セキュリティ グループを使用してユーザーとグループを管理する
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
アクセス許可とアクセスを管理するには、セキュリティ グループを使用します。 既定のグループまたはカスタム グループを使用して、アクセス許可を設定できます。 複数のグループにユーザーとグループを追加できます。 たとえば、ほとんどの開発者を Contributors グループに追加します。 チームに参加すると、チームのグループにも参加します。
詳細については、次の記事をご覧ください。
- Active Directory/Microsoft Entra ユーザーまたはグループを組み込みのセキュリティ グループに追加する
- ユーザーの追加とアクセスの管理
- チームまたはプロジェクトへのユーザーまたはグループの追加
- ユーザー アカウントを削除する
- アクセス許可を使用してアクセスを管理する
- プロジェクト レベルのアクセス許可を変更する
- プロジェクトコレクションレベルの権限を変更する
ユーザーは、所属するグループからアクセス許可を継承します。 あるグループに対してアクセス許可が Allow に設定され、ユーザーが属する別のグループに対して Deny が設定されている場合、その有効なアクセス許可の割り当ては Deny になります。 詳細については、「 アクセス許可/継承」を参照してください。
Azure DevOps でのセキュリティ グループの使用方法
Azure DevOps では、次の目的でセキュリティ グループが使用されます。
- グループまたはユーザーに割り当てられたアクセス許可を決定する
- グループまたはユーザーに割り当てられたアクセス レベルを決定する
- グループ内のメンバーシップに基づいて作業項目クエリをフィルター処理する
- プロジェクト レベルのグループの @mention を使用して、そのグループのメンバーに電子メール通知を送信する
- チーム グループのメンバーにチーム通知を送信する
- ロールベースのアクセス許可にグループを追加する
- オブジェクト レベルのアクセス許可をセキュリティ グループに設定する
Note
セキュリティ グループは、特定のプロジェクトに使用されている場合でも、組織レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 組織内のすべてのグループ名を表示するには、Azure DevOps CLI ツールまたは REST API を使用します。 詳細については、「 セキュリティ グループの追加と管理を参照してください。
Note
セキュリティ グループは、特定のプロジェクトで使用される場合でも、コレクション レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 コレクション内のすべてのグループ名を表示するには、Azure DevOps CLI ツールまたは REST API を使用します。 詳細については、「 セキュリティ グループの追加と管理を参照してください。
Note
セキュリティ グループは、特定のプロジェクトで使用される場合でも、コレクション レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 コレクション内のすべてのグループ名を表示するには、REST API を使用できます。 詳細については、「 セキュリティ グループの追加と管理を参照してください。
前提条件
- プロジェクト レベルで権限またはグループを管理するには、 Project Administrators Group のメンバーである必要があります。 プロジェクトを作成した場合は、自動的にこのグループのメンバーとして追加されます。
- コレクションまたはインスタンス レベルでアクセス許可またはグループを管理するには、 Project コレクション管理者 グループのメンバーである必要があります。 組織またはコレクションを作成した場合、このグループのメンバーとして自動的に追加されます。
Note
Project-Scoped Users グループに追加されたユーザーは、権限を含むほとんどの Organization Settings ページにアクセスできません。 詳細については、「 組織の管理」、「プロジェクトのユーザーの可視性を制限する」を参照してください。
カスタム セキュリティ グループを作成する
プロジェクトの権限をプロジェクト レベルまたはオブジェクト レベルで管理する場合は、プロジェクト レベルのグループを作成します。 コレクション レベルでアクセス許可を管理する場合は、コレクション レベルのグループを作成します。 詳細については、「 Change プロジェクト レベルのアクセス許可 および Change プロジェクト コレクション レベルのアクセス許可を参照してください。
Note
