Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen

Du kannst Richtlinien erzwingen, um Sicherheitseinstellungen in den Organisationen deines Unternehmens zu verwalten, oder Richtlinien in jeder Organisation festlegen lassen.

Wer kann dieses Feature verwenden?

Enterprise owners can enforce policies for security settings in an enterprise.

In diesem Artikel

Informationen über Richtlinien für Sicherheitseinstellungen in deinem Unternehmen

Du kannst Richtlinien zur Kontrolle der Sicherheitseinstellungen für Organisationen, die Deinem Unternehmen gehören, erzwingen. Standardmäßig können Organisationseigentümer Sicherheitseinstellungen verwalten.

Zwei-Faktor-Authentifizierung für Organisationen in deinem Enterprise vorschreiben

Wenn Ihre GitHub Enterprise Server-Instance SIE LDAP oder integrierte Authentifizierung verwenden, können Unternehmensbesitzer festlegen, dass Organisationsmitglieder, Abrechnungsmanager und externe Mitarbeiter in allen Organisationen, die im Besitz eines Unternehmens sind, die zweistufige Authentifizierung verwenden, um ihre Benutzerkonten zu sichern.

Bevor du die Zwei-Faktor-Authentifizierung für alle Organisationen im Besitz deines Unternehmens fordern kannst, musst du diese für dein eigenes Konto aktivieren. Weitere Informationen finden Sie unter Konto durch Zwei-Faktor-Authentifizierung (2FA) schützen.

Bevor du die Zwei-Faktor-Authentifizierung vorschreiben, empfehlen wir, Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager über diesen Schritt zu informieren und sie darum zu bitten, die Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Organisationsinhaber können auf der Seite „People“ ihrer Organisationen sehen, ob Mitglieder und externe Projektmitarbeiter bereits die Zwei-Faktor-Authentifizierung verwenden. Weitere Informationen finden Sie unter Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist.

Die Überprüfung der Zwei-Faktor-Authentifizierung erfordert die genaue Zeit auf dem Gerät des Clients und dem Server. Websiteadministratoren müssen sicherstellen, dass die Zeitsynchronisierung konfiguriert und genau ist. Weitere Informationen findest du unter Zeitsynchronisierung konfigurieren.

Warnung

  • Wenn Sie eine zweistufige Authentifizierung für Ihr Unternehmen benötigen, werden externe Mitarbeiter (einschließlich Botkonten) in allen Organisationen, die nicht 2FA verwenden, aus der Organisation entfernt und verlieren den Zugriff auf seine Repositorys. Gleichzeitig verlieren sie auch den Zugriff auf ihre Forks der privaten Repositorys der Organisation. Du kannst ihre Zugriffsberechtigungen und Einstellungen wiederherstellen, wenn sie die 2FA für ihre Konten innerhalb von drei Monaten ab ihrer Entfernung aus der Organisation aktivieren. Weitere Informationen finden Sie unter Reaktivieren eines ehemaligen Mitglieds deiner Organisation.
  • Alle externen Mitarbeiter in einer der Organisationen, die im Besitz Ihres Unternehmens sind und 2FA für ihr Konto deaktivieren, nachdem Sie die erforderliche zweistufige Authentifizierung aktiviert haben, werden automatisch aus der Organisation entfernt. Mitglieder und Abrechnungsmanager , die 2FA deaktivieren, können erst dann auf Organisationsressourcen zugreifen, wenn sie sie erneut aktivieren.
  • Wenn du der einzige Besitzer eines Unternehmens bist, das die Zwei-Faktor-Authentifizierung vorschreibt, kannst du diese für dein Benutzerkonto nicht deaktivieren, ohne die erforderliche 2FA für das gesamte Unternehmen zu deaktivieren.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.

  2. Klicken Sie oben auf der Seite auf "Einstellungen".

  3. Klicke unter Settings auf Authentication security.

  4. Überprüfe unter „Two-factor authentication“ (Zwei-Faktor-Authentifizierung) die Informationen zum Ändern der Einstellung. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu View your organizations' current configurations aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link „View your organizations' current configurations“ ist hervorgehoben.

  5. Wähle unter „Two-factor authentication“ die Option Require two-factor authentication for the enterprise and all of its organizations aus, und klicke auf Save.

  6. Wenn du dazu aufgefordert wirst, lies die Informationen darüber, wie sich die verpflichtende 2FA auf den Benutzerzugriff auf Organisationsressourcen auswirkt. Klicke auf Confirm, um die Änderung zu bestätigen.

  7. Wenn externe Projektmitarbeiter aus den Organisationen im Besitz deines Unternehmens entfernt werden, wird empfohlen, ihnen optional eine Einladung zum Wiederherstellen ihrer früheren Berechtigungen und ihres Zugriffs auf deine Organisation zu senden. Jede Person muss die Zwei-Faktor-Authentifizierung aktivieren, bevor sie deine Einladung annehmen kann.

Verwalten von SSH-Zertifizierungsstellen für dein Unternehmen

Sie können eine SSH-Zertifizierungsstelle (CA) verwenden, um Mitgliedern jeder Organisation, die zu deinem Unternehmen gehört, den Zugriff auf Repositorys dieser Organisation mit von Ihnen bereitgestellten SSH-Zertifikaten zu ermöglichen.

auch das Zertifikat verwenden, um auf persönliche Repositorys zuzugreifen. Du kannst festlegen, dass Mitglieder SSH-Zertifikate verwenden müssen, um auf Organisationsressourcen zuzugreifen, es sei denn, SSH ist in deiem Repository deaktiviert. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

GitHub verwendet SSH-Benutzerzertifikate im OpenSSH-Format, um Git-Vorgänge über SSH zu authentifizieren, indem die Signatur und Felder des Zertifikats (einschließlich der Gültigkeitsdauer) für eine vertrauenswürdige SSH-Zertifizierungsstelle überprüft werden, die auf Organisationsebene und/oder auf Unternehmensebene konfiguriert ist.

