Application de stratégies pour les paramètres de sécurité dans votre entreprise

Vous pouvez appliquer des stratégies pour la gestion des paramètres de sécurité dans les organisations de votre entreprise ou autoriser la définition de stratégies dans chaque organisation.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners can enforce policies for security settings in an enterprise.

Dans cet article

À propos des stratégies pour les paramètres de sécurité dans votre entreprise

Vous pouvez appliquer des règles pour contrôler les paramètres de sécurité des organisations appartenant à votre entreprise. Par défaut, les propriétaires d'organisation peuvent gérer les paramètres de sécurité.

Exiger l'authentification à 2 facteurs pour les organisations de votre entreprise

Remarque

À partir de mars 2023, GitHub exige de tous les utilisateurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification à 2 facteurs (2FA). Si vous faisiez partie d'un groupe éligible, vous auriez reçu un courriel de notification lorsque ce groupe a été sélectionné pour l’inscription, marquant le début d’une période d’inscription 2FA de 45 jours, et vous auriez vu des bannières vous invitant à vous inscrire à 2FA sur GitHub.com. Si vous n'avez pas reçu de notification, vous ne faisiez pas partie d’un groupe requis pour activer 2FA, bien que nous le recommandons vivement.

Pour plus d’informations sur le lancement des inscriptions 2FA, consultez ce billet de blog.

           peuvent exiger que les membres de l'organisation, les responsables de facturation et les collaborateurs externes de toutes les organisations possédées par une entreprise utilisent l’authentification à deux facteurs pour sécuriser leurs comptes utilisateurs. Cette stratégie n’est pas disponible pour les entreprises disposant d’utilisateurs gérés.

Pour pouvoir exiger l’authentification à 2 facteurs pour toutes les organisations appartenant à votre entreprise, vous devez l’activer pour votre propre compte. Pour plus d’informations, consultez « Sécurisation de votre compte avec l’authentification à 2 facteurs ».

Avant d'exiger l'authentification à 2 facteurs, nous vous recommandons d'en informer les membres, collaborateurs externes et gestionnaires de facturation de l'organisation et de leur demander de la configurer pour leurs comptes. Les propriétaires d’organisation peuvent voir si les membres et collaborateurs externes utilisent déjà l’authentification à 2 facteurs sur la page Personnes de chaque organisation. Pour plus d’informations, consultez « Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation ».

Avertissement

  • Lorsque vous avez besoin d’une authentification à deux facteurs pour votre entreprise, les collaborateurs externes (y compris les comptes de bot) dans toutes les organisations appartenant à votre entreprise qui n’utilisent pas 2FA seront supprimés de l’organisation et perdront l’accès à ses dépôts. Ils perdent également l’accès à leurs duplications (fork) des dépôts privés de l’organisation. Vous pouvez rétablir leurs privilèges d'accès et leurs paramètres s'ils activent la fonction 2FA pour leur compte dans les trois mois suivant leur retrait de votre organisation. Pour plus d’informations, consultez « Réactivation d’un ancien membre de votre organisation ».
  • Tout collaborateur externe de l’une des organisations appartenant à votre entreprise qui désactive 2FA pour son compte une fois que vous avez activé l’authentification à deux facteurs est automatiquement supprimée de l’organisation. Les membres de facturation qui désactivent 2FA ne pourront pas accéder aux ressources de l’organisation tant qu’ils ne le réactiveront pas.
  • Si vous êtes l'unique propriétaire d'une entreprise qui exige l'authentification à deux facteurs, vous ne pourrez pas désactiver l'authentification à deux facteurs pour votre compte utilisateur sans désactiver l'authentification à deux facteurs pour l'entreprise.

