グループ ルールを使用してアクセス レベルを割り当てる

  • [アーティクル]

Azure DevOps Services

Azure DevOps では、Microsoft Entra グループと Azure DevOps グループのグループベースのアクセス レベルが提供されます。 これらのグループを使用すると、ユーザーのグループ全体にアクセス レベルを割り当てることで、アクセス許可を効率的に管理できます。 この記事では、グループ ルールを追加して、そのユーザー グループにアクセス レベルを割り当てる方法について説明します。 Azure DevOps リソースは、グループのすべてのメンバーに割り当てられます。

アクセス レベルとプロジェクト メンバーシップの両方をサポートするグループ ルールを割り当てます。 ユーザーは、複数のルールまたは Microsoft Entra グループに割り当てられているときに最高のアクセス レベルを取得します。これは、さまざまなアクセス レベルを指定します。 たとえば、John が 2 つの Microsoft Entra グループと、利害関係者アクセスと他の基本アクセスを指定する 2 つの異なるグループ ルールに割り当てられている場合、John のアクセス レベルは Basic になります。

ユーザーが Microsoft Entra グループを離れると、Azure DevOps は、そのグループに対して定義されている規則に基づいてアクセス レベルを調整します。 ユーザーは Azure DevOps に再メインしますが、アクセス許可やアクセス権が異なる場合があります。 ユーザーに割り当てられた最も高いアクセス レベルによって、最終的なアクセス許可が決まります。

Note

  • グループ ルールを使用してプロジェクト リーダー加えられた変更は保持されません。 プロジェクト リーダーを調整する必要がある場合は、直接割り当てカスタム セキュリティ グループなどの別の方法を検討してください。
  • [ユーザー] ページの [グループ ルール] タブに表示されているルールを定期的に確認することをお勧めします。 Microsoft Entra ID グループ メンバーシップに変更が加えられた場合、これらの変更は、グループ ルールの次回の再評価に表示されます。この変更は、グループ ルールが変更されたとき、または 24 時間ごとに自動的に、オンデマンドで実行できます。 Azure DevOps は 1 時間ごとに Microsoft Entra グループ メンバーシップを更新しますが、Microsoft Entra ID が動的グループ メンバーシップを更新するまでに最大 24 時間かかる場合があります。

前提条件

  • グループ ルールを管理するには、Project Collection 管理istrators グループのメンバーである必要があります。 メンバーでない場合は、 1 つとして追加されます。

グループ ルールを追加する

  1. 組織にサインインします (https://dev.azure.com/{yourorganization})。

  2. gear icon[組織の設定] を選択します。

    Screenshot showing highlighted Organization settings button.

  3. [ アクセス許可] を選択し、 自分がプロジェクト コレクション管理者 グループのメンバーであることを確認します。

    Screenshot showing project collection administrators group members.

  4. [ ユーザー] を選択し、[ グループ ルール] を選択します。 このビューには、作成したすべてのグループ ルールが表示されます。 [ グループ ルールの追加] を選択します

    Screenshot showing selected Add a group rule button.

    グループ ルール は、 プロジェクト コレクション管理者 グループのメンバーである場合にのみ表示されます。

  5. ルールを作成するグループのダイアログ ボックスを完了します。 グループのアクセス レベルと、グループの任意のプロジェクト アクセスを含めます。 [追加] を選択します。

    Screenshot showing Add a group rule dialog.

    ルールの状態と結果を示す通知が表示されます。 割り当てを完了できなかった場合は、[状態の表示] を選択して詳細を表示します。

    Screenshot showing Group rule completed.

重要

  • グループ ルールは、直接割り当てのないユーザーと、今後グループに追加されたユーザーにのみ適用されます。 グループ ルールがそれらのユーザーに適用されるように、直接割り当てを削除します。
  • ユーザーは、初めてサインインを試みるまで、[すべてのユーザー] に表示されません。

グループ メンバーの管理

  1. [グループ ルール>>] [メンバーの管理] の順に選択しますScreenshot shows highlighted group rule for managing members.

    (PowerShell など) を実行しているユーザーのアクセス レベルを管理するための既存の自動化はそのままにします。 目標は、自動化がそれらのユーザーに適用しているのと同じリソースを反映することです。

  2. メンバーを追加し、[ 追加] を選択します。

    Screenshot of Adding a group member.

    ユーザーに同じアクセス レベルを割り当てると、ユーザーは 1 つのアクセス レベルのみを使用します。 ユーザーの割り当ては、直接とグループの両方で行うことができます。

グループルールを確認する

リソースが各グループと個々のユーザーに適用されていることを確認します。 [ すべてのユーザー] を選択し、ユーザーを強調表示して、[概要] を選択 します

Screenshot showing verification of user summary for group rule.

直接割り当てを削除する

ユーザーが属しているグループによってのみユーザーのリソースを管理するには、直接割り当てを削除します。 個々の割り当てによってユーザーに割り当てられたリソースは、ユーザーに割り当てられたままです。 この割り当ては、リソースが割り当てられているか、ユーザーのグループから取り除かれたかに関係なく維持されます。

  1. 組織にサインインします (https://dev.azure.com/{yourorganization})。

  2. gear icon[組織の設定] を選択します。

    Screenshot showing highlighted Organization settings button.

  3. [ユーザー] を選択します。

    Screenshot showing selected Users tab.

  4. グループによる管理専用のリソースを持つすべてのユーザーを選択します。

    Screenshot showing Selected group rules for migration.

  5. 直接割り当てを削除することを確認するには、[削除] を選択 します

    Screenshot of confirmation to Remove.

    直接割り当てはユーザーから削除されます。

    ユーザーがグループのメンバーでない場合、ユーザーは影響を受けません。

よく寄せられる質問

Q: Visual Studio サブスクリプショングループ ルールはどのように機能しますか?

A: Visual Studio サブスクライバーは、常に Visual Studio 管理 ポータルを介して直接割り当てられ、直接割り当てられたアクセス レベルまたはグループ ルールを介して Azure DevOps で優先されます。 ユーザー ハブからこれらのユーザーを表示すると、ライセンス ソースは常に Direct として表示されます。 唯一の例外は、Basic + Test Plans が割り当てられている Visual Studio Professional サブスクライバーです。 Basic + Test Plans は Azure DevOps でより多くのアクセスを提供するため、Visual Studio Professional サブスクリプションよりも優先されます。