Ereignisse
Erstellen von KI-Apps und Agents
17. März, 21 Uhr - 21. März, 10 Uhr
Nehmen Sie an der Meetup-Serie teil, um skalierbare KI-Lösungen basierend auf realen Anwendungsfällen mit Mitentwicklern und Experten zu erstellen.
Jetzt registrierenWiderrufen von persönlichen Zugriffstoken für Organisationsbenutzer
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
Wenn ein persönliches Zugriffstoken (Personal Access Token, PAT) kompromittiert wird, ist es wichtig, schnell zu handeln. Administratoren können das PAT eines Benutzers widerrufen, um die Organisation zu schützen. Durch deaktivieren des Kontos eines Benutzers wird auch deren PAT widerrufen.
Wichtig
Es wird empfohlen, Microsoft Entra-Token zu verwenden. Weitere Informationen darüber, wie wir die Verwendung von PATs reduzieren, finden Sie in unserem Blog. Lesen Sie unseren Authentifizierungsleitfaden, um den geeigneten Authentifizierungsmechanismus für Ihre Anforderungen auszuwählen.
Das Widerrufen von Benutzer-PATs ist aus folgenden Gründen unerlässlich:
- Kompromittiertes Token: Verhindern des nicht autorisierten Zugriffs, wenn ein Token kompromittiert wird.
- Der Benutzer verlässt die Organisation: Stellen Sie sicher, dass ehemalige Mitarbeiter keinen Zugriff mehr haben.
- Berechtigungsänderungen: Ungültige Token, die alte Berechtigungen widerspiegeln.
- Sicherheitsverletzung: Entschärfung des nicht autorisierten Zugriffs während einer Verletzung.
- Regelmäßige Sicherheitspraktiken: Regelmäßig widerrufen und erneuten Token als Teil einer Sicherheitsrichtlinie.
| Kategorie | Anforderungen |
|---|---|
| Berechtigungen | Mitglied der Gruppe Projektsammlungsadministratoren. Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. |
Tipp
Informationen zum Erstellen oder Widerrufen eigener PATs finden Sie unter Erstellen oder Widerrufen von PATs.
- Informationen zum Widerrufen von OAuth-Autorisierungen, einschließlich PATs, für die Benutzer Ihrer Organisation finden Sie unter Tokensperrungen – Widerrufen von Autorisierungen.
- Um das Aufrufen der REST-API zu automatisieren, verwenden Sie dieses PowerShell-Skript, das eine Liste der Benutzerprinzipalnamen (USER Principal Names, UPNs) übergibt. Wenn Sie den UPN des Benutzers, der den PAT erstellt hat, nicht kennen, verwenden Sie dieses Skript mit einem angegebenen Datumsbereich.
Hinweis
Wenn Sie einen Datumsbereich verwenden, werden auch JSON-Webtoken (JWTs) widerrufen. Alle Tools, die auf diesen Token basieren, funktionieren erst, wenn sie mit neuen Token aktualisiert wurden.
- Nachdem Sie die betroffenen PATs erfolgreich widerrufen haben, informieren Sie Ihre Benutzer. Sie können ihre Token nach Bedarf neu erstellen.
Es kann eine Verzögerung von bis zu einer Stunde dauern, bis der PAT inaktiv wird, da dieser Latenzzeitraum beibehalten wird, bis der Deaktivierungs- oder Löschvorgang in der Microsoft Entra-ID vollständig verarbeitet wird.
Ein FedAuth-Token wird ausgegeben, wenn Sie sich anmelden. Es ist gültig für ein siebentägiges Gleitfenster. Das Ablaufdatum verlängert sich automatisch um weitere sieben Tage, wenn Sie sie innerhalb des Gleitfensters aktualisieren. Wenn Benutzer regelmäßig auf den Dienst zugreifen, ist nur eine anfängliche Anmeldung erforderlich. Nach einer Zeit der Inaktivität, die sieben Tage verlängert wird, wird das Token ungültig, und der Benutzer muss sich erneut anmelden.
Benutzer können ein Ablaufdatum für ihren PAT auswählen, um ein Jahr nicht zu überschreiten. Wir empfehlen, kürzere Zeiträume zu verwenden und neue PATs nach Ablauf zu generieren. Benutzer erhalten eine Benachrichtigungs-E-Mail eine Woche vor Ablauf des Tokens. Benutzer können ein neues Token generieren, den Ablauf des vorhandenen Tokens erweitern oder den Umfang des vorhandenen Tokens bei Bedarf ändern.
Wenn Ihre Organisation mit der Microsoft Entra-ID verbunden ist, haben Sie Zugriff auf Überwachungsprotokolle, die verschiedene Ereignisse nachverfolgen, einschließlich Berechtigungsänderungen, gelöschten Ressourcen und Protokollzugriff. Diese Überwachungsprotokolle sind nützlich, um Sperrungen zu überprüfen oder Aktivitäten zu untersuchen. Weitere Informationen finden Sie unter Access, Export und Filtern von Überwachungsprotokollen.
A: Sobald ein Benutzer von der Microsoft Entra-ID entfernt wird, werden die PATs und FedAuth-Token innerhalb einer Stunde ungültig, da das Aktualisierungstoken nur für eine Stunde gültig ist.
A: Wenn Sie JWTs haben, die Sie glauben, sollte widerrufen werden, empfehlen wir, dies umgehend zu tun. Widerrufen von JWTs, die als Teil des OAuth-Flusses mithilfe des PowerShell-Skripts ausgegeben wurden. Verwenden Sie unbedingt die Datumsbereichsoption im Skript.
Zusätzliche Ressourcen
Training
Modul
Automatisieren von DevOps-Prozessen mithilfe von GitHub-Apps - Training
Hier erfahren Sie, wie Sie DevOps-Prozesse mithilfe von GitHub-Apps automatisieren, mit denen Sie wiederkehrende Aufgaben verarbeiten, Teamrichtlinien erzwingen und das Repository optimal verwalten können.
Zertifizierung
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren