Usar políticas para gerenciar tokens de acesso pessoal para usuários

  • Artigo

Serviços de DevOps do Azure

Este artigo fornece orientação sobre como usar as políticas do Microsoft Entra para gerenciar tokens de acesso pessoal (PATs) no Azure DevOps. Ele explica como limitar a criação, o escopo e a vida útil de PATs novos ou renovados, bem como como lidar com a revogação automática de PATs vazados. Cada secção detalha o comportamento predefinido das respetivas políticas, ajudando os administradores a controlar e proteger eficazmente a utilização da PAT na sua organização.

Importante

Os PATs existentes, criados por meio da interface do usuário e das APIs, permanecem válidos pelo resto de sua vida útil. Atualize seus PATs existentes para cumprir as novas restrições e garantir uma renovação bem-sucedida.

Pré-requisitos

  • Conexão com a organização: verifique se sua organização está vinculada ao ID do Microsoft Entra.
  • Funções: Seja um Administrador de DevOps do Azure na ID do Microsoft Entra. Para verificar sua função, entre no portal do Azure e vá para Funções e administradores do Microsoft Entra ID>. Se você não for um administrador do Azure DevOps, não poderá ver as políticas. Entre em contato com o administrador, se necessário.

Restringir a criação de PATs globais

O Administrador de DevOps do Azure no Microsoft Entra pode impedir que os usuários criem Tokens de Acesso Pessoal (PATs) globais, que se aplicam a todas as organizações acessíveis em vez de uma única organização. Quando essa política é habilitada, novos PATs devem ser associados a organizações específicas do Azure DevOps. Por padrão, essa política é definida como desativada.

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

    Captura de tela mostrando Escolha o ícone de engrenagem, Configurações da organização.

  3. Selecione Microsoft Entra, localize a política Restringir a criação de token de acesso pessoal global e mova a alternância.

    Captura de ecrã do botão de alternância movido para a posição ativada para Restringir política global de criação de PAT.

Restringir a criação de PATs com escopo completo

O Administrador de DevOps do Azure no Microsoft Entra pode impedir que os usuários criem PATs com escopo completo. A habilitação dessa política exige que os novos PATs sejam limitados a um conjunto específico e personalizado de escopos. Por padrão, essa política é definida como desativada.

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Microsoft Entra, localize a política de criação de token de acesso pessoal com escopo completo e mova a alternância.

    Captura de ecrã da alternância movida para a posição ativada para a política de criação de PAT com âmbito completo Restrito.

Definir vida útil máxima para novos PATs

O Administrador de DevOps do Azure na ID do Microsoft Entra pode definir a vida útil máxima de um PAT, especificando-o em dias. Por padrão, essa política é definida como desativada.

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Microsoft Entra, localize a política Impor tempo de vida máximo do token de acesso pessoal e mova o botão de alternância.

    Captura de ecrã do botão de alternância movido para a posição ativada para Aplicar a política de tempo de vida máximo da PAT.

  4. Introduza o número máximo de dias e, em seguida, selecione Guardar.

Adicionar usuários ou grupos do Microsoft Entra à lista de permissões

Aviso

Recomendamos o uso de grupos para suas listas de permissões de política de locatário. Se você usar um usuário nomeado, uma referência à identidade dele reside nos Estados Unidos, Europa (UE) e Sudeste Asiático (Cingapura).

Os usuários ou grupos na lista de permissões estão isentos das restrições e imposições dessas políticas quando habilitados. Para adicionar um usuário ou grupo, selecione Adicionar usuário ou grupo do Microsoft Entra e selecione Adicionar. Cada política tem sua própria lista de permissões. Se um usuário estiver na lista de permissões para uma política, outras políticas ativadas ainda se aplicam. Portanto, para isentar um usuário de todas as políticas, adicione-as a cada lista de permissões.

Revogar PATs vazados automaticamente

O Administrador de DevOps do Azure na ID do Microsoft Entra pode gerenciar a política que revoga automaticamente os PATs vazados. Esta política aplica-se a todos os PATs dentro de organizações vinculadas ao seu locatário do Microsoft Entra. Por padrão, essa política está definida como ativada. Se os PATs do Azure DevOps forem verificados em repositórios públicos do GitHub, eles serão automaticamente revogados.

Aviso

Desabilitar essa política significa que todos os PATs verificados em repositórios públicos do GitHub permanecerão ativos, comprometendo potencialmente sua organização e dados do Azure DevOps e colocando seus aplicativos e serviços em risco significativo. Mesmo com a política desativada, você ainda receberá uma notificação por e-mail se uma PAT for vazada, mas ela não será revogada automaticamente.

Desativar a revogação automática de PATs vazados

  1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagem Configurações da organização.

  3. Selecione Microsoft Entra, localize a política Revogar automaticamente tokens de acesso pessoal vazados e mova a alternância para desativado.

A política está desativada e todos os PATs verificados em repositórios públicos do GitHub permanecem ativos.

Próximos passos

Alterar políticas de acesso a aplicativos