Beim Herausgeben der einzelnen Clientzertifikate musst du eine Erweiterung hinzufügen, die festlegt, für welches GitHub-Benutzerkonto das Zertifikat gilt. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

Eine SSH-Zertifizierungsstelle hinzufügen

Wenn du für dein Unternehmen SSH-Zertifikate benötigst, sollten Unternehmensmitglieder eine spezielle URL für Git-Vorgänge über SSH verwenden. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

Jede Zertifizierungsstelle kann nur in ein Konto auf GitHub hochgeladen werden. Wenn eine SSH-Zertifizierungsstelle einem Organisations- oder Unternehmenskonto hinzugefügt wurde, kann dieselbe Zertifizierungsstelle keinem weiteren Organisations- oder Unternehmenskonto in GitHub hinzugefügt werden.

Wenn Sie eine Zertifizierungsstelle einem Unternehmen und eine andere Zertifizierungsstelle einer Organisation im Unternehmen hinzufügen, kann der Zugriff auf die Repositorys der Organisation über beide Zertifizierungsstellen erfolgen.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.

  2. Klicken Sie oben auf der Seite auf "Einstellungen".

  3. Klicke unter Settings auf Authentication security.

  4. Klicke rechts neben „SSH-Zertifizierungsstellen“ auf Neue Zertifizierungsstelle.

  5. Unter „Key" (Schlüssel) füge Deinen öffentlichen SSH-Schlüssel ein.

  6. Klicke auf Zertifizierungsstelle hinzufügen.

  7. Um optional von den Mitgliedern zu verlangen, SSH-Zertifikate zu verwenden, wähle SSH-Zertifikate verlangen aus, und klicke dann auf Speichern.

    Hinweis

    Wenn du SSH-Zertifikate benötigst, können sich Benutzer nicht authentifizieren, um auf die Repositorys der Organisation über HTTPS oder mit einem nicht signierten SSH-Schlüssel zuzugreifen.

    Die Anforderung gilt nicht für autorisierte GitHub Apps (einschließlich Benutzer-zu-Server-Tokens), Bereitstellungsschlüssel oder für GitHub-Features wie GitHub Actions, die vertrauenswürdige Umgebungen innerhalb des GitHub-Ökosystems sind.

Verwalten des Zugriffs auf benutzereigene Repositorys

Sie können den Zugriff auf Benutzerrepositorys mit einem SSH-Zertifikat aktivieren oder deaktivieren, wenn Ihr Unternehmen verwendet werden.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.
  2. Klicken Sie oben auf der Seite auf "Einstellungen".
  3. Klicke unter Settings auf Authentication security.
  4. Aktivieren Sie unter „SSH-Zertifizierungsstellen“ das Kontrollkästchen Zugriff auf benutzereigenes Repository.

Eine SSH-Zertifizierungsstelle löschen

Das Löschen einer SSH-Zertifizierungsstelle aus Einstellungen Ihres Unternehmens GitHub kann nicht rückgängig gemacht werden. Wenn Sie der gleichen Zertifizierungsstelle in Zukunft erneut vertrauen möchten, müssen Sie die Zertifizierungsstelle wieder GitHub hinzufügen, indem Sie den öffentlichen Schlüssel der Zertifizierungsstelle erneut in die SSH-Zertifizierungsstelleneinstellungen Ihres Unternehmens hochladen.

Durch das Löschen einer Zertifizierungsstelle wird sofort verhindert, dass GitHub SSH-Zertifikate akzeptiert, die von dieser Zertifizierungsstelle signiert sind, einschließlich der Zertifikate, die noch nicht abgelaufen sind. Anweisungen zur CA-Rotation finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.
  2. Klicken Sie oben auf der Seite auf "Einstellungen".
  3. Klicke unter Settings auf Authentication security.
  4. Klicke unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die du löschen möchtest, auf Löschen.
  5. Lies die Warnung, und klicke dann auf Verstanden, Zertifizierungsstelle löschen.

Upgraden einer SSH-Zertifizierungsstelle

CAs, die vor dem 27. März 2024 in Ihr Unternehmen bevor GitHub Enterprise Server Version 3.13 die Verwendung von nicht ablaufenden Zertifikaten zulässt. Weitere Informationen dazu, warum für neue Zertifizierungsstellen jetzt Ablauftermine erforderlich sind, finden Sie unter Informationen zu SSH-Zertifizierungsstellen. Sie können eine vorhandene Zertifizierungsstelle upgraden, um zu verhindern, dass sie Zertifikate ohne Ablaufdatum ausgibt. Für eine optimale Sicherheit sollten Sie unbedingt alle Zertifizierungsstellen upgraden, sobald Sie sich vergewissert haben, dass Sie nicht auf Zertifikate ohne Ablaufdatum angewiesen sind.

  1. Klicke in der oberen rechten Ecke von GitHub Enterprise Server auf dein Profilbild und dann auf Enterprise settings.
  2. Klicken Sie oben auf der Seite auf "Einstellungen".
  3. Klicke unter Settings auf Authentication security.
  4. Klicken Sie unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die Sie upgraden möchten, auf Upgrade.
  5. Lesen Sie die Warnung, und klicken Sie dann auf Upgrade.

Nach dem Upgrade der Zertifizierungsstelle werden Zertifikate ohne Ablaufdatum abgelehnt, die von der betreffenden Zertifizierungsstelle signiert wurden.

Weitere Informationen