Microsoft 支持人员告诉我们,Azure DevOps Services 支持租户限制。虽然我们在许多其他服务上启用了租户限制,但它似乎不适用于 DevOps。我们不仅仍然可以登录到租户之外的组织,还可以登录到我们自己的组织,如果我们的公司电子邮件作为用户添加到该组织中,该组织也会显示出来。我希望我们的用户将被阻止登录或访问任何外部组织。
我有点困惑为什么这不能按预期工作,尽管他们说 Azure DevOps Services 支持租户限制,但我没有找到太多文档来支持这一点。
您是否能够迁移到 Azure DevOps Services 并确保您的用户只能访问您自己租户内的组织?如何?
Azure DevOps 服务支持 Azure Active Directory (Azure AD) 租户策略,以限制用户在 Azure DevOps 中创建组织。默认情况下,此政策处于关闭状态。您必须是 Azure AD 中的 Azure DevOps 管理员才能管理此策略。
查看以下链接了解更多详情:
注意事项:
仅公司拥有的 (Azure Active Directory) 组织支持此策略。使用个人帐户(MSA 或 GitHub)创建组织的用户没有任何限制。
我们终于从 Premier Support 那里收到了对这个问题的更具体的回答。听起来这在内部也不完全清楚。Azure DevOps Services 支持提供从客户端到代理的租户限制的 TRv1,但不支持提供服务器到服务器限制的 TRv2 租户限制。TRv1 将阻止您直接针对租户外部的组织进行身份验证,但不会阻止在您的帐户配置为能够访问辅助租户的组织时发生的后台身份验证。服务器到服务器的连接会删除限制您访问辅助租户所需的标头信息。尽管此功能可能会引起他们的注意,但目前尚无对其发布的期望或确定的时间表。