Kullanıcılar için kişisel erişim belirteçlerini yönetmek için ilkeleri kullanma

  • Makale

Azure DevOps Services

Microsoft Entra ilkelerini etkinleştirerek Azure DevOps'taki kullanıcılar için yeni veya yenilenen kişisel erişim belirteçlerinin (PAT) oluşturulmasını, kapsamını ve kullanım ömrünü sınırlayabilirsiniz. Ayrıca, sızdırılan PAT'ların otomatik iptalini de yönetebilirsiniz. Bu makalenin kendi bölümünde her ilke için varsayılan davranışı öğrenin.

Önemli

Hem kullanıcı arabirimi hem de API'ler aracılığıyla oluşturulan mevcut PAT'ler, kullanım ömrü boyunca uygulanır. Mevcut PAT'lerinizi yeni kısıtlamaya uyacak şekilde güncelleştirin ve ardından başarıyla yenilenebilirler.

Ön koşullar

  • Kuruluşunuzun Microsoft Entra Id ile bağlantılı olması gerekir.
  • Kuruluş ilkelerinizi yönetmek için Microsoft Entra Id'de Azure DevOps Yönetici istrator olmanız gerekir.

Rolünüzü denetlemek için Azure portalında oturum açın ve ardından Microsoft Entra ID>Rolleri ve yöneticileri'ni seçin. Azure DevOps yöneticisi değilseniz yöneticinize başvurun.

Genel PAT'ların oluşturulmasını kısıtlama

Microsoft Entra'daki Azure DevOps Yönetici istrator, kullanıcıların genel PAT oluşturmasını kısıtlar. Genel belirteçler tek bir kuruluş yerine tüm erişilebilir kuruluşlar için geçerlidir. Bu ilkenin etkinleştirilmesi, yeni PAT'ların belirli Azure DevOps kuruluşlarıyla ilişkilendirilmesi gerektiği anlamına gelir. Varsayılan olarak, bu ilke kapalı olarak ayarlanır.

  1. Kuruluşunuzda (https://dev.azure.com/{yourorganization}) oturum açın.

  2. Kuruluş ayarları'nı seçingear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra Id sekmesinde Genel kişisel erişim belirteci oluşturma ilkesini kısıtla'yı bulun ve iki durumlu düğmeyi açık konuma getirin.

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

Tam kapsamlı PAT'ların oluşturulmasını kısıtla

Microsoft Entra'daki Azure DevOps Yönetici istrator, kullanıcıların tam kapsamlı PAT oluşturmasını kısıtlar. Bu ilkenin etkinleştirilmesi, yeni PAT'lerin belirli bir özel tanımlı kapsam kümesiyle sınırlandırılması gerektiği anlamına gelir. Varsayılan olarak, bu ilke kapalı olarak ayarlanır.

  1. Kuruluşunuzda (https://dev.azure.com/{yourorganization}) oturum açın.

  2. Kuruluş ayarları'nı seçingear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra Id sekmesinde *Tam kapsamlı kişisel erişim belirteci oluşturmayı kısıtla *ilkesini bulun ve iki durumlu düğmeyi açık konuma getirin.

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

Yeni PAT'ler için maksimum kullanım ömrünü ayarlama

Microsoft Entra Id'deki Azure DevOps Yönetici istrator, PAT'nin maksimum kullanım ömrünü tanımlar. Yeni belirteçler için en uzun kullanım ömrü gün sayısı olarak belirtilebilir. Varsayılan olarak, bu ilke kapalı olarak ayarlanır.

  1. Kuruluşunuzda (https://dev.azure.com/{yourorganization}) oturum açın.

  2. Kuruluş ayarları'nı seçingear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra Id sekmesinde Maksimum kişisel erişim belirteci kullanım ömrü ilkesini zorunlu kılma'yı bulun ve iki durumlu düğmeyi açık konuma getirin.

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. En fazla gün sayısını girin ve Kaydet'i seçin.

Microsoft Entra kullanıcılarını veya gruplarını izin verilenler listesine ekleme

Uyarı

Kiracı ilkesi izin listelerinizle grupları kullanmanızı öneririz. Adlandırılmış bir kullanıcı kullanıyorsanız, adlandırılmış kullanıcının kimliğine bir başvurunun Birleşik Devletler, Avrupa (AB) ve Güneydoğu Asya'da (Singapur) bulunacağını unutmayın.

İzin verilenler listesindeki kullanıcılar veya gruplar, açık olduklarında bu ilkeler tarafından oluşturulan kısıtlamalardan ve zorlamalardan muaf tutulur. Kullanıcıyı veya grubu listeye eklemek için Microsoft Entra kullanıcı veya grubu ekle'yi seçin ve ardından Ekle'yi seçin. Her ilkenin kendi izin verilenler listesi vardır. Bir kullanıcı bir ilke için izin verilenler listesindeyse, etkinleştirilmiş diğer ilkeler geçerli olmaya devam edebilir. Başka bir deyişle, bir kullanıcının tüm ilkelerden muaf tutulmasını istiyorsanız, bunları her izin verilenler listesine eklemeniz gerekir.

Sızdırılan PAT'leri otomatik olarak iptal etme

Microsoft Entra ID'deki Azure DevOps Yönetici istrator, sızdırılan PAT'leri otomatik olarak iptal eden ilkeyi yönetebilir. Bu ilke, Microsoft Entra kiracınıza bağlı tüm kuruluşlardaki tüm PAT'ler için geçerlidir. Varsayılan olarak, bu ilke açık olarak ayarlanır. Azure DevOps PAT'leri genel GitHub depolarına iade edilirse otomatik olarak iptal edilir.

Uyarı

Bu ilkeyi devre dışı bırakırsanız, genel GitHub depolarına iade edilen tüm PAT'ler kalır ve Azure DevOps kuruluşunuzun ve verilerinizin güvenliğini tehlikeye atarak uygulamalarınızı ve hizmetlerinizi önemli bir risk altına sokabilir. İlke devre dışı bırakıldığında ve özellik kapalıyken, sızdırılan PAT'nizi bulduğumuzda bir e-posta bildirimi almaya devam edersiniz, ancak iptal etmediğimizde.

Sızdırılan PAT'ların otomatik iptalini kapatma

  1. Kuruluşunuzda (https://dev.azure.com/{yourorganization}) oturum açın.

  2. Kuruluş ayarları'nı seçingear icon.

    Choose the gear icon, Organization settings

  3. Microsoft Entra Id sekmesinde, sızdırılan kişisel erişim belirteçlerini otomatik olarak iptal et ilkesini bulun ve iki durumlu düğmeyi kapalı konuma getirin.

İlke devre dışı bırakılır ve genel GitHub depolarında denetlenen tüm PAT'ler kalır.

Sonraki adımlar

Uygulama erişim ilkelerini değiştirme