Skip to main content

Enforcing policies for security settings in your enterprise

You can enforce policies to manage security settings in your enterprise's organizations, or allow policies to be set in each organization.

Who can use this feature

Enterprise owners can enforce policies for security settings in an enterprise.

About policies for security settings in your enterprise

You can enforce policies to control the security settings for organizations owned by your enterprise on GitHub Enterprise Cloud. By default, organization owners can manage security settings. For more information, see "Keeping your organization secure."

Requiring two-factor authentication for organizations in your enterprise

Enterprise owners can require that organization members, billing managers, and outside collaborators in all organizations owned by an enterprise use two-factor authentication to secure their user accounts.

Before you can require 2FA for all organizations owned by your enterprise, you must enable two-factor authentication for your own account. For more information, see "Securing your account with two-factor authentication (2FA)."

Warnings:

  • When you require two-factor authentication for your enterprise, members, outside collaborators, and billing managers (including bot accounts) in all organizations owned by your enterprise who do not use 2FA will be removed from the organization and lose access to its repositories. They will also lose access to their forks of the organization's private repositories. You can reinstate their access privileges and settings if they enable two-factor authentication for their account within three months of their removal from your organization. For more information, see "Reinstating a former member of your organization."
  • Any organization owner, member, billing manager, or outside collaborator in any of the organizations owned by your enterprise who disables 2FA for their account after you've enabled required two-factor authentication will automatically be removed from the organization.
  • If you're the sole owner of an enterprise that requires two-factor authentication, you won't be able to disable 2FA for your user account without disabling required two-factor authentication for the enterprise.

Before you require use of two-factor authentication, we recommend notifying organization members, outside collaborators, and billing managers and asking them to set up 2FA for their accounts. Organization owners can see if members and outside collaborators already use 2FA on each organization's People page. For more information, see "Viewing whether users in your organization have 2FA enabled."

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. Under "Two-factor authentication", review the information about changing the setting. 必要に応じて、設定を変更する前にエンタープライズ アカウントのすべての組織の現在の構成を確認するには、 [View your organizations' current configurations](組織の現在の構成の表示) をクリックします。  ビジネス内の組織の現在のポリシー構成を表示するリンク

  6. Under "Two-factor authentication", select Require two-factor authentication for all organizations in your business, then click Save. Checkbox to require two-factor authentication

  7. If prompted, read the information about members and outside collaborators who will be removed from the organizations owned by your enterprise. To confirm the change, type your enterprise's name, then click Remove members & require two-factor authentication. Confirm two-factor enforcement box

  8. Optionally, if any members or outside collaborators are removed from the organizations owned by your enterprise, we recommend sending them an invitation to reinstate their former privileges and access to your organization. Each person must enable two-factor authentication before they can accept your invitation.

Managing allowed IP addresses for organizations in your enterprise

Enterprise owners can restrict access to private assets owned by organizations in an enterprise by configuring an allow list for specific IP addresses. たとえば、自分のオフィスのネットワークのIPアドレスからのアクセスのみを許可できます。 IP アドレスの許可リストは、許可リストにない IP アドレスからの Web、API、Git を介したアクセスをブロックします。

CIDR表記を使って、単一のIPアドレスもしくはアドレスの範囲に対してアクセスを承認できます。 詳細については、ウィキペディアの CIDR 表記に関するページを参照してください。

IP 許可リストを適用するには、まず IP アドレスをリストに追加し、次に IP 許可リストを有効にする必要があります。 リストが完成したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

IP 許可リストを有効にするには、現在の IP アドレスまたは一致する範囲を追加する必要があります。 許可リストを有効化すると、設定したIPアドレスはすぐにEnterprise中のOrganizationの許可リストに追加されます。 許可リストを無効化すると、それらのアドレスはOrganizationの許可リストから削除されます。

EnterpriseにインストールされたGitHub Appsに設定されたIPアドレスが自動的に許可リストに追加されるように選択することもできます。 GitHub Appの作者は、自分のアプリケーションのための許可リストを、アプリケーションが実行されるIPアドレスを指定して設定できます。 それらの許可リストを継承すれば、アプリケーションからの接続リクエストが拒否されるのを避けられます。 詳細については、「GitHub App によるアクセスの許可」を参照してください。

You can also configure allowed IP addresses for an individual organization. For more information, see "Managing allowed IP addresses for your organization."

