Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure DevOps Services
Questo articolo fornisce indicazioni su come usare i criteri del tenant e dell'organizzazione per gestire i token di accesso personali in Azure DevOps. Spiega come limitare la creazione, l'ambito e la durata dei PAT nuovi o rinnovati e come gestire la revoca automatica dei PAT divulgati.
Ogni sezione descrive in dettaglio il comportamento predefinito dei rispettivi criteri per aiutare gli amministratori a controllare e proteggere efficacemente l'utilizzo del pat all'interno dell'organizzazione.
Importante
Prendere in considerazione l'uso dei token Microsoft Entra più sicuri rispetto ai token personali di accesso ad alto rischio. Per altre informazioni, vedere Ridurre l'utilizzo di PAT. Esaminare le indicazioni per l'autenticazione per scegliere il meccanismo di autenticazione appropriato per le proprie esigenze.
Le reti PAT esistenti, create tramite l'interfaccia utente e le API, rimangono valide per il resto della durata. Aggiornare i PT esistenti in modo che siano conformi alle nuove restrizioni per garantire un rinnovo corretto.
Suggerimento
È possibile usare l'intelligenza artificiale per facilitare questa attività più avanti in questo articolo, oppure vedere Abilitare l'assistenza AI con Azure DevOps MCP Server per iniziare.
Prerequisiti
| Categoria | Requisiti |
|---|---|
| Microsoft Entra tenant | L'organizzazione è collegata a un tenant di Microsoft Entra. |
| Autorizzazioni |
|
Aggiungere utenti o gruppi di Microsoft Entra agli elenchi di autorizzazioni dei criteri
Avviso
Usare i gruppi per gli elenchi consentiti. Se si elenca un utente specificato, un riferimento alla sua identità risiede negli Stati Uniti, in Europa (Unione Europea) e nell'Asia sudorientale (Singapore).
Gli utenti o i gruppi nella lista delle autorizzazioni per uno di questi criteri sono esentati dalle restrizioni e dalle imposizioni quando i criteri sono abilitati.
Ogni criterio ha un elenco univoco di elementi consentiti. Per esentare un utente da tutti i criteri, aggiungerli a ogni elenco di elementi consentiti. Per i criteri tenant selezionare Aggiungi utente o gruppo Microsoft Entra e quindi selezionare Aggiungi.
Limitare la creazione di token di accesso personale globali (politica tenant)
Azure DevOps Gli amministratori possono impedire agli utenti di creare protocolli PAT globali, che possono essere usati in tutte le organizzazioni accessibili anziché in una singola organizzazione. Quando questo criterio è abilitato, è necessario associare nuove reti AT a organizzazioni Azure DevOps specifiche. Per impostazione predefinita, questo criterio è disattivato.
Accedi alla tua organizzazione (
https://dev.azure.com/{Your_Organization}).Selezionare
Impostazioni organizzazione.
Selezionare Microsoft Entra, trovare il criterio Restrict global personal access token creation e spostare l'interruttore on.
Limitare la creazione di Token di Accesso Personale (PAT) con ambito completo (politica del tenant)
Gli amministratori di Azure DevOps possono impedire agli utenti di creare PAT con ambito completo. L'abilitazione di questo criterio richiede che i nuovi PAT siano limitati a un insieme specifico e definito dall'utente di ambiti. Per impostazione predefinita, questo criterio è disattivato.
Accedi alla tua organizzazione (
https://dev.azure.com/{yourorganization}).Selezionare
Impostazioni organizzazione.Selezionare Microsoft Entra, trovare il criterio Restrizione della creazione di token di accesso personale a pieno ambito e spostare l'interruttore su attivo.
Impostare la durata massima per i nuovi token di accesso personali (politica del tenant)
Azure DevOps Gli amministratori possono definire la durata massima di un pat, specificandolo in giorni. Per impostazione predefinita, questo criterio è disattivato.
Accedi alla tua organizzazione (
https://dev.azure.com/{yourorganization}).Selezionare
Impostazioni organizzazione.Selezionare Microsoft Entra, trovare il criterio Dominare durata massima del token di accesso personale e attivare il toggle on.
Immettere il numero massimo di giorni e quindi selezionare Salva.
Limitare la creazione di token di accesso personale (criteri dell'organizzazione)
Annotazioni
Questo criterio è disponibile solo per le organizzazioni supportate da Microsoft Entra.
Gli amministratori della raccolta di progetti possono controllare chi crea e rigenera i PT nelle organizzazioni gestite. Per impostazione predefinita, questo criterio è disattivato. I PAT esistenti continuano a funzionare fino alla data di scadenza del PAT.
Suggerimento
Combinare questo criterio con una durata breve impostata per il criterio "Impostare la durata massima per i nuovi token di accesso personale (PAT)" per ridurre l'utilizzo di PAT nell'organizzazione.
