組織のユーザーの個人用アクセス トークンを取り消す

  • [アーティクル]

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

個人用アクセス トークン (PAT) が侵害された場合は、直ちに対処してください。 組織を保護するための予防措置として、管理者がユーザーの PAT を取り消す方法について説明します。 また、PAT を取り消すユーザーを無効にすることもできます。 ただし、MICROSOFT Entra ID で disable 関数または delete 関数が完了すると、PAT の動作が停止するまでの待機時間 (最大 1 時間) があります。

前提条件

ユーザーの AT を取り消すことができるのは、組織の所有者またはプロジェクト コレクション 管理istrators グループのメンバーだけです。 Project Collection 管理istrators グループのメンバーでない場合は、1 つとして追加します。 組織の所有者を検索する方法については、「組織の所有者を検索する」を参照してください

ユーザーについては、独自の AT を作成または取り消す場合は、「個人用アクセス トークンの作成または取り消し」を参照してください

AT の取り消し

  1. 組織のユーザーの OAuth 承認 (AT を含む) を取り消すには、「トークン失効 - 承認の取り消し」を参照してください
  2. この PowerShell スクリプト を使用して、ユーザー プリンシパル名 (UPN) の一覧を渡すことで、新しい REST API の呼び出しを自動化します。 PAT を作成したユーザーの UPN がわからない場合は、このスクリプトを使用しますが、日付範囲に基づいている必要があります。

Note

日付範囲を使用すると、JSON Web トークン (JWT) も取り消されます。 また、これらのトークンに依存するすべてのツールは、新しいトークンで更新されるまで機能しません。

  1. 影響を受ける AT を正常に取り消したら、ユーザーに通知します。 必要に応じてトークンを再作成できます。

FedAuth トークンの有効期限

サインインすると、FedAuth トークンが発行されます。 7 日間のスライディング ウィンドウに対して有効です。 有効期限は、スライディング ウィンドウ内で更新するたびに、自動的にさらに 7 日間延長されます。 ユーザーがサービスに定期的にアクセスする場合は、最初のサインインのみが必要です。 非アクティブな期間が 7 日間続くと、トークンは無効になり、ユーザーはもう一度サインインする必要があります。

個人用アクセス トークンの有効期限

ユーザーは、個人用アクセス トークンの有効期限を 1 年を超えないように選択できます。 短い期間を使用して、有効期限が切れたときに新しい AT を生成することをお勧めします。 ユーザーは、トークンの有効期限が切れる 1 週間前に通知メールを受け取ります。 ユーザーは、新しいトークンを生成したり、既存のトークンの有効期限を延長したり、必要に応じて既存のトークンのスコープを変更したりできます。

よく寄せられる質問 (FAQ)

Q: ユーザーが退職した場合はどうしますか?

A: ユーザーが Microsoft Entra ID から削除されると、更新トークンは 1 時間以内に有効になるため、1 時間以内に 1 つの PAT トークンと FedAuth トークンが無効になります。

Q: JSON Web トークン (JWT) についてはどうですか?

A: PowerShell スクリプトを使用して、OAuth フローの一部として発行された JWT を取り消します。 ただし、スクリプトでは日付範囲オプションを使用する必要があります。