Udostępnij za pośrednictwem

Zarządzanie osobistymi tokenami dostępu użytkowników przy użyciu zasad

  • Artykuł

Azure DevOps Services

Możesz ograniczyć tworzenie, zakres i cykl życia nowych lub odnowionych osobistych tokenów dostępu dla użytkowników w usłudze Azure DevOps, włączając zasady firmy Microsoft Entra. Można również zarządzać automatycznym odwoływaniem ujawnionych punktów roboczych. Zapoznaj się z zachowaniem domyślnym dla każdej zasady we własnej sekcji tego artykułu.

Ważne

Istniejące sieci PATs utworzone zarówno za pośrednictwem interfejsu użytkownika, jak i interfejsów API, mają zastosowanie do pozostałej części ich cyklu życia. Zaktualizuj istniejące elementy PAT, aby były zgodne z nowym ograniczeniem, a następnie można je pomyślnie odnowić.

Wymagania wstępne

Aby sprawdzić swoją rolę, zaloguj się do witryny Azure Portal, a następnie wybierz pozycję Role i administratorzy identyfikatorów> firmy Microsoft. Jeśli nie jesteś administratorem usługi Azure DevOps, skontaktuj się z administratorem.

Ograniczanie tworzenia globalnych punktów dostępu uprzywilejowanego

Administrator usługi Azure DevOps w firmie Microsoft Entra ogranicza użytkowników do tworzenia globalnych punktów dostępu użytkowników. Tokeny globalne mają zastosowanie do wszystkich dostępnych organizacji, a nie jednej organizacji. Włączenie tych zasad oznacza, że nowe pakiety PAT muszą być skojarzone z określonymi organizacjami usługi Azure DevOps. Domyślnie te zasady są wyłączone.

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz ikona koła zębatego pozycję Ustawienia organizacji.

    Wybierz ikonę koła zębatego, ustawienia organizacji

  3. Na karcie Microsoft Entra ID znajdź zasady Ogranicz globalne tworzenie osobistego tokenu dostępu i przenieś przełącznik do pozycji Włączone.

    Zrzut ekranu przedstawiający przełącznik przeniesiony do pozycji w obszarze Ograniczanie globalnych zasad tworzenia tokenu dostępu.

Ograniczanie tworzenia pełnych zakresów paTs

Administrator usługi Azure DevOps w firmie Microsoft Entra ogranicza użytkowników do tworzenia pełnych zakresów paTs. Włączenie tych zasad oznacza, że nowe sieci PATs muszą być ograniczone do określonego niestandardowego zestawu zdefiniowanych zakresów. Domyślnie te zasady są wyłączone.

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz ikona koła zębatego pozycję Ustawienia organizacji.

    Wybierz ikonę koła zębatego, ustawienia organizacji

  3. Na karcie Microsoft Entra ID znajdź *Ogranicz tworzenie osobistego tokenu dostępu w pełnym zakresie *zasady i przenieś przełącznik do pozycji włączonej.

    Zrzut ekranu przedstawiający przełącznik przeniesiony do pozycji włączonej dla zasad tworzenia tokenu pat o pełnym zakresie.

Ustaw maksymalną żywotność nowych punktów roboczych

Administrator usługi Azure DevOps w usłudze Microsoft Entra ID definiuje maksymalną żywotność patu. Maksymalna żywotność nowych tokenów może być określona w liczbie dni. Domyślnie te zasady są wyłączone.

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz ikona koła zębatego pozycję Ustawienia organizacji.

    Wybierz ikonę koła zębatego, ustawienia organizacji

  3. Na karcie Microsoft Entra ID znajdź zasady wymuszania maksymalnego okresu życia tokenu dostępu osobistego i przenieś przełącznik do pozycji włączonej.

    Zrzut ekranu przedstawiający przełącznik przeniesiony do pozycji włączonej dla zasad wymuszania maksymalnej cyklu życia pat.

  4. Wprowadź maksymalną liczbę dni, a następnie wybierz pozycję Zapisz.

Dodawanie użytkowników lub grup firmy Microsoft do listy dozwolonych

Ostrzeżenie

Zalecamy używanie grup z listami dozwolonych zasad dzierżawy. Jeśli używasz nazwanego użytkownika, pamiętaj, że odwołanie do tożsamości nazwanego użytkownika będzie znajdować się w Stany Zjednoczone, Europie (UE) i Azji Południowo-Wschodniej (Singapur).

Użytkownicy lub grupy na liście dozwolonych są wyklucz z ograniczeń i wymuszania utworzonych przez te zasady po ich włączeniu. Wybierz pozycję Dodaj użytkownika lub grupę Firmy Microsoft, aby dodać użytkownika lub grupę do listy, a następnie wybierz pozycję Dodaj. Każda zasada ma własną listę dozwolonych. Jeśli użytkownik znajduje się na liście dozwolonych dla jednej zasady, wszystkie inne aktywowane zasady nadal mają zastosowanie. Innymi słowy, jeśli chcesz, aby użytkownik był wykluczony ze wszystkich zasad, należy dodać je do każdej listy dozwolonych.

Automatyczne odwoływanie wycieku paTs

Administrator usługi Azure DevOps w usłudze Microsoft Entra ID może zarządzać zasadami, które automatycznie odwoływają wyciekły dostawcy tożsamości. Te zasady dotyczą wszystkich paT we wszystkich organizacjach połączonych z dzierżawą firmy Microsoft Entra. Domyślnie te zasady są ustawione na włączone. Jeśli dostawcy paTs usługi Azure DevOps zostaną zaewidencjonowane w publicznych repozytoriach GitHub, zostaną one automatycznie odwołane.

Ostrzeżenie

Jeśli te zasady zostaną wyłączone, wszystkie elementy PAT, które zostaną zaewidencjonowane w publicznych repozytoriach GitHub, pozostaną i będą mogły naruszyć bezpieczeństwo organizacji i danych usługi Azure DevOps, co naraża aplikacje i usługi na znaczne ryzyko. Po wyłączeniu zasad i wyłączeniu funkcji nadal otrzymujesz powiadomienie e-mail po wykryciu wycieku dostępu, ale nie odwołujemy go.

Wyłącz automatyczne odwoływanie ujawnionych punktów roboczych

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz ikona koła zębatego pozycję Ustawienia organizacji.

    Wybierz ikonę koła zębatego, ustawienia organizacji

  3. Na karcie Microsoft Entra ID znajdź zasady Automatycznie odwoływanie ujawnionych osobistych tokenów dostępu i przenieś przełącznik do wyłączenia.

Zasady są wyłączone, a wszystkie elementy PAT, które są zaewidencjonowane w publicznych repozytoriach GitHub, pozostają.

Następne kroki

Zmienianie zasad dostępu do aplikacji