Widerrufen persönlicher Zugriffstoken für Organisationsbenutzer

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2017

Wenn Ihr persönliches Zugriffstoken (Personal Access Token, PAT) kompromittiert ist, ergreifen Sie sofortige Maßnahmen. Erfahren Sie, wie ein Administrator das PAT eines Benutzers als Vorsichtsmaßnahme widerrufen kann, um Ihre Organisation zu schützen. Sie können auch einen Benutzer deaktivieren, der seine PAT widerruft. Es gibt eine Wartezeit (bis zu einer Stunde), bevor das PAT jedoch nicht mehr funktioniert, sobald die Funktion zum Deaktivieren oder Löschen in Azure Active Directory (Azure AD) abgeschlossen ist.

Voraussetzungen

Benutzer-PATs können nur von einem Organisationsadministrator oder Project Sammlungsadministrator widerrufen werden. Wenn Sie kein Mitglied der Gruppe Project Sammlungsadministratoren sind, werden Sie als eine hinzugefügt. Informationen dazu, wie Sie den Administrator Ihrer Organisation finden, finden Sie unter Suchen nach Administratoren und Organisationsbesitzer.

Wenn Sie für Benutzer Eigene PATs erstellen oder widerrufen möchten, finden Sie weitere Informationen unter Erstellen oder Widerrufen von persönlichen Zugriffstoken.

Widerrufen von PATs

  1. Informationen zum Widerrufen der OAuth-Autorisierungen, einschließlich PATs, für die Benutzer Ihrer Organisation finden Sie unter Tokensperren – Widerrufen von Autorisierungen.
  2. Verwenden Sie dieses PowerShell-Skript, um den Aufruf der neuen REST-API zu automatisieren, indem Sie eine Liste von Benutzerprinzipalnamen (USER Principal Names, UPNs) übergeben. Wenn Sie den UPN des Benutzers, der das PAT erstellt hat, nicht kennen, verwenden Sie dieses Skript, es muss jedoch auf einem Datumsbereich basieren.

Hinweis

Beachten Sie, dass bei Verwendung eines Datumsbereichs auch json-Webtoken (JWTs) widerrufen werden. Beachten Sie auch, dass alle Tools, die auf diesen Token angewiesen sind, erst funktionieren, wenn sie mit neuen Token aktualisiert wurden.

  1. Nachdem Sie die betroffenen PATs erfolgreich widerrufen haben, informieren Sie Ihre Benutzer. Sie können ihre Token nach Bedarf neu erstellen.

FedAuth-Tokenablauf

Ein FedAuth-Token wird ausgegeben, wenn Sie sich anmelden. Sie ist für ein gleitendes Fenster mit sieben Tagen gültig. Der Ablauf verlängert sich automatisch um weitere sieben Tage, wenn Sie ihn innerhalb des gleitenden Fensters aktualisieren. Wenn Benutzer regelmäßig auf den Dienst zugreifen, ist nur eine erste Anmeldung erforderlich. Nach einer Inaktivitätsdauer von sieben Tagen wird das Token ungültig, und der Benutzer muss sich erneut anmelden.

Ablauf des persönlichen Zugriffstokens

Benutzer können ein Ablaufdatum für ihr persönliches Zugriffstoken auswählen, das ein Jahr nicht überschreitet. Es wird empfohlen, kürzere Zeiträume zu verwenden und nach Ablauf neue PATs zu generieren. Benutzer erhalten eine Woche vor Ablauf des Tokens eine Benachrichtigungs-E-Mail. Benutzer können ein neues Token generieren, den Ablauf des vorhandenen Tokens verlängern oder bei Bedarf den Bereich des vorhandenen Tokens ändern.

Häufig gestellte Fragen (FAQs)

F: Was geschieht, wenn ein Benutzer mein Unternehmen verlässt?

A: Sobald ein Benutzer aus Azure AD entfernt wurde, werden die PATs und FedAuth-Token innerhalb einer Stunde ungültig, da das Aktualisierungstoken nur eine Stunde lang gültig ist.

F: Was ist mit JSON-Webtoken (JWTs)?

A: Widerrufen Sie JWTs, die im Rahmen des OAuth-Flows ausgegeben werden, über das PowerShell-Skript. Sie müssen jedoch die Datumsbereichsoption im Skript verwenden.