組織のユーザーの個人用アクセス トークンを取り消す
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
個人用アクセス トークン (PAT) が侵害された場合は、直ちに対処してください。 組織を保護するための予防措置として、管理者がユーザーの PAT を取り消す方法について説明します。 また、PAT を取り消すユーザーを無効にすることもできます。 ただし、MICROSOFT Entra ID で disable 関数または delete 関数が完了すると、PAT の動作が停止するまでの待機時間 (最大 1 時間) があります。
前提条件
ユーザーの AT を取り消すことができるのは、組織の所有者またはプロジェクト コレクション 管理istrators グループのメンバーだけです。 Project Collection 管理istrators グループのメンバーでない場合は、1 つとして追加します。 組織の所有者を検索する方法については、「組織の所有者を検索する」を参照してください。
ユーザーについては、独自の AT を作成または取り消す場合は、「個人用アクセス トークンの作成または取り消し」を参照してください。
AT の取り消し
- 組織のユーザーの OAuth 承認 (AT を含む) を取り消すには、「トークン失効 - 承認の取り消し」を参照してください。
- この PowerShell スクリプト を使用して、ユーザー プリンシパル名 (UPN) の一覧を渡すことで、新しい REST API の呼び出しを自動化します。 PAT を作成したユーザーの UPN がわからない場合は、このスクリプトを使用しますが、日付範囲に基づいている必要があります。
Note
日付範囲を使用すると、JSON Web トークン (JWT) も取り消されます。 また、これらのトークンに依存するすべてのツールは、新しいトークンで更新されるまで機能しません。
- 影響を受ける AT を正常に取り消したら、ユーザーに通知します。 必要に応じてトークンを再作成できます。
FedAuth トークンの有効期限
サインインすると、FedAuth トークンが発行されます。 7 日間のスライディング ウィンドウに対して有効です。 有効期限は、スライディング ウィンドウ内で更新するたびに、自動的にさらに 7 日間延長されます。 ユーザーがサービスに定期的にアクセスする場合は、最初のサインインのみが必要です。 非アクティブな期間が 7 日間続くと、トークンは無効になり、ユーザーはもう一度サインインする必要があります。
個人用アクセス トークンの有効期限
ユーザーは、個人用アクセス トークンの有効期限を 1 年を超えないように選択できます。 短い期間を使用して、有効期限が切れたときに新しい AT を生成することをお勧めします。 ユーザーは、トークンの有効期限が切れる 1 週間前に通知メールを受け取ります。 ユーザーは、新しいトークンを生成したり、既存のトークンの有効期限を延長したり、必要に応じて既存のトークンのスコープを変更したりできます。
よく寄せられる質問 (FAQ)
Q: ユーザーが退職した場合はどうしますか?
A: ユーザーが Microsoft Entra ID から削除されると、更新トークンは 1 時間以内に有効になるため、1 時間以内に 1 つの PAT トークンと FedAuth トークンが無効になります。
Q: JSON Web トークン (JWT) についてはどうですか?
A: PowerShell スクリプトを使用して、OAuth フローの一部として発行された JWT を取り消します。 ただし、スクリプトでは日付範囲オプションを使用する必要があります。
関連記事
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示