Dela via


Använda principer för att hantera personliga åtkomsttoken för användare

Azure DevOps Services

Den här artikeln innehåller vägledning om hur du använder Microsoft Entra-principer för att hantera personliga åtkomsttoken (PAT) i Azure DevOps. Den förklarar hur du begränsar skapandet, omfattningen och livslängden för nya eller förnyade PAT:er, samt hur du hanterar automatiskt återkallande av läckta PAT:er. Varje avsnitt beskriver standardbeteendet för respektive principer, vilket hjälper administratörer att effektivt kontrollera och skydda PAT-användningen i organisationen.

Viktigt!

Befintliga PAT:er, som skapats via både användargränssnittet och API:erna, förblir giltiga under resten av sin livslängd. Uppdatera dina befintliga PAT:er så att de följer de nya begränsningarna för att säkerställa en lyckad förnyelse.

Förutsättningar

  • Organisationsanslutning: Kontrollera att din organisation är länkad till Microsoft Entra-ID.
  • Roller: Vara Azure DevOps-administratör i Microsoft Entra-ID. Om du vill kontrollera din roll loggar du in på Azure Portal och går till Microsoft Entra ID-roller>och administratörer. Om du inte är Azure DevOps-administratör kan du inte se principerna. Kontakta administratören om det behövs.

Begränsa skapandet av globala PAT:er

Azure DevOps-administratören i Microsoft Entra kan begränsa användare från att skapa globala personliga åtkomsttoken (PAT) som gäller för alla tillgängliga organisationer i stället för en enda organisation. När den här principen är aktiverad måste nya PAT:er associeras med specifika Azure DevOps-organisationer. Som standard är den här principen inställd på av.

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

    Skärmbild som visar Välj kugghjulsikonen, Organisationsinställningar.

  3. Välj Microsoft Entra, leta upp principen Begränsa global personlig åtkomsttoken och flytta växlingsknappen vidare.

    Skärmbild av växlingsknappen flyttas till på position för Begränsa global PAT-skapandeprincip.

Begränsa skapandet av fullständiga begränsade PAT:er

Azure DevOps-administratören i Microsoft Entra kan hindra användare från att skapa fullständiga PAT:er. För att aktivera den här principen krävs att nya PAT:er begränsas till en specifik, anpassad uppsättning omfång. Som standard är den här principen inställd på av.

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

  3. Välj Microsoft Entra, leta reda på principen Begränsa fullständig personlig åtkomsttoken och flytta växlingsknappen vidare.

    Skärmbild av växlingsknappen flyttas till på plats för principen Begränsa fullständig pat-skapande.

Ange maximal livslängd för nya PAT:n

Azure DevOps-administratören i Microsoft Entra-ID:t kan definiera den maximala livslängden för en PAT och ange den i dagar. Som standard är den här principen inställd på av.

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

  3. Välj Microsoft Entra, leta upp policyn Framtvinga maximal livslängd för personlig åtkomsttoken och flytta växlingsknappen vidare.

    Skärmbild av växlingsknappen flyttas till på plats för Framtvinga maximal PAT-livslängdsprincip.

  4. Ange antalet maximala dagar och välj sedan Spara.

Lägga till Microsoft Entra-användare eller -grupper i listan över tillåtna

Varning

Vi rekommenderar att du använder grupper för listan över tillåtna klientprinciper. Om du använder en namngiven användare finns en referens till deras identitet i USA, Europa (EU) och Sydostasien (Singapore).

Användare eller grupper på listan över tillåtna är undantagna från begränsningar och tillämpning av dessa principer när de är aktiverade. Om du vill lägga till en användare eller grupp väljer du Lägg till Microsoft Entra-användare eller -grupp och sedan Lägg till. Varje princip har en egen tillåtna lista. Om en användare finns på listan över tillåtna principer gäller fortfarande andra aktiverade principer. Om du vill undanta en användare från alla principer lägger du därför till dem i varje tillåtna lista.

Återkalla läckta PAT:er automatiskt

Azure DevOps-administratören i Microsoft Entra-ID:t kan hantera principen som automatiskt återkallar läckta PAT:er. Den här principen gäller för alla PAT:er i organisationer som är länkade till din Microsoft Entra-klientorganisation. Som standard är den här principen inställd på på. Om Azure DevOps-PAT:er checkas in på offentliga GitHub-lagringsplatser återkallas de automatiskt.

Varning

Om du inaktiverar den här principen innebär det att alla PAT:er som checkas in på offentliga GitHub-lagringsplatser förblir aktiva, vilket potentiellt äventyrar din Azure DevOps-organisation och dina data och utsätter dina program och tjänster för betydande risker. Även om principen är inaktiverad får du fortfarande ett e-postmeddelande om en PAT har läckt ut, men den återkallas inte automatiskt.

Inaktivera automatiskt återkallande av läckta PAT:er

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

  3. Välj Microsoft Entra, leta reda på principen Återkalla automatiskt läckta personliga åtkomsttoken och flytta växlingsknappen till av.

Principen är inaktiverad och alla PAT:er som checkas in på offentliga GitHub-lagringsplatser förblir aktiva.

Nästa steg