使用策略管理用户的个人访问令牌

Azure DevOps Services

了解如何启用Azure Active Directory (Azure AD) 策略,这些策略限制Azure DevOps用户 (PAT) 新的或续订的个人访问令牌的创建、范围和寿命。 可以打开或关闭这些策略。 默认情况下,它们设置为 关闭

重要

通过 UI 和 API 创建的现有 PAT 按其生命周期的剩余时间应用。 在成功续订这些现有 PAT 之前,必须对其进行更新才能符合新的限制。

先决条件

若要检查角色,请登录到Azure 门户,然后选择 Azure Active Directory>Roles 和管理员。 如果你不是Azure DevOps管理员,请联系管理员。

限制全局 PAT 的创建

Azure AD中的Azure DevOps管理员限制用户创建全局 PAT。 全局令牌适用于所有可访问的组织,而不是单个组织。 启用此策略意味着新的 PAT 必须与特定的Azure DevOps组织相关联。

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择 gear icon“组织”设置

    Choose the gear icon, Organization settings

  3. 在“Azure Active Directory”选项卡中,找到“限制全局个人访问令牌创建”策略,并将开关移动到打开。

    Screenshot of toggle moved to on position for Restrict global PAT creation policy.

限制创建全作用域 PAT

Azure AD中的Azure DevOps管理员限制用户创建全范围 PAT。 启用此策略意味着新的 PAT 必须限制为特定的自定义自定义范围集。

警告

我们的一些公共 API 当前与 PAT 范围无关,因此只能与“全范围”PAT 一起使用。 因此,限制创建全范围 PAT 可能会阻止某些工作流。 我们正在努力识别和记录受影响的 API,并最终将它们与适当的范围相关联。 目前,可以使用允许列表取消阻止这些工作流。

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择 gear icon“组织”设置

    Choose the gear icon, Organization settings

  3. 在“Azure Active Directory”选项卡中,找到“限制全范围个人访问令牌创建”策略,并将开关移动到打开。

    Screenshot of toggle moved to on position for the Restrict full-scoped PAT creation policy.

为新的 PAT 设置最大寿命

Azure AD中的Azure DevOps管理员定义 PAT 的最大寿命。 可以指定新令牌的最大有效期(以天数为单位)。

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择 gear icon“组织”设置

    Choose the gear icon, Organization settings

  3. 在“Azure Active Directory”选项卡中,找到“强制实施最大个人访问令牌生存期”策略,并将开关移动到打开

    Screenshot of toggle moved to on position for Enforce maximum PAT lifespan policy.

  4. 输入最大天数,然后选择“ 保存”。

将Azure AD用户或组添加到允许列表

警告

建议将组与租户策略一起使用,以允许列表 () 。 如果使用命名用户,请注意,对命名用户的标识的引用将驻留在美国、欧洲 (欧盟) 和东南亚 (新加坡) 。

允许列表上的用户或组在启用时不受这些策略创建的限制和强制执行。 选择“添加AAD用户或组以将用户或组添加到列表中,然后选择”添加”。 每个策略都有自己的允许列表。 如果用户位于一个策略的允许列表中,则任何其他已激活的策略仍适用。 换句话说,如果希望用户免除所有策略,则应将它们添加到每个允许列表。

后续步骤