如何在AzureDevOps组织中有效处理个人访问令牌？

语境：

我们正在使用 Azure DevOps，并且开始在我们的 DevOps 周期和流程中利用越来越多的 PAT。我们有大约 30 个用户，每个人在他们的个人帐户下为不同的用例创建了一堆用户。

以下是使用它们的一些场景： 

• 自托管代理配置（Windows 和 docker）


• Microsoft Teams 机器人的 API 调用


• 与 Azure DevOps 和其他系统的自制集成


• 等等。

基本上，我们开始放松对以下方面的控制：

 

• 创建了什么样的 PAT


• 在哪里使用 PAT


• 在 PAT 上定义了哪些范围

例如，我们有一些用户创建 PAT 来配置代理。他们将授予对此 PAT 的完全访问权限，而不是为其选择适当的范围。正如我们所知，最终用户并不真正关心安全性，我们知道我们需要教育我们的开发人员。但是，我们仍然希望有办法控制这些 PAT。

问题：

 

• 有没有办法在组织级别查看所有使用的 PAT？


• 是否可以消除特定用户创建 PAT 的可能性，而只将该功能提供给管理员用户？


• 是否可以撤销组织级别的所有 PAT？


• 您能否分享您如何在组织中有效处理 PAT 的经验和技巧，更具体地说是在安全方面？