Usar políticas para gerenciar tokens de acesso pessoal para usuários

  • Artigo

Azure DevOps Services

Você pode limitar a criação, o escopo e a vida útil de tokens de acesso pessoal (PATs) novos ou renovados para usuários no Azure DevOps habilitando as políticas do Microsoft Entra. Você também pode gerenciar a revogação automática de PATs vazadas. Conheça o comportamento padrão de cada política em sua própria seção deste artigo.

Importante

As PATs existentes, criadas por meio da interface do usuário e das APIs, se aplicam de acordo com o restante do tempo de vida. Atualize seus PATs existentes para cumprir a nova restrição e, em seguida, eles podem ser renovados com êxito.

Pré-requisitos

Para verificar sua função, entre no portal do Azure e escolha Funções e administradores de ID>do Microsoft Entra. Se você não for um administrador do Azure DevOps, entre em contato com o administrador.

Restringir a criação de PATs globais

O Administrador de DevOps do Azure no Microsoft Entra restringe os usuários de criar PATs globais. Os tokens globais se aplicam a todas as organizações acessíveis, em vez de a uma única organização. Habilitar essa política significa que novos PATs devem ser associados a organizações específicas do Azure DevOps. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Escolha gear iconConfigurações da organização.

    Choose the gear icon, Organization settings

  3. Na guia Microsoft Entra ID, localize a política de criação de token de acesso pessoal global Restringir e mova a alternância para ativar.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Restringir a criação de PATs com escopo completo

O Administrador de DevOps do Azure no Microsoft Entra restringe os usuários de criar PATs de escopo completo. Habilitar essa política significa que novos PATs devem ser limitados a um conjunto de escopos definido personalizado específico. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Escolha gear iconConfigurações da organização.

    Choose the gear icon, Organization settings

  3. Na guia Microsoft Entra ID, localize a política *Restringir a criação de token de acesso pessoal com escopo completo *e mova a alternância para ativar.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Definir o tempo de vida máximo para novos PATs

O Administrador de DevOps do Azure na ID do Microsoft Entra define a vida útil máxima de um PAT. O tempo de vida máximo para novos tokens pode ser especificado em número de dias. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Escolha gear iconConfigurações da organização.

    Choose the gear icon, Organization settings

  3. Na guia Microsoft Entra ID, localize a política Impor vida útil máxima do token de acesso pessoal e mova a alternância para ativada.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Insira o número máximo de dias e selecione Salvar.

Adicionar usuários ou grupos do Microsoft Entra à lista de permissões

Aviso

É recomendável usar grupos com suas listas de permissões de política de locatário. Se você usar um usuário nomeado, lembre-se de que uma referência à identidade do usuário nomeado residirá no Estados Unidos, Europa (UE) e Sudeste Asiático (Singapura).

Os usuários ou grupos na lista de permitidos são isentos das restrições e imposição criadas por essas políticas quando elas são ativadas. Selecione Adicionar usuário ou grupo do Microsoft Entra para adicionar o usuário ou grupo à lista e selecione Adicionar. Cada política tem sua própria lista de permitidos. Se um usuário estiver na lista de permitidos para uma política, quaisquer outras políticas ativadas ainda se aplicarão. Em outras palavras, se você quiser que um usuário seja isento de todas as políticas, adicione-o a cada lista de permitidos.

Revogar PATs vazados automaticamente

O Administrador de DevOps do Azure na ID do Microsoft Entra pode gerenciar a política que revoga automaticamente os PATs vazados. Essa política se aplica a todos os PATs em todas as organizações vinculadas ao seu locatário do Microsoft Entra. Por padrão, essa política é definida como ativada. Se os PATs do Azure DevOps forem verificados em repositórios públicos do GitHub, eles serão revogados automaticamente.

Aviso

Se você desabilitar essa política, todos os PATs que forem verificados em repositórios públicos do GitHub permanecerão e poderão comprometer sua organização e dados do Azure DevOps, colocando seus aplicativos e serviços em risco significativo. Com a política desabilitada e o recurso desativado, você ainda receberá uma notificação por email quando encontrarmos seu PAT vazado, mas não o revogamos.

Desativar a revogação automática de PATs vazadas

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Escolha gear iconConfigurações da organização.

    Choose the gear icon, Organization settings

  3. Na guia Microsoft Entra ID, localize a política Revogar automaticamente tokens de acesso pessoal vazados e mova a alternância para desativado.

A política está desabilitada e todos os PATs que são verificados em repositórios públicos do GitHub permanecem.

Próximas etapas

Alterar as políticas de acesso do aplicativo