Verwenden von Richtlinien zum Verwalten von persönlichen Zugriffstoken für Benutzer
Azure DevOps Services
Dieser Artikel enthält Anleitungen zur Verwendung von Microsoft Entra-Richtlinien zum Verwalten von persönlichen Zugriffstoken (PATs) in Azure DevOps. Es wird erläutert, wie sie die Erstellung, den Umfang und die Lebensdauer neuer oder erneuerter PATs beschränken und wie die automatische Sperrung von geleckten PATs behandelt wird. In jedem Abschnitt wird das Standardverhalten der jeweiligen Richtlinien erläutert, wodurch Administratoren die Pat-Nutzung innerhalb ihrer Organisation effektiv steuern und schützen können.
Wichtig
Vorhandene PATs, die sowohl über die Benutzeroberfläche als auch über APIs erstellt wurden, bleiben für den Rest ihrer Lebensdauer gültig. Aktualisieren Sie Ihre vorhandenen PATs, um die neuen Einschränkungen einzuhalten, um eine erfolgreiche Verlängerung sicherzustellen.
Voraussetzungen
- Organisationsverbindung: Stellen Sie sicher, dass Ihre Organisation mit der Microsoft Entra-ID verknüpft ist.
- Rollen: Ein Azure DevOps-Administrator in der Microsoft Entra-ID. Um Ihre Rolle zu überprüfen, melden Sie sich bei der Azure-Portal an, und wechseln Sie zu Microsoft Entra ID-Rollen>und -Administratoren. Wenn Sie kein Azure DevOps-Administrator sind, werden die Richtlinien nicht angezeigt. Wenden Sie sich bei Bedarf an Ihren Administrator.
Einschränken der Erstellung globaler PATs
Der Azure DevOps-Administrator in Microsoft Entra kann Benutzer darauf beschränken, globale persönliche Zugriffstoken (PERSONAL Access Tokens, PATs) zu erstellen, die für alle zugänglichen Organisationen und nicht für eine einzelne Organisation gelten. Wenn diese Richtlinie aktiviert ist, müssen neue PATs bestimmten Azure DevOps-Organisationen zugeordnet sein. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen.
Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie zum Erstellen von globalen persönlichen Zugriffstoken einschränken und den Umschalter aktivieren.
Einschränken der Erstellung vollständiger PATs
Der Azure DevOps-Administrator in Microsoft Entra kann Benutzer auf das Erstellen vollständiger PATs beschränken. Wenn Sie diese Richtlinie aktivieren, müssen neue PATs auf einen bestimmten, benutzerdefinierten Satz von Bereichen beschränkt werden. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen.Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie zum Einschränken des vollständigen Zugriffstokens für persönliche Zugriffstoken, und verschieben Sie die Umschaltfläche ein.
Festlegen der maximalen Lebensdauer für neue PATs
Der Azure DevOps-Administrator in Microsoft Entra ID kann die maximale Lebensdauer eines PAT definieren und in Tagen angeben. Standardmäßig ist diese Richtlinie auf deaktiviert festgelegt.
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen.Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie zum Erzwingen der Gültigkeitsdauer von persönlichen Zugriffstoken, und verschieben Sie die Umschaltfläche ein.
Geben Sie die Anzahl der maximalen Tage ein, und wählen Sie dann Speichern aus.
Hinzufügen von Microsoft Entra-Benutzern oder -Gruppen zur Zulassungsliste
Warnung
Wir empfehlen die Verwendung von Gruppen für Zulassungslisten für Mandantenrichtlinien. Wenn Sie einen benannten Benutzer verwenden, befindet sich ein Verweis auf seine Identität in den USA, Europa (EU) und Südostasien (Singapur).
Benutzer oder Gruppen auf der Zulassungsliste sind von den Einschränkungen und Erzwingungen dieser Richtlinien ausgenommen, wenn sie aktiviert sind. Um einen Benutzer oder eine Gruppe hinzuzufügen, wählen Sie "Microsoft Entra-Benutzer oder -Gruppe hinzufügen" und dann "Hinzufügen" aus. Jede Richtlinie verfügt über eine eigene Zulassungsliste. Wenn sich ein Benutzer in der Zulassungsliste für eine Richtlinie befindet, gelten weiterhin andere aktivierte Richtlinien. Um einen Benutzer daher von allen Richtlinien auszunehmen, fügen Sie sie jeder Zulassungsliste hinzu.
Automatisches Widerrufen von geleakten PATs
Der Azure DevOps-Administrator in Der Microsoft Entra-ID kann die Richtlinie verwalten, die gesperrte PATs automatisch widerruft. Diese Richtlinie gilt für alle PATs innerhalb von Organisationen, die mit Ihrem Microsoft Entra-Mandanten verknüpft sind. Standardmäßig ist diese Richtlinie auf on festgelegt. Wenn Azure DevOps-PATs in öffentliche GitHub-Repositorys eingecheckt werden, werden sie automatisch widerrufen.
Warnung
Wenn Sie diese Richtlinie deaktivieren, bedeutet dies, dass alle paTs, die in öffentliche GitHub-Repositorys eingecheckt sind, aktiv bleiben, ihre Azure DevOps-Organisation und -Daten beeinträchtigen und Ihre Anwendungen und Dienste erheblich gefährden. Selbst wenn die Richtlinie deaktiviert ist, erhalten Sie weiterhin eine E-Mail-Benachrichtigung, wenn ein PAT verloren geht, aber er wird nicht automatisch widerrufen.
Deaktivieren der automatischen Sperrung von geleakten PATs
Melden Sie sich bei Ihrem organization (
https://dev.azure.com/{yourorganization}) an.Wählen Sie
Organisationseinstellungen.Wählen Sie Microsoft Entra aus, suchen Sie die Richtlinie für verlorene persönliche Zugriffstoken automatisch widerrufen, und verschieben Sie den Umschalter auf "Aus".
Die Richtlinie ist deaktiviert, und alle PATs, die in öffentliche GitHub-Repositorys eingecheckt sind, bleiben aktiv.