使用原則來管理使用者的個人存取權杖

  • 發行項

Azure DevOps Services

您可以藉由啟用 Microsoft Entra 原則,來限制 Azure DevOps 中使用者的新或更新個人存取權杖 (PAT) 的建立、範圍和存留期。 您也可以管理自動撤銷外泄的 PAT。 在此文章的專屬章節中,瞭解每個原則的預設行為。

重要

透過 UI 和 API 建立的現有 PAT,會根據其生命週期的剩餘時間套用。 更新現有的 PAT 以符合新的限制,然後可以成功更新它們。

必要條件

若要檢查您的角色,請登入 Azure 入口網站,然後選擇 [Microsoft Entra ID > 角色和系統管理員 ]。 如果您不是 Azure DevOps 系統管理員,請連絡您的系統管理員。

限制全域 PAT 的建立

Microsoft Entra 中的 Azure DevOps 管理員istrator 會限制使用者建立全域 PAT。 全域權杖會套用至所有可存取的組織,而不是單一組織。 啟用此原則表示新的 PAT 必須與特定的 Azure DevOps 組織相關聯。 根據預設,此原則會設定為 關閉

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選擇 [ gear icon 組織設定]。

    Choose the gear icon, Organization settings

  3. 在 [Microsoft Entra ID] 索引標籤中,尋找 [ 限制全域個人存取權杖建立 原則],並將切換開關移至 開啟

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

限制建立完整範圍的 PAT

Microsoft Entra 中的 Azure DevOps 管理員istrator 會限制使用者建立完整範圍的 PAT。 啟用此原則表示新的 PAT 必須限制為特定的自訂定義範圍集。 根據預設,此原則會設定為 關閉

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選擇 [ gear icon 組織設定]。

    Choose the gear icon, Organization settings

  3. 在 [Microsoft Entra 識別碼] 索引標籤中,尋找 [限制完整範圍的個人存取權杖建立*原則],並將切換開關移至 開啟

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

設定新 PAT 的最大壽命

Microsoft Entra ID 中的 Azure DevOps 管理員istrator 會定義 PAT 的最大壽命。 新權杖的最長存留期可以在天數內指定。 根據預設,此原則會設定為 關閉

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選擇 [ gear icon 組織設定]。

    Choose the gear icon, Organization settings

  3. 在 [Microsoft Entra ID] 索引標籤中,尋找 [ 強制執行最大個人存取權杖壽命 原則],並將切換開關移至 [開啟 ]。

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. 輸入最大天數,然後選取 [ 儲存 ]。

將 Microsoft Entra 使用者或群組新增至允許清單

警告

建議您搭配租使用者原則允許清單使用群組。 如果您使用具名使用者,請注意,具名使用者的身分識別參考將位於美國、歐洲(EU)和東南亞(新加坡)。

在開啟這些原則時,允許清單上的使用者或群組不受這些原則所建立的限制和強制執行。 選取 [新增 Microsoft Entra 使用者或群組 ] 以將使用者或群組新增至清單,然後選取 [ 新增 ]。 每個原則都有自己的允許清單。 如果使用者位於一個原則的允許清單上,則仍會套用任何其他已啟用的原則。 換句話說,如果您希望使用者免除所有原則,您應該將它們新增至每個允許清單。

自動撤銷洩露的 PAT

Microsoft Entra ID 中的 Azure DevOps 管理員istrator 可以管理自動撤銷外泄 PAT 的原則。 此原則適用于連結至 Microsoft Entra 租使用者之所有組織內的所有 PAT。 根據預設,此原則會設定為 開啟 。 如果 Azure DevOps PAT 簽入公用 GitHub 存放庫,系統會自動撤銷它們。

警告

如果您停用此原則,任何簽入公用 GitHub 存放庫的 PAT 都會保留,而且可能會危害您的 Azure DevOps 組織和資料,讓您的應用程式和服務面臨重大風險。 停用原則並關閉功能後,當您發現您的 PAT 外泄時,您仍會收到電子郵件通知,但我們不會撤銷。

關閉自動撤銷外泄的 PAT

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選擇 [ gear icon 組織設定]。

    Choose the gear icon, Organization settings

  3. 在 [Microsoft Entra 識別碼] 索引標籤中 ,尋找 [自動撤銷洩露的個人存取權杖 ] 原則,並將切換開關 移至關閉

原則已停用,且任何簽入公用 GitHub 存放庫的 PAT 仍會保留。

下一步

變更應用程式存取原則