組織のユーザーの個人用アクセス トークンを取り消す
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
個人用アクセス トークン (PAT) が侵害された場合は、迅速に行動することが重要です。 管理者は、組織を保護するためにユーザーの PAT を取り消すことができます。 ユーザーのアカウントを無効にすると、PAT も取り消されます。
ユーザーの AT を取り消す理由
ユーザーの AT の取り消しは、次の理由で不可欠です。
- 侵害されたトークン: トークンが侵害された場合に未承認のアクセスを防止します。
- ユーザーが組織を離れる: 元従業員がアクセスできないようにします。
- アクセス許可の変更: 古いアクセス許可を反映するトークンを無効にします。
- セキュリティ侵害: 侵害時の未承認のアクセスを軽減します。
- 通常のセキュリティ プラクティス: セキュリティ ポリシーの一部として、トークンを定期的に取り消して再発行します。
前提条件
権限: プロジェクト コレクション管理者グループのメンバーになります。 組織の所有者は、自動的にこのグループのメンバーになります。
ヒント
独自の AT を作成または取り消すには、「AT の作成または取り消し」を参照してください。
AT の取り消し
- 組織のユーザーの OAuth 承認 (AT を含む) を取り消すには、「トークン失効 - 承認の取り消し」を参照してください。
- REST API の呼び出しを自動化するには、ユーザー プリンシパル名 (UPN) の一覧を渡すこの PowerShell スクリプトを使用します。 PAT を作成したユーザーの UPN がわからない場合は、指定した日付範囲でこのスクリプトを使用します。
Note
日付範囲を使用すると、JSON Web トークン (JWT) も取り消されます。 これらのトークンに依存するツールは、新しいトークンで更新されるまで機能しません。
- 影響を受ける AT を正常に取り消したら、ユーザーに通知します。 必要に応じてトークンを再作成できます。
PAT が非アクティブになるまでに最大 1 時間の遅延が発生する可能性があります。この待機時間は、Microsoft Entra ID で無効化または削除操作が完全に処理されるまで保持されるためです。
FedAuth トークンの有効期限
サインインすると、FedAuth トークンが発行されます。 7 日間のスライディング ウィンドウに対して有効です。 有効期限は、スライディング ウィンドウ内で更新するたびに、自動的にさらに 7 日間延長されます。 ユーザーがサービスに定期的にアクセスする場合は、最初のサインインのみが必要です。 非アクティブな期間が 7 日間続くと、トークンは無効になり、ユーザーはもう一度サインインする必要があります。
PAT の有効期限
ユーザーは PAT の有効期限を 1 年を超えないように選択できます。 より短い期間を使用し、有効期限が切れたときに新しい AT を生成することをお勧めします。 ユーザーは、トークンの有効期限が切れる 1 週間前に通知メールを受け取ります。 ユーザーは、新しいトークンを生成したり、既存のトークンの有効期限を延長したり、必要に応じて既存のトークンのスコープを変更したりできます。
監査ログ
組織が Microsoft Entra ID に接続されている場合は、アクセス許可の変更、削除されたリソース、ログ アクセスなど、さまざまなイベントを追跡する監査ログにアクセスできます。 これらの監査ログは、失効を確認したり、アクティビティを調査したりするために役立ちます。 詳細については、「監査ログへのアクセス、エクスポート、およびフィルター処理」を参照してください。
よく寄せられる質問 (FAQ)
Q: ユーザーが退職した場合、PAT はどうなりますか?
A: ユーザーが Microsoft Entra ID から削除されると、更新トークンは 1 時間以内に有効になるため、1 時間以内に PAT トークンと FedAuth トークンが無効になります。
Q: JSON Web トークン (JWT) を取り消す必要がありますか?
A: 取り消す必要があると思われる JWT がある場合は、速やかに取り消することをお勧めします。 PowerShell スクリプトを使用して、OAuth フローの一部として発行された JWT を取り消します。 スクリプトでは必ず日付範囲オプションを使用してください。