Application de stratégies pour les paramètres de sécurité dans votre entreprise

Vous pouvez appliquer des stratégies pour la gestion des paramètres de sécurité dans les organisations de votre entreprise ou autoriser la définition de stratégies dans chaque organisation.

Qui peut utiliser cette fonctionnalité ?

Enterprise owners can enforce policies for security settings in an enterprise.

Dans cet article

À propos des stratégies pour les paramètres de sécurité dans votre entreprise

Vous pouvez appliquer des stratégies pour contrôler les paramètres de sécurité des organisations appartenant à votre entreprise sur GitHub Enterprise Cloud. Par défaut, les propriétaires d'organisation peuvent gérer les paramètres de sécurité.

Exiger l'authentification à 2 facteurs pour les organisations de votre entreprise

Remarque : À partir de mars 2023 et jusqu’à la fin de l’année 2023, GitHub commencera progressivement à exiger de tous les utilisateurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification à 2 facteurs (2FA). Si vous êtes dans un groupe éligible, vous recevrez un e-mail de notification lorsque ce groupe est sélectionné pour l’inscription, marquant le début d’une période d’inscription 2FA de 45 jours. Des bannières s’affichent vous demandant de vous inscrire à 2FA sur GitHub.com. Si vous ne recevez pas de notification, vous ne faites pas partie d’un groupe requis pour activer 2FA, bien que nous le recommandons vivement.

Pour plus d’informations sur le lancement des inscriptions 2FA, consultez ce billet de blog.

Les propriétaires d’entreprise peuvent exiger que les membres d’organisation, les responsables de facturation et les collaborateurs externes de toutes les organisations appartenant à une entreprise utilisent l’authentification à deux facteurs pour sécuriser leurs comptes d’utilisateur. Cette stratégie n’est pas disponible pour les entreprises avec des utilisateurs managés.

Pour pouvoir exiger l'authentification à 2 facteurs pour toutes les organisations appartenant à votre entreprise, vous devez l'activer pour votre propre compte. Pour plus d'informations, consultez « Sécurisation de votre compte avec l’authentification à 2 facteurs ».

Avertissements :

  • Quand vous avez besoin de l'authentification à 2 facteurs pour votre entreprise, les membres, collaborateurs externes et gestionnaires de facturation (y compris les comptes de bot) de toutes les organisations appartenant à votre entreprise qui n'utilisent pas l'authentification à 2 facteurs sont supprimés de l'organisation et perdent l'accès à ses dépôts. Ils perdent également l'accès à leurs duplications (fork) des dépôts privés de l'organisation. Vous pouvez rétablir leurs paramètres et privilèges d'accès s'ils activent l'authentification à 2 facteurs pour leur compte dans les trois mois suivant leur suppression de votre organisation. Pour plus d'informations, consultez « Réactivation d’un ancien membre de votre organisation ».
  • Tout propriétaire, membre, gestionnaire de facturation ou collaborateur externe de toute organisation appartenant à votre entreprise qui désactive l'authentification à 2 facteurs pour son compte alors que vous avez activé l'exigence d'authentification à 2 facteurs est automatiquement supprimé de l'organisation.
  • Si vous êtes le seul propriétaire d'une entreprise qui exige l'authentification à 2 facteurs, vous ne pourrez pas la désactiver pour votre compte utilisateur sans désactiver l'authentification à 2 facteurs exigée pour l'entreprise.

Avant d'exiger l'authentification à 2 facteurs, nous vous recommandons d'en informer les membres, collaborateurs externes et gestionnaires de facturation de l'organisation et de leur demander de la configurer pour leurs comptes. Les propriétaires d'organisation peuvent voir si les membres et collaborateurs externes utilisent déjà l'authentification à 2 facteurs sur la page Personnes de chaque organisation. Pour plus d'informations, consultez « Voir si l’authentification à 2 facteurs (2FA) est activée pour les utilisateurs de votre organisation ».

