撤銷組織使用者的個人存取權杖
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果個人存取令牌 (PAT) 遭到入侵,請務必迅速採取行動。 系統管理員可以撤銷使用者的 PAT 作為保護組織的安全性措施。 此外,停用使用者的帳戶也會撤銷其 PAT。 在 PAT 變成非使用中之前,延遲最多一小時。 此延遲期間會持續到停用或刪除作業在 Microsoft Entra ID 中完整處理為止。
必要條件
存取層級:專案集合系統管理員群組的組織擁有者或成員
提示
針對使用者,如果您想要建立或撤銷自己的 PAT,請參閱 建立或撤銷個人存取令牌。
撤銷 PAT
- 若要撤銷組織使用者的 OAuth 授權,包括 PAT,請參閱 令牌撤銷 - 撤銷授權。
- 使用此 PowerShell 腳本,藉由傳遞用戶主體名稱清單來自動化呼叫新的 REST API。 如果您不知道建立 PAT 的使用者 UPN,請使用此腳本,但必須以日期範圍為基礎。
注意
當您使用日期範圍時,也會撤銷任何 JSON Web 令牌(JWT)。 依賴這些令牌的任何工具在使用新令牌重新整理之前將無法運作。
- 成功撤銷受影響的 PAT 之後,請通知使用者。 他們可以視需要重新建立其令牌。
FedAuth 令牌到期
當您登入時,會發出 FedAuth 令牌。 它適用於七天的滑動視窗。 當您在滑動視窗中重新整理到期日時,到期會自動延長七天。 如果使用者定期存取服務,只需要初始登入。 在閑置期間延長七天之後,令牌會變成無效,且用戶必須再次登入。
個人存取令牌到期
用戶可以選擇其個人存取令牌的到期日,不要超過一年。 建議您使用較短的時間週期,在到期時產生新的 PAT。 使用者在令牌到期前一周收到通知電子郵件。 用戶可以產生新的令牌、延長現有令牌的到期時間,或視需要變更現有令牌的範圍。
稽核記錄
如果您的組織已連線到Microsoft Entra ID,您可以存取追蹤各種事件的稽核記錄,包括許可權變更、已刪除的資源和記錄存取等等。 如果您需要檢查撤銷或調查任何活動,稽核記錄是寶貴的資源。 如需詳細資訊,請參閱 存取、匯出和篩選稽核記錄。
常見問題集 (FAQ)
問:如果用戶離開我的公司,PAT 會發生什麼事?
答:一旦使用者從 Microsoft Entra 標識符中移除,PAT 和 FedAuth 令牌會在一小時內失效,因為重新整理令牌只有效一小時。
問:我應該撤銷 JSON Web 令牌 (JWT)嗎?
答:如果您有您認為應該撤銷的 JWT,建議您這樣做。 透過 PowerShell腳本撤銷作為OAuth流程一部分的JWT。 不過,您必須在文稿中使用日期範圍選項。
相關文章
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: