使用原則來管理使用者的個人存取權杖
Azure DevOps Services
您可以藉由啟用 Microsoft Entra 原則,來限制 Azure DevOps 中使用者的新或更新個人存取權杖 (PAT) 的建立、範圍和存留期。 您也可以管理自動撤銷外泄的 PAT。 在此文章的專屬章節中,瞭解每個原則的預設行為。
重要
透過 UI 和 API 建立的現有 PAT,會根據其生命週期的剩餘時間套用。 更新現有的 PAT 以符合新的限制,然後可以成功更新它們。
必要條件
- 您的組織必須 連結至 Microsoft Entra ID 。
- 您必須是 Microsoft Entra ID 中的 Azure DevOps 管理員istrator,才能管理您的組織原則。
若要檢查您的角色,請登入 Azure 入口網站,然後選擇 [Microsoft Entra ID > 角色和系統管理員 ]。 如果您不是 Azure DevOps 系統管理員,請連絡您的系統管理員。
限制全域 PAT 的建立
Microsoft Entra 中的 Azure DevOps 管理員istrator 會限制使用者建立全域 PAT。 全域權杖會套用至所有可存取的組織,而不是單一組織。 啟用此原則表示新的 PAT 必須與特定的 Azure DevOps 組織相關聯。 根據預設,此原則會設定為 關閉 。
登入您的組織 (
https://dev.azure.com/{yourorganization}
)。選擇 [ 組織設定]。
在 [Microsoft Entra ID] 索引標籤中,尋找 [ 限制全域個人存取權杖建立 原則],並將切換開關移至 開啟 。
限制建立完整範圍的 PAT
Microsoft Entra 中的 Azure DevOps 管理員istrator 會限制使用者建立完整範圍的 PAT。 啟用此原則表示新的 PAT 必須限制為特定的自訂定義範圍集。 根據預設,此原則會設定為 關閉 。
登入您的組織 (
https://dev.azure.com/{yourorganization}
)。選擇 [ 組織設定]。
在 [Microsoft Entra 識別碼] 索引標籤中,尋找 [限制完整範圍的個人存取權杖建立*原則],並將切換開關移至 開啟 。
設定新 PAT 的最大壽命
Microsoft Entra ID 中的 Azure DevOps 管理員istrator 會定義 PAT 的最大壽命。 新權杖的最長存留期可以在天數內指定。 根據預設,此原則會設定為 關閉 。
登入您的組織 (
https://dev.azure.com/{yourorganization}
)。選擇 [ 組織設定]。
在 [Microsoft Entra ID] 索引標籤中,尋找 [ 強制執行最大個人存取權杖壽命 原則],並將切換開關移至 [開啟 ]。
輸入最大天數,然後選取 [ 儲存 ]。
將 Microsoft Entra 使用者或群組新增至允許清單
警告
建議您搭配租使用者原則允許清單使用群組。 如果您使用具名使用者,請注意,具名使用者的身分識別參考將位於美國、歐洲(EU)和東南亞(新加坡)。
在開啟這些原則時,允許清單上的使用者或群組不受這些原則所建立的限制和強制執行。 選取 [新增 Microsoft Entra 使用者或群組 ] 以將使用者或群組新增至清單,然後選取 [ 新增 ]。 每個原則都有自己的允許清單。 如果使用者位於一個原則的允許清單上,則仍會套用任何其他已啟用的原則。 換句話說,如果您希望使用者免除所有原則,您應該將它們新增至每個允許清單。
自動撤銷洩露的 PAT
Microsoft Entra ID 中的 Azure DevOps 管理員istrator 可以管理自動撤銷外泄 PAT 的原則。 此原則適用于連結至 Microsoft Entra 租使用者之所有組織內的所有 PAT。 根據預設,此原則會設定為 開啟 。 如果 Azure DevOps PAT 簽入公用 GitHub 存放庫,系統會自動撤銷它們。
警告
如果您停用此原則,任何簽入公用 GitHub 存放庫的 PAT 都會保留,而且可能會危害您的 Azure DevOps 組織和資料,讓您的應用程式和服務面臨重大風險。 停用原則並關閉功能後,當您發現您的 PAT 外泄時,您仍會收到電子郵件通知,但我們不會撤銷。
關閉自動撤銷外泄的 PAT
登入您的組織 (
https://dev.azure.com/{yourorganization}
)。選擇 [ 組織設定]。
在 [Microsoft Entra 識別碼] 索引標籤中 ,尋找 [自動撤銷洩露的個人存取權杖 ] 原則,並將切換開關 移至關閉 。
原則已停用,且任何簽入公用 GitHub 存放庫的 PAT 仍會保留。
下一步
相關文章
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應