Delen via

Persoonlijke toegangstokens intrekken voor organisatiegebruikers

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Als een Personal Access Token (PAT) is gecompromitteerd, is het van cruciaal belang om snel te handelen. Beheerders kunnen de PAT van een gebruiker intrekken als een beveiligingsmaatregel om de organisatie te beschermen. Als u het account van een gebruiker uitschakelt, wordt ook de PAT ingetrokken. Er is een vertraging, maximaal één uur, voordat de PAT inactief wordt. Deze latentieperiode blijft bestaan totdat de uit- of verwijderbewerking volledig wordt verwerkt in Microsoft Entra-id.

Vereisten

Toegangsniveau: eigenaar van de organisatie of lid van de groep Beheerders van projectverzamelingen

Tip

Zie Persoonlijke toegangstokens maken of intrekken voor gebruikers als u uw eigen PAW's wilt maken of intrekken.

PAT's intrekken

  1. Als u de OAuth-autorisaties, inclusief PAW's, wilt intrekken voor de gebruikers van uw organisatie, raadpleegt u Tokenintrekkingen - Autorisaties intrekken.
  2. Gebruik dit PowerShell-script om het aanroepen van de nieuwe REST API te automatiseren door een lijst met UPN's (User Principal Names) door te geven. Als u de UPN van de gebruiker die de PAT heeft gemaakt, niet weet, gebruikt u dit script, maar moet dit zijn gebaseerd op een datumbereik.

Notitie

Wanneer u een datumbereik gebruikt, worden alle JSON-webtokens (JWT's) ook ingetrokken. Hulpprogramma's die afhankelijk zijn van deze tokens, werken pas nadat ze zijn vernieuwd met nieuwe tokens.

  1. Nadat u de betrokken PAW's hebt ingetrokken, informeert u uw gebruikers. Ze kunnen hun tokens indien nodig opnieuw maken.

Verloop van FedAuth-token

Er wordt een FedAuth-token uitgegeven wanneer u zich aanmeldt. Het is geldig voor een glijdende periode van zeven dagen. De vervaldatum verlengt automatisch nog eens zeven dagen wanneer u deze vernieuwt in het schuifvenster. Als gebruikers regelmatig toegang hebben tot de service, is alleen een initiële aanmelding nodig. Na een periode van inactiviteit die zeven dagen duurt, wordt het token ongeldig en moet de gebruiker zich opnieuw aanmelden.

Verloop van persoonlijk toegangstoken

Gebruikers kunnen een vervaldatum kiezen voor hun persoonlijke toegangstoken, niet langer dan één jaar. We raden u aan kortere perioden te gebruiken, waarbij nieuwe PAW's worden gegenereerd na verloop van tijd. Gebruikers ontvangen een e-mailmelding één week voordat het token verloopt. Gebruikers kunnen een nieuw token genereren, het verlopen van het bestaande token verlengen of het bereik van het bestaande token wijzigen, indien nodig.

Controlelogboeken

Als uw organisatie is verbonden met Microsoft Entra ID, hebt u toegang tot auditlogboeken die verschillende gebeurtenissen bijhouden, waaronder wijzigingen in machtigingen, verwijderde resources en logboektoegang. Als u moet controleren op intrekkingen of activiteiten wilt onderzoeken, zijn de auditlogboeken een waardevolle resource. Zie Auditlogboeken voor Access, exporteren en filteren voor meer informatie.

Veelgestelde vragen (FAQ's)

V: Wat gebeurt er met een PAT als een gebruiker mijn bedrijf verlaat?

A: Zodra een gebruiker wordt verwijderd uit Microsoft Entra ID, worden de PAW's en FedAuth-tokens binnen een uur ongeldig, omdat het vernieuwingstoken slechts één uur geldig is.

V: Moet ik JSON-webtokens (JWTs) intrekken?

A: Als u JWT's hebt waarvan u denkt dat ze moeten worden ingetrokken, raden we u aan dit te doen. JWT's intrekken die zijn uitgegeven als onderdeel van de OAuth-stroom, via het PowerShell-script. U moet echter de optie datumbereik in het script gebruiken.