Remarque

Certains utilisateurs de votre organisation ont peut-être été sélectionnés par GitHub.com pour l’inscription obligatoire à l’authentification à deux facteurs, mais cela n’a aucun impact sur la manière dont vous activez l’exigence d’authentification à deux facteurs pour les organisations de votre entreprise. Si vous activez l’exigence 2FA pour les organisations de votre entreprise, les collaborateurs externes sans 2FA actuellement activés seront supprimés des organisations, y compris celles qui sont requises pour l’activer.GitHub.com

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

  2. En haut de la page, cliquez sur Paramètres.

  3. Sous Paramètres, cliquez sur Sécurité de l'authentification.

  4. Sous « Authentification à 2 facteurs », passez en revue les informations relatives à la modification du paramètre. En option, pour afficher la configuration actuelle de toutes les organisations du compte d'entreprise avant de modifier le paramètre, cliquez sur Visualiser les configurations actuelles de votre organisation.

    Capture d’écran d’une stratégie dans les paramètres d’entreprise. Un lien intitulé « Afficher les configurations actuelles de vos organisations » est mis en évidence.

  5. Sous « Authentification à deux facteurs », sélectionnez Exiger une authentification à deux facteurs pour l'entreprise et toutes ses organisations, puis cliquez sur Enregistrer.

  6. Si vous y êtes invité, lisez les informations sur la façon dont l’accès utilisateur aux ressources de l’organisation sera affecté par une exigence 2FA. Cliquez sur Confirmer pour confirmer la modification.

  7. Si vous le souhaitez, si des collaborateurs externes sont supprimés des organisations appartenant à votre entreprise, nous vous recommandons de leur envoyer une invitation pour rétablir leurs anciens privilèges et accéder à votre organisation. Chaque personne doit activer la fonction 2FA avant de pouvoir accepter votre invitation.

Exiger des méthodes sécurisées d'authentification à deux facteurs pour les organisations de votre entreprise

En plus d'exiger une authentification à deux facteurs, les propriétaires d'entreprise peuvent exiger que les membres de l'organisation, les responsables de la facturation et les collaborateurs externes de toutes les organisations appartenant à l'entreprise utilisent des méthodes sécurisées d'authentification à deux facteurs. Les méthodes à deux facteurs sécurisées sont des clés secrètes, des clés de sécurité, des applications d’authentificateur et l’application mobile GitHub. Les utilisateurs qui n'ont pas de méthode sécurisée de 2FA configurée, ou qui ont une méthode non sécurisée configurée, seront empêchés d'accéder aux ressources de toute organisation appartenant à une entreprise. Cette stratégie n’est pas disponible pour les entreprises disposant d’utilisateurs managés.

Avant d'exiger des méthodes sécurisées d'authentification à deux facteurs, nous recommandons d'informer les membres de l'organisation, les collaborateurs externes et les responsables de la facturation et de leur demander de mettre en place des méthodes sécurisées d'authentification à deux facteurs pour leurs comptes. Les propriétaires d'organisations peuvent voir si les membres et les collaborateurs externes utilisent déjà des méthodes sécurisées de 2FA sur la page « Personnes » de chaque organisation. Pour plus d’informations, consultez « Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation ».

  1. Sous « Authentification à deux facteurs », sélectionnez Exiger une authentification à deux facteurs pour l'entreprise et toutes ses organisations et N'autoriser que les méthodes sécurisées à deux facteurs, puis cliquez sur Enregistrer.
  2. Si vous y êtes invité, lisez les informations sur la manière dont l'accès des utilisateurs aux ressources de l'organisation sera affecté par l'obligation d'utiliser des méthodes 2FA sécurisées. Pour confirmer la modification, cliquez sur Confirmer.
  3. Si des membres ou des collaborateurs externes sont supprimés des organisations appartenant à votre entreprise, nous vous recommandons de leur envoyer une invitation pour rétablir leurs anciens privilèges et accès à votre organisation. Chaque personne doit activer la fonction 2FA à l'aide d'une méthode sécurisée avant de pouvoir accepter votre invitation.

Gestion des autorités de certification SSH pour votre entreprise

Vous pouvez utiliser une autorité de confiance SSH pour autoriser les membres de n’importe quelle organisation appartenant à votre entreprise à accéder aux référentiels de cette organisation à l’aide de certificats SSH que vous fournissez.

