Persoonlijke toegangstokens intrekken voor organisatiegebruikers

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Als een Personal Access Token (PAT) is gecompromitteerd, is het van cruciaal belang om snel te handelen. Beheerders kunnen de PAT van een gebruiker intrekken om de organisatie te beschermen. Als u het account van een gebruiker uitschakelt, wordt de pat ook ingetrokken.

Waarom gebruikers-PAT's intrekken?

Het intrekken van gebruikers-PAW's is essentieel om de volgende redenen:

• Gecompromitteerd token: onbevoegde toegang voorkomen als een token is gecompromitteerd.
• Gebruiker verlaat de organisatie: zorg ervoor dat voormalige werknemers geen toegang meer hebben.
• Machtigingswijzigingen: tokens ongeldig maken die oude machtigingen weerspiegelen.
• Beveiligingsschending: onbevoegde toegang beperken tijdens een inbreuk.
• Reguliere beveiligingsprocedures: tokens regelmatig intrekken en opnieuw uitgeven als onderdeel van een beveiligingsbeleid.

Vereisten

Machtigingen: lid zijn van de groep Beheerders van projectverzamelingen. Eigenaren van organisaties zijn automatisch lid van deze groep.

Tip

Zie PAW's maken of intrekken om uw eigen PAW's te maken of in te trekken.

PAT's intrekken

1. Als u OAuth-autorisaties, inclusief PAW's, wilt intrekken voor de gebruikers van uw organisatie, raadpleegt u Tokenintrekkingen - Autorisaties intrekken.
2. Als u het aanroepen van de REST API wilt automatiseren, gebruikt u dit PowerShell-script, waarmee een lijst met UPN's (User Principal Names) wordt doorgegeven. Als u de UPN van de gebruiker die de PAT heeft gemaakt, niet kent, gebruikt u dit script met een opgegeven datumbereik.

Notitie

Wanneer u een datumbereik gebruikt, worden alle JSON-webtokens (JWT's) ook ingetrokken. Alle hulpprogramma's die afhankelijk zijn van deze tokens, werken pas nadat ze zijn vernieuwd met nieuwe tokens.

3. Nadat u de betrokken PAW's hebt ingetrokken, informeert u uw gebruikers. Ze kunnen hun tokens indien nodig opnieuw maken.

Er kan een vertraging zijn van maximaal één uur voordat de PAT inactief wordt, omdat deze latentieperiode blijft bestaan totdat de uit- of verwijderbewerking volledig wordt verwerkt in Microsoft Entra-id.

Verloop van FedAuth-token

Er wordt een FedAuth-token uitgegeven wanneer u zich aanmeldt. Het is geldig voor een glijdende periode van zeven dagen. De vervaldatum verlengt automatisch nog eens zeven dagen wanneer u deze vernieuwt in het schuifvenster. Als gebruikers regelmatig toegang hebben tot de service, is alleen een initiële aanmelding nodig. Na een periode van inactiviteit die zeven dagen duurt, wordt het token ongeldig en moet de gebruiker zich opnieuw aanmelden.

PAT-verlooptijd

Gebruikers kunnen een vervaldatum kiezen voor hun PAT, niet langer dan één jaar. We raden u aan kortere perioden te gebruiken en nieuwe PAW's te genereren na verloop van tijd. Gebruikers ontvangen een e-mailmelding één week voordat het token verloopt. Gebruikers kunnen een nieuw token genereren, het verlopen van het bestaande token verlengen of het bereik van het bestaande token wijzigen, indien nodig.

Controlelogboeken

Als uw organisatie is verbonden met Microsoft Entra-id, hebt u toegang tot auditlogboeken die verschillende gebeurtenissen bijhouden, waaronder wijzigingen in machtigingen, verwijderde resources en logboektoegang. Deze auditlogboeken zijn waardevol voor het controleren van intrekkingen of het onderzoeken van activiteiten. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie.

Veelgestelde vragen (FAQ's)

V: Wat gebeurt er met een PAT als een gebruiker mijn bedrijf verlaat?

A: Zodra een gebruiker wordt verwijderd uit Microsoft Entra ID, worden de PAW's en FedAuth-tokens binnen een uur ongeldig, omdat het vernieuwingstoken slechts één uur geldig is.

V: Moet ik JSON-webtokens (JWTs) intrekken?

A: Als u JWT's hebt waarvan u denkt dat ze moeten worden ingetrokken, raden we u aan dit onmiddellijk te doen. JWT's intrekken die zijn uitgegeven als onderdeel van de OAuth-stroom met behulp van het PowerShell-script. Zorg ervoor dat u de optie datumbereik in het script gebruikt.

Verwante artikelen:

• Meer informatie over hoe Microsoft uw projecten en gegevens beveiligt in Azure DevOps
• PAT's maken of intrekken