Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services
Dieser Artikel enthält Anleitungen zur Verwendung von Mandanten- und Organisationsrichtlinien zum Verwalten von persönlichen Zugriffstoken (PATs) in Azure DevOps. Es wird erläutert, wie man die Erstellung, den Umfang und die Lebensdauer neuer oder erneuerter PATs begrenzt und wie man den automatischen Widerruf von durchgesickerten PATs handhabt.
In jedem Abschnitt wird das Standardverhalten der jeweiligen Richtlinien erläutert, damit Administratoren die Pat-Nutzung innerhalb ihrer Organisation effektiv steuern und schützen können.
Wichtig
Erwägen Sie die Verwendung der sichereren Microsoft Entra Token gegenüber höherer Gefahr personalen Zugriffstoken. Weitere Informationen finden Sie unter Reduzieren der PAT-Verwendung. Überprüfen Sie die Authentifizierungsanleitungen , um den richtigen Authentifizierungsmechanismus für Ihre Anforderungen auszuwählen.
Vorhandene PATs, die sowohl über die Benutzeroberfläche als auch über APIs erstellt wurden, bleiben für den Rest ihrer Lebensdauer gültig. Aktualisieren Sie Ihre bestehenden PATs, damit sie den neuen Einschränkungen entsprechen, um eine erfolgreiche Erneuerung zu gewährleisten.
Tipp
Sie können KI verwenden, um diese Aufgabe zu unterstützen weiter unten in diesem Artikel, oder lesen Sie Enable AI-Unterstützung bei Azure DevOps MCP Server, um zu beginnen.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Microsoft Entra Mandant | Ihre Organisation ist mit einem Microsoft Entra Mandanten verbunden. |
| Berechtigungen |
|
Sie können Microsoft Entra-Benutzer oder -Gruppen zu Erlaubnislisten von Richtlinien hinzufügen.
Warnung
Verwenden Sie Gruppen für Ihre Zulassungslisten. Wenn Sie einen benannten Benutzer auflisten, befindet sich ein Verweis auf seine Identität in den United States, Europa (EU) und Südostasien (Singapur).
Benutzer oder Gruppen auf der Zulassungsliste für eine dieser Richtlinien sind von den Einschränkungen und Erzwingungen ausgenommen, wenn Richtlinien aktiviert sind.
Jede Richtlinie verfügt über eine eigene eindeutige Erlaubnisliste. Um einen Benutzer von allen Richtlinien auszunehmen, fügen Sie sie jeder Zulassungsliste hinzu. Wählen Sie für die Mandantenrichtlinien Fügen Sie Microsoft Entra-Benutzer oder -Gruppe hinzu und dann Hinzufügen aus.
Schränken Sie die Erstellung globaler PATs ein (Tenant Policy)
Azure DevOps Administratoren können benutzer auf das Erstellen globaler PATs beschränken, die in allen barrierefreien Organisationen und nicht in einer einzigen Organisation verwendet werden können. Wenn diese Richtlinie aktiviert ist, müssen neue PATs bestimmten Azure DevOps Organisationen zugeordnet werden. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{Your_Organization}) an.Wählen Sie
Organisationseinstellungen aus.
Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie zur Einschränkung der Erstellung globaler persönlicher Zugriffstoken und stellen Sie den Schalter auf Ein.
Erstellung von PATs mit vollem Reservierungsumfang einschränken (Tenant Policy)
Azure DevOps Administratoren können verhindern, dass Benutzer vollbereichsbezogene PATs erstellen. Wenn Sie diese Policy aktivieren, müssen neue PATs auf einen bestimmten, benutzerdefinierten Reservierungsumfang beschränkt werden. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen aus.Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie Restrict vollständige persönliche Zugriffstoken-Erstellung und schalten Sie die Umschaltfläche ein.
Maximale Lebensdauer für neue PATs festlegen (Mandantenrichtlinie)
Azure DevOps Administratoren können die maximale Lebensdauer eines PAT definieren und in Tagen angeben. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen aus.Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie Maximale Lebensdauer des persönlichen Zugriffstokens erzwingen und schalten Sie den Schalter ein.
Geben Sie die Anzahl der maximalen Tage ein, und wählen Sie dann Speichern aus.
Einschränken der Erstellung von persönlichen Zugriffstoken (Organisationsrichtlinie)
Hinweis
Diese Richtlinie ist nur für von Microsoft Entra unterstützte Organisationen verfügbar.
Projektsammlungsadministratoren können steuern, wer PATs in den von ihnen verwalteten Organisationen erstellt und neu generiert. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt. Vorhandene PATs funktionieren weiterhin bis zum Ablaufdatum des PAT.
Tipp
Kombinieren Sie diese Richtlinie mit einer kurzen Dauer, die für die Richtlinie "Maximale Lebensdauer für neue PATs festlegen" festgelegt wird, um die PAT-Nutzung in Ihrer Organisation zu reduzieren.
Die Richtlinie blockiert auch die globale PAT-Nutzung in der Organisation. Globale PAT-Benutzer müssen zur Zulassungsliste hinzugefügt werden, um ihren globalen PAT weiterhin in der Organisation verwenden zu können.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{Your_Organization}) an.Wählen Sie
Organisationseinstellungen aus.Wählen Sie Richtlinien aus, suchen Sie die Richtlinie zur Einschränkung der Erstellung von persönlichen Zugriffstokens (PAT).
