共用方式為

使用原則來管理用戶的個人存取令牌

  • 發行項

Azure DevOps Services

本文提供如何在 Azure DevOps 中使用 Microsoft Entra 原則來管理個人存取令牌 (PAT) 的指引。 它說明如何限制新或更新 PAT 的建立、範圍和生命週期,以及如何處理自動撤銷外洩的 PAT。 每個區段都會詳細說明個別原則的預設行為,協助系統管理員有效地控制和保護其組織內的 PAT 使用量。

重要

透過UI和API建立的現有 PAT,在剩餘的生命週期中仍有效。 更新現有的 PAT 以符合新的限制,以確保更新成功。

必要條件

限制全域 PAT 的建立

Microsoft Entra 中的 Azure DevOps 系統管理員可以限制使用者建立全域個人存取令牌(PAT),這些令牌適用於所有可存取的組織,而不是單一組織。 啟用此原則時,新的 PAT 必須與特定的 Azure DevOps 組織相關聯。 根據預設,此原則會設定為 關閉

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

    顯示 [選擇齒輪圖示]、[組織設定] 的螢幕快照。

  3. 選取 [Microsoft Entra],尋找 [限制全域個人存取令牌建立原則],然後移動切換開關

    切換至 [限制全域 PAT 建立原則] 位置的螢幕快照。

限制建立完整範圍的 PAT

Microsoft Entra 中的 Azure DevOps 系統管理員可以限制使用者建立完整範圍的 PAT。 啟用此原則需要新的 PAT 限制為特定的自定義定義範圍集。 根據預設,此原則會設定為 關閉

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

  3. 選取 [Microsoft Entra],尋找 [限制完整範圍的個人存取令牌建立原則],然後移動切換開關

    切換至 [限制完整範圍的 PAT 建立原則] 位置的螢幕快照。

設定新 PAT 的最大壽命

Microsoft Entra ID 中的 Azure DevOps 系統管理員可以定義 PAT 的最大壽命,以天為單位加以指定。 根據預設,此原則會設定為 關閉

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

  3. 選取 [Microsoft Entra],尋找 [強制執行最大個人存取令牌存留期原則],然後移動切換開關

    切換至 [強制執行最大 PAT 壽命原則] 位置的螢幕快照。

  4. 輸入最大天數,然後選取 [ 儲存]。

將Microsoft Entra 使用者或群組新增至允許清單

警告

建議您針對租用戶原則允許清單使用群組。 如果您使用具名使用者,則其身分識別的參考位於 美國、歐洲(EU)和東南亞(新加坡)。

啟用時,允許清單上的使用者或群組會豁免這些原則的限制和強制執行。 若要新增使用者或群組,請選取 [新增Microsoft Entra 使用者或群組],然後選取 [ 新增]。 每個原則都有自己的允許清單。 如果用戶位於一個原則的允許清單中,其他啟用的原則仍適用。 因此,若要免除使用者的所有原則,請將他們新增至每個允許清單。

自動撤銷洩露的 PAT

Microsoft Entra ID 中的 Azure DevOps 系統管理員可以管理自動撤銷外洩 PAT 的原則。 此原則適用於連結至您Microsoft Entra 租使用者之組織內的所有 PAT。 根據預設,此原則會設定為 開啟。 如果 Azure DevOps PAT 已簽入公用 GitHub 存放庫,系統會自動撤銷。

警告

停用此原則表示簽入公用 GitHub 存放庫的任何 PAT 都會保持作用中、可能危害 Azure DevOps 組織和數據,以及讓您的應用程式和服務面臨重大風險。 即使原則已停用,如果 PAT 洩露,您仍會收到電子郵件通知,但不會自動撤銷。

關閉自動撤銷外洩的 PAT

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

  3. 選取 [Microsoft Entra],尋找 [ 自動撤銷外泄的個人存取令牌 ] 原則,並將切換開關 移至關閉

原則已停用,且簽入公用 GitHub 存放庫的任何 PAT 都會保持作用中。

下一步

變更應用程式存取原則