Bagikan melalui

Mengelola token akses pribadi menggunakan kebijakan (untuk administrator)

Azure DevOps Services

Artikel ini menyediakan panduan tentang cara menggunakan kebijakan penyewa dan organisasi untuk mengelola token akses pribadi (PATs) di Azure DevOps. Ini menjelaskan cara membatasi pembuatan, cakupan, dan masa pakai EK baru atau yang diperbarui, dan cara menangani pencabutan otomatis EK yang bocor.

Setiap bagian merinci perilaku default masing-masing kebijakan untuk membantu administrator mengontrol dan mengamankan penggunaan PAT secara efektif dalam organisasi mereka.

Penting

Pertimbangkan untuk menggunakan token Microsoft Entra yang lebih aman daripada token akses personal yang berisiko lebih tinggi. Untuk informasi selengkapnya, lihat Mengurangi penggunaan PAT. Tinjau panduan autentikasi untuk memilih mekanisme autentikasi yang tepat untuk kebutuhan Anda.

PATs yang ada, yang dibuat melalui UI dan API, tetap berlaku selama sisa masa pakainya. Perbarui PAT yang ada untuk mematuhi pembatasan baru untuk memastikan keberhasilan perpanjangan.

Petunjuk / Saran

Anda dapat menggunakan AI untuk membantu tugas ini nanti dalam artikel ini, atau lihat Mengaktifkan bantuan AI dengan Azure DevOps MCP Server untuk memulai.

Prasyarat

Kategori Persyaratan
penyewa Microsoft Entra Organisasi Anda ditautkan ke penyewa Microsoft Entra.
Izin

Menambahkan pengguna atau grup Microsoft Entra ke daftar perbolehan kebijakan

Peringatan

Gunakan grup untuk daftar izin Anda. Jika Anda mencantumkan pengguna bernama, referensi ke identitas mereka berada di United States, Eropa (UE), dan Asia Tenggara (Singapura).

Pengguna atau grup pada daftar yang diizinkan untuk salah satu kebijakan ini dikecualikan dari pembatasan dan penerapan saat kebijakan diaktifkan.

Setiap kebijakan memiliki daftar izin uniknya sendiri. Untuk mengecualikan pengguna dari semua kebijakan, tambahkan pengguna ke setiap daftar yang diizinkan. Untuk kebijakan penyewa, pilih Tambahkan pengguna atau grup Microsoft Entra, lalu pilih Tambahkan.

Membatasi pembuatan PATs global (kebijakan penyewa)

Administrator Azure DevOps dapat membatasi pengguna untuk membuat PAT global, yang dapat digunakan di semua organisasi yang dapat diakses, bukan hanya satu organisasi. Saat kebijakan ini diaktifkan, PATs baru harus dikaitkan dengan organisasi Azure DevOps tertentu. Secara default, kebijakan ini diatur ke nonaktif.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{Your_Organization}).

  2. Pilih ikon gigiPengaturan organisasi.

    Cuplikan layar memperlihatkan tombol Pengaturan organisasi di bar samping.

  3. Pilih Microsoft Entra, temukan kebijakan Batasi pembuatan token akses pribadi global dan aktifkan tombol on.

    Cuplikan layar tombol beralih ke posisi untuk Membatasi kebijakan pembuatan PAT global.

Membatasi pembuatan PAT dengan cakupan penuh (kebijakan penyewa)

Administrator-administrator Azure DevOps dapat membatasi pengguna dari membuat Token Akses Pribadi (TAP) yang tercakup penuh. Mengaktifkan kebijakan ini mengharuskan TRO baru dibatasi pada sekumpulan cakupan tertentu yang ditentukan khusus. Secara default, kebijakan ini diatur ke nonaktif.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigiPengaturan organisasi.

  3. Pilih Microsoft Entra, cari Batasi kebijakan pembuatan token akses pribadi cakupan penuh dan alih sakelar ke posisi hidup.

    Cuplikan layar tombol beralih ke posisi aktif untuk kebijakan Pembuatan PAT batasi cakupan penuh.

Mengatur masa pakai maksimum untuk PAT baru (kebijakan penyewa)

Azure DevOps Administrator dapat menentukan umur maksimum PAT, menentukannya dalam beberapa hari. Secara default, kebijakan ini diatur ke nonaktif.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigiPengaturan organisasi.

  3. Pilih Microsoft Entra, temukan kebijakan Berlakukan masa pakai token pribadi maksimum dan pindahkan tombol on.

    Cuplikan layar dari pengalih yang dipindahkan ke posisi aktif untuk kebijakan

  4. Masukkan jumlah hari maksimum, lalu pilih Simpan.

Membatasi pembuatan token akses pribadi (kebijakan organisasi)

Nota

Kebijakan ini hanya tersedia untuk organisasi yang didukung Microsoft Entra.

Administrator Koleksi Proyek dapat mengontrol siapa yang membuat dan meregenerasi PATs di organisasi yang mereka kelola. Secara default, kebijakan ini diatur ke nonaktif. Token Akses Pribadi yang telah ada terus berfungsi hingga tanggal kedaluwarsa token tersebut.

Petunjuk / Saran

Gabungkan kebijakan ini dengan durasi singkat yang ditetapkan untuk kebijakan "Tetapkan umur maksimum untuk PAT baru" untuk menurunkan penggunaan PAT di organisasi Anda.