Wenn Mitglieder Ihrer Organisation regelmäßig Paket-PATs verwenden, aktivieren Sie das Kontrollkästchen "Erstellen von PAT mit nur dem Paketumfang zulassen". Viele Verpackungsszenarien basieren immer noch auf PATs und haben nicht vollständig auf die Microsoft Entra-basierte Authentifizierung umgestellt. Wenn diese Richtlinie aktiviert ist, haben Benutzer, die nicht auf der Zulassungsliste stehen, nur Zugriff auf die Bereiche des Packagings auf ihrer Seite „Persönliche Zugriffstoken“.
Wenn Microsoft Entra Benutzer oder Gruppen weiterhin Zugriff auf PATs erfordern, fügen Sie sie zur Zulassungsliste hinzu, indem Sie Manage auswählen und im Dropdown nach dem Benutzer oder der Gruppe suchen. Aktivieren Sie nach Abschluss der Zulassungsliste-Updates das Kontrollkästchen neben Erlauben Sie die Erstellung von PAT in jedem Umfang für ausgewählte Microsoft Entra-Benutzer und -Gruppen.
Setzen Sie den Umschalter auf ein, damit die Einschränkungsrichtlinie angewendet wird. Ausgewählte Unterrichtlinien gelten erst, wenn die Umschaltfunktion aktiviert ist.
Durchgesickerte PATs automatisch widerrufen (Tenant Policy)
Azure DevOps Administratoren können die Richtlinie verwalten, die automatisch geleakte PATs widerruft. Diese Richtlinie gilt für alle PATs innerhalb von Organisationen, die mit Ihrem Microsoft Entra Mandanten verknüpft sind. Standardmäßig ist diese Richtlinie auf on festgelegt. Wenn Azure DevOps PATs in öffentliche GitHub-Repositories eingecheckt werden, werden sie automatisch widerrufen.
Warnung
Wenn Sie diese Richtlinie deaktivieren, bedeutet dies, dass alle PATs, die in öffentliche GitHub Repositorys eingecheckt wurden, aktiv bleiben, wodurch Ihre Azure DevOps Organisation und Daten beeinträchtigt und Ihre Anwendungen und Dienste erheblich gefährdet werden. Sie erhalten auch bei einer deaktivierten Richtlinie noch eine E-Mail-Benachrichtigung, wenn ein PAT kompromittiert wurde, es wird jedoch nicht automatisch widerrufen.
Deaktivieren der automatischen Sperrung von geleakten PATs
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen aus.Wählen Sie Microsoft Entra aus, suchen Sie die Automatisch geleakte persönliche Zugriffstoken widerrufen Richtlinie und verschieben Sie die Umschaltfläche auf aus.
Die Richtlinie ist deaktiviert, und alle PATs, die in öffentliche GitHub-Repositorys hochgeladen wurden, bleiben weiterhin aktiv.
Verwenden von KI zum Verwalten von PAT-Richtlinien
Wenn Sie den Azure DevOps MCP Server konfiguriert haben, können Sie KI-Assistenten verwenden, um Richtlinien für persönliche Zugriffstoken mithilfe von Anweisungen in natürlicher Sprache zu verwalten und zu überwachen. Der MCP-Server bietet Ihrem KI-Assistenten sicheren Zugriff auf Ihre Azure DevOps Daten, sodass Sie Richtlinieneinstellungen, Listentoken und PAT-Aktivitäten überprüfen können, ohne über die Webschnittstelle zu navigieren.
Beispielaufforderungen für die Verwaltung von PAT-Richtlinien
| Aufgabe | Beispielaufforderung |
|---|---|
| Erzwingen der Richtlinie für Tokens mit minimalen Rechten | Restrict full-scoped PATs in <organization-name> and set the maximum lifetime to 90 days for all new tokens |
| Generieren eines Tokencomplianceberichts | Show all PATs in <organization-name> that exceed the 90-day lifetime policy or have full access scope, grouped by user |
| Vorbereitung auf die Migration verwalteter Identitäten | List all PATs in <organization-name> used for automated pipelines and suggest which ones could be replaced with managed identity or service principal authentication |
| Einrichten von zugelassenen PATs | Configure the PAT policy for <organization-name> to allow only tokens with Code Read, Work Items Read, and Build Execute scopes |
| Überwachen von Richtlinienverstößen | Show me the audit log entries for PAT creation events in <organization-name> over the last 30 days that violated any active policy |
| Überprüfen von Tokenverwendungsmustern | For each user in <organization-name>, show the count of active PATs, their broadest scope, and when each was last used |
Tipp
Wenn Sie Visual Studio Code verwenden, ist der agent mode besonders hilfreich für die Prüfung der PAT-Verwendung und das Identifizieren von Tokens, die eine Rotation oder einen Widerruf benötigen.
- Um veraltete oder zwischengespeicherte Daten aus vorherigen Abfragen zu vermeiden, fügen Sie Ihrem Prompt
Do not use previously fetched datahinzu.