Assegnare livelli di accesso con regole di gruppo
Servizi di Azure DevOps
Azure DevOps offre livelli di accesso in base al gruppo per i gruppi di Microsoft Entra e i gruppi di Azure DevOps. Questi gruppi consentono di gestire le autorizzazioni in modo efficiente assegnando livelli di accesso a interi gruppi di utenti. Questo articolo illustra come aggiungere una regola di gruppo per assegnare un livello di accesso a tale gruppo di utenti. Le risorse di Azure DevOps vengono assegnate a tutti i membri di un gruppo.
Assegnare una regola di gruppo per gestire sia i livelli di accesso che le appartenenze ai progetti. Quando un utente viene assegnato a più regole o gruppi di Microsoft Entra con diversi livelli di accesso, riceve il livello di accesso più alto tra di essi. Ad esempio, se John viene assegnato a due gruppi di Microsoft Entra e a due regole di gruppo diverse, uno che specifica l'accesso degli stakeholder e l'altro accesso di base, John riceve l'accesso di base.
Quando un utente lascia un gruppo Microsoft Entra, Azure DevOps regola il livello di accesso in base alle regole definite dal gruppo. Se il gruppo è l'unica origine di accesso dell'utente, Azure DevOps li rimuove automaticamente dall'organizzazione. Se l'utente appartiene ad altri gruppi, vengono rivalutate le autorizzazioni e il livello di accesso.
Nota
- Le modifiche apportate ai lettori del progetto tramite regole di gruppo non vengono mantenute. Se è necessario modificare i lettori del progetto, prendere in considerazione metodi alternativi, ad esempio l'assegnazione diretta o i gruppi di sicurezza personalizzati.
- È consigliabile esaminare regolarmente le regole elencate nella scheda "Regole di gruppo" della pagina "Utenti". Se vengono apportate modifiche all'appartenenza al gruppo Microsoft Entra ID, queste modifiche vengono visualizzate nella successiva rivalutazione delle regole di gruppo, che possono essere eseguite su richiesta, quando una regola di gruppo viene modificata o automaticamente ogni 24 ore. Azure DevOps aggiorna l'appartenenza al gruppo Microsoft Entra ogni ora, ma potrebbero essere necessarie fino a 24 ore prima che Microsoft Entra ID aggiorni l'appartenenza dinamica al gruppo.
Prerequisiti
Per gestire le regole di gruppo, è necessario essere membri del gruppo Amministratori raccolta progetti. Se non sei un membro, viene aggiunto come uno.
Aggiungere una regola di gruppo
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}
).Selezionare Impostazioni organizzazione.
Selezionare Autorizzazioni e quindi verificare di essere membri del gruppo Project Collection Administrators .
Selezionare Utenti e quindi Regole di gruppo. Questa visualizzazione mostra tutte le regole di gruppo create. Selezionare Aggiungi una regola di gruppo.
Le regole di gruppo vengono visualizzate solo se si è membri del gruppo Amministratori raccolta progetti.
Completare la finestra di dialogo per il gruppo per il quale si vuole creare una regola. Includere un livello di accesso per il gruppo e qualsiasi accesso facoltativo al progetto per il gruppo. Selezionare Aggiungi.
Viene visualizzata una notifica che mostra lo stato e il risultato della regola. Se non è stato possibile completare l'assegnazione, selezionare Visualizza stato per visualizzare i dettagli.
Importante
- Le regole di gruppo si applicano solo agli utenti senza assegnazioni dirette e agli utenti aggiunti al gruppo in futuro. Rimuovere le assegnazioni dirette in modo che le regole di gruppo si applichino a tali utenti.
- Gli utenti non vengono visualizzati in Tutti gli utenti finché non tentano di accedere per la prima volta.
Gestire i membri dei gruppi
Selezionare Regole>>di gruppo Gestisci membri.
Lasciare l'automazione esistente per la gestione dei livelli di accesso per gli utenti che eseguono così com'è ,ad esempio PowerShell. L'obiettivo è riflettere le stesse risorse applicate dall'automazione a tali utenti.
Aggiungere membri e quindi selezionare Aggiungi.
Quando si assegna lo stesso livello di accesso a un utente, l'utente utilizza un solo livello di accesso. Le assegnazioni utente possono essere effettuate sia direttamente che tramite un gruppo.
Verificare la regola di gruppo
Verificare che le risorse vengano applicate a ogni gruppo e singolo utente. Selezionare Tutti gli utenti, evidenziare un utente e quindi selezionare Riepilogo.
Rimuovere le assegnazioni dirette
Per gestire le risorse di un utente solo dai gruppi in cui si trovano, rimuovere le assegnazioni dirette. Le risorse assegnate a un utente tramite assegnazione singola rimangono assegnate all'utente. Questa assegnazione rimane indipendentemente dal fatto che le risorse vengano assegnate o sottratte ai gruppi dell'utente.
Accedere all'organizzazione (
https://dev.azure.com/{yourorganization}
).Selezionare Impostazioni organizzazione.
Seleziona Utenti.
Selezionare tutti gli utenti con risorse per la gestione solo per gruppi.
Per confermare che si desidera rimuovere le assegnazioni dirette, selezionare Rimuovi.
Le assegnazioni dirette vengono rimosse dagli utenti.
Se un utente non è membro di alcun gruppo, l'utente non è interessato.
Domande frequenti
D: Come funziona Sottoscrizioni di Visual Studio con le regole di gruppo?
R: I Sottoscrittori di Visual Studio vengono sempre assegnati direttamente tramite il portale di amministrazione di Visual Studio e hanno la precedenza in Azure DevOps sui livelli di accesso assegnati direttamente o tramite regole di gruppo. Quando si visualizzano questi utenti dall'hub utenti, l'origine licenze viene sempre visualizzata come Direct. L'unica eccezione sono i sottoscrittori di Visual Studio Professional assegnati a Basic + Test Plans. Poiché Basic + Test Plans offre più accesso in Azure DevOps, ha la precedenza su una sottoscrizione di Visual Studio Professional.