Partilhar via

Revogar tokens de acesso pessoal para utilizadores da organização

  • Artigo

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se um Token de Acesso Pessoal (PAT) for comprometido, é crucial agir rapidamente. Os administradores podem revogar a PAT de um utilizador como medida de segurança para proteger a organização. Além disso, desativar a conta de um usuário também revoga seu PAT. Há um atraso, de até uma hora, até que o PAT fique inativo. Esse período de latência persiste até que a operação de desativação ou exclusão seja totalmente processada no Microsoft Entra ID.

Pré-requisitos

Nível de acesso: proprietário da organização ou membro do grupo Administradores da Coleção de Projetos

Gorjeta

Para os usuários, se você quiser criar ou revogar seus próprios PATs, consulte Criar ou revogar tokens de acesso pessoal.

Revogar PATs

  1. Para revogar as autorizações OAuth, incluindo PATs, para os usuários da sua organização, consulte Revogações de token - Revogar autorizações.
  2. Use esse script do PowerShell para automatizar a chamada da nova API REST passando uma lista de UPNs (nomes principais do usuário). Se você não sabe o UPN do usuário que criou o PAT, use este script, no entanto, ele deve ser baseado em um intervalo de datas.

Nota

Quando você usa um intervalo de datas, todos os tokens da Web JSON (JWTs) também são revogados. Qualquer ferramenta que dependa desses tokens não funcionará até ser atualizada com novos tokens.

  1. Depois de revogar com êxito os PATs afetados, informe os usuários. Eles podem recriar seus tokens conforme necessário.

Expiração do token FedAuth

Um token FedAuth é emitido quando você faz login. É válido para uma janela deslizante de sete dias. A expiração estende-se automaticamente por mais sete dias sempre que o atualizar dentro da janela deslizante. Se os utilizadores acedem ao serviço regularmente, apenas é necessário um início de sessão. Após um período de inatividade que se estende por sete dias, o token torna-se inválido e o usuário deve entrar novamente.

Expiração do token de acesso pessoal

Os usuários podem escolher uma data de validade para seu token de acesso pessoal, não superior a um ano. Recomendamos que você use períodos de tempo mais curtos, gerando novos PATs após o vencimento. Os usuários recebem um e-mail de notificação uma semana antes do vencimento do token. Os usuários podem gerar um novo token, estender a expiração do token existente ou alterar o escopo do token existente, se necessário.

Registos de auditoria

Se sua organização estiver conectada ao Microsoft Entra ID, você terá acesso a logs de auditoria que rastreiam vários eventos, incluindo alterações de permissões, recursos excluídos e acesso ao log, entre outras coisas. Se você precisar verificar se há revogações ou investigar qualquer atividade, os logs de auditoria são um recurso valioso. Para obter mais informações, consulte Acesso, exportação e filtro de logs de auditoria.

Perguntas mais frequentes (FAQ)

P: O que acontece a uma PAT se um utilizador sair da minha empresa?

R: Quando um usuário é removido do Microsoft Entra ID, os tokens PATs e FedAuth são invalidados em uma hora, já que o token de atualização é válido apenas por uma hora.

P: Devo revogar tokens da web JSON (JWTs)?

R: Se você tem JWTs que você acredita que devem ser revogados, sugerimos que o faça. Revogar JWTs, emitidos como parte do fluxo OAuth, por meio do script PowerShell. No entanto, você deve usar a opção de intervalo de datas no script.