Revocar tokens de acceso personal para usuarios de la organización

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

Si el token de acceso personal (PAT) está en peligro, realice una acción inmediata. Obtenga información sobre cómo un administrador puede revocar el PAT de un usuario, como medida de precaución para proteger su organización. También puede deshabilitar un usuario, que revoca su PAT. Sin embargo, hay latencia (hasta una hora) antes de que el PAT deje de funcionar, una vez completada la función disable o delete en el identificador de Microsoft Entra.

Requisitos previos

Solo el propietario de la organización o un miembro de la colección de proyectos Administración istrators pueden revocar los PAT de usuario. Si no es miembro del grupo colección de proyectos Administración istrators, se agrega como uno. Para obtener información sobre cómo encontrar el propietario de la organización, consulte Búsqueda del propietario de la organización.

Para los usuarios, si desea crear o revocar sus propias PAT, consulte Creación o revocación de tokens de acceso personal.

Revocar PAT

  1. Para revocar las autorizaciones de OAuth, incluidas las PAT, para los usuarios de la organización, consulte Revocaciones de tokens: revocar autorizaciones.
  2. Use este script de PowerShell para automatizar la llamada a la nueva API REST pasando una lista de nombres principales de usuario (UPN). Si no conoce el UPN del usuario que creó el PAT, use este script, pero debe basarse en un intervalo de fechas.

Nota:

Tenga en cuenta que cuando se usa un intervalo de fechas, también se revocan los tokens web JSON (JWT). Tenga en cuenta también que las herramientas que se basan en estos tokens no funcionarán hasta que se actualicen con nuevos tokens.

  1. Después de revocar correctamente los PAT afectados, hágale saber a los usuarios. Pueden volver a crear sus tokens, según sea necesario.

Expiración del token de FedAuth

Se emite un token de FedAuth al iniciar sesión. Es válido para una ventana deslizante de siete días. La expiración extiende automáticamente otros siete días cada vez que la actualice dentro de la ventana deslizante. Si los usuarios acceden al servicio con regularidad, solo se necesita un inicio de sesión inicial. Después de un período de inactividad que extiende siete días, el token deja de ser válido y el usuario debe iniciar sesión de nuevo.

Expiración del token de acceso personal

Los usuarios pueden elegir una fecha de expiración para su token de acceso personal, no superar un año. Se recomienda usar períodos de tiempo más cortos, generando nuevas PAT tras la expiración. Los usuarios reciben un correo electrónico de notificación una semana antes de que expire el token. Los usuarios pueden generar un nuevo token, ampliar la expiración del token existente o cambiar el ámbito del token existente, si es necesario.

Preguntas más frecuentes (P+F)

P: ¿Qué ocurre si un usuario deja mi empresa?

R: Una vez que se ha quitado un usuario de Microsoft Entra ID, los tokens PAT y FedAuth invalidan en un plazo de una hora, ya que el token de actualización solo es válido durante una hora.

P: ¿Qué ocurre con los tokens web JSON (JWT)?

R: Revocar JWT, emitido como parte del flujo de OAuth, a través del script de PowerShell. Sin embargo, debe usar la opción intervalo de fechas en el script.