Enterprise 内の個人用アクセストークンに対するポリシーの適用

Note

Fine-grained personal access token は現在パブリックプレビュー段階にあり、変更される可能性があります。フィードバックを残すには、フィードバックのディスカッションに関するページを参照してください。

パブリックプレビューの間、企業は fine-grained personal access tokens にオプトインする必要があります。 Enterprise がまだオプトインしていない場合は、次の手順のようにすると、オプトインとポリシーの設定のダイアログが表示されます。

企業が fine-grained personal access tokens にオプトインしていない場合でも、企業が所有する組織はオプトインできます。 Enterprise Managed Users を含むすべてのユーザーは、企業の fine-grained personal access tokens に対するオプトイン状態にかかわらず、ユーザーが所有するリソース (自分のアカウントで作成されたリポジトリなど) にアクセスできる fine-grained personal access tokens を作成できます。

personal access tokens によるアクセスの制限

企業所有者は、企業のメンバーがpersonal access tokensを使用して、企業が所有するリソースにアクセスできないようにすることができます。次のオプションを使用して、personal access tokens (classic) と fine-grained personal access tokens に対して、これらの制限を個別に構成できます。

組織によるアクセス要件の構成を許可する: 企業が所有する各組織は、personal access tokens で、アクセスを制限するか許可するかを決定できます。
personal access tokens を介したアクセスを制限する: Personal access tokens は、企業が所有する組織にアクセスできません。 personal access tokens によって作成された SSH キーは、引き続き機能します。 Organization は、この設定をオーバーライドできません。
personal access tokens を介したアクセスを許可する: Personal access tokens は、企業が所有する組織にアクセスできます。 Organization は、この設定をオーバーライドできません。

選択したポリシーに関係なく、Personal access tokens は、企業が管理する組織内のパブリックリソースにアクセスできます。

GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。
ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。
ポリシーの下で、 Personal access tokens をクリックします。
トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
Fine-grained personal access tokens または組織へのアクセスからpersonal access tokens (classic)を制限するで、アクセスポリシーを選択します。
[保存] をクリックします。

personal access tokens の最長有効期間ポリシーを適用する

企業所有者は、fine-grained personal access tokens と personal access tokens (classic) の両方の有効期間の上限を設定および削除して、企業リソースを保護するのを支援できます。企業内の組織の所有者は、組織の有効期間ポリシーをさらに制限できます。「personal access tokensの最長有効期間ポリシーの適用」を参照してください。

fine-grained personal access tokens の場合、組織と企業の既定の最長有効期間ポリシーは、366 日以内に期限切れに設定されます。 Personal access tokens (classic) には、有効期限の要件がありません。

ポリシー実施の詳細

Enterprise Managed Users の場合、企業がユーザーアカウントを所有しているため、企業レベルのポリシーは、ユーザー名前空間にも適用されます。

最長有効期間に関するポリシーは、fine-grained personal access tokens と personal access tokens (classic) に対して、若干異なる方法で適用されます。 tokens (classic) の場合、トークンが使用され、SSO 資格情報の承認が試行されたときに実施が発生し、エラーによってユーザーに有効期間の調整が求められます。 fine-grained personal access tokens の場合、ターゲット組織はトークンの作成時に認識されます。どちらの場合も、現在のトークンがポリシーの制限を超えた場合、準拠している有効期間でトークンを再生成するように求められます。

ポリシーを設定すると、準拠していない有効期間のトークンは、そのトークンが組織のメンバーに属している場合、組織へのアクセスがブロックされます。このポリシーを設定しても、これらのトークンの取り消しも無効化も行われません。ユーザーは、組織の API 呼び出しが拒否されたときに、既存のトークンが非準拠であることが分かります。

最長有効期間ポリシーの設定

GitHub の右上の自分のプロフィール写真をクリックし、[自分の Enterprise] をクリックします。
Enterpriseのリストで、表示したいEnterpriseをクリックしてください。1. ページの左側にある Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。、次に Personal access token をクリックします。
トークンの種類に基づいてこのポリシーを適用するには、粒度の細かいトークン または トークン (クラシック) タブを選択します。
personal access tokensの最長有効期間の設定で、最長有効期間を設定します。トークンは、この日数以下の有効期間で作成する必要があります。
必要に応じて、このポリシーから企業管理者を除外するには、管理者の除外チェックボックスをオンにします。ユーザープロビジョニングに SCIM を使用する場合か、まだ GitHub App に移行していない自動化がある場合は、このポリシーから除外する必要があります。

Warning

Enterprise Managed Users を使用する場合は、企業管理者を除外しない限り、サービス中断のリスクを受け入れるように求められます。これにより、潜在的なリスクを確実に把握できます。
[保存] をクリックします。

fine-grained personal access tokens の承認ポリシーを適用する

企業所有者は、次のオプションを使用して、各 fine-grained personal access token の承認要件を管理できます。

組織が承認要件を構成できるようにする: 企業所有者は、企業内の各組織がトークンに対して独自の承認要件を設定することを許可できます。
商人要件：企業所有者は、企業内のすべての組織が、組織にアクセスできる各fine-grained personal access token を承認する必要があることを要求できます。これらのトークンは、承認を必要とせずに、組織内のパブリックリソースを読み取ることができます。
承認を無効にする：Organization のメンバーによって作成された Fine-grained personal access token は、事前の承認なしに Enterprise が所有する Organization にアクセスできます。 Organization は、この設定をオーバーライドできません。