Szabályzatok használata a felhasználók személyes hozzáférési jogkivonatainak kezeléséhez

Azure DevOps Services

Ez a cikk útmutatást nyújt a Személyes hozzáférési jogkivonatok (PAT-k) Azure DevOpsban való kezeléséhez a Microsoft Entra-szabályzatok használatával. Ismerteti, hogyan korlátozhatja az új vagy megújított PAT-k létrehozását, hatókörét és élettartamát, valamint hogyan kezelheti a kiszivárgott PAT-k automatikus visszavonását. Minden szakasz részletesen ismerteti a megfelelő szabályzatok alapértelmezett viselkedését, így a rendszergazdák hatékonyan szabályozhatják és biztonságossá teheti a PAT használatát a szervezeten belül.

Fontos

A felhasználói felületen és AZ API-kon keresztül létrehozott meglévő PAT-k az élettartamuk hátralévő részében is érvényesek maradnak. Frissítse meglévő PAT-jait, hogy megfeleljenek az új korlátozásoknak a sikeres megújítás érdekében.

Előfeltételek

• Szervezeti kapcsolat: Győződjön meg arról, hogy a szervezet a Microsoft Entra-azonosítóhoz van kapcsolva.
• Szerepkörök: Legyen Azure DevOps-rendszergazda a Microsoft Entra-azonosítóban. A szerepkör ellenőrzéséhez jelentkezzen be az Azure Portalra, és lépjen a Microsoft Entra azonosító>szerepköreihez és rendszergazdáihoz. Ha ön nem Azure DevOps-rendszergazda, nem látja a szabályzatokat. Szükség esetén forduljon a rendszergazdához.

Globális PAT-k létrehozásának korlátozása

A Microsoft Entra Azure DevOps-rendszergazdája korlátozhatja, hogy a felhasználók globális személyes hozzáférési jogkivonatokat (PAT-okat) hozzanak létre, amelyek egyetlen szervezet helyett minden akadálymentes szervezetre érvényesek. Ha ez a szabályzat engedélyezve van, az új PAT-okat adott Azure DevOps-szervezetekkel kell társítani. Ez a szabályzat alapértelmezés szerint ki van kapcsolva.

1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{yourorganization}).

2. Válassza a Szervezeti beállítások lehetőséget.

   

3. Válassza a Microsoft Entra lehetőséget, keresse meg a Globális személyes hozzáférési jogkivonat létrehozásának korlátozására vonatkozó szabályzatot, és helyezze át a kapcsolót.

   

Teljes hatókörű PAT-k létrehozásának korlátozása

A Microsoft Entra Azure DevOps-rendszergazdája korlátozhatja a felhasználókat a teljes hatókörű PAT-k létrehozásában. A szabályzat engedélyezéséhez az új PAT-knak egy adott, egyénileg meghatározott hatókörre kell korlátozódnia. Ez a szabályzat alapértelmezés szerint ki van kapcsolva.

1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{yourorganization}).

2. Válassza a Szervezeti beállítások lehetőséget.

3. Válassza a Microsoft Entra lehetőséget, keresse meg a Teljes hatókörű személyes hozzáférési jogkivonat létrehozásának korlátozására vonatkozó szabályzatot, és helyezze át a kapcsolót.

   

Az új PAT-k maximális élettartamának beállítása

A Microsoft Entra ID-ban található Azure DevOps-rendszergazda meghatározhatja a PAT maximális élettartamát, amely napban van megadva. Ez a szabályzat alapértelmezés szerint ki van kapcsolva.

1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{yourorganization}).

2. Válassza a Szervezeti beállítások lehetőséget.

3. Válassza a Microsoft Entra lehetőséget, keresse meg a személyes hozzáférési jogkivonatok maximális élettartam-szabályzatát, és mozgassa a kapcsolót.

   

4. Adja meg a maximális napok számát, majd válassza a Mentés lehetőséget.

Microsoft Entra-felhasználók vagy -csoportok hozzáadása az engedélyezési listához

Figyelmeztetés

Javasoljuk, hogy használjon csoportokat a bérlői szabályzat engedélyezési listáihoz. Ha nevesített felhasználót használ, az identitásukra mutató hivatkozás az Egyesült Államok, Európában (EU) és Délkelet-Ázsiában (Szingapúrban) található.

Az engedélyezési listán szereplő felhasználók vagy csoportok mentesülnek a szabályzatok korlátozásai és kényszerítései alól, ha engedélyezve vannak. Felhasználó vagy csoport hozzáadásához válassza a Microsoft Entra-felhasználó vagy -csoport hozzáadása, majd a Hozzáadás lehetőséget. Minden szabályzat saját engedélyezési listával rendelkezik. Ha egy felhasználó szerepel az egyik szabályzat engedélyezési listáján, a többi aktivált szabályzat továbbra is érvényes. Ezért ahhoz, hogy egy felhasználó mentesüljön az összes szabályzat alól, vegye fel őket az egyes engedélyezési listákba.

A kiszivárgott PAT-k automatikus visszavonása

A Microsoft Entra ID Azure DevOps-rendszergazdája kezelheti azt a szabályzatot, amely automatikusan visszavonja a kiszivárgott PAT-okat. Ez a szabályzat a Microsoft Entra-bérlőhöz társított szervezeteken belüli összes PAT-ra vonatkozik. Alapértelmezés szerint ez a szabályzat be van kapcsolva. Ha az Azure DevOps PAT-eket a rendszer nyilvános GitHub-adattárakba ellenőrzi, a rendszer automatikusan visszavonja őket.

Figyelmeztetés

A szabályzat letiltása azt jelenti, hogy a nyilvános GitHub-adattárakba bejelentkezett PAT-k aktívak maradnak, ami veszélyeztetheti az Azure DevOps-szervezetet és -adatokat, és jelentős kockázatnak teszi ki az alkalmazásait és szolgáltatásait. Ha a házirend le van tiltva, akkor is kap egy e-mail-értesítést, ha kiszivárog egy pat, de az nem lesz automatikusan visszavonva.

A kiszivárgott PAT-k automatikus visszavonásának kikapcsolása

1. Jelentkezzen be a szervezetébe (https://dev.azure.com/{yourorganization}).

2. Válassza a Szervezeti beállítások lehetőséget.

3. Válassza a Microsoft Entra lehetőséget, keresse meg a kiszivárgott személyes hozzáférési jogkivonatok automatikus visszavonására vonatkozó szabályzatot, és állítsa a kapcsolót kikapcsolva.

A szabályzat le van tiltva, és a nyilvános GitHub-adattárakba bejelentkezett PAT-k aktívak maradnak.

Következő lépések

Alkalmazás-hozzáférési szabályzatok módosítása

Kapcsolódó cikkek

• Szervezetlétrehozás korlátozása a Microsoft Entra bérlői szabályzatával
• Személyes hozzáférési jogkivonatok használata hitelesítéshez
• A Microsoft Entra-azonosítóhoz csatlakoztatott szervezetek listájának lekérése