Widerrufen von persönlichen Zugriffstoken für Organisationsbenutzer

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Wenn Ihr persönliches Zugriffstoken (PAT) kompromittiert ist, ergreifen Sie sofortige Maßnahmen. Erfahren Sie, wie ein Administrator den PAT eines Benutzers widerrufen kann, um Ihre Organisation zu schützen. Sie können auch einen Benutzer deaktivieren, der seinen PAT widerruft. Es gibt Latenz (bis zu einer Stunde), bevor der PAT nicht mehr funktioniert, sobald die Deaktiv- oder Löschfunktion in der Microsoft Entra-ID abgeschlossen ist.

Voraussetzungen

Nur der Organisationsbesitzer oder ein Mitglied der Gruppe "Projektsammlungsadministratoren " kann Benutzer-PATs widerrufen. Wenn Sie kein Mitglied der Gruppe "Projektsammlungsadministratoren " sind, werden Sie als Eins hinzugefügt. Informationen zum Auffinden Ihres Organisationsbesitzers finden Sie unter "Nachschlagen der Organisationsbesitzer".

Informationen zu Benutzern, wenn Sie Eigene PATs erstellen oder widerrufen möchten, finden Sie unter Erstellen oder Widerrufen von persönlichen Zugriffstoken.

Widerrufen von PATs

  1. Informationen zum Widerrufen der OAuth-Autorisierungen, einschließlich PATs, für die Benutzer Ihrer Organisation finden Sie unter Tokensperrungen – Widerrufen von Autorisierungen.
  2. Verwenden Sie dieses PowerShell-Skript , um das Aufrufen der neuen REST-API zu automatisieren, indem Sie eine Liste der Benutzerprinzipalnamen (USER Principal Names, UPNs) übergeben. Wenn Sie den UPN des Benutzers, der den PAT erstellt hat, nicht kennen, verwenden Sie dieses Skript, aber es muss auf einem Datumsbereich basieren.

Hinweis

Beachten Sie, dass beim Verwenden eines Datumsbereichs auch JSON-Webtoken (JWTs) widerrufen werden. Beachten Sie außerdem, dass alle Tools, die auf diesen Token basieren, erst funktionieren, wenn sie mit neuen Token aktualisiert wurden.

  1. Nachdem Sie die betroffenen PATs erfolgreich widerrufen haben, teilen Sie Ihren Benutzern mit. Sie können ihre Token nach Bedarf neu erstellen.

Ablauf des FedAuth-Tokens

Ein FedAuth-Token wird ausgegeben, wenn Sie sich anmelden. Es ist gültig für ein siebentägiges Gleitfenster. Das Ablaufdatum verlängert sich automatisch um weitere sieben Tage, wenn Sie sie innerhalb des Gleitfensters aktualisieren. Wenn Benutzer regelmäßig auf den Dienst zugreifen, ist nur eine anfängliche Anmeldung erforderlich. Nach einer Zeit der Inaktivität, die sieben Tage verlängert wird, wird das Token ungültig, und der Benutzer muss sich erneut anmelden.

Ablauf des persönlichen Zugriffstokens

Benutzer können ein Ablaufdatum für ihr persönliches Zugriffstoken auswählen, um ein Jahr nicht zu überschreiten. Es wird empfohlen, kürzere Zeiträume zu verwenden und neue PATs nach Ablauf zu generieren. Benutzer erhalten eine Benachrichtigungs-E-Mail eine Woche vor Ablauf des Tokens. Benutzer können ein neues Token generieren, das Ablaufdatum des vorhandenen Tokens erweitern oder den Gültigkeitsbereich des vorhandenen Tokens bei Bedarf ändern.

Häufig gestellte Fragen (FAQs)

F: Was geschieht, wenn ein Benutzer mein Unternehmen verlässt?

A: Sobald ein Benutzer von der Microsoft Entra-ID entfernt wurde, werden die PATs und FedAuth-Token innerhalb einer Stunde ungültig, da das Aktualisierungstoken nur für eine Stunde gültig ist.

F: Was ist mit JSON-Webtoken (JWTs)?

A: Widerrufen von JWTs, die als Teil des OAuth-Flusses ausgestellt wurden, über das PowerShell-Skript. Sie müssen jedoch die Datumsbereichsoption im Skript verwenden.