使用原則來管理用戶的個人存取令牌
Azure DevOps Services
您可以啟用 Microsoft Entra 原則,來限制 Azure DevOps 中使用者的新或更新個人存取令牌 (PAT) 的建立、範圍和存留期。 您也可以管理自動撤銷外洩的 PAT。 在此文章的專屬章節中,瞭解每個原則的默認行為。
重要
透過UI和API建立的現有 PAT,會根據其生命周期的剩餘時間套用。 更新現有的 PAT 以符合新的限制,然後可以成功更新它們。
必要條件
- 您的組織必須 連結到Microsoft Entra ID。
- 您必須是 Microsoft Entra ID 中的 Azure DevOps 系統管理員,才能管理您的組織原則。
若要檢查您的角色,請登入 Azure 入口網站,然後選擇 [Microsoft Entra ID>角色和系統管理員]。 如果您不是 Azure DevOps 系統管理員,請連絡您的系統管理員。
限制全域 PAT 的建立
Microsoft Entra 中的 Azure DevOps 系統管理員會限制使用者建立全域 PAT。 全域令牌會套用至所有可存取的組織,而不是單一組織。 啟用此原則表示新的 PAT 必須與特定的 Azure DevOps 組織相關聯。 根據預設,此原則會設定為 關閉。
登入您的組織 (
https://dev.azure.com/{yourorganization})。選擇 [
組織設定]。
在 [Microsoft Entra ID] 索引標籤中,尋找 [ 限制全域個人存取令牌建立 原則],並將切換開關移至 開啟。
![切換至 [限制全域 PAT 建立原則] 位置的螢幕快照。](media/policies/restrict-global-pat-creation-policy-toggle-on.png?view=azure-devops)
限制建立完整範圍的 PAT
Microsoft Entra 中的 Azure DevOps 系統管理員會限制使用者建立完整範圍的 PAT。 啟用此原則表示新的 PAT 必須限制為特定的自定義定義範圍集。 根據預設,此原則會設定為 關閉。
登入您的組織 (
https://dev.azure.com/{yourorganization})。選擇 [
組織設定]。在 [Microsoft項目標識符] 索引標籤中,尋找 [限制完整範圍的個人存取令牌建立*原則],並將切換開關移至 開啟。
![切換至 [限制完整範圍的 PAT 建立原則] 位置的螢幕快照。](media/policies/restrict-full-scoped-pat-creation-policy-toggle-on.png?view=azure-devops)
設定新 PAT 的最大壽命
Microsoft Entra 識別碼中的 Azure DevOps 系統管理員會定義 PAT 的最大壽命。 新令牌的最長存留期可以在天數內指定。 根據預設,此原則會設定為 關閉。
登入您的組織 (
https://dev.azure.com/{yourorganization})。選擇 [
組織設定]。在 [Microsoft Entra ID] 索引標籤中,尋找 [ 強制執行最大個人存取令牌存留期原則 ],並將切換開關移至 [開啟]。
![切換至 [強制執行最大 PAT 壽命原則] 位置的螢幕快照。](media/policies/enforce-maximum-pat-lifespan-policy-toggle-on.png?view=azure-devops)
輸入最大天數,然後選取 [ 儲存]。
將Microsoft Entra 使用者或群組新增至允許清單
警告
建議您搭配租用戶原則允許清單使用群組。 如果您使用具名使用者,請注意,具名使用者的身分識別參考將位於 美國、歐洲(EU)和東南亞(新加坡)。
在開啟這些原則時,允許清單上的使用者或群組不受這些原則所建立的限制和強制執行。 選取 [新增Microsoft Entra 使用者或群組 ],將使用者或群組新增至清單,然後選取 [ 新增]。 每個原則都有自己的允許清單。 如果用戶位於一個原則的允許清單上,則仍會套用任何其他已啟用的原則。 換句話說,如果您希望使用者免除所有原則,您應該將它們新增至每個允許清單。
自動撤銷洩露的 PAT
Microsoft Entra ID 中的 Azure DevOps 系統管理員可以管理自動撤銷外洩 PAT 的原則。 此原則適用於連結至您Microsoft Entra 租使用者之所有組織內的所有 PAT。 根據預設,此原則會設定為 開啟。 如果 Azure DevOps PAT 簽入公用 GitHub 存放庫,系統會自動撤銷它們。
警告
如果您停用此原則,任何簽入公用 GitHub 存放庫的 PAT 都會保留,而且可能會危害您的 Azure DevOps 組織和數據,讓您的應用程式和服務面臨重大風險。 停用原則並關閉功能后,當您發現您的 PAT 外泄時,您仍會收到電子郵件通知,但我們不會撤銷。
關閉自動撤銷外洩的 PAT
登入您的組織 (
https://dev.azure.com/{yourorganization})。選擇 [
組織設定]。在 [Microsoft項目標識符] 索引標籤中,尋找 [ 自動撤銷流失的個人存取令牌 ] 原則,並將切換切換移至 關閉。
原則已停用,且任何簽入公用 GitHub 存放庫的 PAT 仍會保留。