セキュリティグループの追加と管理

Azure DevOps Services

「アクセス許可、アクセス、セキュリティ グループの概要」の説明に 従って、セキュリティ グループを使用してアクセス許可とアクセスを管理します。 たとえば、共同作成者グループまたは Project 管理istrators グループのメンバーには、それらのグループに許可されているアクセス許可が割り当てられます。

Azure DevOps では、デフォルトのセキュリティ グループが事前に構成されています。 az devops セキュリティ グループ コマンドを使用して、組織またはプロジェクトのセキュリティ グループを追加および管理できます。 このコマンドを使用して、次のタスクを実行します。

• 新しいセキュリティ グループを作成する
• セキュリティ グループとセキュリティ グループの詳細を表示する
• セキュリティ グループを更新または削除する
• グループとユーザーのセキュリティ グループ メンバーシップを管理する

Note

この記事は、Azure DevOps Services にのみ適用されます。 Azure DevOps Server の場合は、TFSSecurity コマンドを使用してセキュリティ グループを管理できます。

前提条件

• セキュリティ グループを追加および管理するには、Project Collection 管理istrators セキュリティ グループのメンバーである必要があります。
• 「Azure DevOps CLI の概要」の説明に従って、Azure DevOps CLI 拡張機能をインストールしている必要があります。
• az login を使用して、Azure DevOps にサインインします。
• この記事の例では、既定の組織を次 az devops configure --defaults organization=YourOrganizationURLのように設定します。

セキュリティ グループのコマンド

コマンド	説明
az devops security group create	Azure DevOps セキュリティ グループを作成します。
az devops security group delete	Azure DevOps セキュリティ グループを削除します。
az devops security group list	プロジェクトまたは組織内のすべてのグループを一覧表示します。
az devops security group show	グループの詳細を表示します。
az devops security group update	セキュリティ グループの名前と説明を更新します。
az devops security group membership add	セキュリティ グループにメンバーを追加します。
az devops security group membership list	グループまたはユーザーのメンバーシップを一覧表示します。
az devops security group membership remove	セキュリティ グループからメンバーを削除します。

次のパラメーターは、すべてのコマンドで省略可能であり、この記事の例には記載されていません。

• detect: 組織を自動的に検出します。 受け入れ可能な値: false、true。 既定値は True です。
• org: Azure DevOps 組織の URL。 az devops configure -d organization=ORG_URL を使って既定の組織を構成できます。 既定として構成されていない場合、または git config を使って取得されていない場合は必須です (例: --org https://dev.azure.com/MyOrganizationName/)。

セキュリティ グループの作成

az devops security group create コマンドを使用して 、セキュリティ グループを作成 できます。

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

オプション パラメーター

• description: 新しいセキュリティ グループの説明。
• email-id: Microsoft Entra でサポートされているプロバイダーの既存のグループへの参照として、メール アドレスを使用して新しいグループを作成します。 name または origin-id が見つからない場合は必須です。
• groups: 新しく作成したグループを結合するグループを参照する記述子のコンマ区切りのリスト。
• name: 新しいセキュリティ グループの名前。 origin-id または email-id が見つからない場合は必須です。
• origin-id: Microsoft Entra でサポートされているプロバイダーの既存のグループへの参照として OriginID を使用して新しいグループを作成します。 名前または電子メール ID がない場合は必須です。
• プロジェクト: グループを作成するプロジェクトの名前または ID。
• scope: プロジェクトまたは組織レベルでグループを作成します。 指定できる値は、 組織 と プロジェクト (既定値) です。

例

次のコマンドは、MyFirstProject プロジェクトにアカウント管理セキュリティ グループを作成し、結果をテーブル形式で表示します。

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

セキュリティ グループを削除する

az devops security group delete コマンドを使用して 、セキュリティ グループを削除 できます。

az devops security group delete --id
                                [--yes]

パラメーター

• id: 必須。 セキュリティ グループ記述子。 記述子を取得するには、az devops セキュリティ グループ リスト コマンドを使用します。
• yes: 省略可能。 確認を求めるプロンプトを表示しません。

