Attribuer des niveaux d’accès avec des règles de groupe

  • Article

Azure DevOps Services

Azure DevOps fournit des niveaux d’accès basés sur un groupe pour les groupes Microsoft Entra et les groupes Azure DevOps. Ces groupes vous permettent de gérer efficacement les autorisations en affectant des niveaux d’accès à des groupes entiers d’utilisateurs. Dans cet article, découvrez comment ajouter une règle de groupe pour affecter un niveau d’accès à ce groupe d’utilisateurs. Les ressources Azure DevOps sont affectées à tous les membres d’un groupe.

Affectez des règles de groupe pour prendre en charge les niveaux d’accès et les appartenances aux projets. Les utilisateurs obtiennent le niveau d’accès le plus élevé lorsqu’ils sont affectés à plusieurs règles ou groupe Microsoft Entra, qui spécifient différents niveaux d’accès. Par exemple, si John est affecté à deux groupes Microsoft Entra et deux règles de groupe différentes qui spécifient l’accès des parties prenantes et l’autre accès de base, le niveau d’accès de John est De base.

Lorsque les utilisateurs quittent le groupe Microsoft Entra, Azure DevOps ajuste leur niveau d’accès en fonction des règles définies pour ce groupe. L’utilisateur reste dans Azure DevOps, mais peut avoir des autorisations ou des droits d’accès différents. Le niveau d’accès le plus élevé attribué à l’utilisateur détermine ses autorisations finales.

Remarque

  • Les modifications apportées aux lecteurs de projet par le biais de règles de groupe ne sont pas conservées. Si vous devez ajuster les lecteurs de projet, envisagez d’autres méthodes, telles que l’affectation directe ou les groupes de sécurité personnalisés.
  • Nous vous recommandons de consulter régulièrement les règles répertoriées sous l’onglet « Règles de groupe » de la page « Utilisateurs ». Si des modifications sont apportées à l’appartenance au groupe d’ID Microsoft Entra, ces modifications s’affichent dans la prochaine nouvelle évaluation des règles de groupe, qui peuvent être effectuées à la demande, lorsqu’une règle de groupe est modifiée ou automatiquement toutes les 24 heures. Azure DevOps met à jour l’appartenance au groupe Microsoft Entra toutes les heures, mais cela peut prendre jusqu’à 24 heures pour que l’ID Microsoft Entra met à jour l’appartenance à un groupe dynamique.

Prérequis

  • Pour gérer les règles de groupe, vous devez être membre du groupe collection de projets Administration istrators. Si vous n’êtes pas membre, ajoutez-en un.

Ajouter une règle de groupe

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez gear iconParamètres de l’organisation.

    Screenshot showing highlighted Organization settings button.

  3. Sélectionnez Autorisations, puis vérifiez que vous êtes membre du groupe Administrateurs de collection de projets.

    Screenshot showing project collection administrators group members.

  4. Sélectionnez Utilisateurs, puis Règles de groupe. Cette vue affiche toutes les règles de groupe que vous avez créées. Sélectionnez Ajouter une règle de groupe.

    Screenshot showing selected Add a group rule button.

    Les règles de groupe s’affichent uniquement si vous êtes membre du groupe Administrateurs de collection de projets.

  5. Terminez la boîte de dialogue du groupe pour lequel vous souhaitez créer une règle. Incluez un niveau d’accès pour le groupe et tout accès au projet facultatif pour le groupe. Sélectionnez Ajouter.

    Screenshot showing Add a group rule dialog.

    Une notification s’affiche, indiquant l’état et le résultat de la règle. Si l’affectation n’a pas pu être terminée, sélectionnez Afficher l’état pour afficher les détails.

    Screenshot showing Group rule completed.

Important

  • Les règles de groupe s’appliquent uniquement aux utilisateurs sans affectations directes et aux utilisateurs ajoutés au groupe à l’avenir. Supprimez les affectations directes afin que les règles de groupe s’appliquent à ces utilisateurs.
  • Les utilisateurs n’apparaissent pas dans tous les utilisateurs tant qu’ils n’ont pas tenté de se connecter pour la première fois.

Gérer les membres du groupe

  1. Sélectionnez Règles de groupe>>Gérer les membres. Screenshot shows highlighted group rule for managing members.

    Laissez l’automatisation existante pour la gestion des niveaux d’accès pour les utilisateurs qui s’exécutent en l’l’sorte (par exemple, PowerShell). L’objectif est de refléter les mêmes ressources que celles appliquées par l’automatisation à ces utilisateurs.

  2. Ajoutez des membres, puis sélectionnez Ajouter.

    Screenshot of Adding a group member.

    Lorsque vous attribuez le même niveau d’accès à un utilisateur, celui-ci ne consomme qu’un seul niveau d’accès. Les affectations d’utilisateurs peuvent être effectuées directement et par le biais d’un groupe.

Vérifier la règle de groupe

Vérifiez que les ressources sont appliquées à chaque groupe et utilisateur individuel. Sélectionnez Tous les utilisateurs, mettez en surbrillance un utilisateur, puis sélectionnez Résumé.

Screenshot showing verification of user summary for group rule.

Supprimer les affectations directes

Pour gérer les ressources d’un utilisateur uniquement par les groupes dans lesquels il se trouve, supprimez ses affectations directes. Les ressources attribuées à un utilisateur via une attribution individuelle restent attribuées à l’utilisateur. Cette affectation reste si les ressources sont affectées ou retirées des groupes de l’utilisateur.

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez gear iconParamètres de l’organisation.

    Screenshot showing highlighted Organization settings button.

  3. Sélectionnez Utilisateurs.

    Screenshot showing selected Users tab.

  4. Sélectionnez tous les utilisateurs disposant de ressources pour la gestion par groupes uniquement.

    Screenshot showing Selected group rules for migration.

  5. Pour confirmer que vous souhaitez supprimer les affectations directes, sélectionnez Supprimer.

    Screenshot of confirmation to Remove.

    Les affectations directes sont supprimées des utilisateurs.

    Si un utilisateur n’est membre d’aucun groupe, l’utilisateur n’est pas affecté.

FAQ

Q : Comment Abonnements Visual Studio utiliser des règles de groupe ?

R : Les abonnés Visual Studio sont toujours directement affectés via le portail Visual Studio Administration et sont prioritaires dans Azure DevOps sur les niveaux d’accès attribués directement ou via des règles de groupe. Lorsque vous affichez ces utilisateurs à partir du Hub Utilisateurs, la source de licence s’affiche toujours en tant que direct. La seule exception est les abonnés Visual Studio Professional qui ont reçu des plans de base + test. Étant donné que les plans de base + test fournissent un accès plus grand dans Azure DevOps, il est prioritaire sur un abonnement Visual Studio Professional.