新しい個人用アクセス トークン形式によるセキュリティの強化

セキュリティの強化とシークレット検出機能の強化を目的とした、個人用アクセス トークン (AT) の形式の改善をお知らせします。

詳細については、リリース ノートを参照してください。

全般

• 使用可能な Azure DevOps 個人用アクセス トークンの新しい認証形式

GitHub Advanced Security for Azure DevOps

• Advanced Security でのコード スキャン ビット用の自動セルフホステッド エージェント のインストール

Azure Pipelines

• AzureFileCopy、AzurePowerShell、および SqlAzureDacpacDeployment タスクでは、Az モジュールのみを使用します
• コンテナー ジョブ、リソース、タスクにワークロード ID フェデレーションを使用する

全般

使用可能な Azure DevOps 個人用アクセス トークンの新しい認証形式

Azure DevOps によって発行された個人用アクセス トークン (AT) の形式を更新しました。 これらの変更により、Azure DevOps 用の GitHub Advanced Security などのパートナー オファリングを通じて利用できるセキュリティ上の利点が追加され、シークレット検出ツールが向上。 PAT 形式のこの変更は、すべての Microsoft 製品で推奨される新しい形式に従います。 より識別可能なビットを含めることで、これらのシークレット検出ツールの誤検知率が向上し、検出されたリークをより迅速に軽減できるようになると予測しています。

特に、トークンの長さは 52 文字から 84 文字に増加し、そのうち 52 文字はランダム化されたデータになります。 これにより、トークン生成の全体的なエントロピが向上し、潜在的なブルート フォース攻撃に対する耐性を高めることができます。

これらの変更の恩恵を受けるために、現在使用中のすべての AT を直ちに再生成することをお勧めします。 これは、ユーザー プロファイルの Personal アクセス トークン ページで、または Personal Access Token ライフサイクル管理 API を使用して行うことができます。 インテグレーターは、この新しい形式に適応しながら、この新しいトークンの長さと現在のトークンの長さの両方をサポートすることもお勧めします。

GitHub Advanced Security for Azure DevOps

Advanced Security でのコード スキャン ビット用の自動セルフホステッド エージェント のインストール

Advanced Security でのコード スキャンにセルフホステッド エージェントを簡単に使用できるように、最新の CodeQL ビットを自動的にインストールできるようになりました。 Advanced-Security-Codeql-Init タスクには、既存のパイプライン用の新しい変数enableAutomaticCodeQLInstall: true、または新しいタスクのチェック ボックスが含まれています。 以前は、エージェント ツール ディレクトリに CodeQL バンドルを手動でインストールする必要がありました。

Azure Pipelines

AzureFileCopy、AzurePowerShell、および SqlAzureDacpacDeployment タスクでは、Az モジュールのみを使用します

AzureFileCopy、AzurePowerShell、および SqlAzureDacpacDeployment タスクでは、AzureRM モジュールを使用できなくなりました。 2024 年 2 月の時点で、 AzureRM PowerShell モジュールは非推奨となり サポートされなくなりました。 AzureRM モジュールは引き続き機能する可能性があります。維持されなくなり、お客様の判断で引き続き使用できます。 以前に AzureRmM モジュールと Az モジュールの両方を使用できたタスクでは、Az モジュールのみが使用されるようになりました。 セルフホステッド エージェントでタスクを使用する場合は、 Az モジュール がイメージにプレインストールされていることを確認します。

コンテナー ジョブ、リソース、タスクにワークロード ID フェデレーションを使用する

Azure Container Registry を対象とする Docker サービス接続でワークロード ID フェデレーションを使用できるようになり、シークレットが不要になりました。 ワークロード ID フェデレーションをサポートするタスクの更新された一覧については、 ドキュメントを参照してください。

次のステップ

Note

これらの機能は、今後 2 ~ 3 週間にわたってロールアウトされます。

Azure DevOps に向かい、見てみましょう。

Azure DevOps に移動する

フィードバックの提供方法

これらの機能に関するご意見をお聞かせください。 ヘルプ メニューを使用して、問題を報告したり、提案を提供したりします。

Stack Overflow のコミュニティからアドバイスや質問に回答してもらうこともできます。

よろしくお願いします。

シルヴィウ アンドリカ