Återkalla personliga åtkomsttoken för organisationsanvändare

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Om en personlig åtkomsttoken (PAT) komprometteras är det viktigt att agera snabbt. Administratörer kan återkalla en användares PAT för att skydda organisationen. Om du inaktiverar en användares konto återkallas även deras PAT.

Varför återkalla användar-PAT?

Det är viktigt att återkalla användar-PAT:erna av följande skäl:

• Komprometterad token: Förhindra obehörig åtkomst om en token komprometteras.
• Användaren lämnar organisationen: Se till att tidigare anställda inte längre har åtkomst.
• Behörighetsändringar: Ogiltigförklara token som återspeglar gamla behörigheter.
• Säkerhetsöverträdelse: Minimera obehörig åtkomst under ett intrång.
• Vanliga säkerhetsmetoder: Återkalla och återisa token regelbundet som en del av en säkerhetsprincip.

Förutsättningar

Behörigheter: Vara medlem i gruppen Projektsamlingsadministratörer. Organisationsägare är automatiskt medlemmar i den här gruppen.

Dricks

Information om hur du skapar eller återkallar dina egna PAT:er finns i Skapa eller återkalla PAT:er.

Återkalla PAT:er

1. Information om hur du återkallar OAuth-auktoriseringar, inklusive PAT för organisationens användare, finns i Token-återkallanden – Återkalla auktoriseringar.
2. Om du vill automatisera anropet av REST-API:et använder du det här PowerShell-skriptet, som skickar en lista över användarhuvudnamn (UPN). Om du inte känner till UPN för användaren som skapade PAT använder du det här skriptet med ett angivet datumintervall.

Kommentar

När du använder ett datumintervall återkallas även JSON-webbtoken (JWTs). Verktyg som förlitar sig på dessa token fungerar inte förrän de har uppdaterats med nya token.

3. När du har återkallat de berörda PAT:erna informerar du användarna. De kan återskapa sina token efter behov.

Det kan uppstå en fördröjning på upp till en timme innan PAT blir inaktiv, eftersom den här svarstiden kvarstår tills åtgärden för att inaktivera eller ta bort har bearbetats fullständigt i Microsoft Entra-ID.

Förfallodatum för FedAuth-token

En FedAuth-token utfärdas när du loggar in. Det är giltigt för ett sju dagars skjutfönster. Förfallotiden förlänger automatiskt ytterligare sju dagar när du uppdaterar den i skjutfönstret. Om användarna kommer åt tjänsten regelbundet krävs endast en inledande inloggning. Efter en period av inaktivitet som förlänger sju dagar blir token ogiltig och användaren måste logga in igen.

PAT-förfallodatum

Användare kan välja ett förfallodatum för sin PAT, inte överskrida ett år. Vi rekommenderar att du använder kortare tidsperioder och genererar nya PAT vid förfallodatum. Användarna får ett e-postmeddelande en vecka innan token upphör att gälla. Användare kan generera en ny token, förlänga förfallodatum för den befintliga token eller ändra omfånget för den befintliga token om det behövs.

Granskning av loggar

Om din organisation är ansluten till Microsoft Entra-ID har du åtkomst till granskningsloggar som spårar olika händelser, inklusive behörighetsändringar, borttagna resurser och loggåtkomst. Dessa granskningsloggar är värdefulla för att kontrollera återkallanden eller undersöka aktiviteter. Mer information finns i Åtkomst, export och filtergranskningsloggar.

Vanliga frågor (FAQ)

F: Vad händer med en PAT om en användare lämnar mitt företag?

S: När en användare tas bort från Microsoft Entra-ID ogiltigförklaras PAT och FedAuth-token inom en timme, eftersom uppdateringstoken endast är giltig i en timme.

F: Ska jag återkalla JSON-webbtoken (JWT)?

S: Om du har JWT:er som du anser bör återkallas rekommenderar vi att du gör det snabbt. Återkalla JWT:er som utfärdats som en del av OAuth-flödet med hjälp av PowerShell-skriptet. Se till att använda alternativet datumintervall i skriptet.

Relaterade artiklar

• Lär dig hur Microsoft skyddar dina projekt och data i Azure DevOps
• Skapa eller återkalla PAT:er