Beleid gebruiken om persoonlijke toegangstokens voor gebruikers te beheren

  • Artikel

Azure DevOps Services

U kunt het maken, bereik en de levensduur van nieuwe of vernieuwde persoonlijke toegangstokens (PAT's) voor gebruikers in Azure DevOps beperken door Microsoft Entra-beleid in te schakelen. U kunt ook automatische intrekking van gelekte PAW's beheren. Meer informatie over het standaardgedrag voor elk beleid in een eigen sectie van dit artikel.

Belangrijk

Bestaande PAW's, gemaakt via de gebruikersinterface en API's, zijn van toepassing op de rest van hun levensduur. Werk uw bestaande PAW's bij om te voldoen aan de nieuwe beperking en vervolgens kunnen ze worden vernieuwd.

Vereisten

Als u uw rol wilt controleren, meldt u zich aan bij Azure Portal en kiest u vervolgens Microsoft Entra ID-rollen>en -beheerders. Als u geen Azure DevOps-beheerder bent, neemt u contact op met de beheerder.

Het maken van globale PAT's beperken

Met de Azure DevOps-Beheer istrator in Microsoft Entra kunnen gebruikers geen globale PAT's maken. Globale tokens zijn van toepassing op alle toegankelijke organisaties, in plaats van één organisatie. Als u dit beleid inschakelt, moeten nieuwe PAW's worden gekoppeld aan specifieke Azure DevOps-organisaties. Dit beleid is standaard ingesteld op uit.

  1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

  2. Kies gear iconOrganisatie-instellingen.

    Choose the gear icon, Organization settings

  3. Zoek op het tabblad Microsoft Entra ID het beleid voor het maken van een algemeen persoonlijk toegangstoken beperken en verplaats de wisselknop naar aan.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Het maken van volledige PAT's beperken

Met de Azure DevOps-Beheer istrator in Microsoft Entra kunnen gebruikers geen volledige PAT's maken. Als u dit beleid inschakelt, moeten nieuwe PAW's worden beperkt tot een specifieke, aangepaste set bereiken. Dit beleid is standaard ingesteld op uit.

  1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

  2. Kies gear iconOrganisatie-instellingen.

    Choose the gear icon, Organization settings

  3. Zoek op het tabblad Microsoft Entra-id het maken van een *beleid voor het maken van een volledig persoonlijk toegangstoken beperken en verplaats de wisselknop naar aan.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Maximale levensduur instellen voor nieuwe PAW's

De Azure DevOps-Beheer istrator in Microsoft Entra-id definieert de maximale levensduur van een PAT. De maximale levensduur voor nieuwe tokens kan worden opgegeven in het aantal dagen. Dit beleid is standaard ingesteld op uit.

  1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

  2. Kies gear iconOrganisatie-instellingen.

    Choose the gear icon, Organization settings

  3. Zoek op het tabblad Microsoft Entra ID het beleid maximale levensduur van het persoonlijke toegangstoken afdwingen en verplaats de wisselknop naar aan.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Voer het aantal maximumdagen in en selecteer Opslaan.

Microsoft Entra-gebruikers of -groepen toevoegen aan de acceptatielijst

Waarschuwing

U wordt aangeraden groepen te gebruiken met uw acceptatielijst(en) voor tenantbeleid. Als u een benoemde gebruiker gebruikt, moet u er rekening mee houden dat een verwijzing naar de identiteit van de benoemde gebruiker zich in de Verenigde Staten, Europa (EU) en Zuidoost-Azië (Singapore) bevindt.

Gebruikers of groepen op de acceptatielijst zijn vrijgesteld van de beperkingen en afdwingingen die door deze beleidsregels zijn gemaakt wanneer ze zijn ingeschakeld. Selecteer Microsoft Entra-gebruiker of -groep toevoegen om de gebruiker of groep toe te voegen aan de lijst en selecteer Vervolgens Toevoegen. Elk beleid heeft een eigen acceptatielijst. Als een gebruiker zich op de acceptatielijst voor één beleid bevindt, zijn alle andere geactiveerde beleidsregels nog steeds van toepassing. Met andere woorden, als u wilt dat een gebruiker wordt uitgesloten van alle beleidsregels, moet u deze toevoegen aan elke acceptatielijst.

Gelekte PAW's automatisch intrekken

De Azure DevOps Beheer istrator in Microsoft Entra ID kan het beleid beheren dat automatisch gelekte PAW's intrekt. Dit beleid is van toepassing op alle PAT's binnen alle organisaties die zijn gekoppeld aan uw Microsoft Entra-tenant. Dit beleid is standaard ingesteld op Aan. Als Azure DevOps-PAT's worden ingecheckt in openbare GitHub-opslagplaatsen, worden ze automatisch ingetrokken.

Waarschuwing

Als u dit beleid uitschakelt, blijven alle PAT's die worden ingecheckt in openbare GitHub-opslagplaatsen en kunnen ze uw Azure DevOps-organisatie en -gegevens in gevaar brengen, waardoor uw toepassingen en services aanzienlijk risico lopen. Als het beleid is uitgeschakeld en de functie is uitgeschakeld, ontvangt u nog steeds een e-mailmelding wanneer we uw gelekte PAT vinden, maar we trekken deze niet in.

Automatische intrekking van gelekte PAW's uitschakelen

  1. Meld u aan bij uw organisatie (https://dev.azure.com/{yourorganization}).

  2. Kies gear iconOrganisatie-instellingen.

    Choose the gear icon, Organization settings

  3. Zoek op het tabblad Microsoft Entra ID het beleid voor gelekte persoonlijke toegangstokens automatisch intrekken en verplaats de wisselknop naar uit.

Het beleid is uitgeschakeld en eventuele PAW's die worden ingecheckt in openbare GitHub-opslagplaatsen blijven behouden.

Volgende stappen

Toegangsbeleid voor toepassingen wijzigen