プロジェクト権限設定ページまたは Organization 権限設定ページ v2 プレビュー ページを有効にするには、「使用可能なプレビュー機能を参照してください。 どちらのプレビュー ページにも、現在のページにはないグループ設定ページが用意されています。
プロジェクト レベルのグループを作成する
Web ポータルを開き、ユーザーまたはグループを追加するプロジェクトを選択します。 別のプロジェクトを選択するには、「 プロジェクト、リポジトリ、チームの切り替え」を参照してください。
Project 設定>Permissions を選択します。
[新しいグループ 選択して グループを追加するためのダイアログを開きます。
プロジェクト コレクション レベルのグループを作成する
Web ポータルを開き、 Azure DevOps アイコンを選択し、 Organization 設定を選択します。
Security で Permissions を選択し、 [新しいグループ]を選択してグループを追加するためのダイアログを開きます。
新しいグループを定義する
開いたダイアログで、グループの Name を入力します。 必要に応じて、グループのメンバーと説明を追加します。
たとえば、ここでは作業追跡管理者グループを定義します。
完了したら、[ 作成 を選択します。
Web ポータルを開き、ユーザーまたはグループを追加するプロジェクトを選択します。 別のプロジェクトを選択するには、「 プロジェクト、リポジトリ、チームの切り替え」を参照してください。
プロジェクト設定>Security を選択します。
完全なイメージを表示するには、 を選択して展開します。
[ グループ] で、次のいずれかのオプションを選択します。
- 閲覧者: プロジェクトへの読み取り専用アクセスを必要とするユーザーを追加するには、 を選択します。
- 共同作成者: このプロジェクトに完全に貢献するユーザー、または利害関係者アクセス権が付与されているユーザーを追加します。
- プロジェクト管理者: プロジェクトを管理する必要があるユーザーを追加します。 詳細については、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。
[メンバー] タブを選択します。
ここでは、[ 共同作成者 ] グループを選択します。
既定のチーム グループと、プロジェクトに追加する他のチームは、 共同作成者 グループのメンバーとして含まれます。 代わりに新しいユーザーをチームのメンバーとして追加すると、ユーザーは自動的に共同作成者のアクセス許可を継承します。
ヒント
ユーザーの管理は、個々のユーザーではなく、 グループを使用する方がはるかに簡単です。
[追加] を選択して、ユーザーまたはユーザー グループを追加します。
テキスト ボックスにユーザー アカウントの名前を入力します。 テキスト ボックスには、複数の ID をコンマで区切って入力できます。 一致が自動的に検索されます。 要件を満たす一致を選択します。
Azure DevOps にユーザーまたはグループを初めて追加するときに、そのユーザーまたはグループを参照したり、フレンドリ名をチェックしたりすることはできません。 ID が追加されたら、フレンドリ名を入力するだけです。
完了したら [変更の保存 を選択します。
(省略可能)プロジェクト内の他の機能に対するユーザーのアクセス許可をカスタマイズできます。 たとえば、 領域やイテレーション 、 共有クエリなどです。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、それらの機能に対するアクセス許可が付与されている場合でも、選択した機能にアクセスできません。 詳細については、「 アクセス許可とアクセス」を参照してください。
セキュリティ グループにユーザーまたはグループを追加する
ロールと責任が変わると、プロジェクトの個々のメンバーのアクセス許可レベルを変更することが必要になる場合があります。 これを行う最も簡単な方法は、ユーザーまたはユーザーのグループを既定のセキュリティ グループまたはカスタム セキュリティ グループに追加することです。 ロールが変更された場合は、グループからユーザーを削除できます。
ここでは、組み込みの Project Administrators グループにユーザーを追加する方法について説明します。 この方法は、追加するグループに関係なく似ています。 組織が Microsoft Entra ID または Active Directory に接続されている場合は、それらのディレクトリで定義されているセキュリティ グループを Azure DevOps セキュリティ グループに追加できます。 詳細については、「 Active Directory/Microsoft Entra ユーザーまたはグループを組み込みのセキュリティ グループに追加するを参照してください。 10,000 を超えるユーザーまたはグループを Azure DevOps セキュリティ グループに追加する必要がある場合は、ユーザーを直接追加するのではなく、ユーザーを含む Azure Directory/Microsoft Entra グループを追加することをお勧めします。
