Zuweisen von Zugriffsebenen mit Gruppenregeln
Azure DevOps Services
Azure DevOps bietet gruppenbasierte Zugriffsebenen für Microsoft Entra-Gruppen und Azure DevOps-Gruppen. Mit diesen Gruppen können Sie Berechtigungen effizient verwalten, indem Sie den gesamten Benutzergruppen Zugriffsebenen zuweisen. In diesem Artikel erfahren Sie, wie Sie eine Gruppenregel hinzufügen, um dieser Gruppe von Benutzern eine Zugriffsstufe zuzuweisen. Azure DevOps-Ressourcen werden allen Mitgliedern einer Gruppe zugewiesen.
Weisen Sie eine Gruppenregel zu, um Zugriffsebenen und Projektmitgliedschaften zu verwalten. Wenn ein Benutzer mehreren Regeln oder Microsoft Entra-Gruppen mit unterschiedlichen Zugriffsebenen zugewiesen wird, erhält er die höchste Zugriffsebene. Wenn John z. B. zwei Microsoft Entra-Gruppen und zwei verschiedene Gruppenregeln zugewiesen ist, erhält john den Zugriff auf den Projektbeteiligten und den anderen Grundlegenden Zugriff.
Wenn ein Benutzer eine Microsoft Entra-Gruppe verlässt, passt Azure DevOps seine Zugriffsebene entsprechend den definierten Regeln der Gruppe an. Wenn die Gruppe die einzige Zugriffsquelle des Benutzers war, entfernt Azure DevOps sie automatisch aus der Organisation. Wenn der Benutzer zu anderen Gruppen gehört, werden seine Zugriffsebenen und Berechtigungen neu ausgewertet.
Hinweis
- Änderungen, die an Projektlesern über Gruppenregeln vorgenommen wurden, bleiben nicht erhalten. Wenn Sie Projektleser anpassen müssen, sollten Sie alternative Methoden wie direkte Zuweisung oder benutzerdefinierte Sicherheitsgruppen in Betracht ziehen.
- Es wird empfohlen, die Regeln, die auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" aufgeführt sind, regelmäßig zu überprüfen. Wenn Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft vorgenommen werden, werden diese Änderungen in der nächsten Erneutbewertung der Gruppenregeln angezeigt, die bei Bedarf durchgeführt werden können, wenn eine Gruppenregel geändert wird, oder automatisch alle 24 Stunden. Azure DevOps aktualisiert die Microsoft Entra-Gruppenmitgliedschaft jede Stunde, es kann jedoch bis zu 24 Stunden dauern, bis die Microsoft Entra-ID die dynamische Gruppenmitgliedschaft aktualisiert.
Voraussetzungen
Zum Verwalten von Gruppenregeln müssen Sie Mitglied der Gruppe "Projektsammlungsadministratoren " sein. Wenn Sie kein Mitglied sind, werden Sie als mitglied hinzugefügt.
Hinzufügen einer Gruppenregel
Melden Sie sich bei Ihrer Organisation an (
https://dev.azure.com/{yourorganization}).Wählen Sie
"Organisationseinstellungen" aus.
Wählen Sie Berechtigungen aus, und überprüfen Sie dann, ob Sie Mitglied der Gruppe Projektsammlungsadministratoren sind.
Wählen Sie Benutzer und dann Gruppenregeln aus. In dieser Ansicht werden alle erstellten Gruppenregeln angezeigt. Wählen Sie Gruppenregel hinzufügen aus.
Gruppenregeln werden nur angezeigt, wenn Sie Mitglied der Gruppe Projektsammlungsadministratoren sind.
Schließen Sie das Dialogfeld für die Gruppe ab, für die Sie eine Regel erstellen möchten. Fügen Sie eine Zugriffsebene für die Gruppe und alle optionalen Projektzugriffe für die Gruppe ein. Wählen Sie Hinzufügen.
Es wird eine Benachrichtigung angezeigt, die den Status und das Ergebnis der Regel anzeigt. Wenn die Aufgabe nicht abgeschlossen werden konnte, wählen Sie "Status anzeigen" aus, um die Details anzuzeigen.
Wichtig
- Gruppenregeln gelten nur für Benutzer ohne direkte Zuweisungen und für Benutzer, die der Gruppe in Zukunft hinzugefügt werden. Entfernen Sie direkte Zuweisungen , damit die Gruppenregeln für diese Benutzer gelten.
- Benutzer werden erst dann in "Alle Benutzer " angezeigt, wenn sie versuchen, sich zum ersten Mal anzumelden.
Verwalten von Gruppenmitgliedern
Wählen Sie Gruppenregeln>
>Mitglieder verwalten aus.
Behalten Sie die vorhandene Automatisierung für die Verwaltung von Zugriffsebenen für Benutzer bei, die unverändert ausgeführt werden (z. B. PowerShell). Das Ziel besteht darin, die gleichen Ressourcen widerzuspiegeln, die die Automatisierung für diese Benutzer anwendet.
Fügen Sie Mitglieder hinzu, und wählen Sie dann Hinzufügen aus.
Wenn Sie einem Benutzer dieselbe Zugriffsebene zuweisen, nutzt der Benutzer nur eine Zugriffsebene. Benutzerzuweisungen können sowohl direkt als auch über eine Gruppe vorgenommen werden.
Überprüfen der Gruppenregel
Stellen Sie sicher, dass die Ressourcen auf jede Gruppe und jeden einzelnen Benutzer angewendet werden. Wählen Sie Alle Benutzer aus, markieren Sie einen Benutzer, und wählen Sie dann Zusammenfassung aus.
Entfernen von direkten Zuweisungen
Um die Ressourcen eines Benutzers nur von den Gruppen zu verwalten, in denen er sich befindet, entfernen Sie die direkten Zuweisungen. Ressourcen, die einem Benutzer über eine einzelne Zuweisung zugewiesen werden, bleiben dem Benutzer zugewiesen. Diese Zuweisung bleibt unabhängig davon, ob die Ressourcen den Gruppen des Benutzers zugewiesen oder entfernt werden.
Melden Sie sich bei Ihrer Organisation an (
https://dev.azure.com/{yourorganization}).Wählen Sie
"Organisationseinstellungen" aus.Wählen Sie Benutzer aus.
Wählen Sie alle Benutzer mit Ressourcen für die Verwaltung nur nach Gruppen aus.
Um zu bestätigen, dass Sie die direkten Zuweisungen entfernen möchten, wählen Sie Entfernen aus.
Direkte Zuordnungen werden von den Benutzern entfernt.
Wenn ein Benutzer kein Mitglied einer Gruppe ist, ist der Benutzer nicht betroffen.
Häufig gestellte Fragen
F: Wie funktioniert Visual Studio-Abonnements mit Gruppenregeln?
A: Visual Studio-Abonnenten werden immer direkt über das Visual Studio-Verwaltungsportal zugewiesen und haben Vorrang in Azure DevOps über Zugriffsstufen, die direkt oder über Gruppenregeln zugewiesen wurden. Wenn Sie diese Benutzer über den Benutzerhub anzeigen, wird die Lizenzquelle immer als "Direkt" angezeigt. Die einzige Ausnahme sind Visual Studio Professional-Abonnenten, denen Basic + Testpläne zugewiesen sind. Da Basic + Testpläne mehr Zugriff in Azure DevOps bieten, hat sie Vorrang vor einem Visual Studio Professional-Abonnement.