Azure DevOps Services
이 문서에서는 테넌트 및 조직 정책을 사용하여 Azure DevOps 개인용 액세스 토큰(PAT)을 관리하는 방법에 대한 지침을 제공합니다. 신규 또는 갱신된 PAT의 생성, 범위 및 수명을 제한하는 방법과 유출된 PAT의 자동 해지를 처리하는 방법을 설명합니다.
각 섹션에서는 관리자가 조직 내에서 PAT 사용을 효과적으로 제어하고 보호하는 데 도움이 되는 각 정책의 기본 동작에 대해 자세히 설명합니다.
중요합니다
더 안전한 Microsoft Entra 토큰을 위험도가 높은 개인 액세스 토큰 대신 사용하는 것을 고려하십시오. 자세한 내용은 PAT 사용량 줄이기를 참조하세요. 인증 지침을 검토하여 요구 사항에 적합한 인증 메커니즘을 선택합니다.
UI와 API를 통해 만든 기존 PAT는 남은 수명 동안 유효합니다. 성공적인 갱신을 위해 새 제한을 준수하도록 기존 PAT를 업데이트합니다.
팁 (조언)
이 문서의 뒷부분에서 AI를 사용하여 이 작업을 지원하거나 시작하려면 Azure DevOps MCP Server에 지원 가능한 AI 지원을 참조하세요.
필수 조건
| 범주 | 요구 사항 |
|---|---|
| Microsoft Entra 테넌트 | 조직은 Microsoft Entra 테넌트에 연결됩니다. |
| 사용 권한 |
|
정책 허용 목록에 Microsoft Entra 사용자 또는 그룹 추가
경고
허용 목록에 그룹을 사용합니다. 명명된 사용자를 나열하는 경우 해당 ID에 대한 참조는 미국, 유럽(EU) 및 동남 아시아(싱가포르)에 상주합니다.
이러한 정책의 허용 목록에 있는 사용자 또는 그룹은 정책을 사용하도록 설정된 경우 제한 사항 및 적용에서 제외됩니다.
각 정책에는 고유한 허용 목록이 있습니다. 모든 정책에서 사용자를 제외하려면 각 허용 목록에 추가합니다. 테넌트 정책의 경우 Microsoft Entra 사용자 또는 그룹 추가를 선택한 다음, Add 선택합니다.
전역 PAT 생성 제한(테넌트 정책)
Azure DevOps 관리자는 사용자가 단일 조직이 아닌 모든 액세스 가능한 조직에서 사용할 수 있는 글로벌 PAT를 만들지 못하도록 제한할 수 있습니다. 이 정책을 사용하도록 설정하면 새 PAT를 특정 Azure DevOps 조직과 연결해야 합니다. 기본적으로 이 정책은 해제로 설정됩니다.
조직에 로그인합니다().
조직 설정을 선택합니다 기어 아이콘.
사이드바의 조직 설정 단추를 보여 주는 스크린샷
Microsoft Entra를 선택하고, 전역 개인용 액세스 토큰 생성 제한 정책을 찾은 후, 토글을 on으로 설정합니다.
전역 PAT 생성 제한 정책을 켜기 위해 위치를 이동한 토글의 스크린샷
전체 범위의 PAT 만들기 제한(테넌트 정책)
Azure DevOps 관리자는 사용자가 전체 범위의 PAT를 만들지 못하도록 제한할 수 있습니다. 이 정책을 사용하도록 설정하려면 새 PAT를 특정 사용자 지정 정의 범위 집합으로 제한해야 합니다. 기본적으로 이 정책은 해제로 설정됩니다.
조직에 로그인합니다().
조직 설정을 선택합니다 기어 아이콘.
Microsoft Entra를 선택하고, (전체 범위) 개인 액세스 토큰 생성 제한 정책을 찾고, 토글을 on으로 이동합니다.
전체 범위 PAT 생성 제한 정책에서 토글을 켠 위치로 이동한 스크린샷
새 PAT의 최대 수명 설정(테넌트 정책)
Azure DevOps 관리자는 PAT의 최대 수명을 정의하여 일 단위로 지정할 수 있습니다. 기본적으로 이 정책은 해제로 설정됩니다.
조직에 로그인합니다().
조직 설정을 선택합니다 기어 아이콘.
Microsoft Entra를 선택하고, 최대 개인 액세스 토큰 수명 강제 정책을 찾은 후 토글을 켜기로 이동합니다.
최대 PAT 수명 정책 적용을 위해 위치로 이동된 토글의 스크린샷
최대 일 수를 입력한 다음 저장을 선택합니다.
개인 액세스 토큰 만들기 제한(조직 정책)
비고
이 정책은 Microsoft Entra 지원되는 조직에서만 사용할 수 있습니다.
프로젝트 컬렉션 관리자는 관리하는 조직에서 PAT를 만들고 다시 생성하는 사용자를 제어할 수 있습니다. 기본적으로 이 정책은 해제로 설정됩니다. 기존 PAT는 PAT의 만료 날짜까지 계속 작동합니다.
팁 (조언)
이 정책을 "새 PAT의 최대 수명 설정" 정책에 대한 짧은 기간 집합과 결합하여 조직의 PAT 사용량을 줄입니다.
