(Organization) Restrict Personal Access Token creation.

Чому це важливо

Особисті маркери доступу (PAT) забезпечують потужний метод автентифікації для Azure DevOps, який оминає звичайні інтерактивні процеси входу. Коли будь-який учасник організації може створювати PAT без обмежень, значно зростає ризик витоку облікових даних, бічного переміщення та несанкціонованого доступу до ваших конвеєрів CI/CD. Обмеження створення PAT лише тими, кому це дійсно необхідно, є ключовим елементом контролю безпеки для захисту вашої інфраструктури розробки.

Що перевіряє Aether365

Aether365 перевіряє, чи ваша організація Azure DevOps має політики, які обмежують коло користувачів, здатних створювати особисті маркери доступу. Ця перевірка відображається на панелі керування Aether365 у категорії microsoft-365 security.

Як виправити

Щоб обмежити створення PAT для вашої організації Azure DevOps:

1. Увійдіть до вашої організації Azure DevOps як адміністратор колекції проєктів.
2. Перейдіть до Organization Settings (значок шестірні в нижньому лівому куті).
3. У розділі Security виберіть Policies.
4. Знайдіть параметр "Allow public projects" і переконайтеся, що він вимкнений, якщо публічні проєкти не потрібні.
5. Для більш детального контролю перейдіть до Organization Settings, потім Security, а потім Permissions.
6. Знайдіть дозвіл "Create Personal Access Tokens" у списку дозволів безпеки.
7. Встановіть для цього дозволу значення "Deny" для груп або користувачів, яким не дозволено створювати PAT. Для груп, яким потрібне створення PAT, залиште значення "Allow" або "Not set".
8. Збережіть зміни та переконайтеся, що лише авторизовані користувачі зберегли можливість генерувати нові маркери.

Відповідність вимогам

• Цей елемент контролю узгоджується з найкращими практиками безпеки, але безпосередньо не прив'язаний до жодної конкретної рамки відповідності у вихідних даних.

Пов'язані ресурси

• У вихідних даних не вказано жодних ресурсів.