グループ ルールを使用してアクセス レベルを割り当てる
Azure DevOps Services
Azure DevOps では、Microsoft Entra グループと Azure DevOps グループのグループベースのアクセス レベルが提供されます。 これらのグループを使用すると、ユーザーのグループ全体にアクセス レベルを割り当てることで、アクセス許可を効率的に管理できます。 この記事では、グループ ルールを追加して、そのユーザー グループにアクセス レベルを割り当てる方法について説明します。 Azure DevOps リソースは、グループのすべてのメンバーに割り当てられます。
アクセス レベルとプロジェクト メンバーシップの両方をサポートするグループ ルールを割り当てます。 ユーザーは、複数のルールまたは Microsoft Entra グループに割り当てられているときに最高のアクセス レベルを取得します。これは、さまざまなアクセス レベルを指定します。 たとえば、John が 2 つの Microsoft Entra グループと、利害関係者アクセスと他の基本アクセスを指定する 2 つの異なるグループ ルールに割り当てられている場合、John のアクセス レベルは Basic になります。
ユーザーが Microsoft Entra グループを離れると、Azure DevOps は、そのグループに対して定義されている規則に基づいてアクセス レベルを調整します。 ユーザーは Azure DevOps に再メインしますが、アクセス許可やアクセス権が異なる場合があります。 ユーザーに割り当てられた最も高いアクセス レベルによって、最終的なアクセス許可が決まります。
Note
- グループ ルールを使用してプロジェクト リーダーに加えられた変更は保持されません。 プロジェクト リーダーを調整する必要がある場合は、直接割り当てやカスタム セキュリティ グループなどの別の方法を検討してください。
- [ユーザー] ページの [グループ ルール] タブに表示されているルールを定期的に確認することをお勧めします。 Microsoft Entra ID グループ メンバーシップに変更が加えられた場合、これらの変更は、グループ ルールの次回の再評価に表示されます。この変更は、グループ ルールが変更されたとき、または 24 時間ごとに自動的に、オンデマンドで実行できます。 Azure DevOps は 1 時間ごとに Microsoft Entra グループ メンバーシップを更新しますが、Microsoft Entra ID が動的グループ メンバーシップを更新するまでに最大 24 時間かかる場合があります。
前提条件
- グループ ルールを管理するには、Project Collection 管理istrators グループのメンバーである必要があります。 メンバーでない場合は、 1 つとして追加されます。
グループ ルールを追加する
組織にサインインします (
https://dev.azure.com/{yourorganization}
)。[組織の設定] を選択します。
[ アクセス許可] を選択し、 自分がプロジェクト コレクション管理者 グループのメンバーであることを確認します。
[ ユーザー] を選択し、[ グループ ルール] を選択します。 このビューには、作成したすべてのグループ ルールが表示されます。 [ グループ ルールの追加] を選択します。
グループ ルール は、 プロジェクト コレクション管理者 グループのメンバーである場合にのみ表示されます。
ルールを作成するグループのダイアログ ボックスを完了します。 グループのアクセス レベルと、グループの任意のプロジェクト アクセスを含めます。 [追加] を選択します。
ルールの状態と結果を示す通知が表示されます。 割り当てを完了できなかった場合は、[状態の表示] を選択して詳細を表示します。
重要
- グループ ルールは、直接割り当てのないユーザーと、今後グループに追加されたユーザーにのみ適用されます。 グループ ルールがそれらのユーザーに適用されるように、直接割り当てを削除します。
- ユーザーは、初めてサインインを試みるまで、[すべてのユーザー] に表示されません。
グループ メンバーの管理
[グループ ルール>>] [メンバーの管理] の順に選択します。
(PowerShell など) を実行しているユーザーのアクセス レベルを管理するための既存の自動化はそのままにします。 目標は、自動化がそれらのユーザーに適用しているのと同じリソースを反映することです。
メンバーを追加し、[ 追加] を選択します。
ユーザーに同じアクセス レベルを割り当てると、ユーザーは 1 つのアクセス レベルのみを使用します。 ユーザーの割り当ては、直接とグループの両方で行うことができます。
グループルールを確認する
リソースが各グループと個々のユーザーに適用されていることを確認します。 [ すべてのユーザー] を選択し、ユーザーを強調表示して、[概要] を選択 します。
直接割り当てを削除する
ユーザーが属しているグループによってのみユーザーのリソースを管理するには、直接割り当てを削除します。 個々の割り当てによってユーザーに割り当てられたリソースは、ユーザーに割り当てられたままです。 この割り当ては、リソースが割り当てられているか、ユーザーのグループから取り除かれたかに関係なく維持されます。
組織にサインインします (
https://dev.azure.com/{yourorganization}
)。[組織の設定] を選択します。
[ユーザー] を選択します。
グループによる管理専用のリソースを持つすべてのユーザーを選択します。
直接割り当てを削除することを確認するには、[削除] を選択 します。
直接割り当てはユーザーから削除されます。
ユーザーがグループのメンバーでない場合、ユーザーは影響を受けません。
よく寄せられる質問
Q: Visual Studio サブスクリプショングループ ルールはどのように機能しますか?
A: Visual Studio サブスクライバーは、常に Visual Studio 管理 ポータルを介して直接割り当てられ、直接割り当てられたアクセス レベルまたはグループ ルールを介して Azure DevOps で優先されます。 ユーザー ハブからこれらのユーザーを表示すると、ライセンス ソースは常に Direct として表示されます。 唯一の例外は、Basic + Test Plans が割り当てられている Visual Studio Professional サブスクライバーです。 Basic + Test Plans は Azure DevOps でより多くのアクセスを提供するため、Visual Studio Professional サブスクリプションよりも優先されます。
関連記事
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示