Request access to Azure DevOps by e-mail notifications to administrators.
Чому це важливо
Якщо адміністратори можуть обійти стандартний процес запиту доступу, просто надіславши запит електронною поштою, ваша організація Azure DevOps втрачає видимість і контроль над тим, хто отримує доступ. Схвалення на основі електронної пошти не мають журналів аудиту та автоматизованого контролю, що підвищує ризик отримання дозволів неавторизованими користувачами. Це може призвести до витоків даних, випадкових помилок налаштування або порушень вимог.
Що перевіряє Aether365
Ця перевірка визначає, чи налаштовано вашу організацію Azure DevOps таким чином, щоб користувачі могли запитувати доступ через сповіщення електронною поштою адміністраторам, а не через автоматизований робочий процес схвалення. На панелі керування Aether365 ця перевірка відображається в розділі microsoft-365.
Як виправити
Щоб усунути цю проблему, вимкніть можливість для користувачів запитувати доступ шляхом надсилання сповіщень електронною поштою адміністраторам. Виконайте такі кроки:
- Увійдіть до своєї організації Azure DevOps як адміністратор.
- Перейдіть до Organization Settings (піктограма шестірні) і виберіть Policies.
- У розділі Security policies знайдіть параметр "Allow users to request access by sending email to administrators."
- Встановіть для цього параметра значення Off.
- Збережіть зміни.
Після вимкнення цього параметра користувачів потрібно явно запрошувати або додавати через групу в Microsoft Entra ID чи Azure DevOps. Розгляньте можливість впровадження формального процесу запиту доступу через налаштування користувачів Azure DevOps або динамічні групи Microsoft Entra ID.
Відповідність вимогам
Ця перевірка безпеки не відповідає конкретній структурі відповідності, але узгоджується з принципами найменших привілеїв доступу. Посилання на відповідність не надаються.
Пов'язані ресурси
Посилання на документацію Microsoft Learn для цього конкретного параметра недоступні. Перегляньте документацію Azure DevOps щодо найкращих практик керування доступом.