Recentemente, a Microsoft implementou alterações nas permissões do Advanced Security no Sprint 269 que geraram interrupções em fluxos de trabalho já estabelecidos. A mudança, motivada por um reforço na segurança, restringiu o acesso de build service identities (como o Project Collection Build Service) às APIs de leitura de alerts.
O impacto operacional
Para muitas empresas brasileiras que utilizam o Azure DevOps, essa alteração técnica afetou diretamente pipelines que dependem de automações para consultar o estado de segurança de seus repositórios. O ponto crítico é que essa restrição foi aplicada sem um aviso prévio adequado, forçando times de engenharia a lidar com falhas repentinas em seus deployments e processos de compliance.
Reconhecendo a complexidade dessa transição, a Microsoft optou por um rollback temporário. O acesso foi restabelecido, mas esta é uma janela de oportunidade com prazo definido: a restrição será reativada obrigatoriamente no dia 15 de abril de 2026.
O que sua engenharia precisa fazer
Não encare esse rollback como uma desistência da Microsoft, mas como um prazo extra para adequação. A recomendação clara para operações em escala é migrar a responsabilidade do acesso para um service principal dedicado.
Pontos de atenção:
- Escopo de permissão: Configure o service principal com a permissão específica
Advanced Security: Read alertsrestrita apenas aos repositórios onde o Advanced Security está ativo. - Licenciamento: Um ponto importante para o FinOps é que, se esse service principal não realizar commits de código, ele não consumirá uma licença de Advanced Security committer.
- Status Checks (Sprint 272): A Microsoft sinalizou que, no próximo Sprint, teremos a introdução de status checks nativos. Isso é um movimento importante, pois permitirá integrar o gate de segurança diretamente no fluxo de pull request sem a dependência excessiva de chamadas de API externas.
Próximos passos para sua tomada de decisão
Se você possui automações críticas que leem alerts de segurança via pipeline, inicie a migração para o modelo de service principal ainda este mês. Não espere pela ativação da trava em abril para testar a nova configuração. Acompanhe também o lançamento do Sprint 272, pois os status checks podem simplificar significativamente a arquitetura do seu pipeline de CI/CD, removendo código legado e tornando a esteira mais resiliente e menos propensa a erros de autenticação.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
