Erzwingen von Richtlinien für Sicherheitseinstellungen in deinem Unternehmen

Du kannst Richtlinien erzwingen, um SIcherheitseinstellungen in den Organisationen deines Unternehmens zu erzwingen oder Richtlinien in jeder Organisation festlegen zu lassen.

Wer kann dieses Feature verwenden?

Enterprise owners can enforce policies for security settings in an enterprise.

In diesem Artikel

Informationen über Richtlinien für Sicherheitseinstellungen in deinem Unternehmen

Du kannst Richtlinien zur Kontrolle der Sicherheitseinstellungen für Organisationen, die deinem Unternehmen gehören, auf GitHub Enterprise Cloud erzwingen. Standardmäßig können Organisationseigentümer Sicherheitseinstellungen verwalten.

Zwei-Faktor-Authentifizierung für Organisationen in deinem Enterprise vorschreiben

Note

Hinweis: Seit März 2023 verlangte GitHub von allen Benutzern, die Code auf GitHub.com beitragen, die Aktivierung einer oder mehrerer Formen der Zwei-Faktor-Authentifizierung (2FA). Wenn du einer berechtigten Gruppe angehörst, wurdest du per E-Mail benachrichtigt, wenn diese Gruppe für die Registrierung ausgewählt wurde. Ab diesem Zeitpunkt beginnt eine 45-tägige Anmeldefrist für 2FA, und auf GitHub.com wurden Banner angezeigt, die dich zur Registrierung für 2FA aufforderten. Wenn du keine Benachrichtigung erhalten hast, gehörst du keiner Gruppe mit verpflichtender 2FA-Registrierung an, aber wir empfehlen diese ausdrücklich.

Weitere Informationen zum Rollout der 2FA-Registrierung findest du in diesem Blogbeitrag.

Enterprise-Besitzer vorschreiben, dass Organisationsmitglieder, Abrechnungsmanager und externe Projektmitarbeiter in allen Organisationen, die sich im Besitz des Unternehmens befinden, die Zwei-Faktor-Authentifizierung zum Schutz ihrer Benutzerkonten verwenden. Diese Richtlinie ist für Unternehmen mit verwalteten Benutzern nicht verfügbar.

Bevor du die Zwei-Faktor-Authentifizierung für alle Organisationen im Besitz deines Unternehmens fordern kannst, musst du diese für dein eigenes Konto aktivieren. Weitere Informationen finden Sie unter Konto durch Zwei-Faktor-Authentifizierung (2FA) schützen.

Bevor du die Zwei-Faktor-Authentifizierung vorschreiben, empfehlen wir, Organisationsmitglieder, externe Mitarbeiter und Abrechnungsmanager über diesen Schritt zu informieren und sie darum zu bitten, die Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Organisationsinhaber können auf der Seite „People“ ihrer Organisationen sehen, ob Mitglieder und externe Projektmitarbeiter bereits die Zwei-Faktor-Authentifizierung verwenden. Weitere Informationen finden Sie unter Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist.

Warning

  • Wenn du für dein Unternehmen die Zwei-Faktor-Authentifizierung verlangst, werden externe Projektmitarbeiter, einschließlich Bot-Konten, in allen Organisationen im Besitz deines Unternehmens, die keine 2FA verwenden, aus der Organisation entfernt und verlieren den Zugriff auf die Repositorys. Gleichzeitig verlieren sie auch den Zugriff auf ihre Forks der privaten Repositorys der Organisation. Du kannst ihre Zugriffsberechtigungen und Einstellungen wiederherstellen, wenn sie die 2FA für ihre Konten innerhalb von drei Monaten ab ihrer Entfernung aus der Organisation aktivieren. Weitere Informationen finden Sie unter Reaktivieren eines ehemaligen Mitglieds deiner Organisation.
  • Alle externen Projektmitarbeiter der Organisationen im Besitz deines Unternehmens, die die 2FA für ihr Konto deaktivieren, nachdem du diese vorgeschrieben hast, werden automatisch aus der Organisation entfernt. Mitglieder und Abrechnungs-Manager, die die 2FA deaktivieren, können erst dann auf Organisationsressourcen zugreifen, wenn sie sie erneut aktivieren.
  • Wenn du der einzige Besitzer eines Unternehmens bist, das die Zwei-Faktor-Authentifizierung vorschreibt, kannst du diese für dein Benutzerkonto nicht deaktivieren, ohne die erforderliche 2FA für das gesamte Unternehmen zu deaktivieren.

