Révoquer des jetons d’accès personnels pour les utilisateurs d’une organisation

  • Article

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Si votre jeton d’accès personnel (PAT) est compromis, effectuez une action immédiate. Découvrez comment un administrateur peut révoquer le mot de passe d’un utilisateur, par précaution pour protéger votre organisation. Vous pouvez également désactiver un utilisateur, qui révoque son PAT. Une fois la fonction de désactivation ou de suppression terminée dans Microsoft Entra ID, la latence (jusqu’à une heure) s’arrête.

Prérequis

Seul le propriétaire de l’organisation ou un membre du groupe collection de projets Administration istrators peut révoquer les paT utilisateur. Si vous n’êtes pas membre du groupe collection de projets Administration istrators, ajoutez-en un. Pour savoir comment trouver le propriétaire de votre organisation, consultez Rechercher le propriétaire d'organisation.

Pour les utilisateurs, si vous souhaitez créer ou révoquer vos propres PAT, consultez Créer ou révoquer des jetons d’accès personnels.

Révoquer des PAT

  1. Pour révoquer les autorisations OAuth, y compris les PAT, pour les utilisateurs de votre organisation, consultez révocations de jetons - Révoquer des autorisations.
  2. Utilisez ce script PowerShell pour automatiser l’appel de la nouvelle API REST en passant une liste de noms d’utilisateur principaux (UPN). Si vous ne connaissez pas l’UPN de l’utilisateur qui a créé le protocole PAT, utilisez ce script, mais il doit être basé sur une plage de dates.

Remarque

N’oubliez pas que lorsque vous utilisez une plage de dates, tous les jetons web JSON (JWT) sont également révoqués. Sachez également que tous les outils qui s’appuient sur ces jetons ne fonctionneront pas tant qu’ils ne seront pas actualisés avec de nouveaux jetons.

  1. Une fois que vous avez révoqué les PAT affectés, informez vos utilisateurs. Ils peuvent recréer leurs jetons, selon les besoins.

Expiration du jeton FedAuth

Un jeton FedAuth est émis lorsque vous vous connectez. Il est valide pour une fenêtre glissante de sept jours. L’expiration s’étend automatiquement sept jours supplémentaires chaque fois que vous l’actualisez dans la fenêtre glissante. Si les utilisateurs accèdent régulièrement au service, seule une connexion initiale est nécessaire. Après une période d’inactivité prolongée de sept jours, le jeton devient non valide et l’utilisateur doit se reconnecter.

Expiration du jeton d’accès personnel

Les utilisateurs peuvent choisir une date d’expiration pour leur jeton d’accès personnel, sans dépasser un an. Nous vous recommandons d’utiliser des périodes plus courtes, générant de nouveaux PAT à l’expiration. Les utilisateurs reçoivent un e-mail de notification une semaine avant l’expiration du jeton. Les utilisateurs peuvent générer un nouveau jeton, étendre l’expiration du jeton existant ou modifier l’étendue du jeton existant, si nécessaire.

Forum Aux Questions (FAQ)

Q : Que se passe-t-il si un utilisateur quitte ma société ?

R : Une fois qu’un utilisateur a supprimé de Microsoft Entra ID, les jetons PAT et FedAuth invalident dans un délai d’une heure, car le jeton d’actualisation n’est valide que pendant une heure.

Q : Qu’en est-il des jetons web JSON (JWTs) ?

R : Révoquer des JWT, émis dans le cadre du flux OAuth, via le script PowerShell. Toutefois, vous devez utiliser l’option de plage de dates dans le script.