Использование политик для управления личными маркерами доступа для пользователей

  • Статья

Azure DevOps Services

Вы можете ограничить создание, область и срок действия новых или обновленных персональных маркеров доступа (PATS) для пользователей в Azure DevOps, включив политики Microsoft Entra. Вы также можете управлять автоматическим отзывом утечки PAT. Узнайте о поведении по умолчанию для каждой политики в отдельном разделе этой статьи.

Важно!

Существующие PATs, созданные с помощью пользовательского интерфейса и API, применяются на оставшуюся часть срока их существования. Обновите существующие PAT, чтобы они соответствовали новому ограничению, а затем их можно обновить.

Необходимые компоненты

Чтобы проверка роль, войдите в портал Azure, а затем выберите роли и администраторы идентификатора> Microsoft Entra. Если вы не являетесь администратором Azure DevOps, обратитесь к администратору.

Ограничение создания глобальных PAT

Azure DevOps Администратор istrator в Microsoft Entra ограничивает пользователей созданием глобальных PATS. Глобальные токены применяются ко всем доступным организациям, а не к одной организации. Включение этой политики означает, что новые PAT должны быть связаны с определенными организациями Azure DevOps. По умолчанию эта политика отключена.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconпараметры организации.

    Choose the gear icon, Organization settings

  3. На вкладке Идентификатора Microsoft Entra найдите политику создания глобального личного маркера доступа и переместите переключатель вкл.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Ограничение создания полнофункционных область PAT

Azure DevOps Администратор istrator в Microsoft Entra ограничивает пользователей созданием полного область paTs. Включение этой политики означает, что новые PAT должны быть ограничены определенным пользовательским набором область. По умолчанию эта политика отключена.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconпараметры организации.

    Choose the gear icon, Organization settings

  3. На вкладке Идентификатора Microsoft Entra найдите параметр *Ограничить создание маркера личного доступа с полным область и переместите переключатель.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Установка максимального срока жизни для новых PAT

Azure DevOps Администратор istrator в идентификаторе Microsoft Entra id определяет максимальное время существования PAT. Максимальное время существования новых маркеров можно указать в количестве дней. По умолчанию эта политика отключена.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconпараметры организации.

    Choose the gear icon, Organization settings

  3. На вкладке Идентификатора Microsoft Entra найдите политику максимального срока действия маркера личного доступа и переместите переключатель вкл.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Введите максимальное количество дней и нажмите кнопку "Сохранить".

Добавление пользователей или групп Microsoft Entra в список разрешений

Предупреждение

Рекомендуется использовать группы с списками разрешений политики клиента. Если вы используете именованного пользователя, обратите внимание, что ссылка на удостоверение именованного пользователя будет находиться в США, Европе (ЕС) и Юго-Восточной Азии (Сингапуре).

Пользователи или группы в списке разрешений освобождаются от ограничений и принудительного применения, созданных этими политиками при включении. Выберите " Добавить пользователя или группу Microsoft Entra", чтобы добавить пользователя или группу в список, а затем нажмите кнопку "Добавить". Каждая политика имеет собственный список разрешений. Если пользователь находится в списке разрешений для одной политики, все остальные активированные политики по-прежнему применяются. Другими словами, если вы хотите, чтобы пользователь был исключен из всех политик, их следует добавить в каждый список разрешений.

Отмена утечки PAT автоматически

Azure DevOps Администратор istrator в идентификаторе Microsoft Entra может управлять политикой, которая автоматически отменяет утечки PAT. Эта политика применяется ко всем PAT во всех организациях, связанных с клиентом Microsoft Entra. По умолчанию эта политика включена. Если PAT Azure DevOps проверка в общедоступные репозитории GitHub, они автоматически отозваны.

Предупреждение

Если отключить эту политику, все paTs, которые получают проверка в общедоступные репозитории GitHub, останутся и могут скомпрометировать организацию и данные Azure DevOps, что приведет к значительному риску приложений и служб. Если политика отключена и отключена функция, вы по-прежнему получаете уведомление по электронной почте, когда мы обнаружили утечку PAT, но мы не отменяем его.

Отключение автоматической отмены утечки PAT

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconпараметры организации.

    Choose the gear icon, Organization settings

  3. На вкладке идентификатора Microsoft Entra ID найдите политику автоматически отозванных личных маркеров доступа и переместите переключатель на выключение.

Политика отключена, и все paTs, которые проверка в общедоступные репозитории GitHub, остаются.

Следующие шаги

Изменение политик доступа к приложениям