Adding an allowed IP address

それぞれに IP アドレスまたはアドレス範囲を含むエントリを追加することで、IP 許可リストを作成できます。 エントリの追加が完了したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

Enterprise 内の Organization が所有する プライベート アセットへのアクセスがリストによって制限される前に、許可 IP アドレスも有効にする必要があります。

注: GitHub では、IPv6 のサポートを段階的にロールアウトしています。 GitHub サービスには引き続き IPv6 のサポートが追加されるため、GitHub ユーザーの IPv6 アドレスの認識を開始できます。 アクセスの中断の可能性を防ぐには、必要な IPv6 アドレスが自分の IP 許可リストに確実に追加されている状態にしてください。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. "IP allow list(IP許可リスト)"セクションの下部で、IPアドレスもしくはCIDR表記でアドレスの範囲を入力してください。 IP アドレスを追加する [Key](キー) フィールド

  6. あるいは、許可された IP アドレスもしくはIPアドレスの範囲の説明を入力してください。 IP アドレスの名前を追加する [キー] フィールド

  7. [Add] (追加) をクリックします。 [Add allowed ip address](許可された IP アドレスの追加) ボタン

  8. 必要に応じて、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。 詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。

Allowing access by GitHub Apps

許可リストを使っているなら、EnterpriseにインストールしたGitHub Appsに設定されたIPアドレスを自動的に許可リストに追加するかも選択できます。

許可リストの設定で [Enable IP allow list configuration for installed GitHub Apps] (インストールされた GitHub Apps の IP 許可リストの設定を有効化する) を選択した場合、インストールされた GitHub Apps からの IP アドレスが許可リストに追加されます。 これは、許可リストがその時点で有効化されているかどうかに関係なく行われます。 GitHub Appをインストールして、その後にそのアプリケーションの作者が許可リスト中のアドレスを変更した場合、あなたの許可リストにはそれらの変更が自動的に反映されます。

GitHub Appsから自動的に追加されたIPアドレスは、descriptionフィールドを見れば判別できます。 それらのIPアドレスの説明は"Managed by the NAME GitHub App"となっています。 手動で追加されたアドレスとは異なり、GitHub Appsから自動で追加されたIPアドレスは編集、削除、無効化できません。

注: GitHub App の IP 許可リスト中のアドレスは、GitHub App のインストールによって発行されたリクエストにのみ影響します。 GitHub AppのIPアドレスのOrganizationの許可リストへの自動追加は、そのIPアドレスから接続するGitHub Enterprise Cloudユーザへのアクセスを許可しません。

作成した GitHub App の許可リストを作成する方法の詳細については、「GitHub App に対する許可 IP アドレスを管理する」を参照してください。

GitHub AppsのIPアドレスの自動追加を有効化するには:

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. [IP 許可リスト] で、 [インストール済みの GitHub App の IP 許可リストの構成を有効にする] を選択します。 GitHub App IP アドレスを許可するチェックボックス

  6. [保存] をクリックします。

Enabling allowed IP addresses

IP 許可リストを作成すると、許可 IP アドレスを有効にすることができます。 許可 IP アドレスを有効にすると、IP 許可リスト内のいずれかの有効なエントリが、GitHub によってすぐに適用されます。

許可 IP アドレスを有効にする前に、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。 詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. Under "IP allow list", select Enable IP allow list. Checkbox to allow IP addresses

  6. Click Save.

Editing an allowed IP address

IP 許可リストのエントリを編集できます。 有効なエントリを編集すると、変更がすぐに適用されます。

エントリの編集が完了したら、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. [IP allow list](IP 許可リスト) の下で、編集したいエントリの右で [Edit] (編集) をクリックしてください。 許可されている IP アドレスの [Edit](編集) ボタン

  6. IPアドレスもしくはアドレスの範囲をCIDR表記で入力してください。 IP アドレスを追加する [Key](キー) フィールド

  7. 許可された IP アドレスもしくはIPアドレスの範囲の説明を入力してください。 IP アドレスの名前を追加する [キー] フィールド

  8. Click Update.

  9. 必要に応じて、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。 詳しくは、「IP アドレスが許可されているかどうかを確認する」を参照してください。

