Použití zásad ke správě osobních přístupových tokenů pro uživatele

  • Článek

Služby Azure DevOps

Tento článek obsahuje pokyny k používání zásad Microsoft Entra ke správě tokenů patového přístupu (PAT) v Azure DevOps. Vysvětluje, jak omezit vytváření, rozsah a životnost nových nebo obnovených pat, a také jak zvládnout automatické odvolání nevracených patů. Každá část podrobně popisuje výchozí chování příslušných zásad a pomáhá správcům efektivně řídit a zabezpečit používání PAT v rámci organizace.

Důležité

Stávající paty vytvořené prostřednictvím uživatelského rozhraní i rozhraní API zůstávají platné po zbytek jejich životnosti. Aktualizujte stávající paty tak, aby vyhovovaly novým omezením, aby se zajistilo úspěšné obnovení.

Požadavky

Omezení vytváření globálních patů

Správce Azure DevOps v Microsoft Entra může uživatelům omezit vytváření globálních osobních přístupových tokenů (PAT), které platí pro všechny přístupné organizace, a ne pro jednu organizaci. Pokud je tato zásada povolená, musí být nové paty přidružené ke konkrétním organizacím Azure DevOps. Ve výchozím nastavení je tato zásada vypnutá.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

    Snímek obrazovky s ikonou ozubeného kolečka a nastavením organizace

  3. Vyberte Microsoft Entra, vyhledejte zásadu pro vytvoření globálního tokenu patového přístupu a přepněte přepínač.

    Snímek obrazovky s přepínacím přepínačem přesunutého na pozici pro omezení globálních zásad vytváření PAT

Omezení vytváření úplného rozsahu PAT

Správce Azure DevOps v Microsoft Entra může uživatelům omezit vytváření plně omezených patů. Povolení této zásady vyžaduje, aby nové pracovní stanice byly omezeny na konkrétní, vlastní definovanou sadu oborů. Ve výchozím nastavení je tato zásada vypnutá.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

  3. Vyberte Microsoft Entra, vyhledejte zásady pro vytváření tokenů pat s úplným oborem a přepněte přepínač.

    Snímek obrazovky s přepínacím přepínačem přesunutým na místo pro zásady vytváření pat s úplným oborem

Nastavení maximální životnosti pro nové paty

Správce Azure DevOps v Microsoft Entra ID může definovat maximální životnost PAT a zadat ho ve dnech. Ve výchozím nastavení je tato zásada vypnutá.

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

  3. Vyberte Microsoft Entra, vyhledejte zásadu vynutit maximální životnost tokenu patu a přepněte přepínač.

    Snímek obrazovky s přepínacím přepínačem přesunutého na pozici vynucení zásad maximální životnosti PAT

  4. Zadejte maximální počet dní a pak vyberte Uložit.

Přidání uživatelů nebo skupin Microsoft Entra do seznamu povolených

Upozorňující

Pro seznamy povolených zásad tenanta doporučujeme používat skupiny. Pokud použijete pojmenovaného uživatele, odkaz na jeho identitu se nachází v USA, Evropě (EU) a jihovýchodní Asii (Singapur).

Uživatelé nebo skupiny na seznamu povolených jsou vyloučeni z omezení a vynucování těchto zásad, pokud jsou povolené. Pokud chcete přidat uživatele nebo skupinu, vyberte Přidat uživatele nebo skupinu Microsoft Entra a pak vyberte Přidat. Každá zásada má svůj vlastní seznam povolených. Pokud je uživatel v seznamu povolených pro jednu zásadu, platí i jiné aktivované zásady. Proto pokud chcete uživatele vyloučit ze všech zásad, přidejte ho do každého seznamu povolených.

Automatické odvolání nevracených pat

Správce Azure DevOps v Microsoft Entra ID může spravovat zásady, které automaticky odvolává úniky PAT. Tato zásada se vztahuje na všechny pracovní stanice v organizacích propojených s vaším tenantem Microsoft Entra. Ve výchozím nastavení je tato zásada zapnutá. Pokud se paty Azure DevOps kontrolují do veřejných úložišť GitHubu, automaticky se odvolají.

Upozorňující

Zakázání této zásady znamená, že všechny paty, které jsou rezervované ve veřejných úložištích GitHubu, zůstanou aktivní, potenciálně ohrozit vaši organizaci a data Azure DevOps a výrazně riskují vaše aplikace a služby. I když je zásada zakázaná, obdržíte e-mailové oznámení, pokud dojde k úniku pat, ale automaticky se neodvolá.

Vypnutí automatického odvolání nevracených pat

  1. Přihlaste se ke své organizaci (https://dev.azure.com/{yourorganization}).

  2. Vyberte ikona ozubeného kola nastavení organizace.

  3. Vyberte Microsoft Entra, vyhledejte zásady automaticky odvolaných tokenů pat a přepněte přepínač na vypnuto.

Zásada je zakázaná a všechny paty, které jsou vráceny do veřejných úložišť GitHubu, zůstanou aktivní.

Další kroky

Změna zásad přístupu k aplikacím