Revocare i token di accesso personale per gli utenti dell'organizzazione

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se un token di accesso personale (PAT) è compromesso, è fondamentale agire rapidamente. Gli amministratori possono revocare il pat di un utente come misura di sicurezza per proteggere l'organizzazione. Inoltre, la disabilitazione dell'account di un utente revoca anche il proprio pat. C'è un ritardo, fino a un'ora, prima che il pat diventi inattivo. Questo periodo di latenza persiste fino a quando l'operazione di disabilitazione o eliminazione non viene completamente elaborata in Microsoft Entra ID.

Prerequisiti

Livello di accesso: proprietario o membro dell'organizzazione del gruppo Project Collection Administrators

Suggerimento

Per gli utenti, se si vogliono creare o revocare i propri token di accesso personale, vedere Creare o revocare token di accesso personali.

Revocare le reti AP

1. Per revocare le autorizzazioni OAuth, incluse le procedure di autorizzazione, per gli utenti dell'organizzazione, vedere Revoche di token - Revocare le autorizzazioni.
2. Usare questo script di PowerShell per automatizzare la chiamata alla nuova API REST passando un elenco di nomi di entità utente (UPN). Se non si conosce l'UPN dell'utente che ha creato il pat, usare questo script, ma deve essere basato su un intervallo di date.

Nota

Quando si usa un intervallo di date vengono revocati anche tutti i token Web JSON (JWT). Tutti gli strumenti basati su questi token non funzioneranno fino a quando non vengono aggiornati con nuovi token.

3. Dopo aver revocato correttamente i criteri di accesso utente interessati, informare gli utenti. Possono ricreare i token in base alle esigenze.

Scadenza del token FedAuth

Un token FedAuth viene emesso al momento dell'accesso. È valido per una finestra scorrevole di sette giorni. La scadenza estende automaticamente altri sette giorni ogni volta che lo si aggiorna all'interno della finestra temporale scorrevole. Se gli utenti accedono regolarmente al servizio, è necessario solo un accesso iniziale. Dopo un periodo di inattività che estende sette giorni, il token diventa non valido e l'utente deve eseguire di nuovo l'accesso.

Scadenza del token di accesso personale

Gli utenti possono scegliere una data di scadenza per il token di accesso personale, non superare un anno. È consigliabile usare periodi di tempo più brevi, generando nuovi TOKEN alla scadenza. Gli utenti ricevono un messaggio di posta elettronica di notifica una settimana prima della scadenza del token. Gli utenti possono generare un nuovo token, estendere la scadenza del token esistente o modificare l'ambito del token esistente, se necessario.

Log di controllo

Se l'organizzazione è connessa a Microsoft Entra ID, si ha accesso ai log di controllo che tengono traccia di vari eventi, tra cui modifiche alle autorizzazioni, risorse eliminate e accesso al log, tra le altre cose. Se è necessario verificare la presenza di revoche o analizzare eventuali attività, i log di controllo sono una risorsa preziosa. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.

Domande frequenti

D: Cosa accade a un pat se un utente lascia la mia azienda?

R: Dopo che un utente viene rimosso da Microsoft Entra ID, i token PAT e FedAuth invalidano entro un'ora, poiché il token di aggiornamento è valido solo per un'ora.

D: È consigliabile revocare i token Web JSON (JWT)?

R: Se si dispone di JWT che si ritiene debbano essere revocati, è consigliabile farlo. Revocare I token JWT, rilasciati come parte del flusso OAuth, tramite lo script di PowerShell. Tuttavia, è necessario usare l'opzione intervallo di date nello script.

Articoli correlati

• Come Microsoft protegge i progetti e i dati in Azure DevOps
• Creare o revocare i token di accesso personali