Partage via

Attribuer des niveaux d’accès avec des règles de groupe

  • Article

Azure DevOps Services

Azure DevOps fournit des niveaux d’accès basés sur un groupe pour les groupes Microsoft Entra et les groupes Azure DevOps. Ces groupes vous permettent de gérer efficacement les autorisations en affectant des niveaux d’accès à des groupes entiers d’utilisateurs. Dans cet article, découvrez comment ajouter une règle de groupe pour affecter un niveau d’accès à ce groupe d’utilisateurs. Les ressources Azure DevOps sont affectées à tous les membres d’un groupe.

Affectez des règles de groupe pour prendre en charge les niveaux d’accès et les appartenances aux projets. Les utilisateurs obtiennent le niveau d’accès le plus élevé lorsqu’ils sont affectés à plusieurs règles ou groupe Microsoft Entra, qui spécifient différents niveaux d’accès. Par exemple, si John est affecté à deux groupes Microsoft Entra et deux règles de groupe différentes qui spécifient l’accès des parties prenantes et l’autre accès de base, le niveau d’accès de John est De base.

Lorsque les utilisateurs quittent le groupe Microsoft Entra, Azure DevOps ajuste leur niveau d’accès en fonction des règles définies pour ce groupe. L’utilisateur reste dans Azure DevOps, mais peut avoir des autorisations ou des droits d’accès différents. Le niveau d’accès le plus élevé attribué à l’utilisateur détermine ses autorisations finales.

Remarque

  • Les modifications apportées aux lecteurs de projet par le biais de règles de groupe ne sont pas conservées. Si vous devez ajuster les lecteurs de projet, envisagez d’autres méthodes, telles que l’affectation directe ou les groupes de sécurité personnalisés.
  • Nous vous recommandons de consulter régulièrement les règles répertoriées sous l’onglet « Règles de groupe » de la page « Utilisateurs ». Si des modifications sont apportées à l’appartenance au groupe d’ID Microsoft Entra, ces modifications s’affichent dans la prochaine nouvelle évaluation des règles de groupe, qui peuvent être effectuées à la demande, lorsqu’une règle de groupe est modifiée ou automatiquement toutes les 24 heures. Azure DevOps met à jour l’appartenance au groupe Microsoft Entra toutes les heures, mais cela peut prendre jusqu’à 24 heures pour que l’ID Microsoft Entra met à jour l’appartenance à un groupe dynamique.

Prérequis

  • Pour gérer les règles de groupe, vous devez être membre du groupe Administrateurs de collection de projets. Si vous n’êtes pas membre, ajoutez-en un.

Ajouter une règle de groupe

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant le bouton Paramètres de l’organisation en surbrillance.

  3. Sélectionnez Autorisations, puis vérifiez que vous êtes membre du groupe Administrateurs de collection de projets.

    Capture d’écran montrant les membres du groupe Administrateurs de regroupement de projets.

  4. Sélectionnez Utilisateurs, puis Règles de groupe. Cette vue affiche toutes les règles de groupe que vous avez créées. Sélectionnez Ajouter une règle de groupe.

    Capture d’écran montrant le bouton Ajouter une règle de groupe sélectionné.

    Les règles de groupe s’affichent uniquement si vous êtes membre du groupe Administrateurs de collection de projets.

  5. Terminez la boîte de dialogue du groupe pour lequel vous souhaitez créer une règle. Incluez un niveau d’accès pour le groupe et tout accès au projet facultatif pour le groupe. Sélectionnez Ajouter.

    Capture d’écran montrant la boîte de dialogue Ajouter une règle de groupe.

    Une notification s’affiche, indiquant l’état et le résultat de la règle. Si l’affectation n’a pas pu être terminée, sélectionnez Afficher l’état pour afficher les détails.

    Capture d’écran montrant la règle de groupe terminée.

Important

  • Les règles de groupe s’appliquent uniquement aux utilisateurs sans affectations directes et aux utilisateurs ajoutés au groupe à l’avenir. Supprimez les affectations directes afin que les règles de groupe s’appliquent à ces utilisateurs.
  • Les utilisateurs n’apparaissent pas dans tous les utilisateurs tant qu’ils n’ont pas tenté de se connecter pour la première fois.

Gérer les membres du groupe

  1. Sélectionnez Règles de groupe>>Gérer les membres. Capture d’écran montrant la règle de groupe mise en surbrillance pour la gestion des membres.

    Laissez l’automatisation existante pour la gestion des niveaux d’accès pour les utilisateurs qui s’exécutent en l’l’sorte (par exemple, PowerShell). L’objectif est de refléter les mêmes ressources que celles appliquées par l’automatisation à ces utilisateurs.

  2. Ajoutez des membres, puis sélectionnez Ajouter.

    Capture d’écran de l’ajout d’un membre de groupe.

    Lorsque vous attribuez le même niveau d’accès à un utilisateur, celui-ci ne consomme qu’un seul niveau d’accès. Les affectations d’utilisateurs peuvent être effectuées directement et par le biais d’un groupe.

Vérifier la règle de groupe

Vérifiez que les ressources sont appliquées à chaque groupe et utilisateur individuel. Sélectionnez Tous les utilisateurs, mettez en surbrillance un utilisateur, puis sélectionnez Résumé.

Capture d’écran montrant la vérification du résumé de l’utilisateur pour la règle de groupe.

Supprimer les affectations directes

Pour gérer les ressources d’un utilisateur uniquement par les groupes dans lesquels il se trouve, supprimez ses affectations directes. Les ressources attribuées à un utilisateur via une attribution individuelle restent attribuées à l’utilisateur. Cette affectation reste si les ressources sont affectées ou retirées des groupes de l’utilisateur.

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant le bouton Paramètres de l’organisation en surbrillance.

  3. Sélectionnez Utilisateurs.

    Capture d’écran montrant l’onglet Utilisateurs sélectionné.

  4. Sélectionnez tous les utilisateurs disposant de ressources pour la gestion par groupes uniquement.

    Capture d’écran montrant les règles de groupe sélectionnées pour la migration.

  5. Pour confirmer que vous souhaitez supprimer les affectations directes, sélectionnez Supprimer.

    Capture d’écran de la confirmation de la suppression.

    Les affectations directes sont supprimées des utilisateurs.

    Si un utilisateur n’est membre d’aucun groupe, l’utilisateur n’est pas affecté.

FAQ

Q : Comment Abonnements Visual Studio utiliser des règles de groupe ?

R : Les abonnés Visual Studio sont toujours directement affectés via le portail d’administration Visual Studio et sont prioritaires dans Azure DevOps sur les niveaux d’accès attribués directement ou via des règles de groupe. Lorsque vous affichez ces utilisateurs à partir du Hub Utilisateurs, la source de licence s’affiche toujours en tant que direct. La seule exception est les abonnés Visual Studio Professional qui ont reçu des plans de base + test. Étant donné que les plans de base + test fournissent un accès plus grand dans Azure DevOps, il est prioritaire sur un abonnement Visual Studio Professional.