Skip to main content

Enforcing policies for security settings in your enterprise

You can enforce policies to manage security settings in your enterprise's organizations, or allow policies to be set in each organization.

Wer kann dieses Feature verwenden?

Enterprise owners can enforce policies for security settings in an enterprise.

About policies for security settings in your enterprise

You can enforce policies to control the security settings for organizations owned by your enterprise on GitHub Enterprise Cloud. By default, organization owners can manage security settings.

Requiring two-factor authentication for organizations in your enterprise

Hinweis: Ab März 2023 und bis Ende 2023 wird GitHub nach und nach von alle Benutzer*innen, die Code auf GitHub.com beitragen, die Aktivierung einer oder mehrerer Formen der Zwei-Faktoren-Authentifizierung (2FA) verlangen. Wenn du einer berechtigten Gruppe angehörst, wirst du per E-Mail benachrichtigt, wenn diese Gruppe für die Registrierung ausgewählt wurde. Ab diesem Zeitpunkt beginnt eine 45-tägige Anmeldefrist für 2FA, und auf GitHub.com werden Banner angezeigt, die dich zur Registrierung für 2FA auffordern. Wenn du keine Benachrichtigung erhältst, gehörst du keiner Gruppe mit verpflichtender 2FA-Registrierung an, aber wir empfehlen dies ausdrücklich.

Weitere Informationen zum Rollout der 2FA-Registrierung findest du in diesem Blogbeitrag.

Enterprise owners can require that organization members, billing managers, and outside collaborators in all organizations owned by an enterprise use two-factor authentication to secure their user accounts. This policy is not available for enterprises with managed users.

Before you can require 2FA for all organizations owned by your enterprise, you must enable two-factor authentication for your own account. For more information, see "Konto durch Zwei-Faktor-Authentifizierung (2FA) schützen."

Before you require use of two-factor authentication, we recommend notifying organization members, outside collaborators, and billing managers and asking them to set up 2FA for their accounts. Organization owners can see if members and outside collaborators already use 2FA on each organization's People page. For more information, see "Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist."

Warnings:

  • When you require two-factor authentication for your enterprise, members, outside collaborators, and billing managers (including bot accounts) in all organizations owned by your enterprise who do not use 2FA will be removed from the organization and lose access to its repositories. They will also lose access to their forks of the organization's private repositories. You can reinstate their access privileges and settings if they enable two-factor authentication for their account within three months of their removal from your organization. For more information, see "Reaktivieren eines ehemaligen Mitglieds deiner Organisation."
  • Any organization owner, member, billing manager, or outside collaborator in any of the organizations owned by your enterprise who disables 2FA for their account after you've enabled required two-factor authentication will automatically be removed from the organization.
  • If you're the sole owner of an enterprise that requires two-factor authentication, you won't be able to disable 2FA for your user account without disabling required two-factor authentication for the enterprise.

Note: Some of the users in your organizations may have been selected for mandatory two-factor authentication enrollment by GitHub.com, but it has no impact on how you enable the 2FA requirement for the organizations in your enterprise. If you enable the 2FA requirement for organizations in your enterprise, all users without 2FA currently enabled will be removed from the organizations, including those that are required to enable it by GitHub.com.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Under "Two-factor authentication", review the information about changing the setting. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu Aktuelle Konfigurationen deiner Organisationen anzeigen aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link mit der Bezeichnung „Aktuelle Konfigurationen deiner Organisation anzeigen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  6. Under "Two-factor authentication", select Require two-factor authentication for all organizations in your business, then click Save.

  7. If prompted, read the information about members and outside collaborators who will be removed from the organizations owned by your enterprise. To confirm the change, type your enterprise's name, then click Remove members & require two-factor authentication.

  8. Optionally, if any members or outside collaborators are removed from the organizations owned by your enterprise, we recommend sending them an invitation to reinstate their former privileges and access to your organization. Each person must enable two-factor authentication before they can accept your invitation.

Managing SSH certificate authorities for your enterprise

You can use a SSH certificate authority (CA) to allow members of any organization owned by your enterprise to access that organization's repositories using SSH certificates you provide. If your enterprise uses Enterprise Managed Users, enterprise members can also be allowed to use the certificate to access personally-owned repositories. Du kannst festlegen, dass Mitglieder für den Zugriff auf Organisationsressourcen SSH-Zertifikate verwenden müssen, sofern SSH nicht in deinem Repository deaktiviert ist. For more information, see "Informationen zu SSH-Zertifizierungsstellen."

Wenn Du die einzelnen Client-Zertifikate ausstellst, musst Du eine Erweiterung einfügen, die festlegt, für welchen GitHub Enterprise Cloud-Benutzer das Zertifikat ist. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.

