Partage via

Révoquer des jetons d’accès personnels pour les utilisateurs d’une organisation

  • Article

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Si un jeton d’accès personnel (PAT) est compromis, il est essentiel d’agir rapidement. Les administrateurs peuvent révoquer le PAT d’un utilisateur comme mesure de sécurité pour protéger l’organisation. En outre, la désactivation du compte d’un utilisateur révoque également son PAT. Il y a un délai, jusqu’à une heure, avant que le PAT ne devienne inactif. Cette période de latence persiste jusqu’à ce que l’opération de désactivation ou de suppression soit entièrement traitée dans l’ID Microsoft Entra.

Prérequis

Niveau d’accès : propriétaire de l’organisation ou membre du groupe Administrateurs de regroupement de projets

Conseil

Pour les utilisateurs, si vous souhaitez créer ou révoquer vos propres PAT, consultez Créer ou révoquer des jetons d’accès personnels.

Révoquer des PAT

  1. Pour révoquer les autorisations OAuth, y compris les PAT, pour les utilisateurs de votre organisation, consultez révocations de jetons - Révoquer des autorisations.
  2. Utilisez ce script PowerShell pour automatiser l’appel de la nouvelle API REST en passant une liste de noms d’utilisateur principaux (UPN). Si vous ne connaissez pas l’UPN de l’utilisateur qui a créé le protocole PAT, utilisez ce script, mais il doit être basé sur une plage de dates.

Remarque

Lorsque vous utilisez une plage de dates, tous les jetons web JSON (JWT) sont également révoqués. Tous les outils qui s’appuient sur ces jetons ne fonctionneront pas tant qu’ils ne seront pas actualisés avec de nouveaux jetons.

  1. Une fois que vous avez révoqué les PAT affectés, informez vos utilisateurs. Ils peuvent recréer leurs jetons si nécessaire.

Expiration du jeton FedAuth

Un jeton FedAuth est émis lorsque vous vous connectez. Il est valide pour une fenêtre glissante de sept jours. L’expiration s’étend automatiquement sept jours supplémentaires chaque fois que vous l’actualisez dans la fenêtre glissante. Si les utilisateurs accèdent régulièrement au service, seule une connexion initiale est nécessaire. Après une période d’inactivité prolongée de sept jours, le jeton devient non valide et l’utilisateur doit se reconnecter.

Expiration du jeton d’accès personnel

Les utilisateurs peuvent choisir une date d’expiration pour leur jeton d’accès personnel, sans dépasser un an. Nous vous recommandons d’utiliser des périodes plus courtes, générant de nouveaux PAT à l’expiration. Les utilisateurs reçoivent un e-mail de notification une semaine avant l’expiration du jeton. Les utilisateurs peuvent générer un nouveau jeton, étendre l’expiration du jeton existant ou modifier l’étendue du jeton existant, si nécessaire.

Journaux d’activité d’audit

Si votre organisation est connectée à l’ID Microsoft Entra, vous avez accès aux journaux d’audit qui suivent différents événements, notamment les modifications d’autorisations, les ressources supprimées et l’accès aux journaux, entre autres. Si vous devez vérifier les révocations ou examiner une activité, les journaux d’audit constituent une ressource précieuse. Pour plus d’informations, consultez Access, exporter et filtrer les journaux d’audit.

Forum Aux Questions (FAQ)

Q : Que se passe-t-il à un pater si un utilisateur quitte ma société ?

R : Une fois qu’un utilisateur a été supprimé de l’ID Microsoft Entra, les jetons PAT et FedAuth invalident dans un délai d’une heure, car le jeton d’actualisation n’est valide que pendant une heure.

Q : Dois-je révoquer des jetons web JSON (JWTs) ?

R : Si vous avez des JWT que vous pensez être révoqués, nous vous suggérons de le faire. Révoquer des JWT, émis dans le cadre du flux OAuth, via le script PowerShell. Toutefois, vous devez utiliser l’option de plage de dates dans le script.