Microsoft Entra: Handeln erforderlich – Aktualisierung der Richtlinien für bedingten Zugriff bei Azure DevOps-Anmeldungen

Einführung

Microsoft Entra aktualisiert die Anwendung der Conditional Access (CA)-Richtlinien für Azure DevOps-Anmeldungen. Azure DevOps wird sich bei Anmelde- oder Token-Aktualisierungsabläufen nicht mehr auf die Azure Resource Manager (ARM)-Ressource verlassen. Diese Änderung stellt sicher, dass Zugriffskontrollen direkt auf Azure DevOps angewendet werden. Organisationen müssen ihre Conditional Access-Richtlinien aktualisieren, um Azure DevOps explizit einzuschließen und so einen sicheren Zugriff zu gewährleisten.

Wann dies geschieht

Diese Änderung tritt ab dem 2. September 2025 in Kraft und wird ab dem 4. September 2025 in allen Umgebungen vollständig durchgesetzt.

Wie wirkt sich das auf Ihre Organisation aus?

Wenn Ihre Organisation Conditional Access-Richtlinien hat, die auf die Windows Azure Service Management API (App ID: 797f4846-ba00-4fd7-ba43-dac1f8f63013) abzielen, gelten diese Richtlinien nicht mehr für Azure DevOps-Anmeldungen. Dies kann zu ungeschütztem Zugriff führen, sofern diese Richtlinien nicht aktualisiert werden, um Azure DevOps (App ID: 499b84ac-1321-427f-aa17-267ca6975798) einzuschließen.

• Zugriffskontrollen wie MFA oder Anforderungen an konforme Geräte werden möglicherweise nicht durchgesetzt, sofern Richtlinien nicht aktualisiert werden.
• Wenn Sie bereits eine Richtlinie haben, die alle Benutzer und alle Cloud-Apps abdeckt und Azure DevOps nicht explizit ausschließt, ist keine Aktion erforderlich – Azure DevOps-Anmeldungen bleiben geschützt.
• Diese Änderung führt zu keiner neuen Benutzererfahrung oder zu UI-Änderungen.
• Anmeldeaktivitäten können über die Microsoft Entra ID-Anmeldeprotokolle überwacht werden.
• Lizenzanforderung: Microsoft Entra ID P1 oder P2 ist erforderlich. Es gibt keine funktionalen Unterschiede zwischen den Lizenztypen. Dies ist eine Änderungsfunktion, keine neue Funktion, daher sind Test- oder Vorschauoptionen nicht anwendbar.
• Unlizenzierte Benutzer können ebenfalls betroffen sein.
• Bestehende Conditional Access-Richtlinien werden betroffen sein, insbesondere solche, die auf die Windows Azure Service Management API abzielen.
• Ein kleiner Teil der Mandanten könnte den App-Namen als "Microsoft Visual Studio Team Services" statt "Azure DevOps" sehen – die App ID bleibt unverändert.

Was müssen Sie zur Vorbereitung tun?

Um den Schutz der Azure DevOps-Anmeldungen sicherzustellen, sollten Administratoren:

• Bestehende Conditional Access-Richtlinien überprüfen – Identifizieren Sie Richtlinien, die auf die Windows Azure Service Management API abzielen.
• Richtlinien aktualisieren, um Azure DevOps einzuschließen:
  • Wechseln Sie zum Entra-Admin-Center.
  • Navigieren Sie zu Entra ID > Conditional Access > Policies.
  • Wählen Sie die relevante Richtlinie aus.
  • Unter Zielressourcen wählen Sie Ressourcen auswählen und fügen Azure DevOps (App ID: 499b84ac-1321-427f-aa17-267ca6975798) hinzu.
  • Speichern Sie die Richtlinie.
• Entra ID-Gruppenmitgliedschaften verwenden, um Richtlinien auf bestimmte Benutzer oder Gruppen einzuschränken.
• Anmeldeaktivitäten überwachen mit den Entra ID-Anmeldeprotokollen.
• Lizenzanforderungen überprüfen – Conditional Access erfordert Microsoft Entra ID P1 oder höher. Organisationen ohne erforderliche Lizenz können Testmöglichkeiten prüfen.

Erfahren Sie mehr:

• Removing Azure Resource Manager reliance on Azure DevOps sign-ins | Azure DevOps Blog
• Was ist Conditional Access? | Conditional Access | Microsoft Entra ID | Microsoft Learn

Compliance-Überlegungen

Es wurden keine Compliance-Bedenken identifiziert, prüfen Sie dies jedoch entsprechend den Anforderungen Ihrer Organisation.