セキュリティ グループを使用してユーザーとグループを管理する
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
アクセス許可とアクセスを管理するには、セキュリティ グループを使用します。 既定のグループまたはカスタム グループを使用して、アクセス許可を設定できます。 複数のグループにユーザーとグループを追加できます。 たとえば、ほとんどの開発者を共同作成者グループに追加します。 チームに参加すると、チームのグループにも参加します。
詳細については、次の記事をご覧ください。
- Active Directory/Microsoft Entra ユーザーまたはグループを組み込みのセキュリティ グループに追加する
- ユーザーの追加とアクセスの管理
- チームまたはプロジェクトへのユーザーまたはグループの追加
- ユーザー アカウントを削除する
- アクセス許可を使用してアクセスを管理する
- プロジェクト レベルのアクセス許可を変更する
- プロジェクトコレクションレベルの権限を変更する
ユーザーは、所属するグループからアクセス許可を継承します。 アクセス許可が 1 つのグループに対して許可に設定され、ユーザーが属する別のグループに対して拒否に設定されている場合、その有効なアクセス許可の割り当ては拒否です。 詳細については、「権限/継承について」を参照してください。
Azure DevOps でのセキュリティ グループの使用方法
Azure DevOps では、次の目的でセキュリティ グループが使用されます。
- グループまたはユーザーに割り当てられたアクセス許可を決定する
- グループまたはユーザーに割り当てられたアクセス レベルを決定する
- グループ内のメンバーシップに基づいて作業項目クエリをフィルター処理する
- プロジェクト レベルのグループの@mentionを使用して、そのグループのメンバーに電子メール通知を送信する
- チーム グループのメンバーにチーム通知を送信する
- ロールベースのアクセス許可にグループを追加する
- オブジェクト レベルのアクセス許可をセキュリティ グループに設定する
Note
セキュリティ グループは、特定のプロジェクトにのみアクセスする場合でも、組織レベルに属します。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 Azure devops CLI ツールまたは REST API を使用して、組織内のすべてのグループ名を見つけることができます。 詳細については、「セキュリティ グループの追加と管理」を参照してください。
Note
セキュリティ グループは、特定のプロジェクトにのみアクセスする場合でも、コレクション レベルに属します。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 Azure devops CLI ツールまたは REST API を使用して、組織内のすべてのグループ名を見つけることができます。 詳細については、「セキュリティ グループの追加と管理」を参照してください。
Note
セキュリティ グループは、特定のプロジェクトにのみアクセスする場合でも、コレクション レベルに属します。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 ただし、REST API を使用して、組織内のすべてのグループの名前を検出できます。 詳細については、「セキュリティ グループの追加と管理」を参照してください。
前提条件
- プロジェクト レベルで権限またはグループを管理するには、プロジェクト管理者グループのメンバーである必要があります。 プロジェクトを作成した場合は、自動的にこのグループのメンバーとして追加されます。
- コレクションまたはインスタンス レベルでアクセス許可またはグループを管理するには、プロジェクト コレクション管理者グループのメンバーである必要があります。 組織またはコレクションを作成した場合、このグループのメンバーとして自動的に追加されます。
Note
プロジェクト スコープ ユーザー グループに追加されたユーザー は、アクセス許可を含むほとんどの 組織設定 ページにアクセスできません。 詳細については、「 組織の管理」、「プロジェクトのユーザーの可視性を制限する」を参照してください。
カスタム セキュリティ グループを作成する
プロジェクトの権限をプロジェクト レベルまたはオブジェクト レベルで管理する場合は、プロジェクト レベルのグループを作成します。 コレクション レベルでアクセス許可を管理する場合は、コレクション レベルのグループを作成します。 詳細については、「プロジェクト レベルのアクセス許可を変更する」および「プロジェクト コレクション レベルのアクセス許可を変更する」を参照してください。
Note
[プロジェクトのアクセス許可の設定] ページまたは [組織のアクセス許可の設定] ページ v2 プレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください。 どちらのプレビュー ページにも、現在のページにはないグループ設定ページが用意されています。
プロジェクト レベルのグループを作成する
Web ポータルを開き、ユーザーまたはグループを追加するプロジェクトを選択します。 別のプロジェクトを選択するには、「 プロジェクト、リポジトリ、チームの切り替え」を参照してください。
[プロジェクト設定の権限]>を選択します。
[新しいグループ] を選択して、グループを追加するためのダイアログを開きます。
プロジェクト コレクション レベルのグループを作成する
Web ポータルを開き、Azure DevOps アイコンを
選択し、[組織の設定] を選択します
。
[セキュリティ] で [アクセス許可] を選択し、[新しいグループ] を選択して、グループを追加するためのダイアログを開きます。
新しいグループを定義する
