Revogar tokens de acesso pessoal para usuários da organização

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se um Token de Acesso Pessoal (PAT) for comprometido, é crucial agir rapidamente. Os administradores podem revogar o PAT de um usuário como medida de segurança para proteger a organização. Além disso, desabilitar a conta de um usuário também revoga seu PAT. Há um atraso, de até uma hora, antes que o PAT se torne inativo. Esse período de latência persiste até que a operação de desabilitação ou exclusão seja totalmente processada na ID do Microsoft Entra.

Pré-requisitos

Nível de acesso: proprietário da organização ou membro do grupo Administradores de Coleção de Projetos

Dica

Para usuários, se você quiser criar ou revogar seus próprios PATs, consulte Criar ou revogar tokens de acesso pessoal.

Revogar PATs

1. Para revogar as autorizações do OAuth, incluindo PATs, para os usuários da sua organização, consulte Revogações de token – Revogar autorizações.
2. Use esse script do PowerShell para automatizar a chamada da nova API REST passando uma lista de UPNs (nomes UPNs). Se você não souber o UPN do usuário que criou o PAT, use esse script, no entanto, ele deve ser baseado em um intervalo de datas.

Observação

Quando você usa um intervalo de datas, todos os tokens da Web JSON (JWTs) também são revogados. Qualquer ferramenta que dependa desses tokens não funcionará até que seja atualizada com novos tokens.

3. Depois de revogar com êxito os PATs afetados, informe seus usuários. Eles podem recriar seus tokens conforme necessário.

Expiração do token FedAuth

Um token FedAuth é emitido quando você entra. É válido para uma janela deslizante de sete dias. A expiração se estende automaticamente por mais sete dias sempre que você a atualiza dentro da janela deslizante. Se os usuários acessarem o serviço regularmente, apenas uma entrada inicial será necessária. Após um período de inatividade que se estende por sete dias, o token se torna inválido e o usuário deve entrar novamente.

Expiração do token de acesso pessoal

Os usuários podem escolher uma data de validade para seu token de acesso pessoal, não superior a um ano. Recomendamos que você use períodos de tempo mais curtos, gerando novos PATs após o vencimento. Os usuários recebem um e-mail de notificação uma semana antes do vencimento do token. Os usuários podem gerar um novo token, estender a expiração do token existente ou alterar o escopo do token existente, se necessário.

Logs de auditoria

Se sua organização estiver conectada à ID do Microsoft Entra, você terá acesso a logs de auditoria que rastreiam vários eventos, incluindo alterações de permissões, recursos excluídos e acesso a logs, entre outras coisas. Se você precisar verificar se há revogações ou investigar qualquer atividade, os logs de auditoria são um recurso valioso. Para obter mais informações, consulte Acessar, exportar e filtrar logs de auditoria.

Perguntas frequentes (FAQs)

P: O que acontece com um PAT se um usuário sair da minha empresa?

R: Depois que um usuário é removido da ID do Microsoft Entra, os tokens PATs e FedAuth são invalidados em uma hora, pois o token de atualização é válido apenas por uma hora.

P: Devo revogar tokens da Web JSON (JWTs)?

R: Se você tiver JWTs que acredita que devem ser revogados, sugerimos que o faça. Revogue JWTs, emitidos como parte do fluxo OAuth, por meio do script do PowerShell. No entanto, você deve usar a opção de intervalo de datas no script.

Artigos relacionados

• Como a Microsoft protege seus projetos e dados no Azure DevOps
• Criar ou revogar seus tokens de acesso pessoal