撤销组织用户的个人访问令牌
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果个人访问令牌(PAT)遭到入侵,则迅速采取行动至关重要。 管理员可以撤销用户的 PAT 作为安全措施来保护组织。 此外,禁用用户帐户也会撤销其 PAT。 在 PAT 变为非活动状态之前,延迟长达一小时。 此延迟期一直持续到禁用或删除操作在 Microsoft Entra ID 中完全处理。
先决条件
访问级别:项目集合管理员组的组织所有者或成员
提示
对于用户,如果要创建或撤销自己的 PAT,请参阅 “创建或撤销个人访问令牌”。
撤销 PAT
- 若要为组织的用户撤销 OAuth 授权(包括 PAT),请参阅 令牌吊销 - 撤销授权。
- 使用此 PowerShell 脚本 通过传递用户主体名称列表(UPN)来自动调用新的 REST API。 如果不知道创建 PAT 的用户的 UPN,请使用此脚本,但必须基于日期范围。
注意
使用日期范围时,也会撤销任何 JSON Web 令牌(JWT)。 在使用新令牌刷新之前,依赖于这些令牌的任何工具都不起作用。
- 成功撤销受影响的 PAT 后,通知用户。 他们可以根据需要重新创建令牌。
FedAuth 令牌过期
登录时会颁发 FedAuth 令牌。 它适用于七天的滑动窗口。 每当在滑动窗口中刷新过期时,到期将自动延长七天。 如果用户定期访问该服务,则只需要初始登录。 在非活动期延长七天后,令牌将失效,用户必须再次登录。
个人访问令牌过期
用户可以选择其个人访问令牌的到期日期,不超过一年。 建议使用较短的时间段,在到期时生成新的 PAT。 用户在令牌到期前一周收到通知电子邮件。 用户可以生成新令牌、延长现有令牌的到期时间,或者根据需要更改现有令牌的范围。
审核日志
如果组织连接到 Microsoft Entra ID,则可以访问跟踪各种事件的审核日志,包括权限更改、已删除的资源和日志访问等。 如果需要检查吊销或调查任何活动,则审核日志是一种有价值的资源。 有关详细信息,请参阅 Access、导出和筛选审核日志。
常见问题 (FAQ)
问:如果用户离开我的公司,PAT 会发生什么情况?
答:从 Microsoft Entra ID 中删除用户后,PAT 和 FedAuth 令牌在一小时内失效,因为刷新令牌仅有效一小时。
问:是否应撤销 JSON Web 令牌(JWT)?
答:如果你有你认为应该撤销的 JWT,我们建议你这样做。 通过 PowerShell 脚本撤销作为 OAuth 流的一部分颁发的 JWT。 但是,必须在脚本中使用日期范围选项。