Condividi tramite

Assegnare livelli di accesso con regole di gruppo

  • Articolo

Servizi di Azure DevOps

Azure DevOps offre livelli di accesso in base al gruppo per i gruppi di Microsoft Entra e i gruppi di Azure DevOps. Questi gruppi consentono di gestire le autorizzazioni in modo efficiente assegnando livelli di accesso a interi gruppi di utenti. Questo articolo illustra come aggiungere una regola di gruppo per assegnare un livello di accesso a tale gruppo di utenti. Le risorse di Azure DevOps vengono assegnate a tutti i membri di un gruppo.

Assegnare regole di gruppo per supportare sia i livelli di accesso che le appartenenze ai progetti. Gli utenti ottengono il livello di accesso più alto quando vengono assegnati a più regole o al gruppo Microsoft Entra, che specificano livelli di accesso diversi. Ad esempio, se John viene assegnato a due gruppi di Microsoft Entra e a due diverse regole di gruppo che specificano l'accesso agli stakeholder e l'altro accesso di base, il livello di accesso di John è Basic.

Quando gli utenti lasciano il gruppo Microsoft Entra, Azure DevOps regola il livello di accesso in base alle regole definite per tale gruppo. L'utente rimane in Azure DevOps, ma può avere autorizzazioni o diritti di accesso diversi. Il livello di accesso più alto assegnato all'utente determina le autorizzazioni finali.

Nota

  • Le modifiche apportate ai lettori del progetto tramite regole di gruppo non vengono mantenute. Se è necessario modificare i lettori del progetto, prendere in considerazione metodi alternativi, ad esempio l'assegnazione diretta o i gruppi di sicurezza personalizzati.
  • È consigliabile esaminare regolarmente le regole elencate nella scheda "Regole di gruppo" della pagina "Utenti". Se vengono apportate modifiche all'appartenenza al gruppo Microsoft Entra ID, queste modifiche vengono visualizzate nella successiva rivalutazione delle regole di gruppo, che possono essere eseguite su richiesta, quando una regola di gruppo viene modificata o automaticamente ogni 24 ore. Azure DevOps aggiorna l'appartenenza al gruppo Microsoft Entra ogni ora, ma potrebbero essere necessarie fino a 24 ore prima che Microsoft Entra ID aggiorni l'appartenenza dinamica al gruppo.

Prerequisiti

  • Per gestire le regole di gruppo, è necessario essere membri del gruppo di Amministrazione istrators della raccolta di progetti. Se non sei un membro, viene aggiunto come uno.

Aggiungere una regola di gruppo

  1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

  2. Seleziona gear iconImpostazioni organizzazione.

    Screenshot showing highlighted Organization settings button.

  3. Selezionare Autorizzazioni e quindi verificare di essere membri del gruppo Project Collection Amministrazione istrators.

    Screenshot showing project collection administrators group members.

  4. Selezionare Utenti e quindi Regole di gruppo. Questa visualizzazione mostra tutte le regole di gruppo create. Selezionare Aggiungi una regola di gruppo.

    Screenshot showing selected Add a group rule button.

    Le regole di gruppo vengono visualizzate solo se si è membri del gruppo Project Collection Amministrazione istrators.

  5. Completare la finestra di dialogo per il gruppo per il quale si vuole creare una regola. Includere un livello di accesso per il gruppo e qualsiasi accesso facoltativo al progetto per il gruppo. Selezionare Aggiungi.

    Screenshot showing Add a group rule dialog.

    Viene visualizzata una notifica che mostra lo stato e il risultato della regola. Se non è stato possibile completare l'assegnazione, selezionare Visualizza stato per visualizzare i dettagli.

    Screenshot showing Group rule completed.

Importante

  • Le regole di gruppo si applicano solo agli utenti senza assegnazioni dirette e agli utenti aggiunti al gruppo in futuro. Rimuovere le assegnazioni dirette in modo che le regole di gruppo si applichino a tali utenti.
  • Gli utenti non vengono visualizzati in Tutti gli utenti finché non tentano di accedere per la prima volta.

Gestire i membri dei gruppi

  1. Selezionare Regole>>di gruppo Gestisci membri. Screenshot shows highlighted group rule for managing members.

    Lasciare l'automazione esistente per la gestione dei livelli di accesso per gli utenti che eseguono così com'è ,ad esempio PowerShell. L'obiettivo è riflettere le stesse risorse applicate dall'automazione a tali utenti.

  2. Aggiungere membri e quindi selezionare Aggiungi.

    Screenshot of Adding a group member.

    Quando si assegna lo stesso livello di accesso a un utente, l'utente utilizza un solo livello di accesso. Le assegnazioni utente possono essere effettuate sia direttamente che tramite un gruppo.

Verificare la regola di gruppo

Verificare che le risorse vengano applicate a ogni gruppo e singolo utente. Selezionare Tutti gli utenti, evidenziare un utente e quindi selezionare Riepilogo.

Screenshot showing verification of user summary for group rule.

Rimuovere le assegnazioni dirette

Per gestire le risorse di un utente solo dai gruppi in cui si trovano, rimuovere le assegnazioni dirette. Le risorse assegnate a un utente tramite assegnazione singola rimangono assegnate all'utente. Questa assegnazione rimane indipendentemente dal fatto che le risorse vengano assegnate o sottratte ai gruppi dell'utente.

  1. Accedere all'organizzazione (https://dev.azure.com/{yourorganization}).

  2. Seleziona gear iconImpostazioni organizzazione.

    Screenshot showing highlighted Organization settings button.

  3. Seleziona Utenti.

    Screenshot showing selected Users tab.

  4. Selezionare tutti gli utenti con risorse per la gestione solo per gruppi.

    Screenshot showing Selected group rules for migration.

  5. Per confermare che si desidera rimuovere le assegnazioni dirette, selezionare Rimuovi.

    Screenshot of confirmation to Remove.

    Le assegnazioni dirette vengono rimosse dagli utenti.

    Se un utente non è membro di alcun gruppo, l'utente non è interessato.

Domande frequenti

D: Come funziona Sottoscrizioni di Visual Studio con le regole di gruppo?

R: I Sottoscrittori di Visual Studio vengono sempre assegnati direttamente tramite il portale di Visual Studio Amministrazione e hanno la precedenza in Azure DevOps sui livelli di accesso assegnati direttamente o tramite regole di gruppo. Quando si visualizzano questi utenti dall'hub utenti, l'origine licenze viene sempre visualizzata come Direct. L'unica eccezione sono i sottoscrittori di Visual Studio Professional assegnati a Basic + Test Plans. Poiché Basic + Test Plans offre più accesso in Azure DevOps, ha la precedenza su una sottoscrizione di Visual Studio Professional.