Compartilhar via

Gerenciar tokens de acesso pessoal usando políticas (para administradores)

Azure DevOps Services

Este artigo fornece diretrizes sobre como usar políticas de locatário e organização para gerenciar PATs (tokens de acesso pessoal) em Azure DevOps. Ele explica como limitar a criação, o escopo e o tempo de vida de PATs novos ou renovados e como lidar com a revogação automática de PATs vazadas.

Cada seção detalha o comportamento padrão das respectivas políticas para ajudar os administradores a controlar e proteger efetivamente o uso do PAT em sua organização.

Importante

Considere usar os mais seguros tokens Microsoft Entra em relação aos tokens de acesso pessoal de maior risco. Para obter mais informações, consulte Reduzir o uso do PAT. Examine as diretrizes de autenticação para escolher o mecanismo de autenticação correto para suas necessidades.

Os PATs existentes, criados por meio da interface do usuário e das APIs, permanecem válidos pelo resto de sua vida útil. Atualize seus PATs existentes para estar em conformidade com as novas restrições a fim de garantir uma renovação com êxito.

Dica

Você pode usar a IA para ajudar nessa tarefa mais adiante neste artigo ou consulte Ativar a assistência de IA com o Azure DevOps Server MCP para começar.

Pré-requisitos

Categoria Requisitos
Microsoft Entra tenant Sua organização está vinculada a um locatário do Microsoft Entra.
Permissões

Adicionar Microsoft Entra usuários ou grupos às listas de permissões de política

Aviso

Use grupos para suas listas de permissões. Se você listar um usuário nomeado, uma referência à identidade dele reside nos Estados Unidos, na Europa (UE) e no Sudeste Asiático (Cingapura).

Usuários ou grupos na lista de permissões para qualquer uma dessas políticas são isentos das restrições e imposição quando as políticas são habilitadas.

Cada política tem sua própria lista de permissões exclusiva. Para isentar um usuário de todas as políticas, adicione-o a cada lista de permissões. Para as políticas de inquilino, selecione Adicionar usuário ou grupo do Microsoft Entra e selecione Adicionar.

Restringir a criação de PATs globais (política de locatário)

Azure DevOps Administradores podem impedir que os usuários criem PATs globais, que podem ser usadas em todas as organizações acessíveis, em vez de em uma única organização. Quando essa política estiver habilitada, novos PATs deverão ser associados a organizações Azure DevOps específicas. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{Your_Organization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

    Captura de tela mostrando o botão Configurações da organização na barra lateral.

  3. Selecione Microsoft Entra, localize a política "Restringir a criação global de tokens de acesso pessoal" e mova a alternância para "ativado".

    Captura de tela da alternância movida para a posição ativada para Restringir a política de criação de PAT global.

Restringir a criação de PATs de escopo completo (política de locatário)

Azure DevOps Administradores podem impedir que os usuários criem PATs com escopo completo. A habilitação dessa política exige que os novos PATs sejam limitados a um conjunto de escopos específico e personalizado. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

  3. Selecione Microsoft Entra, localize a política 'Restringir a criação de token de acesso pessoal de escopo completo' e mova a alternância para ativada.

    Captura de tela da alternância movida para a posição ativada para a política Desativar criação de PAT com escopo completo.

Definir o tempo de vida máximo para novos PATs (política de locatário)

Azure DevOps Administradores podem definir o tempo de vida máximo de um PAT, especificando-o em dias. Por padrão, essa política é definida como desativada.

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

  3. Selecione Microsoft Entra, localize a política de Enforce de vida máxima do token de acesso pessoal e mova a alternância on.

    Captura de tela da alternância movida para a posição ativada para Impor a política de tempo de vida máximo do PAT.

  4. Insira o número máximo de dias e selecione Salvar.

Restringir a criação de token de acesso pessoal (política da organização)

Observação

Essa política só está disponível para organizações apoiadas por Microsoft Entra.

Os Administradores de Coleção de Projetos podem controlar quem cria e regenera PATs nas organizações gerenciadas por eles. Por padrão, essa política é definida como desativada. As PATs existentes continuam funcionando até a data de validade do PAT.

Dica

Combine essa política com uma duração curta definida para a política "Definir o tempo de vida máximo para novos PATs" para diminuir o uso de PAT na sua organização.

A política também bloqueia o uso global do PAT na organização. Os usuários globais do PAT devem ser adicionados à lista de permissões para continuar a usar seu PAT global na organização.

