Utiliser des stratégies pour gérer les jetons d’accès personnels pour les utilisateurs

Azure DevOps Services

Cet article fournit des conseils sur l’utilisation des stratégies Microsoft Entra pour gérer les jetons d’accès personnels (PAT) dans Azure DevOps. Il explique comment limiter la création, l’étendue et la durée de vie des paTs nouveaux ou renouvelés, ainsi que comment gérer la révocation automatique des PAT divulguées. Chaque section détaille le comportement par défaut des stratégies respectives, ce qui permet aux administrateurs de contrôler efficacement et de sécuriser l’utilisation des pat au sein de leur organisation.

Important

Les PAT existants, créés via l’interface utilisateur et les API, restent valides pour le reste de leur durée de vie. Mettez à jour vos PAT existants pour vous conformer aux nouvelles restrictions pour garantir le renouvellement réussi.

Prérequis

Restreindre la création de PAT globaux

L’administrateur Azure DevOps dans Microsoft Entra peut empêcher les utilisateurs de créer des jetons d’accès personnels globaux (PAT), qui s’appliquent à toutes les organisations accessibles plutôt qu’à une seule organisation. Lorsque cette stratégie est activée, les nouveaux PAT doivent être associés à des organisations Azure DevOps spécifiques. Par défaut, cette stratégie est désactivée.

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez Icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant l’icône Choisir l’engrenage, paramètres de l’organisation.

  3. Sélectionnez Microsoft Entra, recherchez la stratégie de création de jeton d’accès personnel globale et déplacez le bouton bascule.

    Capture d’écran du bouton bascule déplacé vers la position pour Restreindre la stratégie de création de PAT globale.

Restreindre la création de pats complets

L’administrateur Azure DevOps dans Microsoft Entra peut empêcher les utilisateurs de créer des PAT complets. L’activation de cette stratégie nécessite que les nouveaux PAT soient limités à un ensemble spécifique et personnalisé d’étendues. Par défaut, cette stratégie est désactivée.

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez Icône d’engrenage Paramètres de l’organisation.

  3. Sélectionnez Microsoft Entra, recherchez la stratégie de création de jeton d’accès personnel à étendue complète et déplacez le bouton bascule.

    Capture d’écran du bouton bascule déplacé vers la position pour la stratégie de création de PAT étendue complète.

Définir la durée de vie maximale des nouveaux PAT

L’administrateur Azure DevOps dans Microsoft Entra ID peut définir la durée de vie maximale d’un PAT, en le spécifiant en jours. Par défaut, cette stratégie est désactivée.

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez Icône d’engrenage Paramètres de l’organisation.

  3. Sélectionnez Microsoft Entra, recherchez la stratégie de durée de vie maximale des jetons d’accès personnel et déplacez le bouton bascule.

    Capture d’écran du bouton bascule déplacé vers la position pour Appliquer la stratégie de durée de vie PAT maximale.

  4. Entrez le nombre maximal de jours, puis sélectionnez Enregistrer.

Ajouter des utilisateurs ou des groupes Microsoft Entra à la liste verte

Avertissement

Nous vous recommandons d’utiliser des groupes pour vos listes d’autorisation de stratégie de locataire. Si vous utilisez un utilisateur nommé, une référence à son identité réside dans les États-Unis, l’Europe (UE) et l’Asie Sud-Est (Singapour).

Les utilisateurs ou les groupes sur la liste verte sont exemptés des restrictions et des mises en œuvre de ces stratégies lorsqu’ils sont activés. Pour ajouter un utilisateur ou un groupe, sélectionnez Ajouter un utilisateur ou un groupe Microsoft Entra, puis sélectionnez Ajouter. Chaque stratégie a sa propre liste d’autorisation. Si un utilisateur se trouve sur la liste verte d’une stratégie, d’autres stratégies activées s’appliquent toujours. Par conséquent, pour exempter un utilisateur de toutes les stratégies, ajoutez-les à chaque liste verte.

Révoquer automatiquement les PAT divulgués

L’administrateur Azure DevOps dans Microsoft Entra ID peut gérer la stratégie qui révoque automatiquement les paT divulguées. Cette stratégie s’applique à tous les PAT au sein des organisations liées à votre locataire Microsoft Entra. Par défaut, cette stratégie est définie sur activé. Si les PAT Azure DevOps sont archivés dans des référentiels GitHub publics, ils sont automatiquement révoqués.

Avertissement

La désactivation de cette stratégie signifie que tous les PAT vérifiés dans des référentiels GitHub publics restent actifs, susceptibles de compromettre votre organisation et vos données Azure DevOps, et de mettre vos applications et services à un risque important. Même si la stratégie est désactivée, vous recevrez toujours une notification par e-mail si un mot de passe est divulguée, mais il ne sera pas révoqué automatiquement.

Désactiver la révocation automatique des PAT divulgués

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez Icône d’engrenage Paramètres de l’organisation.

  3. Sélectionnez Microsoft Entra, recherchez la stratégie de jetons d’accès personnels supprimés automatiquement et déplacez le bouton bascule vers désactivé.

La stratégie est désactivée et tous les PAT archivés dans les référentiels GitHub publics restent actifs.

Étapes suivantes