또한 이 정책은 조직의 전역 PAT 사용도 차단합니다. 조직에서 전역 PAT를 계속 사용하려면 전역 PAT 사용자를 허용 목록에 추가해야 합니다.
조직에 로그인합니다().
조직 설정을 선택합니다 기어 아이콘.
정책을 선택하고 PAT(개인 액세스 토큰 제한) 만들기 정책을 찾습니다.
개인 액세스 토큰 생성 정책 제한에 대해 선택된 위치 및 하위 정책으로 이동된 토글의 스크린샷
조직 구성원이 정기적으로 패키징 PAT를 사용하는 경우 패키징 범위로만 PAT 만들기 허용 확인란을 선택합니다. 많은 패키징 시나리오는 여전히 PAT를 사용하며 Microsoft Entra 기반 인증으로 완전히 전환되지 않았습니다. 이 정책을 사용하도록 설정하면 허용 목록에 없는 사용자는 "개인 액세스 토큰" 페이지의 패키징 범위에만 액세스할 수 있습니다.
사용자의 새 개인 액세스 토큰 모달 만들기에서만 사용할 수 있는 패키징 범위의 스크린샷
Microsoft Entra 사용자 또는 그룹이 계속해서 PAT에 액세스해야 하는 경우 관리을 선택하고 드롭다운에서 사용자 또는 그룹을 검색하여 허용 목록에 추가합니다. 허용 목록 업데이트가 완료되면 선택한 Microsoft Entra 사용자 및 그룹에 대한 모든 범위의 PAT 만들기 허용 옆의 확인란을 선택합니다.
제한 정책을 적용하려면 토글을 켜 위치로 이동합니다. 토글이 켜질 때까지 선택한 하위 정치가 적용되지 않습니다.
유출된 PAT를 자동으로 해지(테넌트 정책)
Azure DevOps 관리자는 유출된 PAT를 자동으로 해지하는 정책을 관리할 수 있습니다. 이 정책은 Microsoft Entra 테넌트에 연결된 조직 내의 모든 PAT에 적용됩니다. 기본적으로 이 정책은 켜지도록 설정됩니다. Azure DevOps PAT가 공용 GitHub 리포지토리에 체크 인되면 자동으로 해지됩니다.
경고
이 정책을 사용하지 않도록 설정하면 공용 GitHub 리포지토리에 체크 인된 모든 PAT가 활성 상태로 유지되어 Azure DevOps 조직 및 데이터가 손상되고 애플리케이션과 서비스가 심각한 위험에 노출될 수 있습니다. 정책을 사용하지 않도록 설정하더라도 PAT가 유출된 경우에도 전자 메일 알림이 계속 수신되지만 자동으로 해지되지는 않습니다.
유출된 PAT의 자동 해지 끄기
조직에 로그인합니다().
조직 설정을 선택합니다 기어 아이콘.
Microsoft Entra를 선택하고, 유출된 개인 액세스 토큰을 자동으로 취소하는 정책을 찾은 다음 토글을 끄기로 이동합니다.
정책이 비활성화되고 공용 GitHub 리포지토리에 체크 인된 모든 PAT가 활성 상태로 유지됩니다.
AI를 사용하여 PAT 정책 관리
Azure DevOps MCP Server 구성된 경우 AI 도우미를 사용하여 자연어 프롬프트를 사용하여 개인 액세스 토큰 정책을 관리하고 감사할 수 있습니다. MCP 서버는 AI 도우미에게 Azure DevOps 데이터에 대한 보안 액세스를 제공하여 웹 인터페이스를 탐색하지 않고도 정책 설정을 확인하고, 토큰을 나열하고, PAT 활동을 검토할 수 있습니다.
PAT 정책 관리를 위한 예제 프롬프트
| 과업 | 예제 프롬프트 |
|---|---|
| 최소 권한 토큰 정책 적용 | Restrict full-scoped PATs in <organization-name> and set the maximum lifetime to 90 days for all new tokens |
| 토큰 준수 보고서 생성 | Show all PATs in <organization-name> that exceed the 90-day lifetime policy or have full access scope, grouped by user |
| 관리 ID 마이그레이션 준비 | List all PATs in <organization-name> used for automated pipelines and suggest which ones could be replaced with managed identity or service principal authentication |
| 허용 목록에 있는 PAT 설정 | Configure the PAT policy for <organization-name> to allow only tokens with Code Read, Work Items Read, and Build Execute scopes |
| 정책 위반 모니터링 | Show me the audit log entries for PAT creation events in <organization-name> over the last 30 days that violated any active policy |
| 토큰 사용 패턴 검토 | For each user in <organization-name>, show the count of active PATs, their broadest scope, and when each was last used |
팁 (조언)
Visual Studio Code 사용하는 경우 agent 모드 PAT 사용을 감사하고 회전 또는 해지가 필요한 토큰을 식별하는 데 특히 유용합니다.
- 이전 쿼리에서 부실 또는 캐시된 데이터를 사용하지 않도록 하려면 프롬프트 에 추가합니다.
다음 단계:
애플리케이션 액세스 정책 변경
관련 콘텐츠
- Microsoft Entra 테넌트 정책으로 조직 생성을 제한하기
- 개인 액세스 토큰을 사용하여 인증
- 조직 사용자의 개인 액세스 토큰 해지(관리자용)
- Microsoft Entra를 사용하여 Azure DevOps에 인증합니다