Použití zásad ke správě osobních přístupových tokenů pro uživatele

  • Článek

Služby Azure DevOps

Vytvořením, rozsahem a životností nových nebo obnovených tokenů pat přístupu (PAT) pro uživatele v Azure DevOps můžete omezit tím, že povolíte zásady Microsoft Entra. Můžete také spravovat automatické odvolání nevracených pat. Přečtěte si výchozí chování pro každou zásadu v samostatné části tohoto článku.

Důležité

Stávající paty vytvořené prostřednictvím uživatelského rozhraní i rozhraní API platí po zbytek jejich životnosti. Aktualizujte stávající paty tak, aby splňovaly nové omezení, a pak je můžete úspěšně obnovit.

Předpoklady

Pokud chcete zkontrolovat svou roli, přihlaste se k webu Azure Portal a zvolte role a správce ID>Microsoft Entra. Pokud nejste správcem Azure DevOps, obraťte se na správce.

Omezení vytváření globálních patů

Azure DevOps Správa istrator v Microsoft Entra omezuje uživatele v vytváření globálních patů. Globální tokeny platí pro všechny přístupné organizace, nikoli pro jednu organizaci. Povolení této zásady znamená, že nové paty musí být přidružené ke konkrétním organizacím Azure DevOps. Ve výchozím nastavení je tato zásada vypnutá.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Zvolte gear iconnastavení organizace.

    Choose the gear icon, Organization settings

  3. Na kartě Microsoft Entra ID vyhledejte zásadu pro omezení globálního tokenu patového přístupu a přesuňte přepínač na zapnuto.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Omezení vytváření úplného rozsahu PAT

Azure DevOps Správa istrator v Microsoft Entra omezuje uživatelům vytvářet plně vymezené pracovní stanice. Povolení této zásady znamená, že nové pracovní stanice musí být omezené na konkrétní vlastní definovanou sadu oborů. Ve výchozím nastavení je tato zásada vypnutá.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Zvolte gear iconnastavení organizace.

    Choose the gear icon, Organization settings

  3. Na kartě Microsoft Entra ID vyhledejte zásadu *Omezit vytváření tokenů pat s úplným oborem a přesuňte přepínač na zapnuto.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Nastavení maximální životnosti pro nové paty

Azure DevOps Správa istrator v Microsoft Entra ID definuje maximální životnost PAT. Maximální životnost nových tokenů je možné zadat v počtu dnů. Ve výchozím nastavení je tato zásada vypnutá.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Zvolte gear iconnastavení organizace.

    Choose the gear icon, Organization settings

  3. Na kartě Microsoft Entra ID vyhledejte zásadu vynutit maximální životnost tokenu pat a přepněte přepínač na zapnuto.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. Zadejte maximální počet dní a pak vyberte Uložit.

Přidání uživatelů nebo skupin Microsoft Entra do seznamu povolených

Upozorňující

Doporučujeme používat skupiny se seznamem povolených zásad tenanta. Pokud použijete pojmenovaného uživatele, mějte na paměti, že odkaz na identitu pojmenovaného uživatele se bude nacházet v USA, Evropě (EU) a Jihovýchodní Asii (Singapur).

Uživatelé nebo skupiny na seznamu povolených jsou vyloučeni z omezení a vynucování vytvořených těmito zásadami, když jsou zapnuté. Vyberte Přidat uživatele nebo skupinu Microsoft Entra, chcete-li přidat uživatele nebo skupinu do seznamu, a pak vyberte Přidat. Každá zásada má svůj vlastní seznam povolených. Pokud je uživatel na seznamu povolených pro jednu zásadu, platí všechny ostatní aktivované zásady. Jinými slovy, pokud chcete, aby byl uživatel ze všech zásad vyloučený, měli byste je přidat do každého seznamu povolených.

Automatické odvolání nevracených pat

Azure DevOps Správa istrator v Microsoft Entra ID může spravovat zásady, které automaticky odvolává úniky PAT. Tato zásada se vztahuje na všechny paty ve všech organizacích propojených s vaším tenantem Microsoft Entra. Ve výchozím nastavení je tato zásada zapnutá. Pokud se paty Azure DevOps kontrolují do veřejných úložišť GitHubu, automaticky se odvolají.

Upozorňující

Pokud tuto zásadu zakážete, zůstanou všechny paty, které se budou zkontrolovat do veřejných úložišť GitHubu, a mohly by ohrozit vaši organizaci a data Azure DevOps a ohrozit tak vaše aplikace a služby. Když je zásada zakázaná a funkce vypnutá, pořád vám přijde e-mailové oznámení, když zjistíme, že vám uniklý pat, ale neodvoláme ho.

Vypnutí automatického odvolání nevracených pat

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Zvolte gear iconnastavení organizace.

    Choose the gear icon, Organization settings

  3. Na kartě Microsoft Entra ID vyhledejte zásady automaticky odvolaných tokenů pat a přepněte přepínač na vypnuto.

Zásada je zakázaná a všechny paty, které se kontrolují do veřejných úložišť GitHubu, zůstanou.

Další kroky

Změna zásad přístupu k aplikacím