Asignación de niveles de acceso con reglas de grupo

Azure DevOps Services

Azure DevOps proporciona niveles de acceso basados en grupos para grupos de Microsoft Entra y grupos de Azure DevOps, lo que le permite administrar los permisos de forma eficaz mediante la asignación de niveles de acceso a todos los grupos de usuarios. En este artículo se explica cómo agregar una regla de grupo para asignar un nivel de acceso a un grupo de usuarios. Los recursos de Azure DevOps se asignan a todos los miembros de un grupo.

Asigne una regla de grupo para administrar los niveles de acceso y las pertenencias a proyectos. Cuando un usuario se asigna a varias reglas o grupos de Microsoft Entra con distintos niveles de acceso, recibe el nivel de acceso más alto entre ellas. Por ejemplo, si John se asigna a dos grupos de Microsoft Entra con reglas de grupo diferentes (una que especifica el acceso de las partes interesadas y el otro acceso básico), John recibe acceso básico.

Cuando un usuario deja un grupo de Microsoft Entra, Azure DevOps ajusta su nivel de acceso según las reglas definidas del grupo. Si el grupo era el único origen de acceso del usuario, Azure DevOps los quita automáticamente de la organización. Si el usuario pertenece a otros grupos, se vuelven a evaluar el nivel de acceso y los permisos.

Nota:

• Los cambios realizados en los lectores del proyecto a través de reglas de grupo no se conservan. Para ajustar los lectores de proyectos, considere los métodos alternativos, como la asignación directa o los grupos de seguridad personalizados.
• Revise periódicamente las reglas enumeradas en la pestaña "Reglas de grupo" de la página "Usuarios". Los cambios en la pertenencia a grupos de id. de Microsoft Entra aparecerán en la siguiente nueva evaluación de las reglas de grupo, que se pueden realizar a petición, cuando se modifica una regla de grupo o automáticamente cada 24 horas. Azure DevOps actualiza la pertenencia a grupos de Microsoft Entra cada hora, pero puede tardar hasta 24 horas en actualizar la pertenencia dinámica a grupos.

Requisitos previos

Permisos: sea miembro del grupo Administradores de la colección de proyectos. Los propietarios de la organización son miembros automáticamente de este grupo.

Agregar regla de grupo

1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

2. Seleccione Configuración de organización.

   

3. Seleccione Permisos y compruebe que es miembro del grupo Administradores de la colección de proyectos.

   

4. Seleccione Usuarios y, a continuación, seleccione Reglas de grupo. Esta vista muestra todas las reglas de grupo creadas. Seleccione Agregar una regla de grupo.

   

   Las reglas de grupo solo aparecen si es miembro del grupo Administradores de la colección de proyectos.

5. Complete el cuadro de diálogo del grupo para el que desea crear una regla. Incluya un nivel de acceso para el grupo y cualquier acceso de proyecto opcional para el grupo. Seleccione Agregar.

   

   Se muestra una notificación que muestra el estado y el resultado de la regla. Si no se pudo completar la asignación, seleccione Ver estado para ver los detalles.

   

Importante

• Las reglas de grupo solo se aplican a los usuarios sin asignaciones directas y a los usuarios agregados al grupo en el futuro. Quite las asignaciones directas para que las reglas de grupo se apliquen a esos usuarios.
• Los usuarios no aparecen en Todos los usuarios hasta que intenten iniciar sesión por primera vez.

Administración de miembros del grupo

1. Seleccione Reglas de grupo>>Administrar miembros.

   Mantenga la automatización existente para administrar los niveles de acceso de usuario que se ejecutan tal como está (por ejemplo, scripts de PowerShell). El objetivo es asegurarse de que los mismos recursos aplicados por la automatización se reflejen con precisión para esos usuarios.

2. Agregue miembros y, a continuación, seleccione Agregar.

   

   Al asignar el mismo nivel de acceso a un usuario, solo consumen un nivel de acceso, independientemente de si la asignación se realiza directamente o a través de un grupo.

Comprobación de la regla de grupo

Compruebe que los recursos se aplican a cada grupo y usuario individual. Seleccione Todos los usuarios, resalte un usuario y, a continuación, seleccione Resumen.

Quitar asignaciones directas

Para administrar los recursos de un usuario únicamente a través de sus pertenencias a grupos, quite las asignaciones directas. Los recursos asignados a un usuario permanecen asignados individualmente, independientemente de los cambios en las pertenencias a grupos del usuario.

1. Inicie sesión en su organización (https://dev.azure.com/{yourorganization}).

2. Seleccione Configuración de organización.

   

3. Seleccione Usuarios.

   

4. Seleccione todos los usuarios con recursos solo para la administración por grupos.

   

5. Para confirmar que desea quitar las asignaciones directas, seleccione Quitar.

   

   Las asignaciones directas se quitan de los usuarios. Si un usuario no es miembro de ningún grupo, el usuario no se ve afectado.

Preguntas más frecuentes

P: ¿Cómo funciona Suscripciones de Visual Studio con reglas de grupo?

R: Los suscriptores de Visual Studio siempre se asignan directamente a través del Portal de administración de Visual Studio y tienen prioridad en Azure DevOps sobre los niveles de acceso asignados directamente o a través de reglas de grupo. Al ver estos usuarios desde el Centro de usuarios, el origen de licencia siempre se muestra como Directo. La única excepción son los suscriptores de Visual Studio Professional asignados a los planes básico y de prueba. Dado que Basic + Test Plans proporciona más acceso en Azure DevOps, tiene prioridad sobre una suscripción de Visual Studio Professional.

Artículos relacionados

• Instalación de usuarios o grupos de Active Directory y Microsoft Entra en un grupo de seguridad integrado
• Más información sobre el acceso a su organización con el identificador de Entra de Microsoft
• Administrar grupos de Microsoft Entra