Persoonlijke toegangstokens intrekken voor organisatiegebruikers

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Als uw persoonlijke toegangstoken (PAT) is gecompromitteerd, moet u onmiddellijk actie ondernemen. Lees hoe een beheerder de PAT van een gebruiker kan intrekken als voorzorgsmaatregel om uw organisatie te beschermen. U kunt ook een gebruiker uitschakelen, waardoor de PAT wordt ingetrokken. Er is een latentie (maximaal een uur) voordat de PAT stopt, maar zodra de functie uitschakelen of verwijderen is voltooid in Microsoft Entra-id.

Vereisten

Alleen de eigenaar van de organisatie of een lid van de groep Projectverzameling Beheer istrators kan gebruikers-PAW's intrekken. Als u geen lid bent van de groep Projectverzameling Beheer istrators, wordt u toegevoegd als een groep. Zie De eigenaar van de organisatie opzoeken voor meer informatie over het vinden van de eigenaar van uw organisatie.

Zie Persoonlijke toegangstokens maken of intrekken voor gebruikers als u uw eigen PAW's wilt maken of intrekken.

PAT's intrekken

  1. Als u de OAuth-autorisaties, inclusief PAW's, wilt intrekken voor de gebruikers van uw organisatie, raadpleegt u Tokenintrekkingen - Autorisaties intrekken.
  2. Gebruik dit PowerShell-script om het aanroepen van de nieuwe REST API te automatiseren door een lijst met UPN's (User Principal Names) door te geven. Als u de UPN van de gebruiker die de PAT heeft gemaakt, niet weet, gebruikt u dit script, maar moet dit zijn gebaseerd op een datumbereik.

Notitie

Houd er rekening mee dat wanneer u een datumbereik gebruikt, alle JSON-webtokens (JWT's) ook worden ingetrokken. Houd er ook rekening mee dat hulpprogramma's die afhankelijk zijn van deze tokens pas werken als ze zijn vernieuwd met nieuwe tokens.

  1. Nadat u de betrokken PAW's hebt ingetrokken, laat u uw gebruikers dit weten. Ze kunnen zo nodig hun tokens opnieuw maken.

Verloop van FedAuth-token

Er wordt een FedAuth-token uitgegeven wanneer u zich aanmeldt. Het is geldig voor een glijdende periode van zeven dagen. De vervaldatum verlengt automatisch nog eens zeven dagen wanneer u deze vernieuwt in het schuifvenster. Als gebruikers regelmatig toegang hebben tot de service, is alleen een initiële aanmelding nodig. Na een periode van inactiviteit die zeven dagen duurt, wordt het token ongeldig en moet de gebruiker zich opnieuw aanmelden.

Verloop van persoonlijk toegangstoken

Gebruikers kunnen een vervaldatum kiezen voor hun persoonlijke toegangstoken, niet langer dan één jaar. We raden u aan kortere perioden te gebruiken, waarbij nieuwe PAW's worden gegenereerd na verloop van tijd. Gebruikers ontvangen een e-mailmelding één week voordat het token verloopt. Gebruikers kunnen een nieuw token genereren, het verlopen van het bestaande token verlengen of het bereik van het bestaande token wijzigen, indien nodig.

Veelgestelde vragen (FAQ's)

V: Wat gebeurt er als een gebruiker mijn bedrijf verlaat?

A: Zodra een gebruiker is verwijderd uit de Microsoft Entra-id, worden de PAW's en FedAuth-tokens binnen een uur ongeldig, omdat het vernieuwingstoken slechts één uur geldig is.

V: Hoe zit het met JSON-webtokens (JWTs)?

A: JWT's intrekken die zijn uitgegeven als onderdeel van de OAuth-stroom, via het PowerShell-script. U moet echter de optie datumbereik in het script gebruiken.