Szabályzatok használata a felhasználók személyes hozzáférési jogkivonatainak kezeléséhez

  • Cikk

Azure DevOps Services

A Microsoft Entra-szabályzatok engedélyezésével korlátozhatja az új vagy megújított személyes hozzáférési jogkivonatok (PAT-k) létrehozását, hatókörét és élettartamát az Azure DevOps felhasználói számára. A kiszivárgott PAT-k automatikus visszavonását is kezelheti. A cikk saját szakaszában megismerheti az egyes szabályzatok alapértelmezett viselkedését.

Fontos

A felhasználói felületen és API-kon keresztül létrehozott meglévő PAT-k az élettartamuk hátralévő részében érvényesek. Frissítse meglévő PAT-jait, hogy megfeleljenek az új korlátozásnak, majd sikeresen megújíthatók.

Előfeltételek

A szerepkör ellenőrzéséhez jelentkezzen be az Azure Portalra, majd válassza a Microsoft Entra azonosító>szerepköreit és rendszergazdáit. Ha Ön nem Azure DevOps-rendszergazda, forduljon a rendszergazdához.

Globális PAT-k létrehozásának korlátozása

A Microsoft Entra Azure DevOps Rendszergazda istratora korlátozza a felhasználók számára a globális PAT-k létrehozását. A globális jogkivonatok nem egyetlen szervezetre, hanem minden akadálymentes szervezetre érvényesek. A szabályzat engedélyezése azt jelenti, hogy az új PAT-okat adott Azure DevOps-szervezetekkel kell társítani. Ez a szabályzat alapértelmezés szerint ki van kapcsolva.

  1. Jelentkezzen be a szervezetbe (https://dev.azure.com/{yourorganization}).

  2. Válassza a gear iconSzervezeti beállítások lehetőséget.

    Choose the gear icon, Organization settings

  3. A Microsoft Entra ID lapján keresse meg a Globális személyes hozzáférési jogkivonat létrehozásának korlátozása házirendet, és állítsa be a kapcsolót.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Teljes hatókörű PAT-k létrehozásának korlátozása

A Microsoft Entra Azure DevOps Rendszergazda istratora korlátozza a felhasználók számára a teljes hatókörű PAT-k létrehozását. A szabályzat engedélyezése azt jelenti, hogy az új PAT-okat egy meghatározott egyéni hatókörcsoportra kell korlátozni. Ez a szabályzat alapértelmezés szerint ki van kapcsolva.

  1. Jelentkezzen be a szervezetbe (https://dev.azure.com/{yourorganization}).

  2. Válassza a gear iconSzervezeti beállítások lehetőséget.

    Choose the gear icon, Organization settings

  3. A Microsoft Entra ID lapján keresse meg a *Teljes hatókörű személyes hozzáférési jogkivonat létrehozásának korlátozása *szabályzatot, és állítsa be a kapcsolót.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Az új PAT-k maximális élettartamának beállítása

A Microsoft Entra ID-ban az Azure DevOps Rendszergazda istrator határozza meg a PAT maximális élettartamát. Az új jogkivonatok maximális élettartamát napok száma határozza meg. Ez a szabályzat alapértelmezés szerint ki van kapcsolva.

  1. Jelentkezzen be a szervezetbe (https://dev.azure.com/{yourorganization}).

  2. Válassza a gear iconSzervezeti beállítások lehetőséget.

    Choose the gear icon, Organization settings

  3. A Microsoft Entra ID lapján keresse meg a személyes hozzáférési jogkivonatok maximális élettartam-szabályzatát, és állítsa be a kapcsolót.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Adja meg a maximális napok számát, majd válassza a Mentés lehetőséget.

Microsoft Entra-felhasználók vagy -csoportok hozzáadása az engedélyezési listához

Figyelmeztetés:

Javasoljuk, hogy használjon csoportokat a bérlői házirend engedélyezési listájával. Ha nevesített felhasználót használ, vegye figyelembe, hogy a névvel ellátott felhasználó identitására mutató hivatkozás az Egyesült Államok, Európában (EU) és Délkelet-Ázsiában (Szingapúrban) található.

Az engedélyezési listán szereplő felhasználók vagy csoportok mentesülnek a szabályzatok által a bekapcsolásukkor létrehozott korlátozások és kényszerítések alól. Válassza a Microsoft Entra-felhasználó vagy -csoport hozzáadása lehetőséget a felhasználó vagy csoport listához való hozzáadásához, majd válassza a Hozzáadás lehetőséget. Minden szabályzat saját engedélyezési listával rendelkezik. Ha egy felhasználó szerepel az egyik szabályzat engedélyezési listáján, a többi aktivált szabályzat továbbra is érvényes marad. Más szóval, ha azt szeretné, hogy egy felhasználó mentesüljön az összes szabályzat alól, vegye fel őket az egyes engedélyezési listákba.

A kiszivárgott PAT-k automatikus visszavonása

A Microsoft Entra ID-ban található Azure DevOps Rendszergazda istrator képes kezelni azt a szabályzatot, amely automatikusan visszavonja a kiszivárgott PAT-okat. Ez a szabályzat a Microsoft Entra-bérlőhöz társított összes szervezet összes PAT-jére vonatkozik. Alapértelmezés szerint ez a szabályzat be van kapcsolva. Ha az Azure DevOps PAT-k nyilvános GitHub-adattárakba kerülnek, azok automatikusan vissza lesznek vonva.

Figyelmeztetés:

Ha letiltja ezt a szabályzatot, a nyilvános GitHub-adattárakba bejelentkezett paT-k megmaradnak, és veszélyeztethetik az Azure DevOps-szervezetet és -adatokat, így az alkalmazások és szolgáltatások jelentős kockázatnak vannak kitéve. Ha a szabályzat le van tiltva, és a funkció ki van kapcsolva, akkor is kap egy e-mail-értesítést, amikor megtaláljuk a kiszivárgott PAT-t, de nem vonjuk vissza.

A kiszivárgott PAT-k automatikus visszavonásának kikapcsolása

  1. Jelentkezzen be a szervezetbe (https://dev.azure.com/{yourorganization}).

  2. Válassza a gear iconSzervezeti beállítások lehetőséget.

    Choose the gear icon, Organization settings

  3. A Microsoft Entra ID lapján keresse meg a kiszivárgott személyes hozzáférési jogkivonatok automatikus visszavonására vonatkozó szabályzatot, és állítsa le a kapcsolót.

A szabályzat le van tiltva, és a nyilvános GitHub-adattárakba bejelentkezett paT-k megmaradnak.

Következő lépések

Alkalmazás-hozzáférési szabályzatok módosítása