Uso de directivas para administrar tokens de acceso personal para los usuarios

  • Artículo

Azure DevOps Services

Puede limitar la creación, el ámbito y la duración de los tokens de acceso personal (PAT) nuevos o renovados para los usuarios de Azure DevOps habilitando las directivas de Microsoft Entra. También puede administrar la revocación automática de PAT filtradas. Obtenga información sobre el comportamiento predeterminado de cada directiva en su propia sección de este artículo.

Importante

Las PAT existentes, creadas a través de la interfaz de usuario y las API, se aplican por el resto de su vida útil. Actualice los PAT existentes para cumplir con la nueva restricción y, a continuación, se pueden renovar correctamente.

Requisitos previos

Para comprobar el rol, inicie sesión en Azure Portal y, a continuación, elija Roles y administradores de Id.>de Microsoft Entra. Si no es administrador de Azure DevOps, póngase en contacto con el administrador.

Restricción de la creación de PAT globales

El Administración istrator de Azure DevOps en Microsoft Entra impide que los usuarios creen PAT globales. Los tokens globales se aplican a todas las organizaciones accesibles, en lugar de a una sola organización. Habilitar esta directiva significa que las nuevas PAT deben estar asociadas a organizaciones específicas de Azure DevOps. De forma predeterminada, esta directiva se establece en desactivado.

  1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

  2. Elija gear iconConfiguración de la organización.

    Choose the gear icon, Organization settings

  3. En la pestaña Microsoft Entra ID (Id. de Microsoft Entra), busque la directiva de creación global de tokens de acceso personal y mueva el botón de alternancia a activado.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Restricción de la creación de PAT de ámbito completo

El Administración istrator de Azure DevOps en Microsoft Entra restringe a los usuarios la creación de PAT de ámbito completo. Habilitar esta directiva significa que las nuevas PAT deben limitarse a un conjunto de ámbitos personalizado específico definido. De forma predeterminada, esta directiva se establece en desactivado.

  1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

  2. Elija gear iconConfiguración de la organización.

    Choose the gear icon, Organization settings

  3. En la pestaña Id. de Entra de Microsoft, busque la directiva *Restringir la creación de tokens de acceso personal con ámbito completo *directiva y mueva el botón de alternancia a activado.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Establecer la duración máxima de las nuevas PAT

El Administración istrator de Azure DevOps en el identificador de Microsoft Entra define la duración máxima de un PAT. La duración máxima de los nuevos tokens se puede especificar en número de días. De forma predeterminada, esta directiva se establece en desactivado.

  1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

  2. Elija gear iconConfiguración de la organización.

    Choose the gear icon, Organization settings

  3. En la pestaña Microsoft Entra ID (Id. de Entra de Microsoft), busque la directiva Aplicar la duración máxima del token de acceso personal y mueva el botón de alternancia a activado.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Escriba el número de días máximos y, a continuación, seleccione Guardar.

Agregar usuarios o grupos de Microsoft Entra a la lista de permitidos

Advertencia

Se recomienda usar grupos con las listas de permitidos de la directiva de inquilinos. Si usa un usuario con nombre, tenga en cuenta que una referencia a la identidad del usuario con nombre residirá en el Estados Unidos, Europa (UE) y Sudeste asiático (Singapur).

Los usuarios o grupos de la lista de permitidos están exentos de las restricciones y las aplicaciones creadas por estas directivas cuando están activadas. Seleccione Agregar usuario o grupo de Microsoft Entra para agregar el usuario o grupo a la lista y, a continuación, seleccione Agregar. Cada directiva tiene su propia lista de permitidos. Si un usuario está en la lista de permitidos de una directiva, se seguirán aplicando otras directivas activadas. En otras palabras, si desea que un usuario esté exento de todas las directivas, debe agregarlas a cada lista de permitidos.

Revocar PAT filtrados automáticamente

El Administración istrator de Azure DevOps en el identificador de Entra de Microsoft puede administrar la directiva que revoca automáticamente las PAT filtradas. Esta directiva se aplica a todos los PAT de todas las organizaciones vinculadas a su inquilino de Microsoft Entra. De forma predeterminada, esta directiva se establece en activado. Si los PAT de Azure DevOps se comprueban en repositorios públicos de GitHub, se revocan automáticamente.

Advertencia

Si deshabilita esta directiva, las PAT que se registren en repositorios públicos de GitHub permanecerán y podrían poner en peligro la organización y los datos de Azure DevOps, lo que pone en riesgo considerable las aplicaciones y los servicios. Con la directiva deshabilitada y la característica desactivada, sigue recibiendo una notificación por correo electrónico cuando encontramos el PAT filtrado, pero no lo revocamos.

Desactivar la revocación automática de PAT filtradas

  1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

  2. Elija gear iconConfiguración de la organización.

    Choose the gear icon, Organization settings

  3. En la pestaña Microsoft Entra ID (Id. de Entra de Microsoft), busque la directiva Revocar automáticamente los tokens de acceso personales filtrados y desactive el botón de alternancia.

La directiva está deshabilitada y permanecen todos los PAT que se comprueban en repositorios públicos de GitHub.

Pasos siguientes

Cambio de directivas de acceso a aplicaciones