例

次のコマンドは、指定された記述子を持つセキュリティ グループを削除し、確認を求めるメッセージを表示しません。

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

セキュリティ グループを一覧表示する

az devops security group list コマンドを使用して、プロジェクトまたは組織内のすべてのセキュリティ グループを 一覧表示 できます。

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

オプション パラメーター

• continuation-token: 1 つのページで返されない結果がさらに存在する場合、結果セットには、次の結果セットを取得するための継続トークンが含まれます。
• プロジェクト: 特定のプロジェクトのグループを一覧表示します。
• scope: プロジェクトまたは組織レベルでグループを一覧表示します。 指定できる値は、 組織 と プロジェクト (既定値) です。
• subject-types: 取得した結果を減らすためのユーザーサブジェクトサブタイプのコンマ区切りのリスト。 記述子の最初の部分 (ドットの前) をフィルター (vssgp、aadgp など) として指定できます。

例

次のコマンドは、MyFirstProject のすべてのセキュリティ グループの名前と記述子を一覧表示し、結果をテーブル形式で表示します。

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

セキュリティ グループの詳細を表示する

az devops security group show コマンドを使用して、セキュリティ グループの 詳細を表示 できます。

az devops security group show --id

パラメーター

• id: 必須。 セキュリティ グループ記述子。

例

次のコマンドは、Project Valid Users セキュリティ グループの詳細を表形式で示しています。

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

セキュリティ グループを更新する

az devops セキュリティ グループの更新コマンドを使用して、セキュリティ グループの 名前と説明を更新 できます。

az devops security group update --id
                                [--description]
                                [--name]

パラメーター

• id: 必須。 セキュリティ グループ記述子。
• description: 省略可能。 セキュリティ グループの新しい説明。 名前が見つからない場合は必須です。
• name: 省略可能。 セキュリティ グループの新しい名前。 説明がない場合は必須。

例

次のコマンドは、指定された記述子を持つセキュリティ グループの名前を変更し、結果を YAML 形式で表示します。

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

グループにメンバーを追加する

az devops security group membership add コマンドを使用して、セキュリティ グループに メンバーを追加 できます。

az devops security group membership add --group-id
                                        --member-id

パラメーター

• group-id: 必須。 メンバーを追加するグループの記述子。
• member-id: 必須。 追加するユーザーのグループまたは電子メール アドレスの記述子。

例

次のコマンドは、指定したセキュリティ グループにユーザー contoso@contoso.com を追加し、結果をテーブル形式で表示します。

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

グループまたはユーザーのメンバーシップを一覧表示する

az devops security group membership list コマンドを使用して、グループまたはユーザーの メンバーシップを一覧表示 できます。

az devops security group membership list --id
                                         [--relationship {memberof, members}]

パラメーター

• id: 必須。 メンバーシップの詳細が必要なセキュリティ グループ記述子またはユーザーの電子メール アドレス。
• relationship: 省略可能。 グループのメンバー情報またはメンバー情報を取得します。 受け入れられる値は memberof とメンバーです。

例

次のコマンドは、指定したセキュリティ グループのメンバーを一覧表示し、結果を表形式で表示します。

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Fabrikam Fiber プロジェクトの EMail チームのメンバーを一覧表示する別の例を次に示します。

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

グループからメンバーを削除する

az devops security group membership remove コマンドを使用して 、セキュリティ グループからメンバーを削除 できます。

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

パラメーター

• group-id: 必須。 メンバーを削除する必要があるグループの記述子。
• member-id: 必須。 削除するユーザーのグループまたは電子メール アドレスの記述子。
• yes: 省略可能。 確認を求めるプロンプトを表示しません。

例

次のコマンドは、確認を求めずに、指定したセキュリティ グループからユーザー contoso@contoso.com を削除します。

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes

関連記事

• トークンと名前空間を管理する
• セキュリティ REST API
• TFSSecurity コマンド