撤銷組織使用者的個人存取權杖

  • 發行項

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

如果您的個人存取令牌 (PAT) 遭到入侵,請立即採取行動。 了解系統管理員如何撤銷使用者的 PAT,作為保護貴組織的預防措施。 您也可以停用撤銷其 PAT 的使用者。 當停用或刪除函式在 Microsoft Entra ID 中完成之後,PAT 停止運作前會有延遲(最多一小時)。

必要條件

只有組織擁有者或專案集合 管理員 istrators 群組的成員可以撤銷使用者 PAT。 如果您不是 Project Collection 管理員 istrators 群組的成員請新增為一個。 若要瞭解如何尋找您的 組織擁有者,請參閱 查閱組織擁有者

針對使用者,如果您想要建立或撤銷自己的 PAT,請參閱 建立或撤銷個人存取令牌

撤銷 PAT

  1. 若要撤銷組織使用者的 OAuth 授權,包括 PAT,請參閱 令牌撤銷 - 撤銷授權
  2. 使用此 PowerShell 腳本,藉由傳遞用戶主體名稱清單來自動化呼叫新的 REST API。 如果您不知道建立 PAT 的使用者 UPN,請使用此腳本,但必須以日期範圍為基礎。

注意

請記住,當您使用日期範圍時,也會撤銷任何 JSON Web 令牌 (JWT)。 另請注意,依賴這些令牌的任何工具在使用新令牌重新整理之前將無法運作。

  1. 成功撤銷受影響的 PAT 之後,請讓使用者知道。 他們可以視需要重新建立其令牌。

FedAuth 令牌到期

當您登入時,會發出 FedAuth 令牌。 它適用於七天的滑動視窗。 當您在滑動視窗中重新整理到期日時,到期會自動延長七天。 如果使用者定期存取服務,只需要初始登入。 在閑置期間延長七天之後,令牌會變成無效,且用戶必須再次登入。

個人存取令牌到期

用戶可以選擇其個人存取令牌的到期日,不要超過一年。 建議您使用較短的時間週期,在到期時產生新的 PAT。 使用者在令牌到期前一周收到通知電子郵件。 用戶可以產生新的令牌、延長現有令牌的到期時間,或視需要變更現有令牌的範圍。

常見問題集 (FAQ)

問:如果用戶離開我的公司,該怎麼辦?

答:當使用者從 Microsoft Entra ID 移除之後,PAT 和 FedAuth 令牌會在一小時內失效,因為重新整理令牌只有效一小時。

問:JSON Web 令牌(JWT)呢?

答:透過PowerShell腳本撤銷作為OAuth流程一部分發行的JWT。 不過,您必須在文稿中使用日期範圍選項。