次の方法で共有

グループ ルールを使用してアクセス レベルを割り当てる

  • [アーティクル]

Azure DevOps Services

Azure DevOps では、Microsoft Entra グループと Azure DevOps グループのグループベースのアクセス レベルが提供されます。 これらのグループを使用すると、ユーザーのグループ全体にアクセス レベルを割り当てることで、アクセス許可を効率的に管理できます。 この記事では、グループ ルールを追加して、そのユーザー グループにアクセス レベルを割り当てる方法について説明します。 Azure DevOps リソースは、グループのすべてのメンバーに割り当てられます。

アクセス レベルとプロジェクト メンバーシップの両方をサポートするグループ ルールを割り当てます。 ユーザーは、複数のルールまたは Microsoft Entra グループに割り当てられているときに最高のアクセス レベルを取得します。これは、さまざまなアクセス レベルを指定します。 たとえば、John が 2 つの Microsoft Entra グループと、利害関係者アクセスと他の基本アクセスを指定する 2 つの異なるグループ ルールに割り当てられている場合、John のアクセス レベルは Basic になります。

ユーザーが Microsoft Entra グループを離れると、Azure DevOps は、そのグループに対して定義されている規則に基づいてアクセス レベルを調整します。 ユーザーは Azure DevOps に残りますが、異なるアクセス許可またはアクセス権を持っている可能性があります。 ユーザーに割り当てられた最も高いアクセス レベルによって、最終的なアクセス許可が決まります。

Note

  • グループ ルールを通じてプロジェクト リーダーに加えられた変更は保持されません。 プロジェクト リーダーを調整する必要がある場合は、方向の割り当てカスタム セキュリティ グループなど、別の方法を検討
  • [ユーザー] ページの [グループ ルール] タブに表示されているルールを定期的に確認することをお勧めします。 Microsoft Entra ID グループ メンバーシップに変更が加えられた場合、これらの変更は、グループ ルールの次回の再評価に表示されます。この変更は、グループ ルールが変更されたとき、または 24 時間ごとに自動的に、オンデマンドで実行できます。 Azure DevOps は 1 時間ごとに Microsoft Entra グループ メンバーシップを更新しますが、Microsoft Entra ID が動的グループ メンバーシップ 更新されるまでに最大 24 時間かかる場合があります

前提条件

  • グループ ルールを管理するには、 Project コレクション管理者 グループのメンバーである必要があります。 メンバーでない場合は、として追加されます。

グループ ルールを追加する

  1. 組織にサインインします (https://dev.azure.com/{yourorganization})。

  2. [組織化の設定 歯車アイコン 選択

    強調表示された [組織の設定] ボタンを示すスクリーンショット。

  3. [ アクセス許可] を選択し、 自分がプロジェクト コレクション管理者 グループのメンバーであることを確認します。

    プロジェクト コレクション管理者グループ メンバーを示すスクリーンショット。

  4. [ ユーザー] を選択し、[ グループ ルール] を選択します。 このビューには、作成したすべてのグループ ルールが表示されます。 [ グループ ルールの追加] を選択します

    選択した [グループ ルールの追加] ボタンを示すスクリーンショット。

    グループ ルール は、 プロジェクト コレクション管理者 グループのメンバーである場合にのみ表示されます。

  5. ルールを作成するグループのダイアログ ボックスを完了します。 グループのアクセス レベルと、グループの任意のプロジェクト アクセスを含めます。 [追加] を選択します。

    [グループ ルールの追加] ダイアログを示すスクリーンショット。

    ルールの状態と結果を示す通知が表示されます。 割り当てを完了できなかった場合は、 [ビューの状態 を選択して詳細を表示します。

    グループ ルールが完了したことを示すスクリーンショット。

重要

  • グループ ルールは、直接割り当てのないユーザーと、今後グループに追加されたユーザーにのみ適用されます。 グループ ルールがそれらのユーザーに適用されるように、直接割り当てを削除します。
  • ユーザーは、初めてサインインを試みるまで、 すべてのユーザー に表示されません。

グループ メンバーの管理

  1. [グループ ルール>>] [メンバーの管理] の順に選択しますメンバーを管理するための強調表示されたグループ ルールを示すスクリーンショット。

    (PowerShell など) を実行しているユーザーのアクセス レベルを管理するための既存の自動化はそのままにします。 目標は、自動化がそれらのユーザーに適用しているのと同じリソースを反映することです。

  2. メンバーを追加し、[ 追加] を選択します。

    [グループ メンバーの追加] のスクリーンショット。

    ユーザーに同じアクセス レベルを割り当てると、ユーザーは 1 つのアクセス レベルのみを使用します。 ユーザーの割り当ては、直接とグループの両方で行うことができます。

グループルールを確認する

リソースが各グループと個々のユーザーに適用されていることを確認します。 [ すべてのユーザー] を選択し、ユーザーを強調表示して、[概要] を選択 します

グループ ルールのユーザー概要の検証を示すスクリーンショット。

直接割り当てを削除する

ユーザーが属しているグループによってのみユーザーのリソースを管理するには、直接割り当てを削除します。 個々の割り当てによってユーザーに割り当てられたリソースは、ユーザーに割り当てられたままです。 この割り当ては、リソースが割り当てられているか、ユーザーのグループから取り除かれたかに関係なく維持されます。

  1. 組織にサインインします (https://dev.azure.com/{yourorganization})。

  2. [組織化の設定 歯車アイコン 選択

    強調表示された [組織の設定] ボタンを示すスクリーンショット。

  3. [ユーザー] を選択します。

    選択した [ユーザー] タブを示すスクリーンショット。

  4. グループによる管理専用のリソースを持つすべてのユーザーを選択します。

    移行用に選択されたグループ ルールを示すスクリーンショット。

  5. 直接割り当てを削除することを確認するには、[削除] を選択 します

    [削除] の確認のスクリーンショット。

    直接割り当てはユーザーから削除されます。

    ユーザーがグループのメンバーでない場合、ユーザーは影響を受けません。

よく寄せられる質問

Q: Visual Studio サブスクリプショングループ ルールはどのように機能しますか?

A: Visual Studio サブスクライバーは常に Visual Studio 管理ポータルを介して直接割り当てられ 直接割り当てられたアクセス レベルまたはグループ ルールを介して Azure DevOps で優先されます。 ユーザー ハブからこれらのユーザーを表示すると、ライセンス ソースは常に Direct として表示されます。 唯一の例外は、Basic + Test Plans が割り当てられている Visual Studio Professional サブスクライバーです。 Basic + Test Plans は Azure DevOps でより多くのアクセスを提供するため、Visual Studio Professional サブスクリプションよりも優先されます。