          Si votre entreprise utiliseEnterprise Managed Users, les membres d’entreprise peuvent également être autorisés à utiliser le certificat pour accéder aux référentiels appartenant à l’utilisateur. 
          Vous pouvez exiger que les membres utilisent des certificats SSH pour accéder aux ressources de l’organisation. Pour plus d’informations, consultez [AUTOTITLE](/organizations/managing-git-access-to-your-organizations-repositories/about-ssh-certificate-authorities).

          GitHub utilise des certificats utilisateur SSH au format OpenSSH pour authentifier les opérations Git sur SSH en validant la signature et les champs du certificat (y compris sa période de validité) par rapport à une autorité de certification SSH approuvée configurée au niveau de l’organisation et/ou de l’entreprise.

Lorsque vous émettez chaque certificat client, vous devez inclure une extension qui spécifie l'utilisateur GitHub auquel le certificat est destiné. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».

Ajout d'une autorité de certification SSH

Si vous avez besoin de certificats SSH pour votre entreprise, les membres de l'entreprise doivent utiliser une URL spéciale pour les opérations Git sur SSH. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».

Chaque autorité de certification ne peut être téléchargée que dans un seul compte sur GitHub Si une autorité de certification SSH a été ajoutée à un compte d’organisation ou d’entreprise, vous ne pouvez pas ajouter la même autorité de confiance à un autre compte d’organisation ou d’entreprise sur GitHub.

Si vous ajoutez une autorité de confiance à une entreprise et une autre autorité de confiance à une organisation au sein de l’entreprise, l’une ou l’autre autorité de confiance peut être utilisée pour accéder aux référentiels de l’organisation.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.

  2. En haut de la page, cliquez sur Paramètres.

  3. Sous Paramètres, cliquez sur Sécurité de l'authentification.

  4. À droite de « Autorités de certification SSH », cliquez sur Nouvelle autorité de certification.

  5. Sous « Clé », collez votre clé SSH publique.

  6. Cliquez sur Ajouter une autorité de certification.

  7. Pour exiger que les membres utilisent des certificats SSH, vous pouvez sélectionner Exiger des certificats SSH, puis cliquer sur Enregistrer.

    Remarque

    Lorsque vous avez besoin de certificats SSH, les utilisateurs ne pourront pas s’authentifier pour accéder aux référentiels de l’organisation via HTTPS ou avec une clé SSH non signée, que la clé SSH soit autorisée ou non pour une organisation qui requiert l’authentification via un système d’identité externe.

    L'exigence ne s'applique pas aux GitHub Apps (y compris les jetons utilisateur-serveur), aux clés de déploiement ou aux GitHub fonctionnalités telles que GitHub Actions et Codespaces, qui sont des environnements de confiance au sein de l'écosystème GitHub.

Gestion de l’accès aux référentiels appartenant à l’utilisateur

Vous pouvez activer ou désactiver l’accès aux dépôts appartenant à l’utilisateur avec un certificat SSH si votre entreprise utilise comptes d’utilisateur managés. Toutefois, si votre entreprise utilise des comptes personnels sur GitHub.com, les membres ne peuvent pas utiliser le certificat pour accéder aux référentiels appartenant personnellement à l’utilisateur.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Paramètres.
  3. Sous Paramètres, cliquez sur Sécurité de l'authentification.
  4. Sous Autorités de confiance SSH, sélectionnez la case Accéder au référentiel appartenant à l’utilisateur.

Suppression d'une autorité de certification SSH

La suppression d’une autorité de certification SSH de vos paramètres GitHub d’entreprise ne peut pas être annulée. Si vous souhaitez à nouveau approuver la même autorité de certification à l’avenir, vous devez ajouter à nouveau l'autorité de certification GitHub en téléchargeant à nouveau la clé publique de cette autorité de certification dans les paramètres de l’autorité de certification SSH de votre entreprise.

La suppression d’une autorité de certification empêche GitHub immédiatement d’accepter les certificats SSH signés par cette autorité de certification, y compris les certificats qui n’ont pas encore expiré. Pour obtenir des conseils sur la rotation de l’autorité de certification, consultez À propos des autorités de certification SSH.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Paramètres.
  3. Sous Paramètres, cliquez sur Sécurité de l'authentification.
  4. Sous « Autorités de certification SSH », à droite de l’autorité de certification que vous souhaitez supprimer, cliquez sur Supprimer.
  5. Lisez l’avertissement, puis cliquez sur Je comprends, supprimer cette autorité de certification.

