Przypisywanie poziomów dostępu przy użyciu reguł grupy
Azure DevOps Services
Usługa Azure DevOps zapewnia poziomy dostępu oparte na grupach dla grup firmy Microsoft i grup usługi Azure DevOps. Te grupy umożliwiają efektywne zarządzanie uprawnieniami przez przypisanie poziomów dostępu do całych grup użytkowników. W tym artykule dowiesz się, jak dodać regułę grupy w celu przypisania poziomu dostępu do tej grupy użytkowników. Zasoby usługi Azure DevOps są przypisywane do wszystkich członków grupy.
Przypisz reguły grupy do obsługi poziomów dostępu i członkostwa w projekcie. Użytkownicy uzyskują najwyższy poziom dostępu po przypisaniu ich do więcej niż jednej reguły lub grupy Microsoft Entra, które określają różne poziomy dostępu. Jeśli na przykład Jan jest przypisany do dwóch grup firmy Microsoft Entra i dwóch różnych reguł grupy, które określają dostęp uczestników projektu i drugi dostęp podstawowy, to poziom dostępu Johna to Podstawowa.
Gdy użytkownicy opuszczają grupę Microsoft Entra, usługa Azure DevOps dostosowuje swój poziom dostępu na podstawie reguł zdefiniowanych dla tej grupy. Użytkownik pozostaje w usłudze Azure DevOps, ale może mieć różne uprawnienia lub prawa dostępu. Najwyższy poziom dostępu przypisany do użytkownika określa swoje końcowe uprawnienia.
Uwaga
- Zmiany wprowadzone w czytelnikach projektu za pomocą reguł grupy nie są utrwalane. Jeśli musisz dostosować czytelników projektu, rozważ alternatywne metody, takie jak bezpośrednie przypisanie lub niestandardowe grupy zabezpieczeń.
- Zalecamy regularne przeglądanie reguł wymienionych na karcie "Reguły grupy" na stronie "Użytkownicy". Jeśli jakiekolwiek zmiany zostaną wprowadzone do członkostwa w grupie Microsoft Entra ID, te zmiany zostaną wyświetlone w następnej ponownej ocenie reguł grupy, które można wykonać na żądanie, gdy reguła grupy zostanie zmodyfikowana lub automatycznie co 24 godziny. Usługa Azure DevOps aktualizuje członkostwo w grupie Microsoft Entra co godzinę, ale aktualizowanie członkostwa w grupie dynamicznej może potrwać do 24 godzin.
Wymagania wstępne
- Aby zarządzać regułami grup, musisz być członkiem grupy Administratorzy kolekcji projektów. Jeśli nie jesteś członkiem, dodaj go jako członka.
Dodawanie reguły grupy
Zaloguj się do organizacji (
https://dev.azure.com/{yourorganization}).Wybierz pozycję
Ustawienia organizacji.
Wybierz pozycję Uprawnienia, a następnie sprawdź, czy jesteś członkiem grupy Administratorzy kolekcji projektów.
Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Reguły grupy. Ten widok przedstawia wszystkie utworzone reguły grupy. Wybierz pozycję Dodaj regułę grupy.
Reguły grupy są wyświetlane tylko wtedy, gdy jesteś członkiem grupy Administratorzy kolekcji projektów.
Ukończ okno dialogowe grupy, dla której chcesz utworzyć regułę. Uwzględnij poziom dostępu dla grupy i dowolny opcjonalny dostęp do projektu dla grupy. Wybierz Dodaj.
Zostanie wyświetlone powiadomienie z wyświetlonym stanem i wynikiem reguły. Jeśli nie można ukończyć przypisania, wybierz pozycję Wyświetl stan , aby wyświetlić szczegóły.
Ważne
- Reguły grup mają zastosowanie tylko do użytkowników bez bezpośrednich przypisań i do użytkowników dodanych do grupy w przyszłości. Usuń przypisania bezpośrednie, aby reguły grupy były stosowane do tych użytkowników.
- Użytkownicy nie są wyświetlani w obszarze Wszyscy użytkownicy , dopóki nie spróbują zalogować się po raz pierwszy.
Zarządzanie członkami grup
Wybierz pozycję Reguły
>>grupy Zarządzaj członkami.
Pozostaw istniejącą automatyzację zarządzania poziomami dostępu dla użytkowników działających zgodnie z rzeczywistym działaniem (na przykład programu PowerShell). Celem jest odzwierciedlenie tych samych zasobów, które są stosowane przez automatyzację do tych użytkowników.
Dodaj członków, a następnie wybierz pozycję Dodaj.
Po przypisaniu tego samego poziomu dostępu do użytkownika użytkownik korzysta tylko z jednego poziomu dostępu. Przypisania użytkowników można wykonywać zarówno bezpośrednio, jak i za pośrednictwem grupy.
Weryfikowanie reguły grupy
Sprawdź, czy zasoby są stosowane do każdej grupy i poszczególnych użytkowników. Wybierz pozycję Wszyscy użytkownicy, wyróżnij użytkownika, a następnie wybierz pozycję Podsumowanie.
Usuwanie przypisań bezpośrednich
Aby zarządzać zasobami użytkownika tylko przez grupy, w których się znajduje, usuń swoje bezpośrednie przypisania. Zasoby przypisane do użytkownika za pośrednictwem indywidualnego przypisania pozostają przypisane do użytkownika. To przypisanie pozostaje bez względu na to, czy zasoby są przypisywane, czy zabierane z grup użytkownika.
Zaloguj się do organizacji (
https://dev.azure.com/{yourorganization}).Wybierz pozycję
Ustawienia organizacji.Wybierz Użytkowników.
Wybierz wszystkich użytkowników z zasobami do zarządzania tylko według grup.
Aby potwierdzić, że chcesz usunąć przypisania bezpośrednie, wybierz pozycję Usuń.
Bezpośrednie przypisania są usuwane z użytkowników.
Jeśli użytkownik nie jest członkiem żadnych grup, nie ma to wpływu na użytkownika.
Często zadawane pytania
.: Jak subskrypcje programu Visual Studio działają z regułami grup?
1: Subskrybenci programu Visual Studio są zawsze bezpośrednio przypisywani za pośrednictwem portalu administracyjnego programu Visual Studio i mają pierwszeństwo przed użyciem poziomów dostępu przypisanych bezpośrednio lub za pośrednictwem reguł grupy. Po wyświetleniu tych użytkowników z Centrum użytkowników źródło licencji zawsze jest wyświetlane jako Bezpośrednie. Jedynym wyjątkiem są subskrybenci programu Visual Studio Professional, którym przypisano plany podstawowe i testowe. Ponieważ plany podstawowe i testowe zapewniają większy dostęp w usłudze Azure DevOps, pierwszeństwo ma subskrypcja programu Visual Studio Professional.
Powiązane artykuły
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla