セキュリティグループの追加と管理
Azure DevOps Services
「アクセス許可、アクセス、セキュリティ グループの概要」の説明に 従って、セキュリティ グループを使用してアクセス許可とアクセスを管理します。 たとえば、共同作成者グループまたは Project 管理istrators グループのメンバーには、それらのグループに許可されているアクセス許可が割り当てられます。
Azure DevOps では、デフォルトのセキュリティ グループが事前に構成されています。 az devops セキュリティ グループ コマンドを使用して、組織またはプロジェクトのセキュリティ グループを追加および管理できます。 このコマンドを使用して、次のタスクを実行します。
- 新しいセキュリティ グループを作成する
- セキュリティ グループとセキュリティ グループの詳細を表示する
- セキュリティ グループを更新または削除する
- グループとユーザーのセキュリティ グループ メンバーシップを管理する
Note
この記事は、Azure DevOps Services にのみ適用されます。 Azure DevOps Server の場合は、TFSSecurity コマンドを使用してセキュリティ グループを管理できます。
前提条件
- セキュリティ グループを追加および管理するには、Project Collection 管理istrators セキュリティ グループのメンバーである必要があります。
- 「Azure DevOps CLI の概要」の説明に従って、Azure DevOps CLI 拡張機能をインストールしている必要があります。
az loginを使用して、Azure DevOps にサインインします。- この記事の例では、既定の組織を次
az devops configure --defaults organization=YourOrganizationURLのように設定します。
セキュリティ グループのコマンド
| コマンド | 説明 |
|---|---|
az devops security group create |
Azure DevOps セキュリティ グループを作成します。 |
az devops security group delete |
Azure DevOps セキュリティ グループを削除します。 |
az devops security group list |
プロジェクトまたは組織内のすべてのグループを一覧表示します。 |
az devops security group show |
グループの詳細を表示します。 |
az devops security group update |
セキュリティ グループの名前と説明を更新します。 |
az devops security group membership add |
セキュリティ グループにメンバーを追加します。 |
az devops security group membership list |
グループまたはユーザーのメンバーシップを一覧表示します。 |
az devops security group membership remove |
セキュリティ グループからメンバーを削除します。 |
次のパラメーターは、すべてのコマンドで省略可能であり、この記事の例には記載されていません。
- detect: 組織を自動的に検出します。 受け入れ可能な値: false、true。 既定値は True です。
- org: Azure DevOps 組織の URL。 az devops configure -d organization=ORG_URL を使って既定の組織を構成できます。 既定として構成されていない場合、または git config を使って取得されていない場合は必須です (例:
--org https://dev.azure.com/MyOrganizationName/)。
セキュリティ グループの作成
az devops security group create コマンドを使用して 、セキュリティ グループを作成 できます。
az devops security group create [--description]
[--email-id]
[--groups]
[--name]
[--origin-id]
[--project]
[--scope {organization, project}]
オプション パラメーター
- description: 新しいセキュリティ グループの説明。
- email-id: Microsoft Entra でサポートされているプロバイダーの既存のグループへの参照として、メール アドレスを使用して新しいグループを作成します。 name または origin-id が見つからない場合は必須です。
- groups: 新しく作成したグループを結合するグループを参照する記述子のコンマ区切りのリスト。
- name: 新しいセキュリティ グループの名前。 origin-id または email-id が見つからない場合は必須です。
- origin-id: Microsoft Entra でサポートされているプロバイダーの既存のグループへの参照として OriginID を使用して新しいグループを作成します。 名前または電子メール ID がない場合は必須です。
- プロジェクト: グループを作成するプロジェクトの名前または ID。
- scope: プロジェクトまたは組織レベルでグループを作成します。 指定できる値は、 組織 と プロジェクト (既定値) です。
例
次のコマンドは、MyFirstProject プロジェクトにアカウント管理セキュリティ グループを作成し、結果をテーブル形式で表示します。
az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table
Name Description
----------------------------------- ---------------------------------------------------------------------
[MyFirstProject]\Account Management Management team focused on creating and maintaining customer services
セキュリティ グループを削除する
az devops security group delete コマンドを使用して 、セキュリティ グループを削除 できます。
az devops security group delete --id
[--yes]
パラメーター
- id: 必須。 セキュリティ グループ記述子。 記述子を取得するには、az devops セキュリティ グループ リスト コマンドを使用します。
- yes: 省略可能。 確認を求めるプロンプトを表示しません。
例
次のコマンドは、指定された記述子を持つセキュリティ グループを削除し、確認を求めるメッセージを表示しません。
az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes
セキュリティ グループを一覧表示する
az devops security group list コマンドを使用して、プロジェクトまたは組織内のすべてのセキュリティ グループを 一覧表示 できます。
az devops security group list [--continuation-token]
[--project]
[--scope {organization, project}]
[--subject-types]
オプション パラメーター
- continuation-token: 1 つのページで返されない結果がさらに存在する場合、結果セットには、次の結果セットを取得するための継続トークンが含まれます。
