Assegnare livelli di accesso con regole di gruppo
Servizi di Azure DevOps
Azure DevOps offre livelli di accesso basati su gruppo per i gruppi di Microsoft Entra e i gruppi di Azure DevOps, consentendo di gestire le autorizzazioni in modo efficiente assegnando livelli di accesso a interi gruppi di utenti. Questo articolo illustra come aggiungere una regola di gruppo per assegnare un livello di accesso a un gruppo di utenti. Le risorse di Azure DevOps vengono assegnate a tutti i membri di un gruppo.
Assegnare una regola di gruppo per gestire sia i livelli di accesso che le appartenenze ai progetti. Quando un utente viene assegnato a più regole o gruppi di Microsoft Entra con diversi livelli di accesso, riceve il livello di accesso più alto tra di essi. Ad esempio, se John viene assegnato a due gruppi di Microsoft Entra con regole di gruppo diverse, una che specifica l'accesso agli stakeholder e l'altro accesso basic, John riceve l'accesso di base.
Quando un utente lascia un gruppo Microsoft Entra, Azure DevOps regola il livello di accesso in base alle regole definite dal gruppo. Se il gruppo è l'unica origine di accesso dell'utente, Azure DevOps li rimuove automaticamente dall'organizzazione. Se l'utente appartiene ad altri gruppi, vengono rivalutate le autorizzazioni e il livello di accesso.
Nota
- Le modifiche apportate ai lettori del progetto tramite regole di gruppo non vengono mantenute. Per modificare i lettori del progetto, prendere in considerazione metodi alternativi, ad esempio l'assegnazione diretta o i gruppi di sicurezza personalizzati.
- Esaminare regolarmente le regole elencate nella scheda "Regole di gruppo" della pagina "Utenti". Le modifiche apportate all'appartenenza al gruppo Microsoft Entra ID verranno visualizzate nella successiva rivalutazione delle regole di gruppo, che possono essere eseguite su richiesta, quando una regola di gruppo viene modificata o automaticamente ogni 24 ore. Azure DevOps aggiorna l'appartenenza al gruppo Microsoft Entra ogni ora, ma potrebbero essere necessarie fino a 24 ore prima che Microsoft Entra ID aggiorni l'appartenenza dinamica al gruppo.
Prerequisiti
Autorizzazioni: essere un membro del gruppo Project Collection Administrators. I proprietari dell'organizzazione sono automaticamente membri di questo gruppo.
Aggiungere una regola di gruppo
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}
).Selezionare Impostazioni organizzazione.
Selezionare Autorizzazioni e quindi verificare di essere membri del gruppo Project Collection Administrators .
Selezionare Utenti e quindi Regole di gruppo. Questa visualizzazione mostra tutte le regole di gruppo create. Selezionare Aggiungi una regola di gruppo.
Le regole di gruppo vengono visualizzate solo se si è membri del gruppo Amministratori raccolta progetti.
Completare la finestra di dialogo per il gruppo per il quale si vuole creare una regola. Includere un livello di accesso per il gruppo e qualsiasi accesso facoltativo al progetto per il gruppo. Selezionare Aggiungi.
Viene visualizzata una notifica che mostra lo stato e il risultato della regola. Se non è stato possibile completare l'assegnazione, selezionare Visualizza stato per visualizzare i dettagli.
Importante
- Le regole di gruppo si applicano solo agli utenti senza assegnazioni dirette e agli utenti aggiunti al gruppo in futuro. Rimuovere le assegnazioni dirette in modo che le regole di gruppo si applichino a tali utenti.
- Gli utenti non vengono visualizzati in Tutti gli utenti finché non tentano di accedere per la prima volta.
Gestire i membri dei gruppi
Selezionare Regole>>di gruppo Gestisci membri.
Mantenere l'automazione esistente per la gestione dei livelli di accesso utente in esecuzione così com'è (ad esempio, script di PowerShell). L'obiettivo è garantire che le stesse risorse applicate dall'automazione vengano riflesse accuratamente per tali utenti.
Aggiungere membri e quindi selezionare Aggiungi.
Quando si assegna lo stesso livello di accesso a un utente, utilizza un solo livello di accesso, indipendentemente dal fatto che l'assegnazione venga eseguita direttamente o tramite un gruppo.
Verificare la regola di gruppo
Verificare che le risorse vengano applicate a ogni gruppo e singolo utente. Selezionare Tutti gli utenti, evidenziare un utente e quindi selezionare Riepilogo.
Rimuovere le assegnazioni dirette
Per gestire le risorse di un utente esclusivamente tramite le appartenenze ai gruppi, rimuovere eventuali assegnazioni dirette. Le risorse assegnate a un utente rimangono assegnate singolarmente, indipendentemente dalle modifiche apportate alle appartenenze ai gruppi dell'utente.
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}
).Selezionare Impostazioni organizzazione.
Seleziona Utenti.
Selezionare tutti gli utenti con risorse per la gestione solo per gruppi.
Per confermare che si desidera rimuovere le assegnazioni dirette, selezionare Rimuovi.
Le assegnazioni dirette vengono rimosse dagli utenti. Se un utente non è membro di alcun gruppo, l'utente non è interessato.
Domande frequenti
D: Come funziona Sottoscrizioni di Visual Studio con le regole di gruppo?
R: I Sottoscrittori di Visual Studio vengono sempre assegnati direttamente tramite il portale di amministrazione di Visual Studio e hanno la precedenza in Azure DevOps sui livelli di accesso assegnati direttamente o tramite regole di gruppo. Quando si visualizzano questi utenti dall'hub utenti, l'origine licenze viene sempre visualizzata come Direct. L'unica eccezione sono i sottoscrittori di Visual Studio Professional assegnati a Basic + Test Plans. Poiché Basic + Test Plans offre più accesso in Azure DevOps, ha la precedenza su una sottoscrizione di Visual Studio Professional.