Checking if an IP address is permitted

許可リストが現時点で有効になっていなくても、特定の IP アドレスがリスト内のいずれかの有効なエントリによって許可されるかどうかを確認できます。

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. [IP アドレスの確認] で、IP アドレスを入力します。 [IP アドレスの確認] テキスト フィールドのスクリーンショット

Deleting an allowed IP address

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. [IP allow list](IP 許可リスト) の下の編集したいエントリの右で、 [Delete] (削除) をクリックしてください。 許可されている IP アドレスの [Delete](削除) ボタン

  6. 恒久的にエントリを削除するには、 [Yes, delete this IP allow list entry] (はい、この IP 許可リストを削除してください) をクリックしてください。 [Permanently delete IP allow list entry](この IP 許可リストを削除してください) ボタン

Using GitHub Actions with an IP allow list

Warning: If you use an IP allow list and would also like to use GitHub Actions, you must use self-hosted runners or GitHub-hosted larger runners with a static IP address range. For more information, see "Hosting your own runners" or "Using larger runners".

To allow your self-hosted or larger hosted runners to communicate with GitHub, add the IP address or IP address range of your runners to the IP allow list. For more information, see "Adding an allowed IP address."

Managing SSH certificate authorities for your enterprise

You can use a SSH certificate authorities (CA) to allow members of any organization owned by your enterprise to access that organization's repositories using SSH certificates you provide. SSHがリポジトリで無効になっていなければ、Organizationのリソースにメンバーがアクセスする際に、SSH証明書を使わなければならないようにすることができます。 For more information, see "About SSH certificate authorities."

各クライアント証明書を発行する際には、その証明書がどのGitHub Enterprise Cloudユーザー用かを示すエクステンションを含める必要があります。 詳細については、「SSH 認証局について」を参照してください。

Adding an SSH certificate authority

If you require SSH certificates for your enterprise, enterprise members should use a special URL for Git operations over SSH. For more information, see "About SSH certificate authorities."

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. [SSH 認証局] の右側にある [新しい CA] をクリックします。 [新しい CA] ボタン

  6. "Key(キー)"の下で、公開SSHキーを貼り付けてください。 CA を追加する [キー] フィールド

  7. [CA の追加] をクリックします。

  8. 必要に応じて、メンバーに SSH 証明書の使用を要求するには、 [SSH 証明書を要求する] を選択し、 [保存] をクリックします。 [SSH 証明書を要求する] チェックボックスと [保存] ボタン

Deleting an SSH certificate authority

Deleting a CA cannot be undone. If you want to use the same CA in the future, you'll need to upload the CA again.

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. [SSH 認証局] で、削除する CA の右側にある [削除] をクリックします。 [削除] ボタン

  6. 警告を読み、 [わかりました。この CA を削除してください] をクリックします。 削除の確認ボタン

Managing SSO for unauthenticated users

If your enterprise uses Enterprise Managed Users, you can choose what unauthenticated users see when they attempt to access your enterprise's resources. For more information about Enterprise Managed Users, see "About Enterprise Managed Users."

By default, to hide the existence of private resources, when an unauthenticated user attempts to access your enterprise, GitHub displays a 404 error.

To prevent confusion from your developers, you can change this behavior so that users are automatically redirected to single sign-on (SSO) through your identity provider (IdP). When you enable automatic redirects, anyone who visits the URL for any of your enterprise's resources will be able to see that the resource exists. However, they'll only be able to see the resource if they have appropriate access after authenticating with your IdP.

Note: If a user is signed in to their personal account when they attempt to access any of your enterprise's resources, they'll be automatically signed out and redirected to SSO to sign in to their managed user account. For more information, see "Managing multiple accounts."

  1. GitHub.com の右上の自分のプロファイル写真をクリックし、 [自分の Enterprise] をクリックします。 GitHub Enterprise Cloud のプロファイル写真のドロップダウン メニューの [自分の Enterprise]

  2. Enterpriseのリストで、表示したいEnterpriseをクリックしてください。 自分の Enterprise のリストの Enterprise の名前

  3. エンタープライズ アカウントのサイドバーで、 [設定] をクリックします。 エンタープライズ アカウントのサイドバー内の [設定] タブ

  4. In the left sidebar, click Authentication security. Security tab in the enterprise account settings sidebar

  5. Under "Single sign-on settings", select or deselect Automatically redirect users to sign in.

    Checkbox to automatically redirect users to sign in

Further reading