A szervezeti felhasználók személyes hozzáférési jogkivonatainak visszavonása
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Ha egy személyes hozzáférési jogkivonat (PAT) biztonsága sérül, fontos, hogy gyorsan cselekedjen. A rendszergazdák visszavonhatják a felhasználó PAT-ját a szervezet védelme érdekében. A felhasználói fiók letiltása a PAT-t is visszavonja.
Miért vonják vissza a felhasználói paT-okat?
A felhasználói PAT-k visszavonása a következő okok miatt elengedhetetlen:
- Feltört jogkivonat: A jogkivonat feltörésének megakadályozása.
- A felhasználó elhagyja a szervezetet: Győződjön meg arról, hogy a korábbi alkalmazottak már nem rendelkeznek hozzáféréssel.
- Engedélymódosítások: Érvényteleníti a régi engedélyeket tükröző jogkivonatokat.
- Biztonsági incidens: A jogosulatlan hozzáférés csökkentése a biztonsági incidens során.
- Rendszeres biztonsági eljárások: A jogkivonatok rendszeres visszavonása és újbóli kiadása egy biztonsági szabályzat részeként.
Előfeltételek
Engedélyek: Legyen tagja a Projektgyűjteménygazdák csoportnak. A szervezettulajdonosok automatikusan ennek a csoportnak a tagjai.
Tipp.
A saját PAT-k létrehozásához vagy visszavonásához lásd : PAT-k létrehozása vagy visszavonása.
PAT-k visszavonása
- Az OAuth-engedélyek, köztük a PAT-k visszavonása a szervezet felhasználói számára: Jogkivonatok visszavonása – Engedélyek visszavonása.
- A REST API meghívásának automatizálásához használja ezt a PowerShell-szkriptet, amely átadja a felhasználónevek (UPN-ek) listáját. Ha nem ismeri a PAT-t létrehozó felhasználó egyszerű felhasználónevet, használja ezt a szkriptet egy megadott dátumtartományban.
Feljegyzés
Dátumtartomány használata esetén a JSON webes jogkivonatok (JWT-k) is visszavonásra kerülnek. Az ezekre a jogkivonatokra támaszkodó eszközök csak új jogkivonatokkal frissítve működnek.
- Miután sikeresen visszavonta az érintett PAT-eket, tájékoztassa a felhasználókat. Szükség esetén újra létrehozhatják a jogkivonataikat.
A PAT inaktívvá válása akár egy órát is igénybe vehet, mivel ez a késési időszak mindaddig fennáll, amíg a letiltási vagy törlési művelet teljes mértékben fel nem dolgozódik a Microsoft Entra-azonosítóban.
FedAuth-jogkivonat lejárata
A bejelentkezéskor egy FedAuth-jogkivonat lesz kibocsátva. Hét napos tolóablakra érvényes. A lejárat automatikusan további hét napot hosszabbít meg, amikor frissíti a tolóablakban. Ha a felhasználók rendszeresen hozzáférnek a szolgáltatáshoz, csak kezdeti bejelentkezésre van szükség. Egy hét napig tartó inaktivitási időszak után a jogkivonat érvénytelenné válik, és a felhasználónak újra be kell jelentkeznie.
PAT-lejárat
A felhasználók választhatnak lejárati dátumot a PAT-hez, hogy ne lépjék túl az egy évet. Javasoljuk, hogy rövidebb időtartamokat használjunk, és a lejáratkor új PAT-okat hozunk létre. A felhasználók egy héttel a jogkivonat lejárta előtt értesítést kapnak. A felhasználók létrehozhatnak egy új jogkivonatot, meghosszabbíthatják a meglévő jogkivonat lejáratát, vagy szükség esetén módosíthatják a meglévő jogkivonat hatókörét.
Auditnaplók
Ha szervezete csatlakozik a Microsoft Entra-azonosítóhoz, hozzáférhet a különböző eseményeket nyomon követő naplókhoz, beleértve az engedélymódosításokat, a törölt erőforrásokat és a naplóhozzáférést. Ezek az auditnaplók értékesek a visszavonások ellenőrzéséhez vagy bármilyen tevékenység vizsgálatához. További információ: Access, export és filter auditnaplók.
Gyakori kérdések (GYIK)
K: Mi történik a PAT-rel, ha egy felhasználó elhagyja a vállalatomat?
V: Miután eltávolítottak egy felhasználót a Microsoft Entra-azonosítóból, a PAT-ok és a FedAuth-jogkivonatok egy órán belül érvénytelenek lesznek, mivel a frissítési jogkivonat csak egy óráig érvényes.
K: Vissza kell vonni a JSON webes jogkivonatokat (JWT-ket)?
Válasz: Ha olyan JWT-kkel rendelkezik, amelyeket úgy gondol, hogy vissza kell vonnia, javasoljuk, hogy ezt azonnal tegye meg. Az OAuth-folyamat részeként kiadott JWT-k visszavonása a PowerShell-szkript használatával. Ügyeljen arra, hogy a parancsfájl dátumtartomány-beállítását használja.