Il criterio blocca anche l'utilizzo globale di PAT nell'organizzazione. Gli utenti globali PAT devono essere aggiunti alla lista di autorizzazione per continuare a usare il loro PAT globale nell'organizzazione.
Accedi alla tua organizzazione (
https://dev.azure.com/{Your_Organization}).Selezionare
Impostazioni organizzazione.Selezionare Criteri, trovare il criterio Limita la creazione dei token di accesso personale (PAT).
Se i membri dell'organizzazione usano regolarmente i PAT di packaging, selezionare la casella Consenti la creazione di PAT solo con ambito di packaging. Molti scenari di creazione di pacchetti si basano ancora su PAT e non sono stati completamente trasferiti all'autenticazione basata su Microsoft Entra. Quando questo criterio è abilitato, gli utenti che non sono inclusi nella lista di autorizzazione hanno accesso solo agli ambiti di gestione dei pacchetti nella loro pagina "Token di accesso personali".
Se un utente o un gruppo di Microsoft Entra richiede l'accesso continuo ai PT, aggiungerli all'elenco di elementi consentiti selezionando Manage e cercando l'utente o il gruppo nell'elenco a discesa. Al termine degli aggiornamenti della lista consentita, selezionare la casella di controllo accanto a Consenti la creazione di PAT di qualunque ambito per utenti e gruppi selezionati di Microsoft Entra.
Spostare l'interruttore su attiva per applicare i criteri di restrizione. Le sottopolici selezionate non si applicano finché l'interruttore non è attivato.
Revocare automaticamente i token PAT compromessi (politica del tenant)
Gli amministratori di Azure DevOps possono gestire i criteri che revocano automaticamente i PAT trapelati. Questo criterio si applica a tutte le reti PAT all'interno delle organizzazioni collegate al tenant Microsoft Entra. Per impostazione predefinita, questo criterio è impostato su Attivato. se i PAT di Azure DevOps vengono archiviati nei repository pubblici di GitHub, vengono revocati automaticamente.
Avviso
La disabilitazione di questo criterio significa che tutti i PT archiviati nei repository pubblici di GitHub rimangono attivi, potenzialmente compromettendo l'organizzazione e i dati Azure DevOps e mettendo a rischio le applicazioni e i servizi. Anche se il criterio è disabilitato, si riceverà comunque una notifica tramite posta elettronica se un token di accesso personale viene compromesso, ma non viene revocato automaticamente.
Disattivare la revoca automatica delle PAT compromesse
Accedi alla tua organizzazione (
https://dev.azure.com/{yourorganization}).Selezionare
Impostazioni organizzazione.Selezionare Microsoft Entra, trovare il criterio Revocare automaticamente i token di accesso personali persi e spostare l'interruttore in off.
Il criterio è disabilitato e tutti i PTS archiviati nei repository di GitHub pubblici rimangono attivi.
Usare l'intelligenza artificiale per gestire i criteri pat
Se è configurato Azure DevOps MCP Server, è possibile usare gli assistenti di intelligenza artificiale per gestire e controllare i criteri dei token di accesso personale usando i prompt del linguaggio naturale. Il server MCP fornisce all'assistente di intelligenza artificiale l'accesso sicuro ai dati Azure DevOps, consentendo di controllare le impostazioni dei criteri, elencare i token ed esaminare l'attività PAT senza spostarsi nell'interfaccia Web.
Richieste di esempio per la gestione dei criteri PAT
| Attività | Richiesta di esempio |
|---|---|
| Applicare i criteri dei token con privilegi minimi | Restrict full-scoped PATs in <organization-name> and set the maximum lifetime to 90 days for all new tokens |
| Generare un report di conformità dei token | Show all PATs in <organization-name> that exceed the 90-day lifetime policy or have full access scope, grouped by user |
| Preparare la migrazione dell'identità gestita | List all PATs in <organization-name> used for automated pipelines and suggest which ones could be replaced with managed identity or service principal authentication |
| Configurare i criteri di accesso consentiti | Configure the PAT policy for <organization-name> to allow only tokens with Code Read, Work Items Read, and Build Execute scopes |
| Monitorare le violazioni dei criteri | Show me the audit log entries for PAT creation events in <organization-name> over the last 30 days that violated any active policy |
| Esaminare i modelli di utilizzo dei token | For each user in <organization-name>, show the count of active PATs, their broadest scope, and when each was last used |
Suggerimento
Se si usa Visual Studio Code, modalità agente è particolarmente utile per controllare l'utilizzo dei token di accesso personale (PAT) e identificare i token che necessitano di rotazione o revoca.
- Per evitare di usare dati non aggiornati o memorizzati nella cache delle query precedenti, aggiungere al prompt .
Do not use previously fetched data