  1. Entre em sua organização (https://dev.azure.com/{Your_Organization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

  3. Selecione Políticas e encontre a política Restringir a criação de token de acesso pessoal (PAT).

    Captura de tela da alternância movida para a posição ativado e as subpolíticas marcadas para a política Restringir a criação de token de acesso pessoal.

  4. Se os membros da sua organização usarem regularmente PATs de empacotamento, selecione a caixa de seleção Permitir a criação de PAT com escopo de empacotamento apenas. Muitos cenários de empacotamento ainda dependem de PATs e não fizeram a transição completa para a autenticação baseada em Microsoft Entra. Quando essa política está habilitada, os usuários que não estão na lista de permissões têm acesso apenas aos escopos de empacotamento na página "Tokens de acesso pessoal".

    Captura de tela dos escopos de pacote disponíveis somente no modal

  5. Se algum usuário ou grupo do Microsoft Entra exigir acesso contínuo aos PATs, adicione-os à lista de permitidos selecionando Gerenciar e pesquisando o usuário ou grupo na lista suspensa. Depois que as atualizações da lista de permissão forem concluídas, marque a caixa de seleção ao lado de Permitir a criação de PAT de qualquer escopo para usuários e grupos Microsoft Entra selecionados.

  6. Mova a chave para ligar para que a política de restrição seja aplicada. As subpolíticas selecionadas não se aplicam até que o botão de alternância esteja ligado.

Revogar PATs vazados automaticamente (política de locatário)

Administradores do Azure DevOps podem gerenciar a política que revoga automaticamente PATs vazadas. Essa política se aplica a todos os PATs em organizações vinculadas ao seu locatário Microsoft Entra. Por padrão, essa política é definida como ativada. Se Azure DevOps PATs forem verificados em repositórios de GitHub públicos, eles serão revogados automaticamente.

Aviso

Desabilitar essa política significa que todos os PATs verificados em repositórios públicos do GitHub permanecem ativos, potencialmente comprometendo sua organização e dados do Azure DevOps e colocando os seus aplicativos e serviços em risco significativo. Mesmo com a política desabilitada, você ainda receberá uma notificação por email se um PAT for vazado, mas ele não for revogado automaticamente.

Desativar a revogação automática de PATs vazadas

  1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

  2. Selecione ícone de engrenagemConfigurações da organização.

  3. Selecione Microsoft Entra, localize a política Revogar automaticamente tokens de acesso pessoal vazados e mova o interruptor para desativar.

A política está desabilitada e todos os PATs verificados em repositórios GitHub públicos permanecem ativos.

Usar a IA para gerenciar políticas de PAT

Se você tiver o Servidor Azure DevOps MCP configurado, poderá usar assistentes inteligentes para gerenciar e auditar políticas de tokens de acesso pessoais com comandos em linguagem natural. O servidor MCP fornece ao seu assistente de IA acesso seguro aos seus dados do Azure DevOps, permitindo que você verifique as configurações de política, liste os tokens e examine a atividade dos tokens PAT sem navegar pela interface da Web.

Sugestões de exemplo para gerenciar políticas de PAT

Tarefa Prompt de exemplo
Aplicar política de token de menores privilégios possíveis Restrict full-scoped PATs in <organization-name> and set the maximum lifetime to 90 days for all new tokens
Gerar um relatório de conformidade para token Show all PATs in <organization-name> that exceed the 90-day lifetime policy or have full access scope, grouped by user
Preparar-se para a migração de Identidade Gerenciada List all PATs in <organization-name> used for automated pipelines and suggest which ones could be replaced with managed identity or service principal authentication
Configurar PATs na lista de permitidos Configure the PAT policy for <organization-name> to allow only tokens with Code Read, Work Items Read, and Build Execute scopes
Monitorar violações de política Show me the audit log entries for PAT creation events in <organization-name> over the last 30 days that violated any active policy
Examinar padrões de uso de token For each user in <organization-name>, show the count of active PATs, their broadest scope, and when each was last used

Dica

Se você estiver usando Visual Studio Code, agent mode é especialmente útil para auditar o uso do PAT e identificar tokens que precisam de rotação ou revogação.

  • Para evitar o uso de dados obsoletos ou armazenados em cache de consultas anteriores, adicione ao prompt Do not use previously fetched data.

Próxima etapa

Alterar as políticas de acesso do aplicativo

Conteúdo relacionado

  • Last updated on