Note
プロジェクト権限設定ページまたは Organization 権限設定ページ v2 プレビュー ページを有効にするには、「使用可能なプレビュー機能を参照してください。 どちらのプレビュー ページにも、現在のページにはないグループ設定ページが用意されています。
前のセクションで説明したように、プロジェクト レベルまたは組織レベルの Permissions ページを開きます カスタム セキュリティ グループを作成します。
メンバーを管理するセキュリティ グループを選択し、 Members タブを選択し、 追加を選択します。
たとえば、ここでは Project Administrators グループ、 Members、 Add を選択します。
テキスト ボックスにユーザー アカウントの名前を入力し、表示される一致から選択します。 システムによって認識される複数の ID を ユーザーやグループの追加 ボックスに入力できます。 一致が自動的に検索されます。 選択した一致を選択します。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、それらの機能に対するアクセス許可が付与されている場合でも、選択した機能にアクセスできません。 詳細については、「 アクセス許可とアクセス」を参照してください。
[保存] を選択します。
前のセクションで説明したように、プロジェクト レベルまたは組織レベルの Permissions ページを開きます カスタム セキュリティ グループを作成します。
メンバーを管理するセキュリティ グループを選択し、 Members タブを選択し、 追加を選択します。
たとえば、ここでは Project Administrators グループ、 Members、 Add を選択します。
テキスト ボックスにユーザー アカウントの名前を入力します。 テキスト ボックスには、複数の ID をコンマで区切って入力できます。 一致が自動的に検索されます。 選択した一致する一致を選択します。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、それらの機能に対するアクセス許可が付与されている場合でも、選択した機能にアクセスできません。 詳細については、「 アクセス許可とアクセス」を参照してください。
[変更 保存を選択します。 更新アイコンを選択すると、追加が表示されます。
ユーザーまたはグループのアクセス許可を変更する
アクセス許可はさまざまなレベルで定義されているため、次の記事を確認して、変更するアクセス許可のダイアログを開きます。
セキュリティ グループからユーザーまたはグループを削除する
削除するユーザーまたはグループの [その他のオプション]>Remove を選択します。
Delete を選択して、グループ メンバーの削除を確認します。
グループからユーザーを削除するには、削除するユーザーの名前の横にある Remove を選択します。
グループ設定の管理
Note
プロジェクト権限設定ページまたは Organization 権限設定ページ v2 プレビュー ページを有効にするには、「使用可能なプレビュー機能を参照してください。 どちらのプレビュー ページにも、現在のページにはないグループ設定ページが用意されています。
この記事で前述したように、プロジェクト レベルまたは組織レベルの Permissions ページを開きます。 カスタム セキュリティ グループを作成します。
Settings タブを選択します。グループの説明を変更したり、グループ イメージを追加したり、グループ Settings ページからグループを削除したりできます。
Project 設定>権限またはグループ化設定>Permissions ページで、管理するグループを選択し、Settings を選択します。
たとえば、ここでは[作業追跡管理者] グループの [設定] を開きます。
グループ名、グループの説明の変更、イメージのアップロード、またはグループの削除を行うことができます。
グループ名、説明、グループ イメージの追加、またはグループの削除を行うことができます。
Project > Settings > Security または Organization > Settings > Security] ページで、管理するグループを選択します
Edit メニューから選択して、プロファイルの編集または Delete をします。
たとえば、ここでは、利害関係者アクセス グループの Edit プロファイル を開きます。
. . . 説明を変更します。 グループの名前も変更できます。
保存を選択して変更を保存します。
オンプレミス展開
オンプレミスのデプロイについては、次の他の記事を参照してください。
オンプレミスの展開が SQL Server レポートと統合されている場合は、それらの製品のメンバーシップを Web サイトとは別に管理する必要があります。 TFS SQL Server レポートを表示または作成するためのアクセス許可を参照してください。