通过

使用策略管理个人访问令牌(面向管理员)

Azure DevOps Services

本文提供有关如何使用租户和组织策略在 Azure DevOps 中管理个人访问令牌(PAT)的指导。 本文介绍如何限制新或续订的 PAT 的创建、范围和生命周期,以及如何处理泄露的 PAT 的自动吊销。

每个部分详细介绍了相应策略的默认行为,帮助管理员有效控制和保护其组织中的 PAT 使用情况。

重要

我们建议使用更安全的Microsoft Entra 令牌,而不是高风险的个人访问令牌。 详细了解我们 减少 PAT 使用率的努力。 查看我们的 身份验证指南 ,以根据需要选择正确的身份验证机制。

通过 UI 和 API 创建的现有 PAT 在剩余的生命周期内保持有效。 更新现有 PAT,以符合新的限制,以确保成功续订。

先决条件

类别 要求
Microsoft Entra 租户 你的组织已链接到 Microsoft Entra 租户
权限

将Microsoft Entra 用户或组添加到策略允许列表

警告

我们通常建议使用群组来设置白名单。 如果列出命名用户,则对其身份的引用位于美国、欧洲(欧盟)和东南亚(新加坡)。

启用策略时,任何策略的允许列表上的用户或组都不受限制和强制限制。

每个策略都有自己的唯一允许列表。 若要免除用户的所有策略,必须将其添加到每个允许列表。 对于租户策略,请选择“添加 Microsoft Entra 用户或组”,然后选择“添加”

限制创建全局 PAT(租户策略)

Azure DevOps 管理员可以限制用户创建全局 PAT,这些 PAT 可用于所有可访问的组织,而不是单个组织。 启用此策略后,新的 PAT 必须与特定的 Azure DevOps 组织相关联。 默认情况下,此策略设置为 off

  1. (https://dev.azure.com/{Your_Organization}) 登录到组织。

  2. 选择 齿轮图标组织设置

    显示“选择齿轮”图标“组织设置的屏幕截图。

  3. 选择“Microsoft Entra”,找到“限制全局个人访问令牌创建策略”,然后打开切换开关

    切换移动到限制全局 PAT 创建策略位置的屏幕截图。

限制创建全范围的个人访问令牌(租户策略)

Azure DevOps 管理员可以限制用户创建完全范围的 PAT。 启用此策略需要将新的 PAT 限制为特定的自定义范围集。 默认情况下,此策略设置为 off

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 齿轮图标组织设置

  3. 选择“Microsoft Entra”,找到“限制全作用域个人访问令牌创建策略”,然后打开切换开关

    切换移动到“限制全范围 PAT 创建策略”位置的屏幕截图。

为新的 PAT 设置最长有效期(租户策略)

Azure DevOps 管理员可以定义 PAT 的最大生命周期,以天为单位指定它。 默认情况下,此策略设置为 off

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 齿轮图标组织设置

  3. 选择“Microsoft Entra”,找到“强制实施最大个人访问令牌生存期策略”,然后切换开关

    切换移动到强制最长 PAT 生命周期策略位置的屏幕截图。

  4. 输入最长天数,然后选择“ 保存”。

限制个人访问令牌创建(组织策略)

注释

  • 此策略当前处于公共预览版阶段。
  • 此策略仅适用于 Microsoft Entra 支持的组织。

项目集合管理员能够控制谁可以在他们管理的组织中创建和重新生成 PAT。 对于现有组织,此策略设置为 关闭。 此策略处于公共预览状态后,默认情况下,此策略设置为 “打开”。 现有 PAT 将继续工作,直到 PAT 的到期日期。

小窍门

将此策略与“为新 PAT 设置最长有效期”策略结合使用,并设置较短的有效期,以降低组织中的 PAT 使用率。

该策略还阻止组织中全局 PAT 的使用。 必须将全局 PAT 用户添加到允许列表中,才能继续在组织中使用其全局 PAT。

  1. (https://dev.azure.com/{Your_Organization}) 登录到组织。

  2. 选择 齿轮图标组织设置

  3. 选择 “策略”,找到 “限制个人访问令牌”(PAT)创建 策略。

    切换已移动到开启位置,并选中限制个人访问令牌创建策略的子策略的屏幕截图。

  4. 如果组织成员经常使用封装 PAT,请选中“仅允许创建具有封装范围的 PAT”复选框。 许多包装场景仍依赖于个人访问令牌 (PAT),尚未完全转换为基于 Microsoft Entra 的身份验证。 启用此策略后,不在允许名单上的用户只能访问其“个人访问令牌”页上的封装范围。

    仅在用户的“创建新的个人访问令牌”模式上可用的打包范围的屏幕截图。

  5. 如果任何 Microsoft Entra 用户或组需要继续访问 PAT,请选择“管理”,并在下拉列表中搜索用户或组,将其添加到白名单中。 完成白名单更新后,选中“允许为选定的 Microsoft Entra 用户和组创建任意作用域的 PAT”旁边的复选框。

  6. 将开关移动到 打开 状态,以便应用限制策略。 直到切换开关打开时,选定的子策略才会应用。

自动撤销泄露的 PAT(租户策略)

Azure DevOps 管理员可以管理自动撤销泄露的 PAT 的策略。 此策略适用于链接到 Microsoft Entra 租户的组织中的所有 PAT。 默认情况下,此策略设置为 on。 如果 Azure DevOps PAT 签入公共 GitHub 存储库,它们将自动撤销。

警告

禁用此策略意味着签入公共 GitHub 存储库的任何 PAT 仍然处于活动状态,可能会危及 Azure DevOps 组织和数据,并使应用程序和服务面临重大风险。 即使策略已禁用,如果 PAT 泄露,您仍会收到电子邮件通知,但不会自动撤销。

关闭自动吊销已泄漏的 PAT

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 齿轮图标组织设置

  3. 选择 “Microsoft Entra”,找到 “自动撤销泄露的个人访问令牌 ”策略,并将切换开关移动到 关闭

策略已禁用,签入公共 GitHub 存储库的任何 PAT 将保持活动状态。

后续步骤

更改应用程序访问策略