Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services
En este artículo se proporcionan instrucciones sobre cómo usar nuestras directivas de inquilino y organización para administrar tokens de acceso personal (PAT) en Azure DevOps. Se explica cómo limitar la creación, el ámbito y la vida útil de los PAT nuevos o renovados, y cómo controlar la revocación automática de los PAT filtrados.
Cada sección detalla el comportamiento predeterminado de las directivas respectivas, lo que ayuda a los administradores a controlar y proteger eficazmente el uso de PAT dentro de su organización.
Importante
Se recomiendan los tokens de Microsoft Entra más seguros sobre los tokens de acceso personal de mayor riesgo. Obtenga más información sobre nuestros esfuerzos para reducir el uso de PAT. Revise nuestra guía de autenticación para elegir el mecanismo de autenticación adecuado para sus necesidades.
Las PAT existentes, creadas a través de la interfaz de usuario y las API, siguen siendo válidas para el resto de su vida útil. Actualice los PAT existentes para cumplir las nuevas restricciones para garantizar una renovación correcta.
Requisitos previos
| Categoría | Requisitos |
|---|---|
| Inquilino entra | Su organización está vinculada a un inquilino de Microsoft Entra. |
| Permisos |
|
Agregar usuarios o grupos de Microsoft Entra a las listas de permitidos de las políticas.
Advertencia
Por lo general, se recomienda usar grupos para las listas de permitidos. Si enumera un usuario con nombre, una referencia a su identidad reside en Estados Unidos, Europa (UE) y Sudeste asiático (Singapur).
Los usuarios o grupos de la lista blanca para cualquiera de estas directivas están exentos de las restricciones y las ejecuciones cuando las directivas están habilitadas.
Cada directiva tiene su propia lista de permitidos. Para excluir a un usuario de todas las directivas, deben agregarse a cada lista de permitidos. Para las directivas de inquilino, seleccione Agregar usuario o grupo de Microsoft Entra y, a continuación, seleccione Agregar.
Restringir la creación de PAT globales (política del arrendatario)
Los administradores de Azure DevOps pueden restringir a los usuarios la creación de PAT globales, que se pueden usar en todas las organizaciones accesibles en lugar de en una sola organización. Cuando esta directiva está habilitada, las nuevas PAT deben estar asociadas a organizaciones específicas de Azure DevOps. De forma predeterminada, esta directiva se establece en desactivado.
Inicie sesión en su organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de organización.
Seleccione Microsoft Entra, busque la directiva restringir la creación de tokens de acceso personal global y mueva el botón de alternancia.
Restringir la creación de PATs de ámbito completo (política de arrendatario)
Los administradores de Azure DevOps pueden restringir a los usuarios la creación de PAT de ámbito completo. La habilitación de esta directiva requiere que los nuevos PAT se limiten a un conjunto específico definido por el usuario de ámbitos. De forma predeterminada, esta directiva se establece en desactivado.
Inicie sesión en su organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de organización.Seleccione Microsoft Entra, busque la directiva Restringir la creación de tokens de acceso personal con ámbito completo y mueva el botón de alternancia.
Establecer la duración máxima de las nuevas PAT (política de inquilino)
Los administradores de Azure DevOps pueden definir la duración máxima de un PAT, especificando en días. De forma predeterminada, esta directiva se establece en desactivado.
Inicie sesión en su organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de organización.Seleccione Microsoft Entra, busque la directiva Aplicar la duración máxima del token de acceso personal y mueva el botón de alternancia.
Escriba el número de días máximos y, a continuación, seleccione Guardar.
Restringir la creación de tokens de acceso personal (política de organización)
Nota:
Esta directiva está en versión preliminar pública.
Los administradores de colecciones de proyectos pueden controlar quién puede crear y volver a generar PAT en las organizaciones que administran. En el caso de las organizaciones existentes, esta directiva está configurada como desactivada. Una vez que esta directiva está en versión preliminar pública, de forma predeterminada, esta directiva se establece en activado. Los PAT existentes seguirán funcionando hasta la fecha de expiración del PAT.
Sugerencia
Combine esta directiva con una duración corta establecida para la directiva "Establecer la duración máxima de las nuevas PAT" con el fin de minimizar el uso de las PAT en su organización.
La directiva también bloquea el uso global de PAT en la organización. Los usuarios globales de PAT deben agregarse a la lista de permitidos para seguir usando su PAT global en la organización.
Inicie sesión en su organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de organización.Seleccione Directivas y busque la directiva Restringir la creación de tokens personales de acceso (PAT).
Si los miembros de la organización usan regularmente los PAT de empaquetado, active la casilla Permitir la creación de PAT solo con ámbito de empaquetado. Los escenarios de empaquetado comunes no se han movido completamente a la autenticación basada en Entra y pueden seguir dependiendo de los PAT. Si esta política está habilitada, los usuarios que no están en la lista de permitidos solo verán los ámbitos de paquetes disponibles en su página de "fichas de acceso personal".
Si algún usuario o grupo de Microsoft Entra requiere acceso continuado a los PAT, agréguelos a la lista de permitidos seleccionando Administrar y buscando el usuario o grupo en la lista desplegable. Una vez completadas las actualizaciones de la lista de accesos permitidos, active la casilla situada junto a Permitir la creación de PAT de cualquier ámbito para los usuarios y grupos de Microsoft Entra seleccionados.
Mueva el interruptor a activado para que se aplique la política de restricción. Las subpolicias seleccionadas no se aplicarán hasta que el botón de alternancia esté activado.
Revocación automática de PAT filtrado (política de usuario)
Los administradores de Azure DevOps pueden administrar la directiva que revoca automáticamente las PAT filtradas. Esta directiva se aplica a todos los PAT de las organizaciones vinculadas a su inquilino de Microsoft Entra. De forma predeterminada, esta directiva se establece en activado. Si los PAT de Azure DevOps están protegidos en repositorios públicos de GitHub, se revocan automáticamente.
Advertencia
Deshabilitar esta directiva significa que los PAT registrados en repositorios públicos de GitHub permanecen activos, lo que podría comprometer su organización y datos de Azure DevOps, y poner sus aplicaciones y servicios en un riesgo considerable. Incluso con la directiva deshabilitada, aún recibirá una notificación por correo electrónico si se filtra un token de acceso personal (PAT), pero no se revoca automáticamente.
Desactivar la revocación automática de PAT filtradas
Inicie sesión en su organización (
https://dev.azure.com/{yourorganization}).Seleccione
Configuración de organización.Seleccione Microsoft Entra, busque la directiva Revocar automáticamente los tokens de acceso personales filtrados y desactivar el botón de alternancia.
La directiva está deshabilitada y los PAT protegidos en repositorios públicos de GitHub permanecen activos.