Note

Einige Benutzer in deinen Organisationen wurden möglicherweise durch GitHub.com für die obligatorische Registrierung für die Zwei-Faktor-Authentifizierung ausgewählt. Dies hat jedoch keinen Einfluss darauf, wie du die 2FA-Anforderungen für die Organisationen in deinem Unternehmen konfigurierst. Wenn du eine verpflichtende 2FA-Registrierung für Organisationen in deinem Unternehmen einführst, werden externe Projektmitarbeiter ohne aktivierte 2FA aus den Organisationen entfernt. Dies schließt auch Benutzer ein, die diese Funktion gemäß GitHub.com aktivieren müssen.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilfoto.

  2. Klicke je nach deiner Umgebung auf Dein Unternehmenoder auf Deine Unternehmen, und klicke dann auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Überprüfe unter „Two-factor authentication“ (Zwei-Faktor-Authentifizierung) die Informationen zum Ändern der Einstellung. Optional kannst du die aktuelle Konfiguration für alle Organisationen im Unternehmenskonto anzeigen, bevor du die Einstellung änderst. Wähle dazu Aktuelle Konfigurationen deiner Organisationen anzeigen aus.

    Screenshot einer Richtlinie in den Unternehmenseinstellungen. Ein Link mit der Bezeichnung „Aktuelle Konfigurationen deiner Organisation anzeigen“ ist mit einem orangefarbenen Rahmen hervorgehoben.

  6. Wähle unter „Two-factor authentication“ die Option Require two-factor authentication for the enterprise and all of its organizations aus, und klicke auf Save.

  7. Wenn du dazu aufgefordert wirst, lies die Informationen darüber, wie sich die verpflichtende 2FA auf den Benutzerzugriff auf Organisationsressourcen auswirkt. Klicke auf Confirm, um die Änderung zu bestätigen.

  8. Wenn externe Projektmitarbeiter aus den Organisationen im Besitz deines Unternehmens entfernt werden, wird empfohlen, ihnen optional eine Einladung zum Wiederherstellen ihrer früheren Berechtigungen und ihres Zugriffs auf deine Organisation zu senden. Jede Person muss die Zwei-Faktor-Authentifizierung aktivieren, bevor sie deine Einladung annehmen kann.

Durchsetzen der sicheren Methoden der Zwei-Faktor-Authentifizierung für Organisationen in deinem Unternehmen

Neben der Zwei-Faktor-Authentifizierung können Unternehmensinhaber auch durchsetzen, dass Organisationsmitglieder, Abrechnungsmanager und externe Projektmitarbeiter in allen Organisationen eines Unternehmens die sicheren Methoden der Zwei-Faktor-Authentifizierung verwenden. Sichere Zwei-Faktor-Methoden sind Passkeys, Sicherheitsschlüssel, Authentifikator-Apps und die mobile GitHub-App. Benutzer, die keine sichere Methode der Zwei-Faktor-Authentifizierung oder eine unsichere Methode konfiguriert haben, werden daran gehindert, auf jegliche Ressourcen in den Organisationen zuzugreifen, die einem Unternehmen gehören. Diese Richtlinie ist nicht für Unternehmen mit verwalteten Benutzern verfügbar.

Bevor Sicherheitsmethoden wie die Zwei-Faktor-Authentifizierung vorgeschrieben werden, wird empfohlen, Organisationsmitglieder, externe Projektmitarbeiter und Abrechnungsmanager zu benachrichtigen und diese dazu aufzufordern, eine sichere Zwei-Faktor-Authentifizierung für ihre Konten einzurichten. Organisationsinhaber können auf der Seite „People“ jeder Organisation anzeigen, ob Mitglieder und externe Projektmitarbeiter bereits sichere Methoden der Zwei-Faktor-Authentifizierung verwenden. Weitere Informationen finden Sie unter Überprüfen, ob die 2FA für die Benutzer*innen deiner Organisation aktiviert ist.

  1. Wähle unter „Two-factor authentication“ die Optionen Require two-factor authentication for the enterprise and all of its organizations und Only allow secure two-factor methods aus, und klicke dann auf Save.

  2. Wenn du dazu aufgefordert wirst, lies die Informationen darüber, wie sich die verpflichtende Nutzung von sicheren Zwei-Faktor-Authentifizierungsmethoden auf den Benutzerzugriff auf Organisationsressourcen auswirkt. Klicke auf Confirm, um die Änderung zu bestätigen.