開いたダイアログで、グループの 名前を入力します 。 必要に応じて、グループのメンバーと説明を追加します。
たとえば、ここでは作業追跡管理者グループを定義します。
![[セキュリティ グループ] ダイアログのスクリーンショット。組織レベルでセキュリティ グループを追加します。](media/project-collection/create-new-group-at-org-level.png?view=azure-devops)
完了したら、[作成] を選択します。
![[グループの作成] ボタンのスクリーンショット。](media/add-groups/create-group.png?view=azure-devops)
Web ポータルを開き、ユーザーまたはグループを追加するプロジェクトを選択します。 別のプロジェクトを選択するには、「 プロジェクト、リポジトリ、チームの切り替え」を参照してください。
[プロジェクト設定のセキュリティ]>を選択します。
完全なイメージを表示するには、 を選択して展開します。
![[プロジェクトの設定] の [セキュリティ] ページのスクリーンショット。](media/view-permissions/open-security-project-level-vert.png?view=azure-devops)
[ グループ] で、次のいずれかのオプションを選択します。
- 閲覧者: プロジェクトへの読み取り専用アクセスを必要とするユーザーを追加するには、 を選択します。
- 共同作成者: このプロジェクトに完全に貢献するユーザー、または利害関係者アクセス権が付与されているユーザーを追加します。
- プロジェクト管理者: プロジェクトを管理する必要があるユーザーを追加します。 詳細については、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。
[メンバー] タブを選択します。
ここでは、[ 共同作成者 ] グループを選択します。
既定のチーム グループと、プロジェクトに追加する他のチームは、 共同作成者 グループのメンバーとして含まれます。 代わりに新しいユーザーをチームのメンバーとして追加すると、ユーザーは自動的に共同作成者のアクセス許可を継承します。
ヒント
ユーザーの管理は、個々のユーザーではなく、 グループを使用する方がはるかに簡単です。
[追加] を選択して、ユーザーまたはユーザー グループを追加します。テキスト ボックスにユーザー アカウントの名前を入力します。 テキスト ボックスには、複数の ID をコンマで区切って入力できます。 一致が自動的に検索されます。 要件を満たす一致を選択します。
![[ユーザーとグループの追加] ダイアログ、サーバーのバージョンを示すスクリーンショット。](media/project-level-permissions-add-a-user.png?view=azure-devops)
Azure DevOps にユーザーまたはグループを初めて追加するときに、そのユーザーまたはグループを参照したり、フレンドリ名をチェックしたりすることはできません。 ID が追加されたら、フレンドリ名を入力するだけです。
完了したら、[変更の保存] を選択します。
(省略可能)プロジェクト内の他の機能に対するユーザーのアクセス許可をカスタマイズできます。 たとえば、 領域やイテレーション 、 共有クエリなどです。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、それらの機能に対するアクセス許可が付与されている場合でも、選択した機能にアクセスできません。 詳細については、「 アクセス許可とアクセス」を参照してください。
![[プロジェクトの設定] の [セキュリティ] ページのスクリーンショット。](media/view-permissions/open-security-project-level-vert-expanded.png?view=azure-devops#lightbox)
セキュリティ グループにユーザーまたはグループを追加する
ロールと責任が変わると、プロジェクトの個々のメンバーのアクセス許可レベルを変更することが必要になる場合があります。 これを行う最も簡単な方法は、ユーザーまたはユーザーのグループを既定のセキュリティ グループまたはカスタム セキュリティ グループに追加することです。 ロールが変更された場合は、グループからユーザーを削除できます。
ここでは、組み込みの プロジェクト管理者グループにユーザーを追加する方法について説明します 。 この方法は、追加するグループに関係なく似ています。 組織が Microsoft Entra ID または Active Directory に接続されている場合は、それらのディレクトリで定義されているセキュリティ グループを Azure DevOps セキュリティ グループに追加できます。 詳細については、「Active Directory/Microsoft Entra ユーザーまたはグループを組み込みのセキュリティ グループに追加する」を参照してください。 10,000 を超えるユーザーまたはグループを Azure DevOps セキュリティ グループに追加する必要がある場合は、ユーザーを直接追加するのではなく、ユーザーを含む Azure Directory/Microsoft Entra グループを追加することをお勧めします。
Note
[プロジェクトのアクセス許可の設定] ページまたは [組織のアクセス許可の設定] ページ v2 プレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください。 どちらのプレビュー ページにも、現在のページにはないグループ設定ページが用意されています。
前のセクション「カスタム セキュリティ グループを作成する」で説明したように、プロジェクト レベルまたは組織レベルの [アクセス許可] ページを開きます。
メンバーを管理するセキュリティ グループを選択し、[メンバー] タブを選択して、[追加] を選択します。