Kebijakan ini juga memblokir penggunaan PAT global dalam organisasi. Pengguna PAT global harus ditambahkan ke daftar yang diizinkan untuk terus menggunakan PAT global mereka di organisasi.

  1. Masuk ke organisasi Anda (https://dev.azure.com/{Your_Organization}).

  2. Pilih ikon gigiPengaturan organisasi.

  3. Pilih Kebijakan, temukan kebijakan pembuatan Batasi token akses pribadi (PAT ).

    Cuplikan layar pengalih dipindahkan ke posisi aktif dan sub-kebijakan diperiksa untuk kebijakan pembatasan pembuatan token akses pribadi.

  4. Jika anggota organisasi Anda secara teratur menggunakan PAT pengemasan, pilih kotak centang Izinkan pembuatan PAT dengan cakupan kemasan saja . Banyak skenario pengemasan masih mengandalkan PAT dan belum sepenuhnya beralih ke autentikasi berbasis Microsoft Entra. Ketika kebijakan ini diaktifkan, pengguna yang tidak berada di daftar yang diizinkan hanya memiliki akses ke cakupan pengemasan di halaman "Token akses pribadi" mereka.

    Cuplikan layar cakupan pengemasan hanya tersedia di modal Buat token akses pribadi baru pengguna.

  5. Jika ada Microsoft Entra pengguna atau grup yang memerlukan akses berkelanjutan ke PATs, tambahkan mereka ke daftar yang diizinkan dengan memilih Kelola dan mencari pengguna atau grup di menu dropdown. Setelah pembaruan daftar yang diizinkan selesai, pilih kotak centang di samping Perbolehkan pembuatan PAT dari cakupan apa pun untuk pengguna dan grup Microsoft Entra yang dipilih.

  6. Pindahkan tombol ke aktif agar kebijakan pembatasan diterapkan. Subpolitik yang dipilih tidak berlaku sampai sakelar diaktifkan.

Mencabut PAT yang bocor secara otomatis (kebijakan tenant)

Azure DevOps Administrator dapat mengelola kebijakan yang secara otomatis mencabut PAT yang bocor. Kebijakan ini berlaku untuk semua PATS dalam organisasi yang ditautkan ke penyewa Microsoft Entra Anda. Secara default, kebijakan ini diatur ke aktif. Jika Azure DevOps PAT diperiksa ke repositori GitHub publik, mereka akan dicabut secara otomatis.

Peringatan

Menonaktifkan kebijakan ini berarti setiap PAT yang diperiksa ke repositori GitHub publik tetap aktif, berpotensi membahayakan organisasi dan data Azure DevOps Anda, dan menempatkan aplikasi dan layanan Anda pada risiko yang signifikan. Bahkan dengan kebijakan dinonaktifkan, Anda masih menerima pemberitahuan email jika PAT bocor, tetapi tidak dicabut secara otomatis.

Nonaktifkan pencabutan otomatis Token Akses Pribadi yang bocor

  1. Masuk ke organisasi Anda (https://dev.azure.com/{yourorganization}).

  2. Pilih ikon gigiPengaturan organisasi.

  3. Pilih Microsoft Entra, cari kebijakan Cabut token akses pribadi yang bocor secara otomatis dan pindahkan tombol geser ke off.

Kebijakan dinonaktifkan dan setiap PAT yang dimasukkan ke dalam repositori GitHub publik tetap aktif.

Menggunakan AI untuk mengelola kebijakan PAT

Jika Anda memiliki Azure DevOps MCP Server dikonfigurasi, Anda dapat menggunakan asisten AI untuk mengelola dan mengaudit kebijakan token akses pribadi menggunakan perintah bahasa alami. Server MCP memberi asisten AI Anda akses aman ke data Azure DevOps Anda, memungkinkan Anda memeriksa pengaturan kebijakan, mencantumkan token, dan meninjau aktivitas PAT tanpa menavigasi melalui antarmuka web.

Contoh perintah untuk mengelola kebijakan PAT

Tugas Contoh tanggapan
Menerapkan kebijakan token hak istimewa terkecil Restrict full-scoped PATs in <organization-name> and set the maximum lifetime to 90 days for all new tokens
Membuat laporan kepatuhan token Show all PATs in <organization-name> that exceed the 90-day lifetime policy or have full access scope, grouped by user
Bersiap untuk migrasi Identitas Terkelola List all PATs in <organization-name> used for automated pipelines and suggest which ones could be replaced with managed identity or service principal authentication
Menyiapkan Token Akses Pribadi yang di-whitelisted Configure the PAT policy for <organization-name> to allow only tokens with Code Read, Work Items Read, and Build Execute scopes
Memantau pelanggaran kebijakan Show me the audit log entries for PAT creation events in <organization-name> over the last 30 days that violated any active policy
Meninjau pola penggunaan token For each user in <organization-name>, show the count of active PATs, their broadest scope, and when each was last used

Petunjuk / Saran

Jika Anda menggunakan Visual Studio Code, mode agent sangat membantu untuk mengaudit penggunaan PAT dan mengidentifikasi token yang memerlukan rotasi atau pencabutan.

  • Untuk menghindari penggunaan data basi atau cache dari kueri sebelumnya, tambahkan ke perintah Anda, Do not use previously fetched data.

Langkah selanjutnya

Mengubah kebijakan akses aplikasi

Konten terkait

  • Last updated on