Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen

Du kannst Richtlinien erzwingen, um Sicherheitseinstellungen in den Organisationen deines Unternehmens zu verwalten, oder Richtlinien in jeder Organisation festlegen lassen.

Wer kann dieses Feature verwenden?

Enterprise owners can enforce policies for security settings in an enterprise.

In diesem Artikel

Informationen über Richtlinien für Sicherheitseinstellungen in deinem Unternehmen

Du kannst Richtlinien zur Kontrolle der Sicherheitseinstellungen für Organisationen, die Deinem Unternehmen gehören, erzwingen. Standardmäßig können Organisationseigentümer Sicherheitseinstellungen verwalten.

Zwei-Faktor-Authentifizierung für Organisationen in deinem Enterprise vorschreiben

Hinweis

Hinweis: Seit März 2023 verlangte GitHub von allen Benutzern, die Code auf GitHub.com beitragen, die Aktivierung einer oder mehrerer Formen der Zwei-Faktor-Authentifizierung (2FA). Wenn du einer berechtigten Gruppe angehörst, wurdest du per E-Mail benachrichtigt, wenn diese Gruppe für die Registrierung ausgewählt wurde. Ab diesem Zeitpunkt beginnt eine 45-tägige Anmeldefrist für 2FA, und auf GitHub.com wurden Banner angezeigt, die dich zur Registrierung für 2FA aufforderten. Wenn du keine Benachrichtigung erhalten hast, gehörst du keiner Gruppe mit verpflichtender 2FA-Registrierung an, aber wir empfehlen diese ausdrücklich.

Weitere Informationen zum Rollout der 2FA-Registrierung findest du in diesem Blogbeitrag.

festlegen, dass Organisationsmitglieder, Abrechnungsmanager und externe Mitarbeiter in allen Organisationen, die im Besitz eines Unternehmens sind, die zweistufige Authentifizierung verwenden, um ihre Benutzerkonten zu sichern. Diese Richtlinie ist für Unternehmen mit verwalteten Benutzern nicht verfügbar.

Bevor du die Zwei-Faktor-Authentifizierung für alle Organisationen im Besitz deines Unternehmens fordern kannst, musst du diese für dein eigenes Konto aktivieren. Weitere Informationen finden Sie unter Konto durch Zwei-Faktor-Authentifizierung (2FA) schützen.

Bevor du die Zwei-Faktor-Authentifizierung vorschreiben, empfehlen wir, Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager über diesen Schritt zu informieren und sie darum zu bitten, die Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Organisationsinhaber können auf der Seite „People“ ihrer Organisationen sehen, ob Mitglieder und externe Projektmitarbeiter bereits die Zwei-Faktor-Authentifizierung verwenden. Weitere Informationen finden Sie unter Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist.

Warnung

  • Wenn Sie eine zweistufige Authentifizierung für Ihr Unternehmen benötigen, werden externe Mitarbeiter (einschließlich Botkonten) in allen Organisationen, die nicht 2FA verwenden, aus der Organisation entfernt und verlieren den Zugriff auf seine Repositorys. Gleichzeitig verlieren sie auch den Zugriff auf ihre Forks der privaten Repositorys der Organisation. Du kannst ihre Zugriffsberechtigungen und Einstellungen wiederherstellen, wenn sie die 2FA für ihre Konten innerhalb von drei Monaten ab ihrer Entfernung aus der Organisation aktivieren. Weitere Informationen finden Sie unter Reaktivieren eines ehemaligen Mitglieds deiner Organisation.
  • Alle externen Mitarbeiter in einer der Organisationen, die im Besitz Ihres Unternehmens sind und 2FA für ihr Konto deaktivieren, nachdem Sie die erforderliche zweistufige Authentifizierung aktiviert haben, werden automatisch aus der Organisation entfernt. Mitglieder , die 2FA deaktivieren, können erst dann auf Organisationsressourcen zugreifen, wenn sie sie erneut aktivieren.
  • Wenn du der einzige Besitzer eines Unternehmens bist, das die Zwei-Faktor-Authentifizierung vorschreibt, kannst du diese für dein Benutzerkonto nicht deaktivieren, ohne die erforderliche 2FA für das gesamte Unternehmen zu deaktivieren.

