Revogar tokens de acesso pessoal para utilizadores da organização

  • Artigo

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Se o seu token de acesso pessoal (PAT) estiver comprometido, tome medidas imediatas. Saiba como um administrador pode revogar o PAT de um usuário, como precaução para proteger sua organização. Você também pode desativar um usuário, que revoga seu PAT. No entanto, existe latência (até uma hora) antes de a PAT deixar de funcionar, assim que a função de desativação ou eliminação for concluída no Microsoft Entra ID.

Pré-requisitos

Somente o proprietário da organização ou um membro do grupo Administradores da Coleção de Projetos pode revogar os PATs do usuário. Se você não for membro do grupo Administradores de Coleção de Projetos , seja adicionado como um. Para saber como encontrar o proprietário da organização, consulte Procurar o proprietário da organização.

Para os usuários, se você quiser criar ou revogar seus próprios PATs, consulte Criar ou revogar tokens de acesso pessoal.

Revogar PATs

  1. Para revogar as autorizações OAuth, incluindo PATs, para os usuários da sua organização, consulte Revogações de token - Revogar autorizações.
  2. Use esse script do PowerShell para automatizar a chamada da nova API REST passando uma lista de UPNs (nomes principais do usuário). Se você não sabe o UPN do usuário que criou o PAT, use este script, no entanto, ele deve ser baseado em um intervalo de datas.

Nota

Lembre-se de que, quando você usa um intervalo de datas, todos os tokens da Web JSON (JWTs) também são revogados. Também esteja ciente de que qualquer ferramenta que dependa desses tokens não funcionará até ser atualizada com novos tokens.

  1. Depois de revogar com êxito os PATs afetados, informe os usuários. Eles podem recriar seus tokens, conforme necessário.

Expiração do token FedAuth

Um token FedAuth é emitido quando você faz login. É válido para uma janela deslizante de sete dias. A expiração estende-se automaticamente por mais sete dias sempre que o atualizar dentro da janela deslizante. Se os utilizadores acedem ao serviço regularmente, apenas é necessário um início de sessão. Após um período de inatividade que se estende por sete dias, o token torna-se inválido e o usuário deve entrar novamente.

Expiração do token de acesso pessoal

Os usuários podem escolher uma data de validade para seu token de acesso pessoal, não superior a um ano. Recomendamos que você use períodos de tempo mais curtos, gerando novos PATs após o vencimento. Os usuários recebem um e-mail de notificação uma semana antes do vencimento do token. Os usuários podem gerar um novo token, estender a expiração do token existente ou alterar o escopo do token existente, se necessário.

Perguntas mais frequentes (FAQ)

P: E se um utilizador sair da minha empresa?

R: Uma vez que um usuário é removido do Microsoft Entra ID, os tokens PATs e FedAuth invalidam dentro de uma hora, já que o token de atualização é válido apenas por uma hora.

P: E quanto aos tokens web JSON (JWTs)?

R: Revogar JWTs, emitidos como parte do fluxo OAuth, por meio do script PowerShell. No entanto, você deve usar a opção de intervalo de datas no script.