Корпоративные и внешние стороны, работающие над общим исходным кодом с помощью DevOps Azure

Требование: два набора пользователей будут вносить вклад в общую кодовую базу - один набор (группа A) пользователей - это пользователи Enterprise, которые будут проходить аутентификацию в AD и входить в DevOps Azure через SSO; другие группы пользователей (группа B) принадлежат к внешним группам (например, фрилансерам, преподавателям университетов), которые не аутентифицированы в корпоративной AD.

Вопрос. Каким образом (если вообще) AzOv DevOps может гарантировать, что Группа A может выполнять CI/CD/Clone/Approve только с компьютеров / мобильных телефонов, определенных предприятием (мы используем inTune для мобильных устройств); Группа B может работать только над назначенными проектами из утвержденного местоположения / диапазона IP.

Ценю ваш ответ. Благодарю.