Menggunakan kebijakan untuk mengelola token akses pribadi bagi pengguna

  • Artikel

Azure DevOps

Anda dapat membatasi pembuatan, cakupan, dan masa pakai token akses pribadi (PATs) baru atau yang diperbarui untuk pengguna di Azure DevOps dengan mengaktifkan kebijakan Microsoft Entra. Anda juga dapat mengelola pencabutan otomatis EK yang bocor. Pelajari perilaku default untuk setiap kebijakan di bagiannya sendiri di artikel ini.

Penting

PATs yang ada, dibuat melalui UI dan API, berlaku per sisa masa pakainya. Perbarui PAT Anda yang ada untuk mematuhi pembatasan baru, lalu mereka dapat berhasil diperpanjang.

Prasyarat

Untuk memeriksa peran Anda, masuk ke portal Azure, lalu pilih Peran dan administrator ID>Microsoft Entra. Jika Anda bukan administrator Azure DevOps, hubungi administrator Anda.

Membatasi pembuatan PAT global

Administrator Azure DevOps di Microsoft Entra membatasi pengguna untuk membuat PATs global. Token global berlaku untuk semua organisasi yang dapat diakses, bukan satu organisasi. Mengaktifkan kebijakan ini berarti bahwa PAT baru harus dikaitkan dengan organisasi Azure DevOps tertentu. Secara default, kebijakan ini diatur ke nonaktif.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih gear iconPengaturan organisasi.

    Choose the gear icon, Organization settings

  3. Di tab ID Microsoft Entra, temukan kebijakan Batasi pembuatan token akses pribadi global dan pindahkan tombol ke aktif.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Membatasi pembuatan PAT dengan cakupan penuh

Administrator Azure DevOps di Microsoft Entra membatasi pengguna untuk membuat PAT cakupan penuh. Mengaktifkan kebijakan ini berarti PAT baru harus dibatasi pada sekumpulan cakupan tertentu yang ditentukan. Secara default, kebijakan ini diatur ke nonaktif.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih gear iconPengaturan organisasi.

    Choose the gear icon, Organization settings

  3. Di tab ID Microsoft Entra, temukan *Batasi pembuatan token akses pribadi yang dicakup penuh *kebijakan dan pindahkan tombol ke aktif.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Mengatur masa pakai maksimum untuk PAT baru

Administrator Azure DevOps di ID Microsoft Entra menentukan umur maksimum PAT. Masa pakai maksimum untuk token baru dapat ditentukan dalam jumlah hari. Secara default, kebijakan ini diatur ke nonaktif.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih gear iconPengaturan organisasi.

    Choose the gear icon, Organization settings

  3. Di tab ID Microsoft Entra, temukan kebijakan Berlakukan masa pakai token akses pribadi maksimum dan pindahkan tombol ke aktif.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Masukkan jumlah hari maksimum, lalu pilih Simpan.

Menambahkan pengguna atau grup Microsoft Entra ke daftar yang diizinkan

Peringatan

Sebaiknya gunakan grup dengan daftar izin kebijakan penyewa Anda. Jika Anda menggunakan pengguna bernama, ketahuilah bahwa referensi ke identitas pengguna bernama akan berada di Amerika Serikat, Eropa (UE), dan Asia Tenggara (Singapura).

Pengguna atau grup pada daftar yang diizinkan dikecualikan dari pembatasan dan penerapan yang dibuat oleh kebijakan ini saat diaktifkan. Pilih Tambahkan pengguna atau grup Microsoft Entra untuk menambahkan pengguna atau grup ke daftar, lalu pilih Tambahkan. Setiap kebijakan memiliki daftar izinnya sendiri. Jika pengguna berada dalam daftar yang diizinkan untuk satu kebijakan, kebijakan lain yang diaktifkan masih berlaku. Dengan kata lain, jika Anda ingin pengguna dikecualikan dari semua kebijakan, Anda harus menambahkannya ke setiap daftar yang diizinkan.

Mencabut TRO yang bocor secara otomatis

Administrator Azure DevOps di ID Microsoft Entra dapat mengelola kebijakan yang secara otomatis mencabut TRO yang bocor. Kebijakan ini berlaku untuk semua PAT dalam semua organisasi yang ditautkan ke penyewa Microsoft Entra Anda. Secara default, kebijakan ini diatur ke aktif. Jika PAT Azure DevOps diperiksa ke repositori GitHub publik, mereka secara otomatis dicabut.

Peringatan

Jika Anda menonaktifkan kebijakan ini, setiap PAT yang diperiksa ke repositori GitHub publik akan tetap ada dan dapat membahayakan organisasi dan data Azure DevOps Anda, menempatkan aplikasi dan layanan Anda pada risiko yang signifikan. Dengan kebijakan dinonaktifkan dan fitur dinonaktifkan, Anda masih menerima pemberitahuan email ketika kami menemukan PAT Anda bocor, tetapi kami tidak mencabutnya.

Menonaktifkan pencabutan otomatis PAT yang bocor

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih gear iconPengaturan organisasi.

    Choose the gear icon, Organization settings

  3. Di tab ID Microsoft Entra, temukan kebijakan Token akses pribadi yang bocor secara otomatis dicabut dan pindahkan tombol ke nonaktif.

Kebijakan dinonaktifkan dan setiap PAT yang diperiksa ke repositori GitHub publik tetap ada.

Langkah berikutnya

Mengubah kebijakan akses aplikasi