Updated September 4, 2025: We have updated the timeline. Thank you for your patience.

Introduction

Microsoft Entra is updating how Conditional Access (CA) policies apply to Azure DevOps sign-ins. Azure DevOps will no longer rely on the Azure Resource Manager (ARM) resource during sign-in or token refresh flows. This change ensures that access controls are applied directly to Azure DevOps. Organizations must update their Conditional Access policies to explicitly include Azure DevOps to maintain secure access.

When this will happen

This change will take effect starting September 2, 2025, and will be fully enforced by September 18, 2025 (previously September 4), across all environments.

How does this affect your organization?

If your organization has Conditional Access policies targeting the Windows Azure Service Management API (App ID: 797f4846-ba00-4fd7-ba43-dac1f8f63013), those policies will no longer apply to Azure DevOps sign-ins. This may result in unprotected access unless these policies are updated to include Azure DevOps (App ID: 499b84ac-1321-427f-aa17-267ca6975798).

• Access controls such as MFA or compliant device requirements may not be enforced unless policies are updated.
• If you already have a policy that targets all users and all cloud apps and does not explicitly exclude Azure DevOps, no action is required―Azure DevOps sign-ins will continue to be protected.
• This change does not introduce any new user-facing experience or UI changes.
• Sign-in activity can be monitored using Microsoft Entra ID sign-in logs.
• Licensing requirement: Microsoft Entra ID P1 or P2 is required. There are no functional differences by license type. This is a feature change, not a new feature, so trial or preview options are not applicable.
• Unlicensed users may also be impacted.
• Existing Conditional Access policies will be affected, specifically those targeting the Windows Azure Service Management API.
• A small subset of tenants may see the app name as “Microsoft Visual Studio Team Services” instead of “Azure DevOps”―the App ID remains the same.

 What do you need to do to prepare?

To ensure continued protection of Azure DevOps sign-ins, administrators should:

• Review existing Conditional Access policies – Identify any policies that target the Windows Azure Service Management API.
• Update policies to include Azure DevOps:
  • Go to the Entra admin center.
  • Navigate to Entra ID > Conditional Access > Policies.
  • Select the relevant policy.
  • Under Target resources, choose Select resources and add Azure DevOps (App ID: 499b84ac-1321-427f-aa17-267ca6975798).
  • Save the policy.
• Use Entra ID group membership to scope policies to specific users or groups.
• Monitor sign-in activity using Entra ID sign-in logs.
• Review licensing requirements – Conditional Access requires Microsoft Entra ID P1 or higher. Organizations without the required license may explore trial options.

Learn more:

• Removing Azure Resource Manager reliance on Azure DevOps sign-ins | Azure DevOps Blog
• What is Conditional Access? | Conditional Access | Microsoft Entra ID | Microsoft Learn

Compliance considerations

No compliance considerations identified, review as appropriate for your organization.

2025 年 9 月 4 日更新: タイムラインを更新しました。お待ちいただきありがとうございます。

B介

Microsoft Entra では、条件付きアクセス (CA) ポリシ`が Azure DevOps サインインにm用される方法を更新しています。Azure DevOps は、サインインまたはト`クン更新フロ`中に Azure Resource Manager (ARM) リソ`スに依存しなくなります。この涓摔瑜辍互怪朴 Azure DevOps に直接m用されるようになります。Mは、セキュリティで保oされたアクセスをS持するために、Azure DevOps を明示的に含めるように条件付きアクセス ポリシ`を更新する必要があります。

これがいつ起こるか

この涓 2025 年 9 月 2 日から有郡摔胜辍 2025 年 9 月 18 日 (以前は 9 月 4 日) までにすべてのh境で完全にm用されます。

これはMにどのような影を与えますか?

Mに Windows Azure Service Management API (アプリ ID: 797f4846-ba00-4fd7-ba43-dac1f8f63013) を象とする条件付きアクセス ポリシ`がある龊稀长欷椁违荪辚珐`は Azure DevOps サインインにm用されなくなります。これにより、これらのポリシ`が Azure DevOps (アプリ ID: 499b84ac-1321-427f-aa17-267ca6975798) を含むように更新されない限り、 保oされていないアクセス がk生する可能性があります。

• MFA やデバイス要件などのアクセス制御は、ポリシ`が更新されない限りm用されない龊悉辘蓼埂
• すべてのユ`ザ`とすべてのクラウド アプリを象とし、Azure DevOps を明示的に除外しないポリシ`が既にある龊悉稀伐绁螭媳匾辘蓼护 – Azure DevOps サインインは引きAき保oされます。
• この涓摔瑜辍⑿陇筏ぅ姗`ザ`向けエクスペリエンスや UI の涓毪丹欷蓼护蟆
• サインイン アクティビティは、Microsoft Entra ID サインイン ログを使用してOできます。
• ライセンス要件: Microsoft Entra ID P1 または P2 が必要です。ライセンスのNによるC能の`いはありません。これはC能の涓扦辍⑿C能ではないため、用版またはプレビュ` オプションはm用されません。
• ライセンスのないユ`ザ`も影を受ける可能性があります。
• 既存の条件付きアクセス ポリシ` (特に Windows Azure サ`ビス管理 API を象とするポリシ`) が影を受けます。
• テナントの小さなサブセットでは、アプリ名が “Azure DevOps” ではなく “Microsoft Visual Studio Team Services” として表示される龊悉辘蓼工抓 ID は同じままです。

 浃工毪摔虾韦颏工氡匾辘蓼工?

Azure DevOps サインインを@A的に保oするには、管理者は次のことを行う必要があります。

• 既存の条件付きアクセス ポリシ`を_Jする – Windows Azure サ`ビス管理 API を象とするポリシ`を特定します。
• Azure DevOps を含めるようにポリシ`を更新します。
  • Entra 管理センタ`に移婴筏蓼埂
  • [ Entra ID] > [条件付きアクセス> ポリシ`] に移婴筏蓼埂
  • vBするポリシ`をxkします。
  • [タ`ゲット リソ`ス] で、[リソ`スのxk] をxkし、Azure DevOps (アプリ ID: 499b84ac-1321-427f-aa17-267ca6975798) を追加します。
  • ポリシ`を保存します。
• Entra ID グル`プメンバ`シップを使用して 、ポリシ`を特定のユ`ザ`またはグル`プにスコ`プします。
• Entra ID サインイン ログを使用してサインイン アクティビティをOします。
• ライセンス要件を_Jする – 条件付きアクセスには、Microsoft Entra ID P1 以降が必要です。必要なライセンスをお持ちでないMは、用オプションを视できます。

情螅

• Azure DevOps サインインへの Azure Resource Manager 依存の削除 |Azure DevOps ブログ
• 条件付きアクセスとは |条件付きアクセス |Microsoft Entra ID |Microsoft Learn

コンプライアンスにvする考]事

コンプライアンスにvする考]事が特定されていない龊悉稀⒔Mにじて_Jします。