  3. Wenn externe Projektmitarbeiter aus den Organisationen im Besitz deines Unternehmens entfernt werden, wird empfohlen, ihnen optional eine Einladung zum Wiederherstellen ihrer früheren Berechtigungen und ihres Zugriffs auf deine Organisation zu senden. Jede Person muss die Zwei-Faktor-Authentifizierung mit einer sicheren Methode aktivieren, bevor sie deine Einladung annehmen kann.

Verwalten von SSH-Zertifizierungsstellen für dein Unternehmen

Sie können eine SSH-Zertifizierungsstelle (CA) verwenden, um Mitgliedern jeder Organisation, die zu deinem Unternehmen gehört, den Zugriff auf Repositorys dieser Organisation mit von Ihnen bereitgestellten SSH-Zertifikaten zu ermöglichen. Wenn dein Unternehmen Enterprise Managed Users verwendet, kann es Unternehmensmitgliedern außerdem erlaubt werden, das Zertifikat zu verwenden, um auf persönliche Repositorys zuzugreifen. Du kannst festlegen, dass Mitglieder für den Zugriff auf Organisationsressourcen SSH-Zertifikate verwenden müssen, sofern SSH nicht in deinem Repository deaktiviert ist. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.

Wenn Du die einzelnen Client-Zertifikate ausstellst, musst Du eine Erweiterung einfügen, die festlegt, für welchen GitHub Enterprise Cloud-Benutzer das Zertifikat ist. Weitere Informationen findest du unter Informationen zu SSH-Zertifizierungsstellen.

Eine SSH-Zertifizierungsstelle hinzufügen

Wenn du für dein Unternehmen SSH-Zertifikate benötigst, sollten Unternehmensmitglieder eine spezielle URL für Git-Vorgänge über SSH verwenden. Weitere Informationen finden Sie unter Informationen zu SSH-Zertifizierungsstellen.

Zertifizierungsstellen können jeweils nur in ein Konto in GitHub Enterprise Cloud hochgeladen werden. Wenn eine SSH-Zertifizierungsstelle einem Organisations- oder Unternehmenskonto hinzugefügt wurde, kann dieselbe Zertifizierungsstelle keinem weiteren Organisations- oder Unternehmenskonto in GitHub Enterprise Cloud hinzugefügt werden.

Wenn Sie eine Zertifizierungsstelle einem Unternehmen und eine andere Zertifizierungsstelle einer Organisation im Unternehmen hinzufügen, kann der Zugriff auf die Repositorys der Organisation über beide Zertifizierungsstellen erfolgen.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilfoto.

  2. Klicke je nach deiner Umgebung auf Dein Unternehmenoder auf Deine Unternehmen, und klicke dann auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Klicke rechts neben „SSH-Zertifizierungsstellen“ auf Neue Zertifizierungsstelle.

  6. Unter „Key" (Schlüssel) füge Deinen öffentlichen SSH-Schlüssel ein.

  7. Klicke auf Zertifizierungsstelle hinzufügen.

  8. Um optional von den Mitgliedern zu verlangen, SSH-Zertifikate zu verwenden, wähle SSH-Zertifikate verlangen aus, und klicke dann auf Speichern.

    Note

    Wenn du SSH-Zertifikate benötigst, können sich Benutzer nicht authentifizieren, um auf die Repositorys der Organisation über HTTPS oder mit einem nicht signierten SSH-Schlüssel zuzugreifen

    Die Anforderung gilt nicht für autorisierte GitHub Apps (einschließlich Benutzer-zu-Server-Tokens), Deploy-Schlüssel oder für GitHub Funktionen wie , die vertrauenswürdige Umgebungen innerhalb des GitHub Ökosystems sind.

Verwalten des Zugriffs auf benutzereigene Repositorys

Sie können den Zugriff auf benutzereigene Repositorys mit einem SSH-Zertifikat aktivieren oder deaktivieren, wenn Ihr Enterprise verwaltete Benutzerkonten verwendet. Wenn Ihr Enterprise jedoch persönliche Konten auf GitHub.com verwendet, können Mitglieder das Zertifikat nicht für den Zugriff auf persönliche Repositorys verwenden.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilfoto.

  2. Klicke je nach deiner Umgebung auf Dein Unternehmenoder auf Deine Unternehmen, und klicke dann auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Aktivieren Sie unter „SSH-Zertifizierungsstellen“ das Kontrollkästchen Zugriff auf benutzereigenes Repository.

Eine SSH-Zertifizierungsstelle löschen

Das Löschen einer Zertifizierungsstelle kann nicht rückgängig gemacht werden. Wenn du dieselbe Zertifizierungsstelle in Zukunft wieder verwenden möchtest, musst du sie erneut hochladen.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilfoto.

