Revogar tokens de acesso pessoal para usuários da organização

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se um Token de Acesso Pessoal (PAT) for comprometido, é crucial agir rapidamente. Os administradores podem revogar o PAT de um usuário para proteger a organização. Desativar a conta de um usuário também revoga seu PAT.

Por que revogar PATs de usuário?

A revogação de PATs de usuário é essencial pelos seguintes motivos:

• Token comprometido: Impeça o acesso não autorizado se um token for comprometido.
• O usuário sai da organização: verifique se os ex-funcionários não têm mais acesso.
• Alterações de permissão: invalidam tokens que refletem permissões antigas.
• Violação de segurança: reduza o acesso não autorizado durante uma violação.
• Práticas regulares de segurança: revogue e reemita tokens regularmente como parte de uma política de segurança.

Pré-requisitos

Permissões: seja membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo.

Dica

Para criar ou revogar seus próprios PATs, consulte Criar ou revogar PATs.

Revogar PATs

1. Para revogar autorizações OAuth, incluindo PATs, para os usuários da sua organização, consulte Revogações de token – Revogar autorizações.
2. Para automatizar a chamada da API REST, use este script do PowerShell, que passa uma lista de UPNs (nomes UPNs). Se você não souber o UPN do usuário que criou o PAT, use esse script com um intervalo de datas especificado.

Observação

Quando você usa um intervalo de datas, todos os tokens da Web JSON (JWTs) também são revogados. Qualquer ferramenta que dependa desses tokens não funciona até que seja atualizada com novos tokens.

3. Depois de revogar com êxito os PATs afetados, informe seus usuários. Eles podem recriar seus tokens conforme necessário.

Pode haver um atraso de até uma hora antes que o PAT se torne inativo, pois esse período de latência persiste até que a operação de desabilitação ou exclusão seja totalmente processada na ID do Microsoft Entra.

Expiração do token FedAuth

Um token FedAuth é emitido quando você entra. É válido para uma janela deslizante de sete dias. A expiração se estende automaticamente por mais sete dias sempre que você a atualiza dentro da janela deslizante. Se os usuários acessarem o serviço regularmente, apenas uma entrada inicial será necessária. Após um período de inatividade que se estende por sete dias, o token se torna inválido e o usuário deve entrar novamente.

Expiração do PAT

Os usuários podem escolher uma data de validade para seu PAT, não superior a um ano. Recomendamos usar períodos de tempo mais curtos e gerar novos PATs após a expiração. Os usuários recebem um e-mail de notificação uma semana antes da expiração do token. Os usuários podem gerar um novo token, estender a expiração do token existente ou alterar o escopo do token existente, se necessário.

Logs de auditoria

Se sua organização estiver conectada à ID do Microsoft Entra, você terá acesso a logs de auditoria que rastreiam vários eventos, incluindo alterações de permissões, recursos excluídos e acesso a logs. Esses logs de auditoria são valiosos para verificar revogações ou investigar qualquer atividade. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.

Perguntas frequentes (FAQs)

P: O que acontece com um PAT se um usuário sair da minha empresa?

R: Depois que um usuário é removido da ID do Microsoft Entra, os tokens PATs e FedAuth são invalidados em uma hora, pois o token de atualização é válido apenas por uma hora.

P: Devo revogar tokens da Web JSON (JWTs)?

R: Se você tiver JWTs que acredita que devem ser revogados, recomendamos fazê-lo imediatamente. Revogue JWTs emitidos como parte do fluxo OAuth usando o script do PowerShell. Certifique-se de usar a opção de intervalo de datas no script.

Artigos relacionados

• Saiba como a Microsoft protege seus projetos e dados no Azure DevOps
• Criar ou revogar PATs