Usar políticas para gerenciar tokens de acesso pessoal para usuários

Azure DevOps Services

Este artigo fornece diretrizes sobre como usar as políticas do Microsoft Entra para gerenciar PATs (tokens de acesso pessoal) no Azure DevOps. Ele explica como limitar a criação, o escopo e a vida útil de PATs novos ou renovados, bem como lidar com a revogação automática de PATs vazados. Cada seção detalha o comportamento padrão das respectivas políticas, ajudando os administradores a controlar e proteger efetivamente o uso do PAT em sua organização.

Importante

Os PATs existentes, criados por meio da interface do usuário e das APIs, permanecem válidos pelo resto de sua vida útil. Atualize seus PATs existentes para cumprir as novas restrições para garantir uma renovação bem-sucedida.

Pré-requisitos

  • Conexão da Organização: verifique se sua organização está vinculada à ID do Microsoft Entra.
  • Funções: seja um administrador do Azure DevOps na ID do Microsoft Entra. Para verificar sua função, entre no portal do Azure e acesse Funções e administradores da ID>do Microsoft Entra. Se você não for um administrador do Azure DevOps, não poderá ver as políticas. Entre em contato com o administrador, se necessário.

Restringir a criação de PATs globais

O Administrador do Azure DevOps no Microsoft Entra pode impedir que os usuários criem PATs (Tokens de Acesso Pessoal) globais, que se aplicam a todas as organizações acessíveis em vez de uma única organização. Quando essa política está habilitada, novos PATs devem ser associados a organizações específicas do Azure DevOps. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

    Captura de tela mostrando Escolha o ícone de engrenagem, Configurações da organização.

  3. Selecione Microsoft Entra, localize a política de criação de token de acesso pessoal global Restringir e ative a alternância.

    Captura de tela da alternância movida para a posição ativada para Restringir a política de criação de PAT global.

Restringir a criação de PATs com escopo completo

O Administrador do Azure DevOps no Microsoft Entra pode impedir que os usuários criem PATs com escopo completo. A habilitação dessa política exige que os novos PATs sejam limitados a um conjunto de escopos específico e personalizado. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Microsoft Entra, localize a política de criação de token de acesso pessoal com escopo completo e ative a alternância.

    Captura de tela da alternância movida para a posição ativada para a política Desativar criação de PAT com escopo completo.

Definir o tempo de vida máximo para novos PATs

O Administrador do Azure DevOps na ID do Microsoft Entra pode definir o tempo de vida máximo de um PAT, especificando-o em dias. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Microsoft Entra, localize a política Impor tempo de vida máximo do token de acesso pessoal e ative a alternância.

    Captura de tela da alternância movida para a posição ativada para Impor a política de tempo de vida máximo do PAT.

  4. Insira o número máximo de dias e selecione Salvar.

Adicionar usuários ou grupos do Microsoft Entra à lista de permissões

Aviso

É recomendável usar grupos para suas listas de permissões de política de locatário. Se você usar um usuário nomeado, uma referência à identidade dele residirá nos Estados Unidos, na Europa (UE) e no Sudeste Asiático (Cingapura).

Os usuários ou grupos na lista de permissões estão isentos das restrições e imposições dessas políticas quando habilitados. Para adicionar um usuário ou grupo, selecione Adicionar usuário ou grupo do Microsoft Entra e, em seguida, selecione Adicionar. Cada política tem sua própria lista de permitidos. Se um usuário estiver na lista de permissões de uma política, outras políticas ativadas ainda serão aplicadas. Portanto, para isentar um usuário de todas as políticas, adicione-o a cada lista de permissões.

Revogar PATs vazados automaticamente

O Administrador do Azure DevOps na ID do Microsoft Entra pode gerenciar a política que revoga automaticamente os PATs vazados. Essa política se aplica a todos os PATs em organizações vinculadas ao seu locatário do Microsoft Entra. Por padrão, essa política é definida como ativada. Se Azure DevOps PATs for verificado em repositórios públicos do GitHub, eles serão revogados automaticamente.

Aviso

Desabilitar essa política significa que todos os PATs verificados em repositórios públicos do GitHub permanecerão ativos, potencialmente comprometendo sua organização e dados do Azure DevOps e colocando seus aplicativos e serviços em risco significativo. Mesmo com a política desativada, você ainda receberá uma notificação por e-mail se um PAT vazar, mas ele não será revogado automaticamente.

Desativar a revogação automática de PATs vazadas

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Microsoft Entra, localize a política Revogar automaticamente tokens de acesso pessoal vazados e mova a alternância para desativada.

A política está desabilitada e todos os PATs verificados em repositórios públicos do GitHub permanecem ativos.

Próximas etapas