  2. Klicke je nach deiner Umgebung auf Dein Unternehmenoder auf Deine Unternehmen, und klicke dann auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Klicke unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die du löschen möchtest, auf Löschen.

  6. Lies die Warnung, und klicke dann auf Verstanden, Zertifizierungsstelle löschen.

Upgraden einer SSH-Zertifizierungsstelle

Zertifizierungsstellen, die vor dem 27. März 2024 in Ihr Unternehmen hochgeladen wurden, lassen die Nutzung von Zertifikaten ohne Ablaufdatum zu. Weitere Informationen dazu, warum für neue Zertifizierungsstellen jetzt Ablauftermine erforderlich sind, findest du unter Informationen zu SSH-Zertifizierungsstellen. Sie können eine vorhandene Zertifizierungsstelle upgraden, um zu verhindern, dass sie Zertifikate ohne Ablaufdatum ausgibt. Für eine optimale Sicherheit sollten Sie unbedingt alle Zertifizierungsstellen upgraden, sobald Sie sich vergewissert haben, dass Sie nicht auf Zertifikate ohne Ablaufdatum angewiesen sind.

  1. Klicke auf GitHub in der oberen rechten Ecke auf dein Profilfoto.

  2. Klicke je nach deiner Umgebung auf Dein Unternehmenoder auf Deine Unternehmen, und klicke dann auf das Unternehmen, das du anzeigen möchtest.

  3. Klicken Sie auf der linken Seite der Seite in der Randleiste des Enterprise-Kontos auf Einstellungen.

  4. Wähle unter Einstellungen die Option Authentifizierungssicherheit aus.

  5. Klicken Sie unter „SSH-Zertifizierungsstellen“ rechts neben der Zertifizierungsstelle, die Sie upgraden möchten, auf Upgrade.

  6. Lesen Sie die Warnung, und klicken Sie dann auf Upgrade.

Nach dem Upgrade der Zertifizierungsstelle werden Zertifikate ohne Ablaufdatum abgelehnt, die von der betreffenden Zertifizierungsstelle signiert wurden.

Verwalten des einmaligen Anmeldens für nicht authentifizierte Benutzer*innen

Note

Das automatische Umleiten von Benutzern zur Anmeldung befindet sich für Enterprise Managed Users derzeit in der public preview. Änderungen sind vorbehalten.

Wenn dein Unternehmen Enterprise Managed Users verwendet, kannst du auswählen, was nicht authentifizierten Benutzer*innen angezeigt wird, wenn sie versuchen, auf die Ressourcen deines Unternehmens zuzugreifen. Weitere Informationen zu Enterprise Managed Users findest du unter Informationen zu Enterprise Managed Users.

Wenn nicht authentifizierte Benutzer*innen versuchen, auf dein Unternehmen zuzugreifen, zeigt GitHub standardmäßig den Fehler 404 an, um keine privaten Ressourcen offenzulegen.

Um die Entwicklerinnen nicht zu verwirren, kannst du dieses Verhalten ändern, sodass Benutzerinnen automatisch über deinen Identitätsanbieter (IdP) zum einmaligen Anmelden (Single Sign-On, SSO) weitergeleitet werden. Wenn du automatische Umleitungen aktivierst, können alle, die auf URLs für Ressourcen deines Unternehmens zugreifen, sehen, dass die Ressource vorhanden ist. Sie können die Ressource selbst jedoch nur anzeigen, wenn sie über entsprechenden Zugriff verfügen, nachdem sie sich bei deinem Identitätsanbieter authentifiziert haben.

Note

Wenn Benutzer beim Versuch, auf die Ressourcen deines Unternehmens zuzugreifen, bei ihrem persönlichen Konto angemeldet sind, werden sie automatisch abgemeldet und zum einmaligen Anmelden weitergeleitet, um sich bei ihren verwaltetes Benutzerkonto anzumelden. Weitere Informationen finden Sie unter Verwalten mehrerer Konten.

  1. Klicke in der oberen rechten Ecke von GitHub auf dein Profilfoto und dann auf Dein Unternehmen.
  2. Klicke links auf der Seite in der Enterprise-Konto Randleiste auf Identity provider.
  3. Klicke unter Identity Provider auf Single sign-on configuration.
  4. Aktiviere oder deaktiviere unter „Einstellungen für einmaliges Anmelden“ die Option Benutzer automatisch zur Anmeldung umleiten.

Weiterführende Themen