Mise à jour d’une autorité de confiance SSH

Les autorités de certification chargées dans votre entreprise avant le 27 mars 2024 avant autorisent l’utilisation de certificats non arrivant à expiration. Pour en savoir plus sur pourquoi les expirations sont désormais requises pour les nouvelles autorités de certification, consultez « À propos des autorités de certification SSH ». Vous pouvez mettre à niveau une autorité de confiance existante pour l’empêcher de délivrer des certificats ne pouvant expirer. Pour une meilleure sécurité, nous vous recommandons vivement de mettre à niveau toutes vos autorités de certification après avoir confirmé que vous n'êtes pas dépendant de certificats non expirables.

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Paramètres.
  3. Sous Paramètres, cliquez sur Sécurité de l'authentification.
  4. Sous « Autorités de confiance SSH », à droite de l’autorité de confiance que vous souhaitez mettre à niveau, cliquez sur Mettre à niveau.
  5. Lisez l’avertissement, puis cliquez sur Mettre à niveau.

Après la mise à niveau de l’autorité de confiance, les certificats ne pouvant expirer signés par cette autorité de confiance seront rejetés.

Gestion de l'authentification unique pour les utilisateurs non authentifiés

Remarque

La redirection automatique des utilisateurs vers la connexion est actuellement en préversion publique pour Enterprise Managed Users et est susceptible d’être modifiée.

Si votre entreprise utilise Enterprise Managed Users, vous pouvez choisir ce que les utilisateurs non authentifiés voient lorsqu’ils tentent d’accéder aux ressources de votre entreprise. Pour plus d’informations sur Enterprise Managed Users, consultez À propos d’Enterprise Managed Users.

Par défaut, pour masquer l’existence de ressources privées, lorsqu’un utilisateur non authentifié tente d’accéder à votre entreprise, GitHub affiche une erreur 404.

Pour éviter toute confusion chez vos développeurs, vous pouvez modifier ce comportement en activant le paramètre « Rediriger automatiquement les utilisateurs vers la connexion » afin que les utilisateurs soient automatiquement redirigés vers l’authentification unique (SSO) via votre fournisseur d’identité (IdP). Lorsque vous activez ce paramètre, toute personne qui visite l’URL de l’une des ressources de votre entreprise pourra voir que cette ressource existe. Toutefois, elle ne peut voir la ressource que si elle dispose d'un accès approprié après s'être authentifiée auprès de votre IdP.

La configuration de ce paramètre affecte Enterprise Managed Users également les utilisateurs qui utilisent Git Credential Manager (GCM). Pour plus d’informations, consultez le référentiel git-credential-manager

Si l’option « Rediriger automatiquement les utilisateurs vers la connexion » est activée, GitHub envoie les indicateurs de serveur qui permettent à GCM de filtrer automatiquement les comptes pour vos membres d’entreprise. Si le paramètre est désactivé, les utilisateurs qui utilisent GCM doivent désactiver le filtrage des comptes localement dans GCM pour éviter d’être invités à s’authentifier à chaque opération Git. Pour plus d’informations, consultez Mise en cache de vos informations d’identification GitHub dans Git.

Remarque

Si un utilisateur est connecté à son compte personnel lorsqu’il tente d’accéder aux ressources de votre entreprise, il est automatiquement déconnecté et redirigé vers l’authentification unique pour se connecter à son compte d’utilisateur managécompte. Pour plus d’informations, consultez « Gestion de plusieurs comptes ».

  1. Accédez à votre entreprise. Par exemple, depuis la page Entreprises sur GitHub.com.
  2. En haut de la page, cliquez sur Fournisseur d’identité.
  3. Sous fournisseur d’identité, cliquez sur configuration de l’authentification unique.
  4. Sous « Paramètres de l'authentification unique », sélectionnez ou désélectionnez Rediriger automatiquement les utilisateurs vers la connexion.

Pour approfondir