Freigeben über


Zuweisen von Zugriffsebenen mit Gruppenregeln

Azure DevOps Services

Azure DevOps bietet gruppenbasierte Zugriffsstufen für Microsoft Entra-Gruppen und Azure DevOps-Gruppen, sodass Sie Berechtigungen effizient verwalten können, indem Sie den gesamten Benutzergruppen Zugriffsebenen zuweisen. In diesem Artikel wird erläutert, wie Sie eine Gruppenregel hinzufügen, um einer Gruppe von Benutzern eine Zugriffsstufe zuzuweisen. Azure DevOps-Ressourcen werden allen Mitgliedern einer Gruppe zugewiesen.

Weisen Sie eine Gruppenregel zu, um Zugriffsebenen und Projektmitgliedschaften zu verwalten. Wenn ein Benutzer mehreren Regeln oder Microsoft Entra-Gruppen mit unterschiedlichen Zugriffsebenen zugewiesen wird, erhält er die höchste Zugriffsebene. Wenn John z. B. zwei Microsoft Entra-Gruppen mit unterschiedlichen Gruppenregeln zugewiesen ist – eine, die den Zugriff auf die Projektbeteiligten und den anderen Grundlegenden Zugriff angibt – erhält John den Standardzugriff.

Wenn ein Benutzer eine Microsoft Entra-Gruppe verlässt, passt Azure DevOps seine Zugriffsebene entsprechend den definierten Regeln der Gruppe an. Wenn die Gruppe die einzige Zugriffsquelle des Benutzers war, entfernt Azure DevOps sie automatisch aus der Organisation. Wenn der Benutzer zu anderen Gruppen gehört, werden seine Zugriffsebenen und Berechtigungen neu ausgewertet.

Hinweis

  • Änderungen, die an Projektlesern über Gruppenregeln vorgenommen wurden, bleiben nicht erhalten. Um Projektleser anzupassen, sollten Sie alternative Methoden wie direkte Zuweisung oder benutzerdefinierte Sicherheitsgruppen in Betracht ziehen.
  • Überprüfen Sie regelmäßig die regeln, die auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" aufgeführt sind. Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft werden in der nächsten Erneutbewertung der Gruppenregeln angezeigt, die bei Bedarf erfolgen können, wenn eine Gruppenregel geändert wird, oder automatisch alle 24 Stunden. Azure DevOps aktualisiert die Microsoft Entra-Gruppenmitgliedschaft jede Stunde, es kann jedoch bis zu 24 Stunden dauern, bis die Microsoft Entra-ID die dynamische Gruppenmitgliedschaft aktualisiert.

Voraussetzungen

Berechtigungen: Mitglied der Gruppe "Projektsammlungsadministratoren". Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe.

Hinzufügen einer Gruppenregel

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie zahnradsymbol Organisationseinstellungen.

    Screenshot der hervorgehobenen Schaltfläche

  3. Wählen Sie Berechtigungen aus, und überprüfen Sie dann, ob Sie Mitglied der Gruppe Projektsammlungsadministratoren sind.

    Screenshot der Gruppenmitglieder der Projektsammlungsadministratoren.

  4. Wählen Sie Benutzer und dann Gruppenregeln aus. In dieser Ansicht werden alle erstellten Gruppenregeln angezeigt. Wählen Sie Gruppenregel hinzufügen aus.

    Screenshot mit ausgewählter Schaltfläche

    Gruppenregeln werden nur angezeigt, wenn Sie Mitglied der Gruppe Projektsammlungsadministratoren sind.

  5. Schließen Sie das Dialogfeld für die Gruppe ab, für die Sie eine Regel erstellen möchten. Fügen Sie eine Zugriffsebene für die Gruppe und alle optionalen Projektzugriffe für die Gruppe ein. Wählen Sie Hinzufügen.

    Screenshot des Dialogfelds

    Es wird eine Benachrichtigung angezeigt, die den Status und das Ergebnis der Regel anzeigt. Wenn die Aufgabe nicht abgeschlossen werden konnte, wählen Sie "Status anzeigen" aus, um die Details anzuzeigen.

