在即将到来的新的一年里，我们将停用 Azure DevOps 中的全局个人访问令牌 (PAT) 类型。

全局 PAT 允许用户在所有可访问的组织中进行身份验证。虽然这感觉方便，但拥有广泛权限的单一凭据会带来集中的安全风险——尤其是在用户的访问范围扩大时。这种级别的特权会成为不良行为者的诱人目标，使得全局令牌不适合当今注重安全的环境。

为高影响凭据设置清晰的边界是防止大规模数据泄露的最有效方法之一。作为微软更广泛安全策略的一部分，我们正在弃用全局、全范围的 PAT，并强制执行组织级别的策略来限制令牌权限。我们强烈建议过渡到短期的、由 Microsoft Entra 支持的身份验证，它提供了现代的保护，例如改进的令牌治理、更强的身份控制和降低的凭据暴露风险。

这些变更反映了我们已经在微软和许多 Azure DevOps 客户中应用的实战经验，以改进安全状况。

关键日期

• 2026 年 3 月 15 日 – 将阻止创建新的全局 PAT 和重新生成现有的全局 PAT。
• 2026 年 12 月 1 日 – 所有现有的全局 PAT 将完全停用。在此日期之后，令牌将停止工作。

建议的操作

如果您当前有任何工作流依赖于全局 PAT，我们鼓励您立即开始规划过渡。选项包括：

• 将身份验证拆分到各个 Azure DevOps 组织，或
• 采用基于 Entra 的短期身份验证来替代 PAT。

拥有有效全局 PAT 的用户将通过电子邮件收到额外指导，以支持成功迁移。