Remarque : Certains des utilisateurs de vos organisations ont peut-être été sélectionnés pour l'inscription obligatoire de l'authentification à deux facteurs par GitHub.com, mais cela n'a aucun impact sur la façon dont vous activez l'authentification 2FA requise pour les organisations de votre entreprise. Si vous activez l'authentification 2FA requise pour les organisations de votre entreprise, tous les utilisateurs sans authentification 2FA actuellement activée sont supprimés des organisations, y compris ceux à qui GitHub.com demande de l'activer.

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. Sous « Authentification à 2 facteurs », passez en revue les informations relatives à la modification du paramètre. Si vous voulez voir la configuration actuelle de toutes les organisations dans le compte d’entreprise avant de changer le paramètre, cliquez sur Voir les configurations actuelles de vos organisations.

    Capture d’écran d’une stratégie dans les paramètres d’entreprise. Un lien, intitulé « Voir les configurations actuelles de vos organisations », est mis en évidence par un contour orange.

  6. Sous « Authentification à 2 facteurs », sélectionnez Exiger l'authentification à 2 facteurs pour toutes les organisations de votre entreprise, puis cliquez sur Enregistrer.

  7. Si vous y êtes invité, lisez les informations sur les membres et les collaborateurs externes qui seront supprimés des organisations appartenant à votre entreprise. Pour confirmer la modification, tapez le nom de votre entreprise, puis cliquez sur Supprimer les membres et exiger l'authentification à 2 facteurs.

  8. Si des membres ou des collaborateurs externes sont supprimés des organisations appartenant à votre entreprise, nous vous recommandons de leur envoyer une invitation pour rétablir leurs anciens privilèges et accès à votre organisation. Chaque personne doit activer l'authentification à 2 facteurs pour pouvoir accepter votre invitation.

Gestion des autorités de certification SSH pour votre entreprise

Vous pouvez utiliser une autorité de confiance SSH pour autoriser les membres de n’importe quelle organisation appartenant à votre entreprise à accéder aux référentiels de cette organisation à l’aide de certificats SSH que vous fournissez. Si votre entreprise utilise Enterprise Managed Users, les membres d’entreprise peuvent également être autorisés à utiliser le certificat pour accéder aux référentiels appartenant à l’utilisateur. Vous pouvez exiger que les membres utilisent des certificats SSH pour accéder aux ressources de l’organisation, sauf si SSH est désactivé dans votre dépôt. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».

Lorsque vous émettez chaque certificat client, vous devez inclure une extension qui spécifie l’utilisateur GitHub Enterprise Cloud auquel le certificat est destiné. Pour plus d’informations, consultez « À propos des autorités de certification SSH ».

Ajout d'une autorité de certification SSH

Si vous avez besoin de certificats SSH pour votre entreprise, les membres de l'entreprise doivent utiliser une URL spéciale pour les opérations Git sur SSH. Pour plus d'informations, consultez « À propos des autorités de certification SSH ».

Chaque autorité de confiance ne peut être chargée que dans un seul compte sur GitHub Enterprise Cloud. Si une autorité de confiance SSH a été ajoutée à une organisation ou un compte d’entreprise, vous ne pouvez pas ajouter la même autorité de confiance à une autre organisation ou un autre compte d’entreprise sur GitHub Enterprise Cloud.

Si vous ajoutez une autorité de confiance à une entreprise et une autre autorité de confiance à une organisation au sein de l’entreprise, l’une ou l’autre autorité de confiance peut être utilisée pour accéder aux référentiels de l’organisation.

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. À droite de « Autorités de certification SSH », cliquez sur Nouvelle autorité de certification.

  6. Sous « Clé », collez votre clé SSH publique.

  7. Cliquez sur Ajouter une autorité de certification.

  8. Pour exiger que les membres utilisent des certificats SSH, vous pouvez sélectionner Exiger des certificats SSH, puis cliquer sur Enregistrer.

    Remarque : lorsque vous avez besoin de certificats SSH, les utilisateurs ne pourront pas s’authentifier pour accéder aux référentiels de l’organisation via HTTPS ou avec une clé SSH non signée, que la clé SSH soit autorisée ou non pour une organisation qui requiert l’authentification via un système d’identité externe.