Hinweis

Einige der Benutzer in Ihren Organisationen wurden möglicherweise von GitHub.com für die obligatorische zweistufige Authentifizierungsregistrierung ausgewählt, aber dies hat keinen Einfluss darauf, wie Sie die Anforderung der zweistufigen Authentifizierung (2FA) für die Organisationen in Ihrem Unternehmen aktivieren. Wenn Sie die 2FA-Anforderung für Organisationen in Ihrem Unternehmen aktivieren, werden externe Mitarbeitende, deren 2FA derzeit nicht aktiv ist, aus den Organisationen entfernt, einschließlich derjenigen, die es bis GitHub.com aktivieren müssen.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

  2. Klicken Sie oben auf der Seite auf "Einstellungen".

  3. Klicke unter Settings auf Authentication security.

  4. Überprüfe unter „Two-factor authentication“ (Zwei-Faktor-Authentifizierung) die Informationen zum Ändern der Einstellung. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu View your organizations' current configurations aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link „View your organizations' current configurations“ ist hervorgehoben.

  5. Wähle unter „Two-factor authentication“ die Option Require two-factor authentication for the enterprise and all of its organizations aus, und klicke auf Save.

  6. Wenn du dazu aufgefordert wirst, lies die Informationen darüber, wie sich die verpflichtende 2FA auf den Benutzerzugriff auf Organisationsressourcen auswirkt. Klicke auf Confirm, um die Änderung zu bestätigen.

  7. Wenn externe Projektmitarbeiter aus den Organisationen im Besitz deines Unternehmens entfernt werden, wird empfohlen, ihnen optional eine Einladung zum Wiederherstellen ihrer früheren Berechtigungen und ihres Zugriffs auf deine Organisation zu senden. Jede Person muss die Zwei-Faktor-Authentifizierung aktivieren, bevor sie deine Einladung annehmen kann.

Erfordern sicherer Methoden der Zwei-Faktor-Authentifizierung für Organisationen in Ihrem Unternehmen

Neben der Zwei-Faktor-Authentifizierung können Unternehmensinhaber auch durchsetzen, dass Organisationsmitglieder, Abrechnungsmanager und externe Projektmitarbeiter in allen Organisationen eines Unternehmens die sicheren Methoden der Zwei-Faktor-Authentifizierung verwenden. Sichere zweistufige Methoden sind Passkeys, Sicherheitsschlüssel, Authentifikator-Apps und die GitHub mobilen App. Benutzer, die keine sichere Methode der Zwei-Faktor-Authentifizierung oder eine unsichere Methode konfiguriert haben, werden daran gehindert, auf jegliche Ressourcen in den Organisationen zuzugreifen, die einem Unternehmen gehören. Diese Richtlinie ist nicht für Unternehmen mit verwalteten Benutzern verfügbar.

Bevor Sicherheitsmethoden wie die Zwei-Faktor-Authentifizierung vorgeschrieben werden, wird empfohlen, Organisationsmitglieder, externe Projektmitarbeiter und Abrechnungsmanager zu benachrichtigen und diese dazu aufzufordern, eine sichere Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Organisationsinhaber können auf der Seite „People“ jeder Organisation anzeigen, ob Mitglieder und externe Projektmitarbeiter bereits sichere Methoden der Zwei-Faktor-Authentifizierung verwenden. Weitere Informationen finden Sie unter Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist.

  1. Wähle unter „Two-factor authentication“ die Optionen Require two-factor authentication for the enterprise and all of its organizations und Only allow secure two-factor methods aus, und klicke dann auf Save.
  2. Wenn du dazu aufgefordert wirst, lies die Informationen darüber, wie sich die verpflichtende Nutzung von sicheren Zwei-Faktor-Authentifizierungsmethoden auf den Benutzerzugriff auf Organisationsressourcen auswirkt. Klicke auf Confirm, um die Änderung zu bestätigen.
  3. Wenn externe Projektmitarbeiter aus den Organisationen im Besitz deines Unternehmens entfernt werden, wird empfohlen, ihnen optional eine Einladung zum Wiederherstellen ihrer früheren Berechtigungen und ihres Zugriffs auf deine Organisation zu senden. Jede Person muss die Zwei-Faktor-Authentifizierung mit einer sicheren Methode aktivieren, bevor sie deine Einladung annehmen kann.

Verwalten von SSH-Zertifizierungsstellen für dein Unternehmen

Sie können eine SSH-Zertifizierungsstelle (CA) verwenden, um Mitgliedern jeder Organisation, die zu deinem Unternehmen gehört, den Zugriff auf Repositorys dieser Organisation mit von Ihnen bereitgestellten SSH-Zertifikaten zu ermöglichen.