Adding an SSH certificate authority

If you require SSH certificates for your enterprise, enterprise members should use a special URL for Git operations over SSH. For more information, see "Informationen zu SSH-Zertifizierungsstellen."

Zertifizierungsstellen können jeweils nur in ein Konto in GitHub Enterprise Cloud hochgeladen werden. Wenn eine SSH-Zertifizierungsstelle einem Organisations- oder Unternehmenskonto hinzugefügt wurde, kann dieselbe Zertifizierungsstelle keinem weiteren Organisations- oder Unternehmenskonto in GitHub Enterprise Cloud hinzugefügt werden.

Wenn Sie eine Zertifizierungsstelle einem Unternehmen und eine andere Zertifizierungsstelle einer Organisation im Unternehmen hinzufügen, kann der Zugriff auf die Repositorys der Organisation über beide Zertifizierungsstellen erfolgen.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Klicke rechts neben „SSH-Zertifizierungsstellen“ auf Neue Zertifizierungsstelle.

  6. Unter „Key" (Schlüssel) füge Deinen öffentlichen SSH-Schlüssel ein.

  7. Klicke auf Zertifizierungsstelle hinzufügen.

  8. Um optional von den Mitgliedern zu verlangen, SSH-Zertifikate zu verwenden, wähle SSH-Zertifikate verlangen aus, und klicke dann auf Speichern.

    Hinweis: Wenn Sie SSH-Zertifikate benötigen, können sich Benutzer*innen nicht authentifizieren, um auf die Repositorys der Organisation über HTTPS oder mit einem nicht signierten SSH-Schlüssel

    Die Anforderung gilt nicht für autorisierte OAuth apps und GitHub Apps (einschließlich Benutzer-zu-Server-Token), Bereitstellungsschlüssel oder für GitHub-Features wie GitHub Actions und Codespaces, bei denen es sich um vertrauenswürdige Umgebungen innerhalb des GitHub-Ökosystems handelt.

Managing access to user-owned repositories

You can enable or disable access to user-owned repositories with an SSH certificate if your enterprise uses verwaltete Benutzerkonten. However, if your enterprise uses personal accounts on GitHub.com members cannot use the certificate to access personally-owned repositories.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Under "SSH Certificate Authorities", select the Access User Owned Repository checkbox.

Deleting an SSH certificate authority

Deleting a CA cannot be undone. If you want to use the same CA in the future, you'll need to upload the CA again.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Klicke unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die du löschen möchtest, auf Löschen.

  6. Lies die Warnung, und klicke dann auf Verstanden, Zertifizierungsstelle löschen.

Upgrading an SSH certificate authority

CAs uploaded to your enterprise prior to March 27th, 2024, allow the use of non-expiring certificates. To learn more about why expirations are now required for new CAs, see "Informationen zu SSH-Zertifizierungsstellen." You can upgrade an existing CA to prevent it from issuing non-expiring certificates. For best security, we strongly recommend upgrading all your CAs once you validate you're not reliant on non-expiring certificates.

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Under "SSH Certificate Authorities", to the right of the CA you want to upgrade, click Upgrade.

  6. Read the warning, then click Upgrade.

After upgrading the CA, non-expiring certificates signed by that CA will be rejected.

Managing SSO for unauthenticated users

Hinweis: Das automatische Umleiten von Benutzern zur Anmeldung befindet sich derzeit für Enterprise Managed Users in der Betaphase und könnte geändert werden.

If your enterprise uses Enterprise Managed Users, you can choose what unauthenticated users see when they attempt to access your enterprise's resources. For more information about Enterprise Managed Users, see "About Enterprise Managed Users."

By default, to hide the existence of private resources, when an unauthenticated user attempts to access your enterprise, GitHub displays a 404 error.

To prevent confusion from your developers, you can change this behavior so that users are automatically redirected to single sign-on (SSO) through your identity provider (IdP). When you enable automatic redirects, anyone who visits the URL for any of your enterprise's resources will be able to see that the resource exists. However, they'll only be able to see the resource if they have appropriate access after authenticating with your IdP.

Note: If a user is signed in to their personal account when they attempt to access any of your enterprise's resources, they'll be automatically signed out and redirected to SSO to sign in to their verwaltetes Benutzerkonto. For more information, see "Verwalten mehrerer Konten."

  1. Klicken Sie in der oberen rechten Ecke von GitHub auf Ihr Profilfoto und dann auf Ihre Unternehmen.

  2. Klicke in der Liste der Unternehmen auf das Unternehmen, das du anzeigen möchtest.

  3. Wähle auf der Randleiste des Unternehmenskontos die Option Einstellungen aus.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Under "Single sign-on settings", select or deselect Automatically redirect users to sign in.

Further reading