令牌生命周期管理现在以个人预览版提供

我们以前依赖 Azure DevOps UI 创建、续订和过期个人访问令牌。 在此版本中，我们很高兴宣布对个人访问令牌的 Azure DevOps REST API 支持，并且现已在个人预览版中提供。

有关详细信息，请查看下面的功能列表。

常规

• PAT 生命周期管理 API （个人预览版）
• 现在审核日志中的令牌管理事件
• 将用户可见性和协作限制为特定项目
• 隐藏组织设置

Azure Pipelines

• 审核日志中可用的审批者详细信息
• 获取公共项目中的免费管道授予的流程更改

Azure Artifacts

• 对 Azure Artifacts 上游行为的更改

常规

PAT 生命周期管理 API （个人预览版）

我们很高兴宣布发布新的 API，以管理 Azure DevOps 中个人访问令牌（PAT）的生命周期。 此丰富的 API 集使你的团队能够简化他们拥有的 PAT 的管理，为他们提供新功能，例如，使用所需的范围和持续时间创建新的个人访问令牌，以及续订或过期现有令牌。

目前，管理 PAT（个人访问令牌）的主要方法是通过 UI 或使用仅适用于项目集合管理员的有限 API 集。 此新 API 可解锁组织设置涉及 PAT 的自动化功能，包括设置生成管道或与工作项交互。

PAT 生命周期管理 API 现在可供组织在个人预览版中使用。

请联系 我们的 用例和 Azure DevOps 组织，获取 API 和文档的访问权限。 我们赞赏你提供的任何反馈，这些反馈都有助于你的组织，或者可以进一步改进以满足你的需求！

现在审核日志中的令牌管理事件

个人访问令牌（PAT）和 SSH 密钥使你和你的团队成员能够以非交互方式向 Azure DevOps 进行身份验证。 你们中的许多人表示需要了解谁以及这些令牌的使用方式，以防止未经授权的用户恶意活动。 在此版本中，每当成功创建、更新、撤销和/或删除这些令牌时，新事件都会添加到审核日志中。

若要查看这些新事件，请通过组织的设置页转到“审核”页面。 有关这些新事件和审核日志中所有可用事件的其他信息，请参阅我们的 文档。

将用户可见性和协作限制为特定项目

在此冲刺中，我们将发布公共预览版功能，使 Azure DevOps 中的组织管理员能够限制用户查看和协作处理不同项目中的用户。 此功能将为项目带来另一级别的隔离和访问控制。 你的早期反馈将帮助我们改进体验。

默认情况下，添加到组织的用户可以查看所有组织元数据和设置。 这包括查看组织中的用户列表、项目列表、计费详细信息、使用情况数据，以及可通过组织设置访问的任何内容。 此外，用户还可以使用各种人员选取器来搜索、查看、选择和标记所有其他组织成员，即使这些用户不在同一项目中也是如此。

若要限制来自此信息的用户，可以启用“将用户可见性和协作限制为组织的特定项目预览功能”。 启用后， 项目范围的用户组 （组织级安全组）将添加到 Azure DevOps 组织。 添加到此新组的用户和组（可通过导航到“组织设置 -> 权限”找到）将具有两个限制：隐藏的组织设置和有限的人员选取器搜索和标记。

隐藏的组织设置

添加到“项目范围用户”组的用户只能访问“组织设置”页面（“概述”和“项目”除外），并且只能查看来自其所属项目的数据。

有限的人员选取器搜索和标记

使用产品中的各种人员选取器，添加到“项目范围用户”组的用户和组只能搜索、查看、选择和标记当前所在的项目成员。

Azure Pipelines

审核日志中可用的审批者详细信息

现在可以在审核日志中查看有关谁批准管道的详细信息。 我们更新了“检查套件已完成”事件以包含此信息。 可以从组织设置 ->Auditing 访问审核日志。

获取公共项目中的免费管道授予的流程更改

自 2018 年 9 月起，Azure Pipelines 一直在向开放源代码项目提供免费 CI/CD。 由于这相当于放弃免费计算，因此它一直是滥用目标，尤其是加密挖掘。 尽量减少这种滥用总是从团队中得到精力。 在过去的几个月里，这种情况已经大大恶化，Azure DevOps 中新公共项目的比例很高，用于加密挖掘和其他我们归类为滥用活动的活动。 除了从团队中消耗越来越多的精力外，这也使我们的托管代理池承受着压力，并降低所有用户（无论是开源还是付费）的体验。

为了解决此问题，在 Azure DevOps 中创建的新公共项目将不再获得并行作业的免费授权。 因此，创建新的公共项目时，将无法运行管道。 但是，可以通过发送电子邮件来 azpipelines-ossgrant@microsoft.com 请求免费授予，并提供以下详细信息：

• 姓名
• 要为其请求免费授权的 Azure DevOps 组织
• 指向计划生成的存储库的链接
• 项目的简要说明

有关并行作业和免费授权的详细信息，请参阅 我们的文档。

Azure Artifacts

对 Azure Artifacts 上游行为的更改

以前，Azure Artifacts 源提供来自其所有上游源的包版本。 此上游包括最初推送到 Azure Artifacts 源（内部源）的包版本，以及公共存储库中的包版本，例如 npmjs.com、NuGet.org、Maven Central 和 PyPI（外部源）。

此冲刺引入了一种新行为，通过在内部源包已经存在时限制对外部源包的访问，为专用源提供额外的安全性。 此功能提供了一个新的安全层，它防止恶意包意外使用公共注册表。 这些更改不会影响已在源中使用或缓存的任何包版本。

若要详细了解需要允许外部源包版本的常见包方案，以及需要阻止公共包的其他几个方案以及如何配置上游行为，请参阅文档 配置上游行为 - Azure Artifacts |Microsoft Docs

后续步骤

注意

这些功能将在未来两到三周内推出。

前往 Azure DevOps 并了解一下。

转到 Azure DevOps

如何提供反馈

我们很想听听你对这些功能的看法。 使用帮助菜单报告问题或提供建议。

你还可以在 Stack Overflow 上获得社区的建议和问题的答案。

此致

亚伦·哈尔伯格