Usare i criteri per gestire i token di accesso personali per gli utenti

Servizi di Azure DevOps

È possibile limitare la creazione, l'ambito e la durata dei token di accesso personali nuovi o rinnovati per gli utenti in Azure DevOps abilitando i criteri di Microsoft Entra. È anche possibile gestire la revoca automatica dei PT persi. Informazioni sul comportamento predefinito per ogni criterio nella relativa sezione di questo articolo.

Importante

Le api esistenti, create tramite l'interfaccia utente e le API, si applicano per il resto della durata. Aggiornare i PT esistenti in modo che siano conformi alla nuova restrizione e quindi possono essere rinnovati correttamente.

Prerequisiti

• L'organizzazione deve essere collegata all'ID Microsoft Entra.
• Per gestire i criteri dell'organizzazione, è necessario essere un Amministrazione istrator di Azure DevOps in Microsoft Entra ID.

Per controllare il ruolo, accedere al portale di Azure e quindi scegliere Ruoli e amministratori di Microsoft Entra ID>. Se non si è un amministratore di Azure DevOps, contattare l'amministratore.

Limitare la creazione di PTE globali

Azure DevOps Amministrazione istrator in Microsoft Entra impedisce agli utenti di creare reti PAT globali. I token globali si applicano a tutte le organizzazioni accessibili, anziché a una singola organizzazione. L'abilitazione di questo criterio significa che le nuove api devono essere associate a specifiche organizzazioni di Azure DevOps. Per impostazione predefinita, questo criterio è disattivato.

1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

2. Scegliere Impostazioni organizzazione.

   

3. Nella scheda Microsoft Entra ID individuare il criterio Limita la creazione di token di accesso personale globale e spostare l'interruttore su Attivato.

   

Limitare la creazione di PT con ambito completo

L'Amministrazione istrator di Azure DevOps in Microsoft Entra impedisce agli utenti di creare pTE con ambito completo. L'abilitazione di questo criterio significa che i nuovi tipi di criteri devono essere limitati a un set personalizzato specifico di ambiti definiti. Per impostazione predefinita, questo criterio è disattivato.

1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

2. Scegliere Impostazioni organizzazione.

   

3. Nella scheda MICROSOFT Entra ID individuare il criterio *Restrict full-scoped personal access token creation *policy and move the toggle to on.

   

Impostare la durata massima per i nuovi tipi di criteri di accesso (PAT)

Azure DevOps Amministrazione istrator in Microsoft Entra ID definisce la durata massima di un pat. La durata massima per i nuovi token può essere specificata in numero di giorni. Per impostazione predefinita, questo criterio è disattivato.

1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

2. Scegliere Impostazioni organizzazione.

   

3. Nella scheda MICROSOFT Entra ID individuare i criteri Applica durata massima del token di accesso personale e spostare l'interruttore su Attivato.

   

4. Immettere il numero massimo di giorni e quindi selezionare Salva.

Aggiungere utenti o gruppi di Microsoft Entra all'elenco consenti

Avviso

È consigliabile usare i gruppi con gli elenchi di indirizzi consentiti dei criteri tenant. Se si usa un utente denominato, tenere presente che un riferimento all'identità dell'utente denominato risiederà nell'Stati Uniti, nell'Europa (UE) e nell'Asia sud-orientale (Singapore).

Gli utenti o i gruppi nell'elenco di elementi consentiti sono esenti dalle restrizioni e dalle imposizione create da questi criteri quando sono attivati. Selezionare Aggiungi utente o gruppo di Microsoft Entra per aggiungere l'utente o il gruppo all'elenco e quindi selezionare Aggiungi. Ogni criterio ha un proprio elenco di elementi consentiti. Se un utente è presente nell'elenco degli elementi consentiti per un criterio, tutti gli altri criteri attivati si applicano ancora. In altre parole, se si vuole che un utente sia esente da tutti i criteri, è necessario aggiungerli a ogni elenco di elementi consentiti.

Revocare automaticamente le PT perse

Azure DevOps Amministrazione istrator in Microsoft Entra ID può gestire i criteri che revocano automaticamente le api perse. Questo criterio si applica a tutti i PT all'interno di tutte le organizzazioni collegate al tenant di Microsoft Entra. Per impostazione predefinita, questo criterio è impostato su Attivato. Se le API di Azure DevOps vengono archiviate nei repository GitHub pubblici, vengono revocate automaticamente.

Avviso

Se si disabilita questo criterio, tutti i file CONT archiviati nei repository GitHub pubblici rimarranno e potrebbero compromettere l'organizzazione e i dati di Azure DevOps, mettendo a rischio le applicazioni e i servizi. Se il criterio è disabilitato e la funzionalità è disattivata, si riceve comunque una notifica tramite posta elettronica quando viene trovata la pat persa, ma non viene revocata.

Disattivare la revoca automatica delle PT perse

1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

2. Scegliere Impostazioni organizzazione.

   

3. Nella scheda MICROSOFT Entra ID individuare il criterio Revoca automaticamente i token di accesso personali persi e spostare l'interruttore su off.

I criteri sono disabilitati e rimangono tutti i file CONT archiviati nei repository GitHub pubblici.

Passaggi successivi

Modificare i criteri di accesso alle applicazioni

Articoli correlati

• Limitare la creazione dell'organizzazione con i criteri del tenant di Microsoft Entra
• Usare i token di accesso personale per l'autenticazione
• Ottenere l'elenco delle organizzazioni connesse a Microsoft Entra ID