Поделиться через

Управление личными маркерами доступа с помощью политик (для администраторов)

Azure DevOps Services

В этой статье содержатся рекомендации по использованию политик клиента и организации для управления личными маркерами доступа (PATs) в Azure DevOps. В нем объясняется, как ограничить создание, область и срок жизни новых или обновленных PAT, а также как обрабатывать автоматическую аннулирование утекших PAT.

В каждом разделе описано поведение по умолчанию соответствующих политик, помогающие администраторам эффективно контролировать и безопасное использование PAT в организации.

Внимание

Рассмотрите возможность использования более безопасных токенов Microsoft Entra вместо более рискованных персональных токенов доступа. Дополнительные сведения см. в разделе "Сокращение использования PAT". Просмотрите рекомендации по проверке подлинности , чтобы выбрать правильный механизм проверки подлинности для ваших потребностей.

Существующие PAT, созданные с помощью пользовательского интерфейса и API, остаются действительными в течение остальной части срока их существования. Обновите существующие PAT, чтобы соответствовать новым ограничениям и обеспечить успешное продление.

Подсказка

Вы можете использовать ИИ, чтобы помочь с этой задачей позже в этой статье или ознакомиться с включение помощи ИИ в Azure DevOps MCP Server, чтобы начать работу.

Предварительные условия

Категория Требования
клиент Microsoft Entra Ваша организация связана с клиентом Microsoft Entra.
Права доступа

Добавление Microsoft Entra пользователей или групп в списки разрешений политик

Предупреждение

Используйте группы для списков разрешений. Если вы указываете именованного пользователя, информация об их идентичности хранится в Соединенных Штатах, Европейском Союзе и Юго-Восточной Азии (Сингапур).

Пользователи или группы в списке разрешений для любой из этих политик исключаются из ограничений и принудительного применения при включении политик.

Каждая политика имеет собственный уникальный список разрешений. Чтобы исключить пользователя из всех политик, добавьте их в каждый список разрешений. Для политик арендатора выберите Добавить пользователя или группу Microsoft Entra, а затем выберите Добавить.

Ограничить создание глобальных PATs (политика арендатора)

Azure DevOps администраторы могут ограничить пользователей созданием глобальных PAT, которые можно использовать во всех доступных организациях, а не в одной организации. Если эта политика включена, новые PAT должны быть связаны с определенными Azure DevOps организациями. По умолчанию эта политика отключена.

  1. Войдите в свою организацию (https://dev.azure.com/{Your_Organization}).

  2. Выберите значок шестеренкиНастройки организации.

    Снимок экрана: кнопка

  3. Выберите Microsoft Entra, найдите политику Restrict global personal access token creation и переместите переключатель on.

    Снимок экрана: переключатель перемещен в положение для ограничения глобальной политики создания PAT.

Ограничение создания полнофункциональных токенов доступа (политика арендатора)

Azure DevOps администраторы могут ограничить пользователей созданием полноуровневых PAT. Включение этой политики требует, чтобы новые PAT были ограничены определенным настраиваемым набором областей. По умолчанию эта политика отключена.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите значок шестеренкиНастройки организации.

  3. Выберите Microsoft Entra, найдите политику Ограничение создания персональных токенов доступа с полным охватом и переместите переключатель в положение включен.

    Снимок экрана: переключатель перемещён в положение включено для политики, ограничивающей создание PAT с полной областью.

Установить максимальный срок жизни для новых PATs (политика арендатора)

Azure DevOps администраторы могут определить максимальное время существования PAT, указав его в днях. По умолчанию эта политика отключена.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите значок шестеренкиНастройки организации.

  3. Выберите Microsoft Entra, найдите политику Установите максимальный срок действия личного токена доступа и установите переключатель в положение включено.

    Снимок экрана: переключатель переведен в положение включения политики ограничения максимального срока действия PAT.

  4. Введите максимальное количество дней и нажмите кнопку "Сохранить".

Ограничение создания личного маркера доступа (политика организации)

Замечание

Эта политика доступна только для Microsoft Entra поддерживаемых организаций.

Администраторы коллекции проектов могут управлять тем, кто создает и регенерирует PAT в организациях, которыми они управляют. По умолчанию эта политика отключена. Существующие PAT продолжают работать до истечения срока действия PAT.

Подсказка

Объедините эту политику с коротким сроком действия для политики "Установите максимальный срок жизни для новых PAT" для уменьшения использования PAT в вашей организации.

