Microsoft Entra: Maßnahmen erforderlich – Aktualisieren Sie die Richtlinien für bedingten Zugriff bei Azure DevOps-Anmeldungen

Einführung

Microsoft Entra aktualisiert, wie Conditional Access (CA)-Richtlinien bei Azure DevOps-Anmeldungen angewendet werden. Azure DevOps wird sich bei Anmelde- oder Token-Aktualisierungsvorgängen nicht mehr auf die Azure Resource Manager (ARM)-Ressource stützen. Diese Änderung stellt sicher, dass Zugriffskontrollen direkt auf Azure DevOps angewendet werden. Organisationen müssen ihre Conditional Access-Richtlinien aktualisieren, um Azure DevOps ausdrücklich einzubeziehen und so einen sicheren Zugriff zu gewährleisten.

Wann dies geschieht

Diese Änderung tritt ab dem 2. September 2025 in Kraft und wird bis zum 18. September 2025 (zuvor 4. September) in allen Umgebungen vollständig durchgesetzt.

Wie wirkt sich dies auf Ihre Organisation aus?

Wenn Ihre Organisation Conditional Access-Richtlinien verwendet, die auf die Windows Azure Service Management API (App-ID: 797f4846-ba00-4fd7-ba43-dac1f8f63013) abzielen, gelten diese Richtlinien nicht mehr für Azure DevOps-Anmeldungen. Dies kann zu einem ungeschützten Zugriff führen, sofern diese Richtlinien nicht aktualisiert werden, um Azure DevOps (App-ID: 499b84ac-1321-427f-aa17-267ca6975798) einzuschließen.

• Zugriffskontrollen wie MFA oder Vorgaben für konforme Geräte werden möglicherweise nicht mehr durchgesetzt, sofern die Richtlinien nicht aktualisiert werden.
• Wenn Sie bereits eine Richtlinie haben, die alle Benutzer und alle Cloud-Apps erfasst und Azure DevOps nicht ausdrücklich ausschließt, ist kein Handlungsbedarf gegeben – Azure DevOps-Anmeldungen bleiben geschützt.
• Diese Änderung führt zu keiner neuen Benutzererfahrung oder UI-Änderungen.
• Die Anmeldeaktivitäten können über die Microsoft Entra ID Anmeldeprotokolle überwacht werden.
• Lizenzanforderung: Microsoft Entra ID P1 oder P2 ist erforderlich. Es gibt keine funktionalen Unterschiede je nach Lizenztyp. Dies ist eine Änderung der Funktionalität, kein neues Feature, daher sind Test- oder Vorschauoptionen nicht anwendbar.
• Nicht lizenzierte Benutzer können ebenfalls betroffen sein.
• Bestehende Conditional Access-Richtlinien werden insbesondere solche, die auf die Windows Azure Service Management API abzielen, beeinflusst.
• Eine kleine Anzahl von Mandanten könnte die App unter dem Namen „Microsoft Visual Studio Team Services“ anstelle von „Azure DevOps“ sehen – die App-ID bleibt jedoch gleich.

Was müssen Sie zur Vorbereitung tun?

Um den kontinuierlichen Schutz der Azure DevOps-Anmeldungen sicherzustellen, sollten Administratoren:

• Vorhandene Conditional Access-Richtlinien prüfen – Identifizieren Sie Richtlinien, die auf die Windows Azure Service Management API abzielen.
• Richtlinien aktualisieren, um Azure DevOps einzuschließen:
  • Öffnen Sie das Entra Admin Center.
  • Navigieren Sie zu Entra ID > Conditional Access > Policies.
  • Wählen Sie die relevante Richtlinie aus.
  • Unter Target resources wählen Sie Select resources und fügen Azure DevOps (App-ID: 499b84ac-1321-427f-aa17-267ca6975798) hinzu.
  • Speichern Sie die Richtlinie.
• Entra ID-Gruppenmitgliedschaften verwenden, um Richtlinien auf bestimmte Benutzer oder Gruppen einzuschränken.
• Anmeldeaktivitäten überwachen mit den Entra ID-Anmeldeprotokollen.
• Lizenzanforderungen prüfen – Conditional Access erfordert Microsoft Entra ID P1 oder höher. Organisationen ohne erforderliche Lizenz können Testoptionen prüfen.

Weitere Informationen:

• Entfernen der Abhängigkeit vom Azure Resource Manager bei Azure DevOps-Anmeldungen | Azure DevOps Blog
• Was ist Conditional Access? | Conditional Access | Microsoft Entra ID | Microsoft Learn

Compliance-Aspekte

Es wurden keine Compliance-Aspekte identifiziert. Bitte prüfen Sie dies angemessen für Ihre Organisation.