分享方式:

撤銷組織使用者的個人存取權杖

  • 文章

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

如果個人存取令牌 (PAT) 遭到入侵,請務必迅速採取行動。 系統管理員可以撤銷使用者的 PAT 作為保護組織的安全性措施。 此外,停用使用者的帳戶也會撤銷其 PAT。 在 PAT 變成非使用中之前,延遲最多一小時。 此延遲期間會持續到停用或刪除作業在 Microsoft Entra ID 中完整處理為止。

必要條件

存取層級:專案集合系統管理員群組的組織擁有者成員

提示

針對使用者,如果您想要建立或撤銷自己的 PAT,請參閱 建立或撤銷個人存取令牌

撤銷 PAT

  1. 若要撤銷組織使用者的 OAuth 授權,包括 PAT,請參閱 令牌撤銷 - 撤銷授權
  2. 使用此 PowerShell 腳本,藉由傳遞用戶主體名稱清單來自動化呼叫新的 REST API。 如果您不知道建立 PAT 的使用者 UPN,請使用此腳本,但必須以日期範圍為基礎。

注意

當您使用日期範圍時,也會撤銷任何 JSON Web 令牌(JWT)。 依賴這些令牌的任何工具在使用新令牌重新整理之前將無法運作。

  1. 成功撤銷受影響的 PAT 之後,請通知使用者。 他們可以視需要重新建立其令牌。

FedAuth 令牌到期

當您登入時,會發出 FedAuth 令牌。 它適用於七天的滑動視窗。 當您在滑動視窗中重新整理到期日時,到期會自動延長七天。 如果使用者定期存取服務,只需要初始登入。 在閑置期間延長七天之後,令牌會變成無效,且用戶必須再次登入。

個人存取令牌到期

用戶可以選擇其個人存取令牌的到期日,不要超過一年。 建議您使用較短的時間週期,在到期時產生新的 PAT。 使用者在令牌到期前一周收到通知電子郵件。 用戶可以產生新的令牌、延長現有令牌的到期時間,或視需要變更現有令牌的範圍。

稽核記錄

如果您的組織已連線到Microsoft Entra ID,您可以存取追蹤各種事件的稽核記錄,包括許可權變更、已刪除的資源和記錄存取等等。 如果您需要檢查撤銷或調查任何活動,稽核記錄是寶貴的資源。 如需詳細資訊,請參閱 存取、匯出和篩選稽核記錄

常見問題集 (FAQ)

問:如果用戶離開我的公司,PAT 會發生什麼事?

答:一旦使用者從 Microsoft Entra 標識符中移除,PAT 和 FedAuth 令牌會在一小時內失效,因為重新整理令牌只有效一小時。

問:我應該撤銷 JSON Web 令牌 (JWT)嗎?

答:如果您有您認為應該撤銷的 JWT,建議您這樣做。 透過 PowerShell腳本撤銷作為OAuth流程一部分的JWT。 不過,您必須在文稿中使用日期範圍選項。