team cambiano.
- [ ] Gestire l'autenticazione di Microsoft Entra e ruotare le credenziali per le integrazioni esterne.
- [ ] Verificare che il filtro dei dati di analisi funzioni correttamente.