    Screenshot mit abgeschlossener Gruppenregel.

Wichtig

  • Gruppenregeln gelten nur für Benutzer ohne direkte Zuweisungen und für Benutzer, die der Gruppe in Zukunft hinzugefügt werden. Entfernen Sie direkte Zuweisungen , damit die Gruppenregeln für diese Benutzer gelten.
  • Benutzer werden erst dann in "Alle Benutzer " angezeigt, wenn sie versuchen, sich zum ersten Mal anzumelden.

Verwalten von Gruppenmitgliedern

  1. Wählen Sie Gruppenregeln>>Mitglieder verwalten aus. Der Screenshot zeigt die hervorgehobene Gruppenregel zum Verwalten von Mitgliedern.

    Behalten Sie die vorhandene Automatisierung zum Verwalten von Benutzerzugriffsebenen bei, die wie folgt ausgeführt werden (z. B. PowerShell-Skripts). Ziel ist es, sicherzustellen, dass die gleichen Ressourcen, die von der Automatisierung angewendet werden, für diese Benutzer genau widerzuspiegeln sind.

  2. Fügen Sie Mitglieder hinzu, und wählen Sie dann Hinzufügen aus.

    Screenshot des Hinzufügens eines Gruppenmitglieds.

    Wenn Sie einem Benutzer dieselbe Zugriffsebene zuweisen, verbraucht er nur eine Zugriffsebene, unabhängig davon, ob die Zuweisung direkt oder über eine Gruppe erfolgt.

Überprüfen der Gruppenregel

Stellen Sie sicher, dass die Ressourcen auf jede Gruppe und jeden einzelnen Benutzer angewendet werden. Wählen Sie Alle Benutzer aus, markieren Sie einen Benutzer, und wählen Sie dann Zusammenfassung aus.

Screenshot der Überprüfung der Benutzerzusammenfassung für Gruppenregel.

Entfernen von direkten Zuweisungen

Um die Ressourcen eines Benutzers ausschließlich über seine Gruppenmitgliedschaften zu verwalten, entfernen Sie alle direkten Zuweisungen. Ressourcen, die einem Benutzer zugewiesen sind, bleiben unabhängig von Änderungen an den Gruppenmitgliedschaften des Benutzers zugewiesen.

  1. Melden Sie sich bei Ihrem organization (https://dev.azure.com/{yourorganization}) an.

  2. Wählen Sie zahnradsymbol Organisationseinstellungen.

    Screenshot der hervorgehobenen Schaltfläche

  3. Wählen Sie Benutzer aus.

    Screenshot der ausgewählten Registerkarte

  4. Wählen Sie alle Benutzer mit Ressourcen für die Verwaltung nur nach Gruppen aus.

    Screenshot der ausgewählten Gruppenregeln für die Migration.

  5. Um zu bestätigen, dass Sie die direkten Zuweisungen entfernen möchten, wählen Sie Entfernen aus.

    Screenshot der Bestätigung für

    Direkte Zuordnungen werden von den Benutzern entfernt. Wenn ein Benutzer kein Mitglied einer Gruppe ist, ist der Benutzer nicht betroffen.

Häufig gestellte Fragen

F: Wie funktioniert Visual Studio-Abonnements mit Gruppenregeln?

A: Visual Studio-Abonnenten werden immer direkt über das Visual Studio-Verwaltungsportal zugewiesen und haben Vorrang in Azure DevOps über Zugriffsstufen, die direkt oder über Gruppenregeln zugewiesen wurden. Wenn Sie diese Benutzer über den Benutzerhub anzeigen, wird die Lizenzquelle immer als "Direkt" angezeigt. Die einzige Ausnahme sind Visual Studio Professional-Abonnenten, denen Basic + Testpläne zugewiesen sind. Da Basic + Testpläne mehr Zugriff in Azure DevOps bieten, hat sie Vorrang vor einem Visual Studio Professional-Abonnement.