- プロジェクト: 特定のプロジェクトのグループを一覧表示します。
- scope: プロジェクトまたは組織レベルでグループを一覧表示します。 指定できる値は、 組織 と プロジェクト (既定値) です。
- subject-types: 取得した結果を減らすためのユーザーサブジェクトサブタイプのコンマ区切りのリスト。 記述子の最初の部分 (ドットの前) をフィルター (vssgp、aadgp など) として指定できます。
例
次のコマンドは、MyFirstProject のすべてのセキュリティ グループの名前と記述子を一覧表示し、結果をテーブル形式で表示します。
az devops security group list --project MyFirstProject --output table
Name Descriptor
--------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ
セキュリティ グループの詳細を表示する
az devops security group show コマンドを使用して、セキュリティ グループの 詳細を表示 できます。
az devops security group show --id
パラメーター
- id: 必須。 セキュリティ グループ記述子。
例
次のコマンドは、Project Valid Users セキュリティ グループの詳細を表形式で示しています。
az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table
Name Description
------------------------------------ ------------------------------------------------------
[MyFirstProject]\Project Valid Users Members of this group have access to the team project.
セキュリティ グループを更新する
az devops セキュリティ グループの更新コマンドを使用して、セキュリティ グループの 名前と説明を更新 できます。
az devops security group update --id
[--description]
[--name]
パラメーター
- id: 必須。 セキュリティ グループ記述子。
- description: 省略可能。 セキュリティ グループの新しい説明。 名前が見つからない場合は必須です。
- name: 省略可能。 セキュリティ グループの新しい名前。 説明がない場合は必須。
例
次のコマンドは、指定された記述子を持つセキュリティ グループの名前を変更し、結果を YAML 形式で表示します。
az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml
description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
グループにメンバーを追加する
az devops security group membership add コマンドを使用して、セキュリティ グループに メンバーを追加 できます。
az devops security group membership add --group-id
--member-id
パラメーター
- group-id: 必須。 メンバーを追加するグループの記述子。
- member-id: 必須。 追加するユーザーのグループまたは電子メール アドレスの記述子。
例
次のコマンドは、指定したセキュリティ グループにユーザー contoso@contoso.com を追加し、結果をテーブル形式で表示します。
az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table
Name Type Email
----------------------------------- ------ -------------------
[MyFirstProject]\Account Management group
contoso@contoso.com user contoso@contoso.com
グループまたはユーザーのメンバーシップを一覧表示する
az devops security group membership list コマンドを使用して、グループまたはユーザーの メンバーシップを一覧表示 できます。
az devops security group membership list --id
[--relationship {memberof, members}]
パラメーター
- id: 必須。 メンバーシップの詳細が必要なセキュリティ グループ記述子またはユーザーの電子メール アドレス。
- relationship: 省略可能。 グループのメンバー情報またはメンバー情報を取得します。 受け入れられる値は memberof とメンバーです。
例
次のコマンドは、指定したセキュリティ グループのメンバーを一覧表示し、結果を表形式で表示します。
az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table
Name Type Email Descriptor
------------------- ------ ------------------- ----------------------------------------------------
contoso@contoso.com user contoso@contoso.com msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh
Fabrikam Fiber プロジェクトの EMail チームのメンバーを一覧表示する別の例を次に示します。
az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name Type Email Descriptor
----------------- ------ -------------------------- ----------------------------------------------------
Christie Church user fabrikamfiber1@hotmail.com msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya user fabrikamfiber5@hotmail.com msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw
グループからメンバーを削除する
az devops security group membership remove コマンドを使用して 、セキュリティ グループからメンバーを削除 できます。
az devops security group membership remove --group-id
--member-id
[--yes]
パラメーター
- group-id: 必須。 メンバーを削除する必要があるグループの記述子。
- member-id: 必須。 削除するユーザーのグループまたは電子メール アドレスの記述子。
- yes: 省略可能。 確認を求めるプロンプトを表示しません。
例
次のコマンドは、確認を求めずに、指定したセキュリティ グループからユーザー contoso@contoso.com を削除します。
az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes