A szervezeti felhasználók személyes hozzáférési jogkivonatainak visszavonása
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Ha egy személyes hozzáférési jogkivonat (PAT) biztonsága sérül, fontos, hogy gyorsan cselekedjen. A rendszergazdák biztonsági intézkedésként visszavonhatják a felhasználó PAT-ját a szervezet védelme érdekében. Emellett a felhasználói fiók letiltása a PAT-t is visszavonja. A PAT inaktívvá válása előtt akár egy óra is késhet. Ez a késési időszak addig tart, amíg a letiltási vagy törlési művelet teljes mértékben fel nem dolgozódik a Microsoft Entra-azonosítóban.
Előfeltételek
Hozzáférési szint: Szervezet tulajdonosa vagy tagja a Projektgyűjtemény rendszergazdái csoportnak
Tipp.
A felhasználók számára, ha saját paT-okat szeretne létrehozni vagy visszavonni, olvassa el a személyes hozzáférési jogkivonatok létrehozását vagy visszavonását.
PAT-k visszavonása
- Ha vissza szeretné vonni az OAuth-engedélyeket, beleértve a paT-okat is, tekintse meg a jogkivonatok visszavonása – Engedélyek visszavonása című témakört.
- Ezzel a PowerShell-szkripttel automatizálhatja az új REST API meghívását a felhasználónevek listájának (UPN-ek) átadásával. Ha nem ismeri a PAT-t létrehozó felhasználó UPN-ét, használja ezt a szkriptet, de annak dátumtartományon kell alapulnia.
Feljegyzés
Dátumtartomány használata esetén a JSON webes jogkivonatok (JWT-k) is visszavonásra kerülnek. Az ezekre a jogkivonatokra támaszkodó eszközök csak új jogkivonatokkal frissítve működnek.
- Miután sikeresen visszavonta az érintett PAT-eket, tájékoztassa a felhasználókat. Szükség esetén újra létrehozhatják a jogkivonataikat.
FedAuth-jogkivonat lejárata
A bejelentkezéskor egy FedAuth-jogkivonat lesz kibocsátva. Hét napos tolóablakra érvényes. A lejárat automatikusan további hét napot hosszabbít meg, amikor frissíti a tolóablakban. Ha a felhasználók rendszeresen hozzáférnek a szolgáltatáshoz, csak kezdeti bejelentkezésre van szükség. Egy hét napig tartó inaktivitási időszak után a jogkivonat érvénytelenné válik, és a felhasználónak újra be kell jelentkeznie.
Személyes hozzáférési jogkivonat lejárata
A felhasználók választhatnak egy lejárati dátumot a személyes hozzáférési jogkivonatukhoz, és nem léphetik túl az egy évet. Javasoljuk, hogy rövidebb időtartamokat használjon, és a lejáratkor új PAT-okat generáljon. A felhasználók egy héttel a jogkivonat lejárta előtt értesítést kapnak. A felhasználók létrehozhatnak egy új jogkivonatot, meghosszabbíthatják a meglévő jogkivonat lejáratát, vagy szükség esetén módosíthatják a meglévő jogkivonat hatókörét.
Auditnaplók
Ha szervezete csatlakozik a Microsoft Entra-azonosítóhoz, többek között hozzáférhet a különböző eseményeket nyomon követő naplókhoz, többek között az engedélymódosításokhoz, a törölt erőforrásokhoz és a naplóhozzáféréshez. Ha visszahívásokat kell keresnie, vagy bármilyen tevékenységet ki kell vizsgálnia, az auditnaplók értékes erőforrásnak számítanak. További információ: Access, export és filter auditnaplók.
Gyakori kérdések (GYIK)
K: Mi történik a PAT-rel, ha egy felhasználó elhagyja a vállalatomat?
V: Miután eltávolítottak egy felhasználót a Microsoft Entra-azonosítóból, a PAT-ok és a FedAuth-jogkivonatok egy órán belül érvénytelenek lesznek, mivel a frissítési jogkivonat csak egy óráig érvényes.
K: Vissza kell vonni a JSON webes jogkivonatokat (JWT-ket)?
Válasz: Ha olyan JWT-kkel rendelkezik, amelyeket úgy gondol, hogy vissza kell vonnia, javasoljuk, hogy tegye meg. Az OAuth-folyamat részeként kiadott JWT-k visszavonása a PowerShell-szkripten keresztül. A szkriptben azonban a dátumtartomány beállítását kell használnia.
Kapcsolódó cikkek
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: