Widerrufen von persönlichen Zugriffstoken für Organisationsbenutzer

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Wenn ein persönliches Zugriffstoken (Personal Access Token, PAT) kompromittiert wird, ist es wichtig, schnell zu handeln. Administratoren können das PAT eines Benutzers widerrufen, um die Organisation zu schützen. Durch deaktivieren des Kontos eines Benutzers wird auch deren PAT widerrufen.

Warum Benutzer-PATs widerrufen?

Das Widerrufen von Benutzer-PATs ist aus folgenden Gründen unerlässlich:

  • Kompromittiertes Token: Verhindern des nicht autorisierten Zugriffs, wenn ein Token kompromittiert wird.
  • Der Benutzer verlässt die Organisation: Stellen Sie sicher, dass ehemalige Mitarbeiter keinen Zugriff mehr haben.
  • Berechtigungsänderungen: Ungültige Token, die alte Berechtigungen widerspiegeln.
  • Sicherheitsverletzung: Entschärfung des nicht autorisierten Zugriffs während einer Verletzung.
  • Regelmäßige Sicherheitspraktiken: Regelmäßig widerrufen und erneuten Token als Teil einer Sicherheitsrichtlinie.

Voraussetzungen

Berechtigungen: Mitglied der Gruppe "Projektsammlungsadministratoren". Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe.

Tipp

Informationen zum Erstellen oder Widerrufen eigener PATs finden Sie unter Erstellen oder Widerrufen von PATs.

Widerrufen von PATs

  1. Informationen zum Widerrufen von OAuth-Autorisierungen, einschließlich PATs, für die Benutzer Ihrer Organisation finden Sie unter Tokensperrungen – Widerrufen von Autorisierungen.
  2. Um das Aufrufen der REST-API zu automatisieren, verwenden Sie dieses PowerShell-Skript, das eine Liste der Benutzerprinzipalnamen (USER Principal Names, UPNs) übergibt. Wenn Sie den UPN des Benutzers, der den PAT erstellt hat, nicht kennen, verwenden Sie dieses Skript mit einem angegebenen Datumsbereich.

Hinweis

Wenn Sie einen Datumsbereich verwenden, werden auch JSON-Webtoken (JWTs) widerrufen. Alle Tools, die auf diesen Token basieren, funktionieren erst, wenn sie mit neuen Token aktualisiert wurden.

  1. Nachdem Sie die betroffenen PATs erfolgreich widerrufen haben, informieren Sie Ihre Benutzer. Sie können ihre Token nach Bedarf neu erstellen.

Es kann eine Verzögerung von bis zu einer Stunde dauern, bis der PAT inaktiv wird, da dieser Latenzzeitraum beibehalten wird, bis der Deaktivierungs- oder Löschvorgang in der Microsoft Entra-ID vollständig verarbeitet wird.

Ablauf des FedAuth-Tokens

Ein FedAuth-Token wird ausgegeben, wenn Sie sich anmelden. Es ist gültig für ein siebentägiges Gleitfenster. Das Ablaufdatum verlängert sich automatisch um weitere sieben Tage, wenn Sie sie innerhalb des Gleitfensters aktualisieren. Wenn Benutzer regelmäßig auf den Dienst zugreifen, ist nur eine anfängliche Anmeldung erforderlich. Nach einer Zeit der Inaktivität, die sieben Tage verlängert wird, wird das Token ungültig, und der Benutzer muss sich erneut anmelden.

PAT-Ablauf

Benutzer können ein Ablaufdatum für ihren PAT auswählen, um ein Jahr nicht zu überschreiten. Wir empfehlen, kürzere Zeiträume zu verwenden und neue PATs nach Ablauf zu generieren. Benutzer erhalten eine Benachrichtigungs-E-Mail eine Woche vor Ablauf des Tokens. Benutzer können ein neues Token generieren, den Ablauf des vorhandenen Tokens erweitern oder den Umfang des vorhandenen Tokens bei Bedarf ändern.

Überwachungsprotokolle

Wenn Ihre Organisation mit der Microsoft Entra-ID verbunden ist, haben Sie Zugriff auf Überwachungsprotokolle, die verschiedene Ereignisse nachverfolgen, einschließlich Berechtigungsänderungen, gelöschten Ressourcen und Protokollzugriff. Diese Überwachungsprotokolle sind nützlich, um Sperrungen zu überprüfen oder Aktivitäten zu untersuchen. Weitere Informationen finden Sie unter Access, Export und Filtern von Überwachungsprotokollen.

Häufig gestellte Fragen (FAQs)

F: Was geschieht mit einem PAT, wenn ein Benutzer mein Unternehmen verlässt?

A: Sobald ein Benutzer von der Microsoft Entra-ID entfernt wird, werden die PATs und FedAuth-Token innerhalb einer Stunde ungültig, da das Aktualisierungstoken nur für eine Stunde gültig ist.

F: Soll ich JSON-Webtoken (JWTs) widerrufen?

A: Wenn Sie JWTs haben, die Sie glauben, sollte widerrufen werden, empfehlen wir, dies umgehend zu tun. Widerrufen von JWTs, die als Teil des OAuth-Flusses mithilfe des PowerShell-Skripts ausgegeben wurden. Verwenden Sie unbedingt die Datumsbereichsoption im Skript.