Aracılığıyla paylaş

Kuruluş kullanıcıları için kişisel erişim belirteçlerini iptal etme

  • Makale

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Kişisel Erişim Belirtecinin (PAT) gizliliği ihlal edilirse, hızlı bir şekilde hareket etmek çok önemlidir. Yöneticiler, kuruluşun korunması için güvenlik önlemi olarak kullanıcının PAT'sini iptal edebilir. Ayrıca, bir kullanıcının hesabının devre dışı bırakılması da PAT'sini iptal eder. PAT devre dışı kalmadan önce bir saate kadar bir gecikme olur. Devre dışı bırakma veya silme işlemi Microsoft Entra Id'de tamamen işlenene kadar bu gecikme süresi devam eder.

Önkoşullar

Erişim düzeyi: Kuruluş sahibi veya Proje Koleksiyonu Yöneticileri grubunun üyesi

İpucu

Kullanıcılar için, kendi PAT'lerinizi oluşturmak veya iptal etmek istiyorsanız bkz . Kişisel erişim belirteçleri oluşturma veya iptal etme.

PAT'leri iptal etme

  1. Kuruluşunuzun kullanıcıları için OAuth yetkilendirmelerini (PAT'ler dahil) iptal etmek için bkz . Belirteç iptalleri - Yetkilendirmeleri iptal etme.
  2. Kullanıcı asıl adlarının (UPN) listesini geçirerek yeni REST API'yi çağırmayı otomatikleştirmek için bu PowerShell betiğini kullanın. PAT'yi oluşturan kullanıcının UPN'sini bilmiyorsanız, bu betiği kullanın, ancak bir tarih aralığını temel almalıdır.

Not

Tarih aralığı kullandığınızda tüm JSON web belirteçleri (JWT) de iptal edilir. Bu belirteçleri kullanan araçlar, yeni belirteçlerle yenilenene kadar çalışmaz.

  1. Etkilenen PAT'leri başarıyla iptal ettikten sonra kullanıcılarınızı bilgilendirin. Belirteçlerini gerektiği gibi yeniden oluşturabilirler.

FedAuth belirteci süre sonu

Oturum açtığınızda fedauth belirteci verilir. Yedi günlük kayan pencere için geçerlidir. Süre sonu, kayan pencere içinde yenilediğinizde otomatik olarak yedi gün daha uzatır. Kullanıcılar hizmete düzenli olarak erişiyorsa, yalnızca ilk oturum açma işlemi gerekir. Yedi gün devam eden etkinlik dışı bir sürenin ardından belirteç geçersiz hale gelir ve kullanıcının yeniden oturum açması gerekir.

Kişisel erişim belirteci süre sonu

Kullanıcılar, kişisel erişim belirteçleri için bir yılı aşmamak üzere bir süre sonu tarihi seçebilir. Süresi dolduktan sonra yeni PAT'lar oluşturarak daha kısa süreler kullanmanızı öneririz. Kullanıcılar, belirtecin süresi dolmadan bir hafta önce bir bildirim e-postası alır. Kullanıcılar yeni bir belirteç oluşturabilir, mevcut belirtecin süre sonunu uzatabilir veya gerekirse mevcut belirtecin kapsamını değiştirebilir.

Denetim günlükleri

Kuruluşunuz Microsoft Entra Id'ye bağlıysa izin değişiklikleri, silinen kaynaklar ve günlük erişimi gibi çeşitli olayları izleyen denetim günlüklerine ve diğer işlemlere erişebilirsiniz. İptalleri denetlemeniz veya herhangi bir etkinliği araştırmanız gerekiyorsa, denetim günlükleri değerli bir kaynaktır. Daha fazla bilgi için bkz . Denetim günlüklerine erişme, dışarı aktarma ve filtreleme.

Sık sorulan sorular (SSS)

S: Bir kullanıcı şirketimden ayrılırsa PAT'ye ne olur?

Y: Bir kullanıcı Microsoft Entra Id'den kaldırıldıktan sonra, yenileme belirteci yalnızca bir saat geçerli olduğundan, PAT'ler ve FedAuth belirteçleri bir saat içinde geçersiz kılınır.

S: JSON web belirteçlerini (JWT) iptal etmeli miyim?

Y: İptal edilmesi gerektiğine inandığınız JWT'leriniz varsa, bunu yapmanızı öneririz. PowerShell betiği aracılığıyla OAuth akışının bir parçası olarak verilen JWT'leri iptal edin. Ancak, betikte tarih aralığı seçeneğini kullanmanız gerekir.