Kuruluş kullanıcıları için kişisel erişim belirteçlerini iptal etme

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Kişisel Erişim Belirtecinin (PAT) gizliliği ihlal edilirse, hızlı bir şekilde hareket etmek çok önemlidir. Yöneticiler, kuruluşun güvenliğini sağlamak için kullanıcının PAT'sini iptal edebilir. Kullanıcının hesabını devre dışı bırakmak da PAT'sini iptal eder.

Kullanıcı PAT'leri neden iptal edilsin?

Kullanıcı PTS'lerinin iptali aşağıdaki nedenlerden dolayı önemlidir:

• Güvenliği aşılmış belirteç: Bir belirtecin güvenliği aşılırsa yetkisiz erişimi engelleyin.
• Kullanıcı kuruluştan ayrılır: Eski çalışanların artık erişimi olmadığından emin olun.
• İzin değişiklikleri: Eski izinleri yansıtan belirteçleri geçersiz kılın.
• Güvenlik ihlali: İhlal sırasında yetkisiz erişimi azaltın.
• Düzenli güvenlik uygulamaları: Güvenlik ilkesinin bir parçası olarak belirteçleri düzenli olarak iptal edin ve yeniden gönderin.

Önkoşullar

İzinler: Proje Koleksiyonu Yöneticileri grubunun üyesi olun. Kuruluş sahipleri bu grubun otomatik olarak üyesidir.

İpucu

Kendi PAT'lerinizi oluşturmak veya iptal etmek için bkz . PAT oluşturma veya iptal etme.

PAT'leri iptal etme

1. Kuruluşunuzun kullanıcıları için, PAT'ler de dahil olmak üzere OAuth yetkilendirmelerini iptal etmek için bkz . Belirteç iptalleri - Yetkilendirmeleri iptal etme.
2. REST API'sini çağırmayı otomatikleştirmek için, kullanıcı asıl adlarının (UPN) listesini geçiren bu PowerShell betiğini kullanın. PAT'yi oluşturan kullanıcının UPN'sini bilmiyorsanız, belirtilen tarih aralığına sahip bu betiği kullanın.

Not

Tarih aralığı kullandığınızda tüm JSON web belirteçleri (JWT) de iptal edilir. Bu belirteçleri kullanan araçlar, yeni belirteçlerle yenilenene kadar çalışmaz.

3. Etkilenen PAT'leri başarıyla iptal ettikten sonra kullanıcılarınızı bilgilendirin. Belirteçlerini gerektiği gibi yeniden oluşturabilirler.

Devre dışı bırakma veya silme işlemi Microsoft Entra ID'de tamamen işlenene kadar bu gecikme süresi devam ettikçe PAT devre dışı bırakılmadan önce bir saate kadar gecikme olabilir.

FedAuth belirteci süre sonu

Oturum açtığınızda fedauth belirteci verilir. Yedi günlük kayan pencere için geçerlidir. Süre sonu, kayan pencere içinde yenilediğinizde otomatik olarak yedi gün daha uzatır. Kullanıcılar hizmete düzenli olarak erişiyorsa, yalnızca ilk oturum açma işlemi gerekir. Yedi gün devam eden etkinlik dışı bir sürenin ardından belirteç geçersiz hale gelir ve kullanıcının yeniden oturum açması gerekir.

PAT süre sonu

Kullanıcılar PAT'leri için bir yılı aşmamak üzere bir süre sonu tarihi seçebilir. Daha kısa süreler kullanmanızı ve süresi dolduktan sonra yeni PAT'ler oluşturmanızı öneririz. Kullanıcılar, belirtecin süresi dolmadan bir hafta önce bir bildirim e-postası alır. Kullanıcılar yeni bir belirteç oluşturabilir, mevcut belirtecin süre sonunu uzatabilir veya gerekirse mevcut belirtecin kapsamını değiştirebilir.

Denetim günlükleri

Kuruluşunuz Microsoft Entra Id'ye bağlıysa, izin değişiklikleri, silinen kaynaklar ve günlük erişimi gibi çeşitli olayları izleyen denetim günlüklerine erişiminiz vardır. Bu denetim günlükleri, iptalleri denetlemek veya herhangi bir etkinliği araştırmak için değerlidir. Daha fazla bilgi için bkz . Denetim günlüklerine erişme, dışarı aktarma ve filtreleme.

Sık sorulan sorular (SSS)

S: Bir kullanıcı şirketimden ayrılırsa PAT'ye ne olur?

Y: Bir kullanıcı Microsoft Entra Id'den kaldırıldıktan sonra, yenileme belirteci yalnızca bir saat geçerli olduğundan, PAT'ler ve FedAuth belirteçleri bir saat içinde geçersiz kılınır.

S: JSON web belirteçlerini (JWT) iptal etmeli miyim?

Y: İptal edilmesi gerektiğine inandığınız JWT'leriniz varsa, bunu hemen yapmanızı öneririz. PowerShell betiğini kullanarak OAuth akışının bir parçası olarak verilen JWT'leri iptal edin. Betikteki tarih aralığı seçeneğini kullandığınızdan emin olun.

İlgili makaleler

• Microsoft'un Azure DevOps'ta projelerinizi ve verilerinizi nasıl koruyup korumayacağınızı öğrenin
• PAT oluşturma veya iptal etme