Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure DevOps Services
Cet article fournit des conseils sur l’utilisation de nos stratégies de locataire et d’organisation pour gérer les jetons d’accès personnels (PAT) dans Azure DevOps. Il explique comment limiter la création, l'étendue et la durée de vie des PAT nouveaux ou renouvelés, et comment gérer la révocation automatique des PAT ayant fait l'objet d'une fuite.
Chaque section détaille le comportement par défaut des stratégies respectives, ce qui permet aux administrateurs de contrôler efficacement et de sécuriser l’utilisation des pat au sein de leur organisation.
Important
Nous recommandons d'utiliser les jetons Microsoft Entra, plus sécurisés, plutôt que les jetons d’accès personnels, qui présentent un risque plus élevé. Apprenez-en davantage sur nos efforts de réduction de l’utilisation du PAT. Passez en revue nos conseils d’authentification pour choisir le mécanisme d’authentification approprié pour vos besoins.
Les PAT existants, créés via l’interface utilisateur et les API, restent valides pour le reste de leur durée de vie. Mettez à jour vos PAT existants pour vous conformer aux nouvelles restrictions pour garantir le renouvellement réussi.
Prérequis
| Catégorie | Spécifications |
|---|---|
| Entra Tenant | Votre organisation est liée à un tenant Microsoft Entra. |
| Autorisations |
|
Ajouter des utilisateurs ou des groupes Microsoft Entra à des listes d’autorisation de stratégie
Avertissement
Nous vous recommandons généralement d’utiliser des groupes pour vos listes d’autorisation. Si vous répertoriez un utilisateur nommé, une référence à son identité réside aux États-Unis, en Europe (UE) et en Asie du Sud-Est (Singapour).
Les utilisateurs ou les groupes sur la liste verte pour l’une de ces stratégies sont exemptés des restrictions et des mises en œuvre lorsque les stratégies sont activées.
Chaque stratégie a sa propre liste d’autorisation unique. Pour exempter un utilisateur de toutes les stratégies, il doit être ajouté à chaque liste verte. Pour les stratégies de locataire, sélectionnez Ajouter un utilisateur ou un groupe Microsoft Entra, puis sélectionnez Ajouter.
Restreindre la création de PAT globaux (politique de locataire)
Les administrateurs Azure DevOps peuvent empêcher les utilisateurs de créer des PAT globaux, qui peuvent être utilisés dans toutes les organisations accessibles plutôt qu’une seule organisation. Lorsque cette stratégie est activée, les nouveaux PAT doivent être associés à des organisations Azure DevOps spécifiques. Par défaut, cette stratégie est désactivée.
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.
Sélectionnez Microsoft Entra, recherchez la stratégie de création de jeton d’accès personnel globale et déplacez le bouton bascule.
Restreindre la création de PAT complets (politique de client)
Les administrateurs Azure DevOps peuvent empêcher les utilisateurs de créer des PAT complets. L’activation de cette stratégie nécessite que les nouveaux PAT soient limités à un ensemble spécifique et personnalisé d’étendues. Par défaut, cette stratégie est désactivée.
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.Sélectionnez Microsoft Entra, recherchez la stratégie de création de jeton d’accès personnel à étendue complète et déplacez le bouton bascule.
Définir la durée de vie maximale des nouveaux PAT (politique de locataire)
Les administrateurs Azure DevOps peuvent définir la durée de vie maximale d’un PAT, en le spécifiant en jours. Par défaut, cette stratégie est désactivée.
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.Sélectionnez Microsoft Entra, recherchez la stratégie de durée de vie maximale des jetons d’accès personnel et déplacez le bouton bascule.
Entrez le nombre maximal de jours, puis sélectionnez Enregistrer.
Restreindre la création de jetons d’accès personnel (stratégie d’organisation)
Remarque
Cette stratégie est en préversion publique.
Les administrateurs de collection de projets peuvent contrôler qui peut créer et régénérer des paT dans les organisations qu’ils gèrent. Pour les organisations existantes, cette stratégie est désactivée. Une fois que cette stratégie est en aperçu public, par défaut, elle est activée. Les PAT existants continuent de fonctionner jusqu’à la date d’expiration du PAT.
Conseil / Astuce
Combinez cette stratégie avec une courte durée définie pour la stratégie « Définir la durée de vie maximale pour les nouveaux PAT » afin de réduire l’utilisation du mot de passe dans votre organisation.
La stratégie bloque également l’utilisation globale des pat dans l’organisation. Les utilisateurs pat globaux doivent être ajoutés à la liste d’autorisation pour continuer à utiliser leur PAT global dans l’organisation.
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.Sélectionnez Stratégies, trouvez la stratégie Restreindre la création de jeton d’accès personnel (PAT).
Si les membres de votre organisation utilisent régulièrement des PAT d'empaquetage, cochez la case Autoriser la création de PAT avec l'étendue d'empaquetage uniquement. Les scénarios d’empaquetage courants n’ont pas été entièrement déplacés vers l’authentification entra et peuvent toujours s’appuyer sur des PAT. Si cette stratégie est activée, les utilisateurs qui ne sont pas sur la liste blanche verront uniquement les périmètres d’empaquetage disponibles sur leur page « Jetons d’accès personnels ».
Si des utilisateurs ou des groupes Microsoft Entra nécessitent un accès continu aux PATs, ajoutez-les à la liste d'autorisation en sélectionnant Gérer et en recherchant l’utilisateur ou le groupe dans la liste déroulante. Une fois les mises à jour de la liste autorisée terminées, cochez la case en regard de Autoriser la création de jetons d'accès personnel de n’importe quelle étendue pour les utilisateurs et groupes Microsoft Entra sélectionnés.
Déplacez le bouton bascule sur on afin que la politique de restriction s’applique. Les sous-stratégies sélectionnées ne s’appliquent pas tant que le bouton bascule n’est pas activé.
Révoquer automatiquement les PAT divulguées (stratégie de locataire)
Les administrateurs Azure DevOps peuvent gérer la stratégie qui révoque automatiquement les paT divulguées. Cette stratégie s’applique à tous les PAT au sein des organisations liées à votre locataire Microsoft Entra. Par défaut, cette stratégie est définie sur activé. Si les PAT Azure DevOps sont archivés dans des référentiels GitHub publics, ils sont automatiquement révoqués.
Avertissement
La désactivation de cette stratégie signifie que tous les PAT vérifiés dans les référentiels GitHub publics restent actifs, compromettant potentiellement votre organisation et vos données Azure DevOps, et faisant courir un risque important à vos applications et services. Même si la stratégie est désactivée, vous recevez toujours une notification par e-mail si un jeton d'accès personnel est divulgué, mais celui-ci n’est pas automatiquement révoqué.
Désactiver la révocation automatique des PAT divulgués
Connectez-vous à votre organisation (
https://dev.azure.com/{yourorganization}).Sélectionnez
Paramètres de l’organisation.Sélectionnez Microsoft Entra, recherchez la stratégie de jetons d’accès personnels supprimés automatiquement et déplacez le bouton bascule vers désactivé.
La stratégie est désactivée et tous les PAT archivés dans les référentiels GitHub publics restent actifs.
Étapes suivantes
Articles connexes
- Restreindre la création de l’organisation avec la stratégie de locataire Microsoft Entra
- Utiliser des jetons d’accès personnels pour l’authentification
- Révoquer les jetons d’accès personnels des utilisateurs de l’organisation (pour les administrateurs)
- Se connecter à Azure DevOps avec Microsoft Entra