Azure DevOps má několik úrovní řízení přístupu ke zdrojům, sledování toho, co se v rámci organizace děle, kdo co dělá a kdo komu přiděluje jaká práva, jak lze omezit přístup k daným zdrojům. Za poslední měsíc jsem řešil asi desítku velmi podobných dotazů a zde je jejich krátký souhrn.
1. Azure DevOps Auditing
Součástí Azure DevOps je sledování toho, kdo a jak a kdo mění nejrůznější oprávnění, kdy a co se děje s addony a komponenty atd. Vše můžete vidět v záložce Auditing.
2. Azutre DevOps Log/Usage
Velmi podrobný log co se konkrétně děje nebo dělo v rámci daného Azure DevOps tenantu nejdete v části „Usage“ Zde je „nabonzována“ každá činnost každého uživatele. Lze přesně dohledat kdo a kdy co upravil nebo změnil. Najdete na úrovni Organizace v záložce Usage:
3. Detailní přidělování práv uživatelů:
Azure DevOps disponuje velmi podrobným modelem přidělování práv v rámci celé organizace, projektu a týmů. Osobně se mi zdá, že to je tak detailní a složité, pro malé týmy až moc komplexní, že volnější práva než se prokousat možnostmi, jak uživatelům práva omezit. Více např. zde : https://docs.microsoft.com/en-us/azure/devops/organizations/security/restrict-access?view=azure-devops
4. Firemní Azure DevOps Identita
Jednotná firemní identita je řešena pomocí Azure (O365) Active Directory a určitě doporučuji uživatele spravovat centrálně v rámci AAD. Přidávat do AAD Guest accounty klidně @hotmail nebo @gmail., místo toho abyste používalo v Azure DevOps privátní Microsoft Account bez AAD. Více najdete zde: https://docs.microsoft.com/en-us/azure/devops/organizations/accounts/?view=azure-devops
5. Povolení přístupu k Azure DevOps pouze z určitého IP rozsahu klientských stanic a MFA
U větších společností je velmi častým požadavkem cloudového systému již na úrovni prvotního přístupu-loginu omezit možnost přístupu pouze z určitého IP rozmezí nebo vynutit více faktorovou autentizaci.
Azure Active Directory Premium ji nabízí a je to nejlepší, nejjednodušší a nejlevnější cesta jak takový požadavek splnit. Podrobnosti zde: https://aka.ms/visual-studio-conditional-aess-policy
6. Azure DevOps Data protection
Poslední dotazy jsou z oblasti toho, jak Microsoft zachází s daty Azure DevOps, Jak jsou data uložena, backupována, jak jsou chráněna atd. Prakticky na vše odpovídá článek https://docs.microsoft.com/en-us/azure/devops/organizations/security/data-protection?view=azure-devops
Budete-li mít nějaké další otázky, tak se mi ozvěte.
Buri
