組織のユーザーの個人用アクセス トークンを取り消す
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
個人用アクセス トークン (PAT) が侵害された場合は、迅速に行動することが重要です。 管理者は、組織を保護するためのセキュリティ対策として、ユーザーの PAT を取り消すことができます。 さらに、ユーザーのアカウントを無効にすると、PAT も取り消されます。 PAT が非アクティブになるまでに最大 1 時間の遅延があります。 この待機時間は、無効または削除操作が Microsoft Entra ID で完全に処理されるまで保持されます。
前提条件
アクセス レベル: グループの所有者Project コレクション管理者グループのメンバー
ヒント
ユーザーが独自の PAT を作成または取り消す場合は、「 個人用アクセス トークンの作成または取り消し」を参照してください。
AT の取り消し
- 組織のユーザーの OAuth 承認 (AT を含む) を取り消すには、「 トークンの失効 - 承認の取り消し」を参照してください。
- この PowerShell スクリプトを使用して ユーザー プリンシパル名 (UPN) の一覧を渡すことで、新しい REST API の呼び出しを自動化します。 PAT を作成したユーザーの UPN がわからない場合は、このスクリプトを使用しますが、日付範囲に基づいている必要があります。
Note
日付範囲を使用すると、JSON Web トークン (JWT) も取り消されます。 これらのトークンに依存するツールは、新しいトークンで更新されるまで機能しません。
- 影響を受ける AT を正常に取り消したら、ユーザーに通知します。 必要に応じてトークンを再作成できます。
FedAuth トークンの有効期限
サインインすると、FedAuth トークンが発行されます。 7 日間のスライディング ウィンドウに対して有効です。 有効期限は、スライディング ウィンドウ内で更新するたびに、自動的にさらに 7 日間延長されます。 ユーザーがサービスに定期的にアクセスする場合は、最初のサインインのみが必要です。 非アクティブな期間が 7 日間続くと、トークンは無効になり、ユーザーはもう一度サインインする必要があります。
個人用アクセス トークンの有効期限
ユーザーは、個人用アクセス トークンの有効期限を 1 年を超えないように選択できます。 短い期間を使用して、有効期限が切れたときに新しい AT を生成することをお勧めします。 ユーザーは、トークンの有効期限が切れる 1 週間前に通知メールを受け取ります。 ユーザーは、新しいトークンを生成したり、既存のトークンの有効期限を延長したり、必要に応じて既存のトークンのスコープを変更したりできます。
監査ログ
組織が Microsoft Entra ID に接続されている場合は、アクセス許可の変更、削除されたリソース、ログ アクセスなど、さまざまなイベントを追跡する監査ログにアクセスできます。 失効を確認したり、アクティビティを調査したりする必要がある場合、監査ログは貴重なリソースです。 詳細については、「 アクセス、エクスポート、およびフィルター監査ログを参照してください。
よく寄せられる質問 (FAQ)
Q: ユーザーが退職した場合、PAT はどうなりますか?
A: ユーザーが Microsoft Entra ID から削除されると、更新トークンは 1 時間以内に有効になるため、1 時間以内に PAT トークンと FedAuth トークンが無効になります。
Q: JSON Web トークン (JWT) を取り消す必要がありますか?
A: 取り消す必要があると思われる JWT がある場合は、それを行うことをお勧めします。 PowerShell スクリプトを使用して、OAuth フローの一部として発行された JWT を取り消。 ただし、スクリプトでは日付範囲オプションを使用する必要があります。