    Cette exigence ne s’applique pas aux OAuth apps et GitHub Apps (y compris les jetons utilisateur-serveur) autorisées, aux clés de déploiement ni aux fonctionnalités GitHub comme GitHub Actions et Codespaces qui sont des environnements de confiance au sein de l’écosystème GitHub.

Gestion de l’accès aux référentiels appartenant à l’utilisateur

Vous pouvez activer ou désactiver l’accès aux référentiels appartenant à l’utilisateur avec un certificat SSH si votre entreprise utilise comptes d’utilisateur managés. Toutefois, si votre entreprise utilise des comptes personnels sur GitHub.com, les membres ne peuvent pas utiliser le certificat pour accéder aux référentiels appartenant à l’utilisateur.

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. Sous Autorités de confiance SSH, sélectionnez la case Accéder au référentiel appartenant à l’utilisateur.

Suppression d'une autorité de certification SSH

La suppression d'une autorité de certification ne peut pas être annulée. Si vous souhaitez utiliser la même autorité de certification plus tard, vous devrez la charger de nouveau.

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. Sous « Autorités de certification SSH », à droite de l’autorité de certification que vous souhaitez supprimer, cliquez sur Supprimer.

  6. Lisez l’avertissement, puis cliquez sur Je comprends, supprimer cette autorité de certification.

Mise à jour d’une autorité de confiance SSH

Les autorités de confiance chargées sur votre entreprise avant le 27 mars 2024, autorisent l’utilisation de certificats n’arrivant pas à expirant. Pour en savoir plus sur la raison pour laquelle les expirations sont désormais requises pour les nouvelles autorités de confiance, consultez « À propos des autorités de certification SSH ». Vous pouvez mettre à niveau une autorité de confiance existante pour l’empêcher de délivrer des certificats ne pouvant expirer. Pour une meilleure sécurité, nous vous recommandons vivement de mettre à niveau toutes vos autorités de confiance dès lors que vous confirmez ne pas être dépendant de certificats ne pouvant expirer.

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. Sous « Autorités de confiance SSH », à droite de l’autorité de confiance que vous souhaitez mettre à niveau, cliquez sur Mettre à niveau.

  6. Lisez l’avertissement, puis cliquez sur Mettre à niveau.

Après la mise à niveau de l’autorité de confiance, les certificats ne pouvant expirer signés par cette autorité de confiance seront rejetés.

Gestion de l'authentification unique pour les utilisateurs non authentifiés

Remarque : la redirection automatique des utilisateurs vers la connexion est actuellement en version bêta pour Enterprise Managed Users et est susceptible d’être modifiée.

Si votre entreprise utilise des Enterprise Managed Users, vous pouvez choisir ce que voient les utilisateurs non authentifiés lorsqu'ils tentent d'accéder aux ressources de votre entreprise. Pour plus d'informations sur Enterprise Managed Users, consultez « À propos d’Enterprise Managed Users ».

Par défaut, pour masquer l'existence de ressources privées, lorsqu'un utilisateur non authentifié tente d'accéder à votre entreprise, GitHub affiche une erreur 404.

Pour éviter toute confusion de la part de vos développeurs, vous pouvez changer ce comportement afin que les utilisateurs soient automatiquement redirigés vers l'authentification unique (SSO) via votre fournisseur d'identité (IdP). Lorsque vous activez les redirections automatiques, toute personne qui visite l'URL de l'une des ressources de votre entreprise peut voir que la ressource existe. Toutefois, elle ne peut voir la ressource que si elle dispose d'un accès approprié après s'être authentifiée auprès de votre IdP.

Remarque : Si un utilisateur est connecté à son compte personnel lorsqu'il tente d'accéder à l'une des ressources de votre entreprise, il est automatiquement déconnecté et redirigé vers l'authentification unique pour se connecter à son compte d’utilisateur managé. Pour plus d'informations, consultez « Gestion de plusieurs comptes ».

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises.

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Sous Paramètres, cliquez sur Sécurité de l’authentification.

  5. Sous « Paramètres de l'authentification unique », sélectionnez ou désélectionnez Rediriger automatiquement les utilisateurs vers la connexion.

Pour aller plus loin