다음을 통해 공유

정책을 사용하여 사용자에 대한 개인 액세스 토큰 관리

  • 아티클

Azure DevOps Services

Microsoft Entra 정책을 사용하도록 설정하여 Azure DevOps 사용자에 대해 신규 또는 갱신된 PAT(개인용 액세스 토큰)의 생성, 범위 및 수명을 제한할 수 있습니다. 유출된 PAT의 자동 해지를 관리할 수도 있습니다. 이 문서의 자체 섹션에서 각 정책에 대한 기본 동작을 알아봅니다.

Important

UI와 API를 통해 만든 기존 PAT는 수명 기간의 re기본der에 따라 적용됩니다. 새 제한을 준수하도록 기존 PAT를 업데이트한 다음 성공적으로 갱신할 수 있습니다.

필수 조건

  • 조직은 Microsoft Entra ID에 연결되어야 합니다.
  • 조직 정책을 관리하려면 Microsoft Entra IDAzure DevOps 관리istrator여야 합니다.

역할을 검사 Azure Portal에 로그인한 다음 Microsoft Entra ID>역할 및 관리자를 선택합니다. Azure DevOps 관리자가 아닌 경우 관리자에게 문의하세요.

전역 PAT 만들기 제한

Microsoft Entra의 Azure DevOps 관리istrator는 사용자가 전역 PAT를 만들지 못하도록 제한합니다. 전역 토큰은 단일 조직이 아닌 액세스 가능한 모든 조직에 적용됩니다. 이 정책을 사용하도록 설정하면 새 PAT를 특정 Azure DevOps 조직과 연결해야 합니다. 기본적으로 이 정책은 해제설정됩니다.

  1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

  2. 조직 설정을 선택합니다gear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra ID 탭에서 전역 개인 액세스 토큰 만들기 제한 정책을 찾아 토글을 켜기로 이동합니다.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

전체 범위의 PAT 만들기 제한

Microsoft Entra의 Azure DevOps 관리istrator는 사용자가 전체 범위의 PAT를 만들지 못하도록 제한합니다. 이 정책을 사용하도록 설정하면 새 PAT가 특정 사용자 지정 정의 범위 집합으로 제한되어야 합니다. 기본적으로 이 정책은 해제설정됩니다.

  1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

  2. 조직 설정을 선택합니다gear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra ID 탭에서 *전체 범위 개인 액세스 토큰 만들기 제한 *정책*을 찾아 토글을 켜기로 이동합니다.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

새 PAT의 최대 수명 설정

Microsoft Entra ID의 Azure DevOps 관리istrator는 PAT의 최대 수명을 정의합니다. 새 토큰의 최대 수명은 일 수로 지정할 수 있습니다. 기본적으로 이 정책은 해제설정됩니다.

  1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

  2. 조직 설정을 선택합니다gear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra ID 탭에서 최대 개인 액세스 토큰 수명 정책 적용을 찾아 토글을 켜기로 이동합니다.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. 최대 일 수를 입력한 다음 저장을 선택합니다.

허용 목록에 Microsoft Entra 사용자 또는 그룹 추가

Warning

테넌트 정책 허용 목록과 함께 그룹을 사용하는 것이 좋습니다. 명명된 사용자를 사용하는 경우 명명된 사용자의 ID에 대한 참조는 미국, 유럽(EU) 및 동남 아시아(싱가포르)에 상주합니다.

허용 목록에 있는 사용자 또는 그룹은 이러한 정책이 켜져 있을 때 만든 제한 사항 및 적용에서 제외됩니다. Microsoft Entra 사용자 또는 그룹 추가를 선택하여 사용자 또는 그룹을 목록에 추가한 다음 추가를 선택합니다. 각 정책에는 자체 허용 목록이 있습니다. 사용자가 한 정책에 대한 허용 목록에 있는 경우 다른 활성화된 정책은 계속 적용됩니다. 즉, 사용자가 모든 정책에서 제외되도록 하려면 각 허용 목록에 추가해야 합니다.

유출된 PAT를 자동으로 해지

Microsoft Entra ID의 Azure DevOps 관리istrator는 유출된 PAT를 자동으로 해지하는 정책을 관리할 수 있습니다. 이 정책은 Microsoft Entra 테넌트에 연결된 모든 조직 내의 모든 PAT에 적용됩니다. 기본적으로 이 정책은 켜지도록 설정됩니다. Azure DevOps PAT가 공용 GitHub 리포지토리에 검사 경우 자동으로 해지됩니다.

Warning

이 정책을 사용하지 않도록 설정하면 공용 GitHub 리포지토리에 검사 모든 PAT가 다시 기본 Azure DevOps 조직 및 데이터가 손상되어 애플리케이션과 서비스가 심각한 위험에 노출될 수 있습니다. 정책을 사용하지 않도록 설정하고 기능이 꺼져 있으면 유출된 PAT를 찾을 때 메일 알림이 계속 수신되지만 취소하지는 않습니다.

유출된 PAT의 자동 해지 끄기

  1. 조직에 로그인합니다(https://dev.azure.com/{yourorganization}).

  2. 조직 설정을 선택합니다gear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra ID 탭에서 유출된 개인 액세스 토큰 정책을 자동으로 해지하고 토글을 해제이동합니다.

정책이 비활성화되고 공용 GitHub 리포지토리에 검사 모든 PAT가 다시 기본.

다음 단계

애플리케이션 액세스 정책 변경