たとえば、ここでは[プロジェクト管理者]、[メンバー]、[追加] の順に選択します。
テキスト ボックスにユーザー アカウントの名前を入力し、表示される一致から選択します。 システムによって認識される複数の ID を [ユーザーまたはグループの追加] ボックスに入力できます。 一致が自動的に検索されます。 選択した一致を選択します。
![[ユーザーとグループの追加] ダイアログ、プレビュー ページ。](media/project-collection/add-member-project-admin.png?view=azure-devops)
Note
利害関係者などの制限付きアクセス権を持つユーザーは、それらの機能に対するアクセス許可が付与されている場合でも、選択した機能にアクセスできません。 詳細については、「 アクセス許可とアクセス」を参照してください。
[保存] を選択します。
前のセクション「カスタム セキュリティ グループを作成する」で説明したように、プロジェクト レベルまたは組織レベルの [アクセス許可] ページを開きます。
メンバーを管理するセキュリティ グループを選択し、[メンバー] タブを選択して、[追加] を選択します。
たとえば、ここでは[プロジェクト管理者]、[メンバー]、[追加] の順に選択します。
![[プロジェクトの設定]、[セキュリティ]、[メンバーの追加] ページのスクリーンショット。](media/project-level-permissions-add-member.png?view=azure-devops)
テキスト ボックスにユーザー アカウントの名前を入力します。 テキスト ボックスには、複数の ID をコンマで区切って入力できます。 一致が自動的に検索されます。 選択した一致する一致を選択します。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、それらの機能に対するアクセス許可が付与されている場合でも、選択した機能にアクセスできません。 詳細については、「 アクセス許可とアクセス」を参照してください。
[変更の保存] を選択します。 更新アイコンを
選択すると、追加が表示されます。
ユーザーまたはグループのアクセス許可を変更する
アクセス許可はさまざまなレベルで定義されているため、次の記事を確認して、変更するアクセス許可のダイアログを開きます。
セキュリティ グループからユーザーまたはグループを削除する
削除するユーザーまたはグループで、[その他のオプション>の削除] を選択
します。
[削除] を選択して、グループ メンバーの削除を確認します。
![[ユーザーの削除] の確認ダイアログ、クラウド バージョンのスクリーンショット。](media/project-collection/delete-member-confirm-dialog.png?view=azure-devops)
グループからユーザーを削除するには、削除するユーザーの名前の横にある [削除] を選択します。
![[ユーザー確認の削除] ダイアログのスクリーンショット。オンプレミスのバージョン。](media/project-collection/remove-admin-member-server.png?view=azure-devops)
グループ設定の管理
Note
[プロジェクトのアクセス許可の設定] ページまたは [組織のアクセス許可の設定] ページ v2 プレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください。 どちらのプレビュー ページにも、現在のページにはないグループ設定ページが用意されています。
この記事の「カスタム セキュリティ グループを作成する」で前述したように、プロジェクト レベルまたは組織レベルの [アクセス許可] ページを開きます。
[設定] タブを選択します。グループの説明を変更したり、グループ イメージを追加したり、[グループの設定] ページからグループを削除したりできます。
[プロジェクト設定のアクセス許可] または [組織の設定>のアクセス許可] ページで、管理するグループを選択し、[設定] を選択します。>
たとえば、ここでは[作業追跡管理者] グループの [設定] を開きます。
![[グループ設定を開く]、[プレビュー] ページのスクリーンショット。](media/project-collection/group-settings.png?view=azure-devops)
グループ名、グループの説明の変更、イメージのアップロード、またはグループの削除を行うことができます。
グループ名、説明、グループ イメージの追加、またはグループの削除を行うことができます。
[プロジェクト>設定のセキュリティ] > または [組織>の設定のセキュリティ] > ページで、管理するグループを選択します
[編集] メニューから [プロファイルの編集] または [削除] を選択します。
たとえば、ここでは、利害関係者アクセス グループの 編集プロファイル を開きます。
![[グループ プロファイルの編集] (オンプレミスのバージョン) を開きます。](media/project-collection/edit-group-profile-delete-project-level-current.png?view=azure-devops)
. . . 説明を変更します。 グループの名前も変更できます。
[保存] を選択して変更を保存します。
オンプレミス展開
オンプレミスのデプロイについては、次の他の記事を参照してください。
オンプレミスの展開が SQL Server レポートと統合されている場合は、それらの製品のメンバーシップを Web サイトとは別に管理する必要があります。 TFS で SQL Server レポートを表示または作成するためのアクセス許可の付与を参照してください。
次のステップ
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示