Wenn Ihr Unternehmen verwendetEnterprise Managed Users, können Enterprise-Mitglieder auch das Zertifikat verwenden, um auf persönliche Repositorys zuzugreifen. Du kannst festlegen, dass Mitglieder SSH-Zertifikate verwenden müssen, um auf Organisationsressourcen zuzugreifen. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

GitHub verwendet SSH-Benutzerzertifikate im OpenSSH-Format, um Git-Vorgänge über SSH zu authentifizieren, indem die Signatur und Felder des Zertifikats (einschließlich der Gültigkeitsdauer) für eine vertrauenswürdige SSH-Zertifizierungsstelle überprüft werden, die auf Organisationsebene und/oder auf Unternehmensebene konfiguriert ist.

Beim Herausgeben der einzelnen Clientzertifikate musst du eine Erweiterung hinzufügen, die festlegt, für welches GitHub-Benutzerkonto das Zertifikat gilt. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

Eine SSH-Zertifizierungsstelle hinzufügen

Wenn du für dein Unternehmen SSH-Zertifikate benötigst, sollten Unternehmensmitglieder eine spezielle URL für Git-Vorgänge über SSH verwenden. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

Jede Zertifizierungsstelle kann nur in ein Konto auf GitHub hochgeladen werden. Wenn eine SSH-Zertifizierungsstelle einem Organisations- oder Unternehmenskonto hinzugefügt wurde, kann dieselbe Zertifizierungsstelle keinem weiteren Organisations- oder Unternehmenskonto in GitHub hinzugefügt werden.

Wenn Sie eine Zertifizierungsstelle einem Unternehmen und eine andere Zertifizierungsstelle einer Organisation im Unternehmen hinzufügen, kann der Zugriff auf die Repositorys der Organisation über beide Zertifizierungsstellen erfolgen.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.

  2. Klicken Sie oben auf der Seite auf "Einstellungen".

  3. Klicke unter Settings auf Authentication security.

  4. Klicke rechts neben „SSH-Zertifizierungsstellen“ auf Neue Zertifizierungsstelle.

  5. Unter „Key" (Schlüssel) füge Deinen öffentlichen SSH-Schlüssel ein.

  6. Klicke auf Zertifizierungsstelle hinzufügen.

  7. Um optional von den Mitgliedern zu verlangen, SSH-Zertifikate zu verwenden, wähle SSH-Zertifikate verlangen aus, und klicke dann auf Speichern.

    Hinweis

    Wenn du SSH-Zertifikate benötigst, können sich Benutzer nicht authentifizieren, um auf die Repositorys der Organisation über HTTPS oder mit einem nicht signierten SSH-Schlüssel zuzugreifen Dies ist unabhängig davon, ob der SSH-Schlüssel für eine Organisation autorisiert ist, die eine Authentifizierung mit einem externen Identitätssystem erfordert.

    Die Anforderung gilt nicht für autorisierte GitHub Apps (einschließlich Benutzer-zu-Server-Tokens), Bereitstellungsschlüssel oder für GitHub-Features wie GitHub Actions und Codespaces, die vertrauenswürdige Umgebungen innerhalb des GitHub-Ökosystems sind.

Verwalten des Zugriffs auf benutzereigene Repositorys

Sie können den Zugriff auf Benutzerrepositorys mit einem SSH-Zertifikat aktivieren oder deaktivieren, wenn Ihr Unternehmen verwendet. Da Ihr Unternehmen jedoch persönliche Konten für GitHub.com Mitglieder des Unternehmens verwendet, kann das Zertifikat nicht zum Zugriff auf persönliche Repositorys verwendet werden.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Einstellungen".
  3. Klicke unter Settings auf Authentication security.
  4. Aktivieren Sie unter „SSH-Zertifizierungsstellen“ das Kontrollkästchen Zugriff auf benutzereigenes Repository.

Eine SSH-Zertifizierungsstelle löschen

Das Löschen einer SSH-Zertifizierungsstelle aus Einstellungen Ihres Unternehmens GitHub kann nicht rückgängig gemacht werden. Wenn Sie der gleichen Zertifizierungsstelle in Zukunft erneut vertrauen möchten, müssen Sie die Zertifizierungsstelle wieder GitHub hinzufügen, indem Sie den öffentlichen Schlüssel der Zertifizierungsstelle erneut in die SSH-Zertifizierungsstelleneinstellungen Ihres Unternehmens hochladen.

Durch das Löschen einer Zertifizierungsstelle wird sofort verhindert, dass GitHub SSH-Zertifikate akzeptiert, die von dieser Zertifizierungsstelle signiert sind, einschließlich der Zertifikate, die noch nicht abgelaufen sind. Anweisungen zur CA-Rotation finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Einstellungen".
  3. Klicke unter Settings auf Authentication security.
  4. Klicke unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die du löschen möchtest, auf Löschen.
  5. Lies die Warnung, und klicke dann auf Verstanden, Zertifizierungsstelle löschen.

