Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Wenn ein persönliches Zugriffstoken (Personal Access Token, PAT) kompromittiert ist, muss schnell gehandelt werden. Administratoren können das PAT eines Benutzers widerrufen, um die Organisation zu schützen. Durch das Deaktivieren des Kontos eines Benutzers wird dessen PAT widerrufen.
Tipp
Erstellen oder widerrufen Sie Ihre eigene PAT auf Ihrer Persönlichen Zugriffstokenseite.
Wichtig
Wir empfehlen die sichereren Microsoft Entra-Token gegenüber token mit höherem Risiko für persönliche Zugriffstoken. Erfahren Sie mehr über unsere Bemühungen zur Reduzierung der PAT-Nutzung. Überprüfen Sie unsere Authentifizierungsleitfaden , um den richtigen Authentifizierungsmechanismus für Ihre Anforderungen auszuwählen.
Warum sollten Benutzer-PATs widerrufen werden?
Das Widerrufen von Benutzer-PATs ist aus folgenden Gründen unerlässlich:
- Kompromittiertes Token: Verhindern eines nicht autorisierten Zugriffs, wenn ein Token kompromittiert ist.
- Benutzer verlässt die Organisation: Sicherstellung, dass ehemalige Mitarbeitende keinen Zugriff mehr haben.
- Berechtigungsänderungen: Ungültigmachen von Token, die alte Berechtigungen widerspiegeln.
- Sicherheitsverletzung: Reduzierung des Risikos für nicht autorisierte Zugriffe während einer Sicherheitsverletzung.
- Regelmäßige Sicherheitsverfahren: Widerruf und Neuausgabe von Token auf regelmäßiger Basis im Rahmen einer Sicherheitsrichtlinie.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Berechtigungen | Mitglied der Gruppe Projektsammlungsadministratoren. Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. |
Widerrufen von PATs
- Informationen zum Widerrufen von OAuth-Autorisierungen, einschließlich PATs, für die Benutzer Ihrer Organisation finden Sie unter Tokenwiderruf – Widerrufen von Autorisierungen.
- Um das Aufrufen der REST-API zu automatisieren, verwenden Sie dieses PowerShell-Skript, das eine Liste der Benutzerprinzipalnamen (User Principal Names, UPNs) übergibt. Wenn Sie den UPN des Benutzers nicht kennen, der das PAT erstellt hat, verwenden Sie dieses Skript unter Angabe eines Datumsbereichs.
Hinweis
Wenn Sie einen Datumsbereich verwenden, werden auch JSON-Webtoken (JWTs) widerrufen. Alle Tools, die auf diesen Token basieren, funktionieren erst, wenn sie mit neuen Token aktualisiert wurden.
- Nachdem Sie die betroffenen PATs erfolgreich widerrufen haben, informieren Sie Ihre Benutzer. Sie können ihre Token neu erstellen wie notwendig.
Es kann eine Verzögerung von bis zu einer Stunde geben, bis das PAT inaktiv wird, da dieser Latenzzeitraum bestehen bleibt, bis der Deaktivierungs- oder Löschvorgang in Microsoft Entra ID vollständig verarbeitet wurde.
Ablauf von FedAuth-Token
Ein FedAuth-Token wird ausgegeben, wenn Sie sich anmelden. Es ist für einen gleitenden Sieben-Tage-Zeitraum gültig. Das Ablaufdatum wird automatisch um weitere sieben Tage verlängert, wenn Sie das Token innerhalb des gleitenden Zeitraums aktualisieren. Wenn Benutzer regelmäßig auf den Dienst zugreifen, ist nur eine anfängliche Anmeldung erforderlich. Nach einem Inaktivitätszeitraum, der länger als sieben Tage dauert, wird das Token ungültig, und der Benutzer muss sich erneut anmelden.
PAT-Ablauf
Benutzer können einen Ablaufzeitraum für ihr PAT auswählen, der ein Jahr nicht überschreiten darf. Wir empfehlen, einen kürzeren Zeitraum zu verwenden und nach Ablauf des Zeitraums neue PATs zu generieren. Benutzer erhalten eine Woche vor Ablauf des Tokens eine Benachrichtigungs-E-Mail. Benutzer können ein neues Token generieren, den Ablauf des vorhandenen Tokens erweitern oder den Umfang des vorhandenen Tokens ändern, wenn erforderlich.
Überwachungsprotokolle
Wenn Ihre Organisation mit Microsoft Entra ID verbunden ist, haben Sie Zugriff auf Überwachungsprotokolle, die verschiedene Ereignisse nachverfolgen, einschließlich Berechtigungsänderungen, gelöschter Ressourcen und Protokollzugriffen. Diese Überwachungsprotokolle sind nützlich, um auf Widerrufe zu prüfen oder Aktivitäten zu untersuchen. Weitere Informationen finden Sie unter Zugreifen auf, Exportieren und Filtern von Überwachungsprotokollen.
Häufig gestellte Fragen (FAQs)
F: Was geschieht mit einem PAT, wenn ein Benutzer mein Unternehmen verlässt?
A: Sobald ein Benutzer aus Microsoft Entra ID entfernt wird, werden die PATs und FedAuth-Token innerhalb einer Stunde ungültig, da das Aktualisierungstoken nur für eine Stunde gültig ist.
F: Sollte ich JSON-Webtoken (JWTs) widerrufen?
A: Wenn es JWTs gibt, die Ihrer Meinung nach widerrufen werden sollten, empfehlen wir, dies umgehend zu tun. Sie können JWTs, die als Teil des OAuth-Flows ausgegeben wurden, mithilfe des PowerShell-Skripts widerrufen. Verwenden Sie unbedingt die Datumsbereichsoption im Skript.