A szervezeti felhasználók személyes hozzáférési jogkivonatainak visszavonása

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Ha a személyes hozzáférési jogkivonata (PAT) sérült, azonnal tegyen lépéseket. Megtudhatja, hogyan vonhatja vissza a rendszergazda a felhasználó PAT-jét a szervezet védelme érdekében. Letilthat egy felhasználót is, amely visszavonja a PAT-t. A PAT működése előtt azonban késés (akár egy óra) is előfordulhat, ha a letiltási vagy törlési függvény befejeződik a Microsoft Entra-azonosítóban.

Előfeltételek

Csak a szervezet tulajdonosa vagy a Projektgyűjtemény Rendszergazda istrators csoport tagja vonhatja vissza a felhasználói PAT-okat. Ha nem tagja a Project Collection Rendszergazda istrators csoportnak, a rendszer hozzá lesz adva egyként. A szervezet tulajdonosának megkereséséről a szervezet tulajdonosának megkeresése című témakörben olvashat.

A felhasználók számára, ha saját paT-okat szeretne létrehozni vagy visszavonni, olvassa el a személyes hozzáférési jogkivonatok létrehozását vagy visszavonását.

PAT-k visszavonása

1. Ha vissza szeretné vonni az OAuth-engedélyeket, beleértve a paT-okat is, tekintse meg a jogkivonatok visszavonása – Engedélyek visszavonása című témakört.
2. Ezzel a PowerShell-szkripttel automatizálhatja az új REST API meghívását a felhasználónevek listájának (UPN-ek) átadásával. Ha nem ismeri a PAT-t létrehozó felhasználó UPN-ét, használja ezt a szkriptet, de annak dátumtartományon kell alapulnia.

Feljegyzés

Ne feledje, hogy dátumtartomány használata esetén a JSON webes jogkivonatok (JWT-k) is visszavonásra kerülnek. Vegye figyelembe azt is, hogy az ezekre a jogkivonatokra támaszkodó eszközök csak akkor működnek, ha új jogkivonatokkal frissülnek.

3. Miután sikeresen visszavonta az érintett PAT-eket, tájékoztassa a felhasználókat. Szükség szerint újra létrehozhatják a jogkivonataikat.

FedAuth-jogkivonat lejárata

A bejelentkezéskor egy FedAuth-jogkivonat lesz kibocsátva. Hét napos tolóablakra érvényes. A lejárat automatikusan további hét napot hosszabbít meg, amikor frissíti a tolóablakban. Ha a felhasználók rendszeresen hozzáférnek a szolgáltatáshoz, csak kezdeti bejelentkezésre van szükség. Egy hét napig tartó inaktivitási időszak után a jogkivonat érvénytelenné válik, és a felhasználónak újra be kell jelentkeznie.

Személyes hozzáférési jogkivonat lejárata

A felhasználók választhatnak egy lejárati dátumot a személyes hozzáférési jogkivonatukhoz, és nem léphetik túl az egy évet. Javasoljuk, hogy rövidebb időtartamokat használjon, és a lejáratkor új PAT-okat generáljon. A felhasználók egy héttel a jogkivonat lejárta előtt értesítést kapnak. A felhasználók létrehozhatnak egy új jogkivonatot, meghosszabbíthatják a meglévő jogkivonat lejáratát, vagy szükség esetén módosíthatják a meglévő jogkivonat hatókörét.

Gyakori kérdések (GYIK)

K: Mi történik, ha egy felhasználó elhagyja a vállalatomat?

V: Miután egy felhasználót eltávolítottak a Microsoft Entra-azonosítóból, a PAT-k és a FedAuth-jogkivonatok egy órán belül érvénytelenek lesznek, mivel a frissítési jogkivonat csak egy óráig érvényes.

K: Mi a helyzet a JSON webes jogkivonatokkal (JWT-kkel)?

Válasz: Az OAuth-folyamat részeként kiadott JWT-k visszavonása a PowerShell-szkripten keresztül. A szkriptben azonban a dátumtartomány beállítását kell használnia.

Kapcsolódó cikkek

• Hogyan védi a Microsoft a projekteket és az adatokat az Azure DevOpsban?
• Személyes hozzáférési jogkivonatok létrehozása vagy visszavonása