Upgraden einer SSH-Zertifizierungsstelle

CAs, die vor dem 27. März 2024 in Ihr Unternehmen hochgeladen wurden, die Verwendung von nicht ablaufenden Zertifikaten zulässt. Weitere Informationen dazu, warum für neue Zertifizierungsstellen jetzt Ablauftermine erforderlich sind, finden Sie unter Informationen zu SSH-Zertifizierungsstellen. Sie können eine vorhandene Zertifizierungsstelle upgraden, um zu verhindern, dass sie Zertifikate ohne Ablaufdatum ausgibt. Für eine optimale Sicherheit sollten Sie unbedingt alle Zertifizierungsstellen upgraden, sobald Sie sich vergewissert haben, dass Sie nicht auf Zertifikate ohne Ablaufdatum angewiesen sind.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Einstellungen".
  3. Klicke unter Settings auf Authentication security.
  4. Klicken Sie unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die Sie upgraden möchten, auf Upgrade.
  5. Lesen Sie die Warnung, und klicken Sie dann auf Upgrade.

Nach dem Upgrade der Zertifizierungsstelle werden Zertifikate ohne Ablaufdatum abgelehnt, die von der betreffenden Zertifizierungsstelle signiert wurden.

Verwalten von SSO (Einmaliges Anmelden) für nicht angemeldete Benutzer.

Hinweis

Das automatische Umleiten von Benutzern zur Anmeldung befindet sich für Öffentliche Vorschau derzeit in der Enterprise Managed Users. Änderungen sind vorbehalten.

Wenn Ihr Unternehmen Enterprise Managed Users verwendet, können Sie auswählen, was nicht authentifizierte Benutzer sehen, wenn sie versuchen, auf die Ressourcen Ihres Unternehmens zuzugreifen. Weitere Informationen zu Enterprise Managed Users findest du unter Informationen zu Enterprise Managed Users.

Wenn ein nicht authentifizierter Benutzer versucht, auf Ihr Unternehmen zuzugreifen, wird standardmäßig ein 404-Fehler angezeigt, GitHub um das Vorhandensein privater Ressourcen auszublenden.

Um Verwirrung bei deinen Entwickelnden zu vermeiden, kannst du dieses Verhalten ändern, indem du die Einstellung „Automatically redirect users to sign in“ aktivierst, damit Benutzer über deinen Identitätsanbieter automatisch zum einmaligen Anmelden (Single Sign-On, SSO) umgeleitet werden. Wenn du diese Einstellung aktivierst, können alle, die die URL für die Ressourcen deines Unternehmens besuchen, sehen, dass die Ressource vorhanden ist. Sie können die Ressource selbst jedoch nur anzeigen, wenn sie über entsprechenden Zugriff verfügen, nachdem sie sich bei deinem Identitätsanbieter authentifiziert haben.

Die Konfiguration dieser Einstellung wirkt sich auch auf diejenigen aus, die den Git Credential Manager (GCM) verwenden Enterprise Managed Users. Weitere Informationen findest du im git-credential-manager-Repository.

Wenn "Benutzer automatisch zur Anmeldung umleiten" aktiviert ist, werden die Serverhinweise gesendet, GitHub mit denen GCM Konten für Ihre Unternehmensmitglieder automatisch filtern kann. Wenn die Einstellung deaktiviert ist, müssen Benutzer, die GCM verwenden, die Kontofilterung lokal in GCM deaktivieren, damit sie bei jedem Ausführen eines Git-Vorgangs nicht zur Authentifizierung aufgefordert werden. Ausführlichere Informationen findest du unter Zwischenspeichern Ihrer GitHub Anmeldeinformationen in Git.

Hinweis

Wenn ein Benutzer bei seinem persönlichen Konto angemeldet ist, wenn er versucht, auf die Ressourcen Ihres Unternehmens zuzugreifen, wird er automatisch abgemeldet und an SSO umgeleitet, um sich bei seinem verwaltetes BenutzerkontoKonto anzumelden. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicken Sie oben auf der Seite auf "Identitätsanbieter".
  3. Klicke unter Identity Provider auf Single sign-on configuration.
  4. Aktiviere oder deaktiviere unter „Einstellungen für einmaliges Anmelden“ die Option Benutzer automatisch zur Anmeldung umleiten.

Weitere Informationen