組織ユーザーの個人用アクセス トークンを取り消す (管理者向け)

Azure DevOps Services |Azure DevOps Server 2022 |Azure DevOps Server 2020

個人用アクセス トークン (PAT) が侵害された場合は、迅速に行動することが重要です。 管理者は、組織を保護するためにユーザーの PAT を取り消すことができます。 ユーザーのアカウントを無効にすると、PAT も取り消されます。

ユーザーの AT を取り消す理由

ユーザーの AT の取り消しは、次の理由により不可欠です。

• 侵害されたトークン: トークンが侵害された場合に未承認のアクセスを防止します。
• ユーザーが組織を去る: 元従業員がアクセスできないようにします。
• アクセス許可の変更: 古いアクセス許可を反映するトークンを無効にします。
• セキュリティ侵害: 侵害時の不正アクセスを軽減します。
• 定期的なセキュリティ プラクティス: セキュリティ ポリシーの一部としてトークンを定期的に取り消し、再発行します。

前提条件

PAT の取り消し

1. 組織のユーザーの OAuth 承認 (AT を含む) を取り消すには、「トークン失効 - 承認の取り消し」を参照してください。
2. REST API の呼び出しを自動化するには、この PowerShell スクリプトを使用します。このスクリプトは、ユーザー プリンシパル名 (UPN) の一覧を渡します。 PAT を作成したユーザーの UPN がわからない場合は、指定した日付範囲でこのスクリプトを使用します。

3. 影響を受ける AT を正常に取り消したら、ユーザーに通知します。 必要に応じてトークンを再作成できます。

PAT が非アクティブになるまでに最大 1 時間の遅延が発生する可能性があります。この待機時間は、Microsoft Entra ID で無効化または削除操作が完全に処理されるまでのものです。

FedAuth トークンの有効期限

サインインすると、FedAuth トークンが発行されます。 7 日間のスライディング ウィンドウに対して有効です。 有効期限は、スライディング ウィンドウ内で更新するたびに、自動的にさらに 7 日間延長されます。 ユーザーがサービスに定期的にアクセスする場合は、最初のサインインのみが必要です。 非アクティブな期間が 7 日間続くと、トークンは無効になり、ユーザーはもう一度サインインする必要があります。

PAT 有効期限

ユーザーは 1 年未満の PAT 有効期限を選択できます。 比較的短い期間を使用し、有効期限が切れたときに新しい AT を生成することをお勧めします。 ユーザーは、トークンの有効期限が切れる 1 週間前に通知メールを受け取ります。 ユーザーは、新しいトークンを生成したり、既存のトークンの有効期限を延長したり、必要に応じて既存のトークンのスコープを変更したりできます。

よく寄せられる質問 (FAQ)

Q: ユーザーが退職した場合、PAT はどうなりますか?

A: ユーザーが Microsoft Entra ID から削除されると、更新トークンは 1 時間以内に有効になるため、1 時間以内に PAT トークンと FedAuth トークンが無効になります。

Q: JSON Web トークン (JWT) を取り消す必要はありますか?

A: 取り消す必要があると思われる JWT がある場合は、速やかに取り消することをお勧めします。 PowerShell スクリプトを使用して OAuth フローの一部として発行された JWT を取り消します。 スクリプトでは必ず日付範囲オプションを使用してください。

関連コンテンツ

• Microsoft が Azure DevOps でプロジェクトとデータを保護する方法について説明する
• 個人用アクセス トークンを使用して認証する
• ポリシーを使用して個人用アクセス トークンを管理する (管理者向け)
• Microsoft Entra を使用して Azure DevOps に認証する