Usar políticas para gerenciar tokens de acesso pessoal para usuários
Azure DevOps Services
Este artigo fornece diretrizes sobre como usar as políticas do Microsoft Entra para gerenciar PATs (tokens de acesso pessoal) no Azure DevOps. Ele explica como limitar a criação, o escopo e a vida útil de PATs novos ou renovados, bem como lidar com a revogação automática de PATs vazados. Cada seção detalha o comportamento padrão das respectivas políticas, ajudando os administradores a controlar e proteger efetivamente o uso do PAT em sua organização.
Importante
Os PATs existentes, criados por meio da interface do usuário e das APIs, permanecem válidos pelo resto de sua vida útil. Atualize seus PATs existentes para cumprir as novas restrições para garantir uma renovação bem-sucedida.
Pré-requisitos
- Conexão da organização: verifique se sua organização está vinculada à ID do Microsoft Entra.
- Funções: seja um administrador do Azure DevOps na ID do Microsoft Entra. Para verificar sua função, entre no portal do Azure e acesse Funções e administradores da ID>do Microsoft Entra. Se você não for um administrador do Azure DevOps, não poderá ver as políticas. Entre em contato com o administrador, se necessário.
Restringir a criação de PATs globais
O Administrador do Azure DevOps no Microsoft Entra pode impedir que os usuários criem PATs (Tokens de Acesso Pessoal) globais, que se aplicam a todas as organizações acessíveis em vez de uma única organização. Quando essa política está habilitada, novos PATs devem ser associados a organizações específicas do Azure DevOps. Por padrão, essa política é definida como desativada.
Entre em sua organização (
https://dev.azure.com/{yourorganization}
).Selecione Configurações da organização.
Selecione Microsoft Entra, localize a política de criação de token de acesso pessoal global Restringir e ative a alternância.
Restringir a criação de PATs com escopo completo
O Administrador do Azure DevOps no Microsoft Entra pode impedir que os usuários criem PATs com escopo completo. A habilitação dessa política exige que os novos PATs sejam limitados a um conjunto de escopos específico e personalizado. Por padrão, essa política é definida como desativada.
Entre em sua organização (
https://dev.azure.com/{yourorganization}
).Selecione Configurações da organização.
Selecione Microsoft Entra, localize a política de criação de token de acesso pessoal com escopo completo e ative a alternância.
Definir o tempo de vida máximo para novos PATs
O Administrador do Azure DevOps na ID do Microsoft Entra pode definir o tempo de vida máximo de um PAT, especificando-o em dias. Por padrão, essa política é definida como desativada.
Entre em sua organização (
https://dev.azure.com/{yourorganization}
).Selecione Configurações da organização.
Selecione Microsoft Entra, localize a política Impor tempo de vida máximo do token de acesso pessoal e ative a alternância.
Insira o número máximo de dias e selecione Salvar.
Adicionar usuários ou grupos do Microsoft Entra à lista de permissões
Aviso
É recomendável usar grupos para suas listas de permissões de política de locatário. Se você usar um usuário nomeado, uma referência à identidade dele residirá nos Estados Unidos, na Europa (UE) e no Sudeste Asiático (Cingapura).
Os usuários ou grupos na lista de permissões estão isentos das restrições e imposições dessas políticas quando habilitados. Para adicionar um usuário ou grupo, selecione Adicionar usuário ou grupo do Microsoft Entra e, em seguida, selecione Adicionar. Cada política tem sua própria lista de permitidos. Se um usuário estiver na lista de permissões de uma política, outras políticas ativadas ainda serão aplicadas. Portanto, para isentar um usuário de todas as políticas, adicione-o a cada lista de permissões.
Revogar PATs vazados automaticamente
O Administrador do Azure DevOps na ID do Microsoft Entra pode gerenciar a política que revoga automaticamente os PATs vazados. Essa política se aplica a todos os PATs em organizações vinculadas ao seu locatário do Microsoft Entra. Por padrão, essa política é definida como ativada. Se Azure DevOps PATs for verificado em repositórios públicos do GitHub, eles serão revogados automaticamente.
Aviso
Desabilitar essa política significa que todos os PATs verificados em repositórios públicos do GitHub permanecerão ativos, potencialmente comprometendo sua organização e dados do Azure DevOps e colocando seus aplicativos e serviços em risco significativo. Mesmo com a política desativada, você ainda receberá uma notificação por e-mail se um PAT vazar, mas ele não será revogado automaticamente.
Desativar a revogação automática de PATs vazadas
Entre em sua organização (
https://dev.azure.com/{yourorganization}
).Selecione Configurações da organização.
Selecione Microsoft Entra, localize a política Revogar automaticamente tokens de acesso pessoal vazados e mova a alternância para desativada.
A política está desabilitada e todos os PATs verificados em repositórios públicos do GitHub permanecem ativos.