CEVIU Logo
Voltar
Prazo final de 2027 para pipelines Azure DevOps: Começou a contagem regressiva

Azure DevOps: Migração de Conexões de Serviço para Emissor Microsoft Entra até 2027

Aprofundamento CEVIU

Aprofundamento

A migração das Service Connections do Azure DevOps para o emissor Microsoft Entra é um movimento estratégico da Microsoft para consolidar e padronizar a segurança da federação de identidade de carga de trabalho. Este mecanismo permite que pipelines autentiquem no Azure sem credenciais de longo prazo, usando tokens de curta duração. A confiança é ancorada por uma Credencial Federada em um App Registration, que por sua vez, depende de um emissor para cunhar o token. A padronização no emissor https://login.microsoftonline.com do Microsoft Entra substitui o antigo https://vstoken.dev.azure.com, buscando maior segurança e interoperabilidade.

Para equipes com muitas Service Connections, a abordagem manual não é escalável. A Microsoft disponibiliza uma migração programática, que envolve a criação prévia de credenciais federadas no Microsoft Entra e, em seguida, a invocação de uma operação de migração via REST API, que o portal do Azure DevOps executa nos bastidores. É importante notar que aplicações multi-tenant e em nuvens soberanas estão fora do escopo desta migração, pois o novo emissor Entra possui um sujeito com escopo de tenant, que não suporta o mesmo tipo de acesso entre tenants que o emissor antigo permitia.

O que mudou

A CEVIU News já havia antecipado esta mudança em 24 de junho de 2026, com a notícia de que a Microsoft aposentaria o emissor do Azure DevOps para service connections de workload identity federation. Naquela ocasião, mencionamos que o emissor Microsoft Entra já respondia por mais de 50% das conexões. Agora, a grande novidade é o detalhamento da estratégia de migração programática, oferecendo um caminho claro e automatizado para que as equipes de DevOps possam realizar a transição em massa. O artigo também reforça que desde novembro de 2025, novas conexões já utilizam o emissor Entra, o que indica uma adoção contínua e progressiva da nova abordagem.

Por que isso importa

A migração para o emissor Microsoft Entra é crucial por diversos motivos. Primeiro, aumenta a segurança dos pipelines de CI/CD ao adotar um modelo de autenticação secretless, eliminando a necessidade de gerenciar segredos de Service Principals. Isso reduz a superfície de ataque e o risco de vazamento de credenciais. Segundo, alinha o Azure DevOps com a estratégia mais ampla da Microsoft de padronizar a gestão de identidades de carga de trabalho, simplificando a arquitetura de segurança para plataformas DevOps. Terceiro, a abordagem programática garante que grandes organizações possam realizar a transição de forma eficiente, minimizando interrupções e garantindo a continuidade operacional de seus projetos.

Linha do tempo

  1. Novas conexões de serviço do Azure DevOps já utilizam o emissor Microsoft Entra por padrão.

  2. Lançamento do public preview do Servidor MCP Remoto para Azure DevOps.

  3. Microsoft incentiva a migração de clientes corporativos do Azure Repos para o GitHub.

  4. CEVIU News informa sobre a futura aposentadoria do emissor do Azure DevOps para conexões de serviço.

  5. CEVIU News publica guia prático para migração de Pipelines Azure para GitHub Enterprise.

  6. Azure DevOps anuncia estratégia programática para migração de Service Connections para o emissor Microsoft Entra.

  7. Prazo final para a migração das conexões de serviço do Azure DevOps para o emissor Microsoft Entra.

Perguntas frequentes

O que é federação de identidade de carga de trabalho no Azure?

É um método de autenticação que permite que serviços como o Azure Pipelines acessem recursos do Azure sem armazenar credenciais secretas de longo prazo. Ele usa tokens de curta duração, emitidos por um 'emissor' de identidade, que são trocados por acesso. Isso aumenta a segurança ao reduzir a exposição de credenciais.

Por que o Azure DevOps está mudando o emissor de identidade?

A mudança visa padronizar a gestão de identidade de carga de trabalho em todos os serviços da Microsoft, centralizando no Microsoft Entra. Isso aprimora a segurança, oferece uma experiência de gerenciamento mais consistente e alinha o Azure DevOps com as melhores práticas de identidade em nuvem da empresa.

Qual o prazo para migrar as Service Connections e o que acontece se eu não migrar?

O prazo final para a migração é 1º de julho de 2027. Se as Service Connections mais antigas não forem migradas para o emissor Microsoft Entra até essa data, elas deixarão de autenticar no Azure, causando a interrupção dos pipelines de CI/CD que dependem delas.

As aplicações multi-tenant também precisam ser migradas para o emissor Microsoft Entra?

Não. Aplicações multi-tenant e aquelas em nuvens soberanas estão explicitamente fora do escopo desta migração. O emissor Microsoft Entra tem um escopo de tenant e não suporta o acesso entre tenants que o emissor antigo permitia. Tentar migrá-las pode quebrar o acesso cross-tenant.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU DevOps
Publicado
13 de julho de 2026
Editoria
CEVIU DevOps

Quer receber mais sobre CEVIU DevOps?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Azure DevOps: Migração de Conexões de Serviço para Emissor