Przypisywanie poziomów dostępu przy użyciu reguł grupy

  • Artykuł

Azure DevOps Services

Usługa Azure DevOps zapewnia poziomy dostępu oparte na grupach dla grup firmy Microsoft i grup usługi Azure DevOps. Te grupy umożliwiają efektywne zarządzanie uprawnieniami przez przypisanie poziomów dostępu do całych grup użytkowników. W tym artykule dowiesz się, jak dodać regułę grupy w celu przypisania poziomu dostępu do tej grupy użytkowników. Zasoby usługi Azure DevOps są przypisywane do wszystkich członków grupy.

Przypisz reguły grupy do obsługi poziomów dostępu i członkostwa w projekcie. Użytkownicy uzyskują najwyższy poziom dostępu po przypisaniu ich do więcej niż jednej reguły lub grupy Microsoft Entra, które określają różne poziomy dostępu. Jeśli na przykład Jan jest przypisany do dwóch grup firmy Microsoft Entra i dwóch różnych reguł grupy, które określają dostęp uczestników projektu i drugi dostęp podstawowy, to poziom dostępu Johna to Podstawowa.

Gdy użytkownicy opuszczają grupę Microsoft Entra, usługa Azure DevOps dostosowuje swój poziom dostępu na podstawie reguł zdefiniowanych dla tej grupy. Użytkownik pozostaje w usłudze Azure DevOps, ale może mieć różne uprawnienia lub prawa dostępu. Najwyższy poziom dostępu przypisany do użytkownika określa swoje końcowe uprawnienia.

Uwaga

  • Zmiany wprowadzone w czytelnikach projektu za pomocą reguł grupy nie są utrwalane. Jeśli musisz dostosować czytelników projektu, rozważ alternatywne metody, takie jak bezpośrednie przypisanie lub niestandardowe grupy zabezpieczeń.
  • Zalecamy regularne przeglądanie reguł wymienionych na karcie "Reguły grupy" na stronie "Użytkownicy". Jeśli jakiekolwiek zmiany zostaną wprowadzone do członkostwa w grupie Microsoft Entra ID, te zmiany zostaną wyświetlone w następnej ponownej ocenie reguł grupy, które można wykonać na żądanie, gdy reguła grupy zostanie zmodyfikowana lub automatycznie co 24 godziny. Usługa Azure DevOps aktualizuje członkostwo w grupie Microsoft Entra co godzinę, ale aktualizowanie członkostwa w grupie dynamicznej może potrwać do 24 godzin.

Wymagania wstępne

  • Aby zarządzać regułami grup, musisz być członkiem grupy project collection Administracja istrators. Jeśli nie jesteś członkiem, dodaj go jako członka.

Dodawanie reguły grupy

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz pozycję gear iconUstawienia organizacji.

    Screenshot showing highlighted Organization settings button.

  3. Wybierz pozycję Uprawnienia, a następnie sprawdź, czy jesteś członkiem grupy Administracja istratorów kolekcji projektów.

    Screenshot showing project collection administrators group members.

  4. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Reguły grupy. Ten widok przedstawia wszystkie utworzone reguły grupy. Wybierz pozycję Dodaj regułę grupy.

    Screenshot showing selected Add a group rule button.

    Reguły grupy są wyświetlane tylko wtedy, gdy jesteś członkiem grupy kolekcji projektów Administracja istratorów.

  5. Ukończ okno dialogowe grupy, dla której chcesz utworzyć regułę. Uwzględnij poziom dostępu dla grupy i dowolny opcjonalny dostęp do projektu dla grupy. Wybierz Dodaj.

    Screenshot showing Add a group rule dialog.

    Zostanie wyświetlone powiadomienie z wyświetlonym stanem i wynikiem reguły. Jeśli nie można ukończyć przypisania, wybierz pozycję Wyświetl stan , aby wyświetlić szczegóły.

    Screenshot showing Group rule completed.

Ważne

  • Reguły grup mają zastosowanie tylko do użytkowników bez bezpośrednich przypisań i do użytkowników dodanych do grupy w przyszłości. Usuń przypisania bezpośrednie, aby reguły grupy były stosowane do tych użytkowników.
  • Użytkownicy nie są wyświetlani w obszarze Wszyscy użytkownicy , dopóki nie spróbują zalogować się po raz pierwszy.

Zarządzanie członkami grup

  1. Wybierz pozycję Reguły>>grupy Zarządzaj członkami. Screenshot shows highlighted group rule for managing members.

    Pozostaw istniejącą automatyzację zarządzania poziomami dostępu dla użytkowników działających zgodnie z rzeczywistym działaniem (na przykład programu PowerShell). Celem jest odzwierciedlenie tych samych zasobów, które są stosowane przez automatyzację do tych użytkowników.

  2. Dodaj członków, a następnie wybierz pozycję Dodaj.

    Screenshot of Adding a group member.

    Po przypisaniu tego samego poziomu dostępu do użytkownika użytkownik korzysta tylko z jednego poziomu dostępu. Przypisania użytkowników można wykonywać zarówno bezpośrednio, jak i za pośrednictwem grupy.

Weryfikowanie reguły grupy

Sprawdź, czy zasoby są stosowane do każdej grupy i poszczególnych użytkowników. Wybierz pozycję Wszyscy użytkownicy, wyróżnij użytkownika, a następnie wybierz pozycję Podsumowanie.

Screenshot showing verification of user summary for group rule.

Usuwanie przypisań bezpośrednich

Aby zarządzać zasobami użytkownika tylko przez grupy, w których się znajduje, usuń swoje bezpośrednie przypisania. Zasoby przypisane do użytkownika za pośrednictwem indywidualnego przypisania pozostają przypisane do użytkownika. To przypisanie pozostaje bez względu na to, czy zasoby są przypisywane, czy zabierane z grup użytkownika.

  1. Zaloguj się do organizacji (https://dev.azure.com/{yourorganization}).

  2. Wybierz pozycję gear iconUstawienia organizacji.

    Screenshot showing highlighted Organization settings button.

  3. Wybierz Użytkowników.

    Screenshot showing selected Users tab.

  4. Wybierz wszystkich użytkowników z zasobami do zarządzania tylko według grup.

    Screenshot showing Selected group rules for migration.

  5. Aby potwierdzić, że chcesz usunąć przypisania bezpośrednie, wybierz pozycję Usuń.

    Screenshot of confirmation to Remove.

    Bezpośrednie przypisania są usuwane z użytkowników.

    Jeśli użytkownik nie jest członkiem żadnych grup, nie ma to wpływu na użytkownika.

Często zadawane pytania

Pyt.: Jak subskrypcje programu Visual Studio działają z regułami grup?

1: Subskrybenci programu Visual Studio są zawsze bezpośrednio przypisywani za pośrednictwem witryny Visual Studio Administracja Portal i mają pierwszeństwo w usłudze Azure DevOps nad poziomami dostępu przypisanymi bezpośrednio lub za pośrednictwem reguł grupy. Po wyświetleniu tych użytkowników z Centrum użytkowników źródło licencji zawsze jest wyświetlane jako Bezpośrednie. Jedynym wyjątkiem są subskrybenci programu Visual Studio Professional, którym przypisano plany podstawowe i testowe. Ponieważ plany podstawowe i testowe zapewniają większy dostęp w usłudze Azure DevOps, pierwszeństwo ma subskrypcja programu Visual Studio Professional.