撤銷組織使用者的個人存取權杖
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
如果個人存取令牌 (PAT) 遭到入侵,請務必迅速採取行動。 系統管理員可以撤銷使用者的 PAT 來保護組織。 停用用戶帳戶也會撤銷其 PAT。
為什麼要撤銷使用者 PAT?
撤銷使用者 PAT 很重要,原因如下:
- 遭入侵的令牌:如果令牌遭到入侵,防止未經授權的存取。
- 使用者離開組織:確定前員工不再具有存取權。
- 許可權變更:使反映舊許可權的令牌失效。
- 安全性缺口:降低缺口期間未經授權的存取。
- 一般安全性做法:定期撤銷並重新發出令牌作為安全策略的一部分。
必要條件
許可權:是專案集合系統管理員群組的成員。 組織擁有者自動成為這個群組的成員。
提示
若要建立或撤銷您自己的 PAT,請參閱 建立或撤銷 PAT。
撤銷 PAT
- 若要撤銷組織使用者的 OAuth 授權,包括 PAT,請參閱 令牌撤銷 - 撤銷授權。
- 若要自動呼叫 REST API,請使用此 PowerShell 腳本,此腳本會傳遞使用者主體名稱清單(UPN)。 如果您不知道建立 PAT 的使用者 UPN,請使用此腳本搭配指定的日期範圍。
注意
當您使用日期範圍時,也會撤銷任何 JSON Web 令牌(JWT)。 依賴這些令牌的任何工具在重新整理新的令牌之前都無法運作。
- 成功撤銷受影響的 PAT 之後,請通知使用者。 他們可以視需要重新建立其令牌。
在 PAT 變成非使用中之前,可能會延遲最多一小時,因為此延遲期間會持續到停用或刪除作業在 Microsoft Entra ID 中完整處理為止。
FedAuth 令牌到期
當您登入時,會發出 FedAuth 令牌。 它適用於七天的滑動視窗。 當您在滑動視窗中重新整理到期日時,到期會自動延長七天。 如果使用者定期存取服務,只需要初始登入。 在閑置期間延長七天之後,令牌會變成無效,且用戶必須再次登入。
PAT 到期
用戶可以為 PAT 選擇到期日,不要超過一年。 建議您使用較短的時間週期,並在到期時產生新的 PAT。 使用者會在令牌到期前一周收到通知電子郵件。 用戶可以產生新的令牌、延長現有令牌的到期時間,或視需要變更現有令牌的範圍。
稽核記錄
如果您的組織已連線到 Microsoft Entra ID,您可以存取追蹤各種事件的稽核記錄,包括許可權變更、已刪除的資源和記錄存取。 這些稽核記錄對於檢查撤銷或調查任何活動十分有用。 如需詳細資訊,請參閱 存取、匯出和篩選稽核記錄。
常見問題集 (FAQ)
問:如果用戶離開我的公司,PAT 會發生什麼事?
答:一旦使用者從 Microsoft Entra 標識符中移除,PAT 和 FedAuth 令牌會在一小時內失效,因為重新整理令牌只有效一小時。
問:我應該撤銷 JSON Web 令牌 (JWT)嗎?
答:如果您有您認為應該撤銷的 JWT,建議您立即這樣做。 使用 PowerShell 腳本撤銷作為 OAuth 流程一部分的 JWT。 請務必在腳本中使用日期範圍選項。