Политика также блокирует глобальное использование PAT в организации. Глобальные пользователи PAT должны быть добавлены в список разрешений, чтобы продолжать использовать свой глобальный PAT в организации.

  1. Войдите в свою организацию (https://dev.azure.com/{Your_Organization}).

  2. Выберите значок шестеренкиНастройки организации.

  3. Выберите Политики, найдите политику ограничения создания личного маркера доступа (PAT).

    Снимок экрана: переключатель перемещен в положение «включено», и подполитики отмечены для политики ограничения создания личного токена доступа.

  4. Если члены вашей организации регулярно используют PAT в области упаковки, установите флажок «Разрешить создание PAT только для области упаковки». Многие сценарии упаковки по-прежнему полагаются на PAT и не полностью перешли на проверку подлинности на основе Microsoft Entra. Если эта политика включена, пользователи, которые не входят в список разрешений, имеют доступ только к областям упаковки на странице "Личные маркеры доступа".

    Скриншот областей настройки прав, доступных только в модальном окне создания нового личного токена пользователя.

  5. Если любому Microsoft Entra пользователям или группам требуется постоянный доступ к PATs, добавьте их в список разрешений, выбрав Manage и найдите пользователя или группу в раскрывающемся списке. После завершения обновлений списка разрешений установите флажок рядом с Разрешить создание PAT любой области для выбранных пользователей и групп Microsoft Entra.

  6. Переместите переключатель в положение включено, чтобы политика ограничений была применена. Выбранные подполитики не применяются, пока переключатель не включен.

Автоматическое аннулирование утечек персональных токенов доступа (политика арендатора)

Azure DevOps администраторы могут управлять политикой, которая автоматически отменяет утечки PAT. Эта политика применяется ко всем PAT в организациях, связанных с вашим клиентом Microsoft Entra. По умолчанию эта политика включена. Если Azure DevOps PAT проверяются в общедоступных репозиториях GitHub, они автоматически отзываются.

Предупреждение

Отключение этой политики означает, что все PAT, зарегистрированные в общедоступных репозиториях GitHub, остаются активными, потенциально компрометируя Azure DevOps организацию и данные, а также ставят приложения и службы под значительный риск. Даже если политика отключена, вы по-прежнему получаете уведомление по электронной почте при утечке PAT, но оно не отозвано автоматически.

Отключение автоматического аннулирования скомпрометированных PAT

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите значок шестеренкиНастройки организации.

  3. Выберите Microsoft Entra, найдите политику Автоматически отзывать скомпрометированные личные маркеры доступа и переместите переключатель на выключено.

Политика отключена, и все PAT, зарегистрированные в общедоступных репозиториях GitHub, остаются активными.

Использование искусственного интеллекта для управления политиками PAT

Если у вас настроен Azure DevOps MCP Server, вы можете использовать AI-ассистентов для управления и аудита политик персональных токенов доступа, используя запросы на естественном языке. Сервер MCP предоставляет помощнику по искусственному интеллекту безопасный доступ к данным Azure DevOps, что позволяет проверять параметры политики, маркеры списка и просматривать действия PAT без навигации по веб-интерфейсу.

Примеры подсказок для управления политиками PAT

задачи Пример запроса
Принуждение политики токенов с минимальными привилегиями Restrict full-scoped PATs in <organization-name> and set the maximum lifetime to 90 days for all new tokens
Сгенерировать отчет о соответствии токенов Show all PATs in <organization-name> that exceed the 90-day lifetime policy or have full access scope, grouped by user
Подготовка для миграции управляемой идентификации List all PATs in <organization-name> used for automated pipelines and suggest which ones could be replaced with managed identity or service principal authentication
Настройка разрешенных PAT Configure the PAT policy for <organization-name> to allow only tokens with Code Read, Work Items Read, and Build Execute scopes
Мониторинг нарушений политики Show me the audit log entries for PAT creation events in <organization-name> over the last 30 days that violated any active policy
Просмотр шаблонов использования токенов For each user in <organization-name>, show the count of active PATs, their broadest scope, and when each was last used

Подсказка

Если вы используете Visual Studio Code, агентный режим особенно полезно для аудита использования PAT и определения маркеров, требующих смены или отзыва.

  • Чтобы избежать использования устаревших или кэшированных данных из предыдущих запросов, добавьте в запрос Do not use previously fetched data.

Следующий шаг

Изменение политик доступа к приложениям

Связанный контент

  • Last updated on