Dodawanie grup zabezpieczeń i zarządzanie nimi
Azure DevOps Services
Grupy zabezpieczeń służą do zarządzania uprawnieniami i dostępem zgodnie z opisem w temacie Rozpoczynanie pracy z uprawnieniami, dostępem i grupami zabezpieczeń. Na przykład członkowie grupy Współautorzy lub Grupa Administracja istratorów projektu mają przypisane uprawnienia, które są dozwolone dla tych grup.
Usługa Azure DevOps jest wstępnie skonfigurowana z domyślnymi grupami zabezpieczeń. Grupy zabezpieczeń dla organizacji lub projektu można dodawać i zarządzać nimi za pomocą poleceń az devops security group . Użyj tego polecenia, aby wykonać następujące zadania.
- Tworzenie nowej grupy zabezpieczeń
- Wyświetlanie grup zabezpieczeń i szczegółów grupy zabezpieczeń
- Aktualizowanie lub usuwanie grupy zabezpieczeń
- Zarządzanie członkostwem w grupach zabezpieczeń dla grup i użytkowników
Uwaga
Ten artykuł dotyczy tylko usług Azure DevOps Services. W przypadku usługi Azure DevOps Server można zarządzać grupami zabezpieczeń przy użyciu polecenia TFSSecurity.
Wymagania wstępne
- Aby dodać grupy zabezpieczeń i zarządzać nimi, musisz być członkiem grupy zabezpieczeń Kolekcja projektów Administracja istrators.
- Musisz mieć zainstalowane rozszerzenie interfejsu wiersza polecenia usługi Azure DevOps zgodnie z opisem w temacie Rozpoczynanie pracy z interfejsem wiersza polecenia usługi Azure DevOps.
- Zaloguj się do usługi Azure DevOps przy użyciu polecenia
az login
. - W przykładach w tym artykule ustaw domyślną organizację w następujący sposób:
az devops configure --defaults organization=YourOrganizationURL
.
Polecenia grupy zabezpieczeń
Polecenie | opis |
---|---|
az devops security group create |
Utwórz grupę zabezpieczeń usługi Azure DevOps. |
az devops security group delete |
Usuń grupę zabezpieczeń usługi Azure DevOps. |
az devops security group list |
Wyświetl listę wszystkich grup w projekcie lub organizacji. |
az devops security group show |
Pokaż szczegóły grupy. |
az devops security group update |
Zaktualizuj nazwę i opis grupy zabezpieczeń. |
az devops security group membership add |
Dodaj członka do grupy zabezpieczeń. |
az devops security group membership list |
Wyświetl listę członkostw dla grupy lub użytkownika. |
az devops security group membership remove |
Usuń członka z grupy zabezpieczeń. |
Następujące parametry są opcjonalne dla wszystkich poleceń, a nie wymienione w przykładach podanych w tym artykule.
- wykryj: Automatycznie wykrywaj organizację. Zaakceptowane wartości: false, true. Ustawieniem domyślnym jest true.
- org: Adres URL organizacji usługi Azure DevOps. Domyślną organizację można skonfigurować przy użyciu polecenia az devops configure -d organization=ORG_URL. Wymagane, jeśli ustawienie nie jest skonfigurowane jako domyślne lub odebrane za pośrednictwem konfiguracji usługi Git. Przykład:
--org https://dev.azure.com/MyOrganizationName/
.
Tworzenie grupy zabezpieczeń
Grupę zabezpieczeń można utworzyć za pomocą polecenia az devops security group create .
az devops security group create [--description]
[--email-id]
[--groups]
[--name]
[--origin-id]
[--project]
[--scope {organization, project}]
Parametry opcjonalne
- opis: Opis nowej grupy zabezpieczeń.
- email-id: utwórz nową grupę przy użyciu adresu e-mail jako odwołania do istniejącej grupy od dostawcy wspieranego przez firmę Microsoft Entra. Wymagane, jeśli brakuje nazwy lub identyfikatora źródła.
- groups: rozdzielona przecinkami lista deskryptorów odwołujące się do grup, do których ma zostać dołączona nowo utworzona grupa.
- name: nazwa nowej grupy zabezpieczeń. Wymagane, jeśli brakuje identyfikatora źródła lub adresu e-mail .
- origin-id: utwórz nową grupę przy użyciu identyfikatora OriginID jako odwołania do istniejącej grupy od dostawcy wspieranego przez firmę Microsoft Entra. Wymagane, jeśli brakuje nazwy lub identyfikatora e-mail.
- project: nazwa lub identyfikator projektu, w którym ma zostać utworzona grupa.
- zakres: Utwórz grupę na poziomie projektu lub organizacji. Akceptowane wartości to organizacja i projekt (wartość domyślna).
Przykład
Następujące polecenie tworzy grupę zabezpieczeń Zarządzanie kontami w projekcie MyFirstProject i pokazuje wynik w formacie tabeli.
az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table
Name Description
----------------------------------- ---------------------------------------------------------------------
[MyFirstProject]\Account Management Management team focused on creating and maintaining customer services
Usuwanie grupy zabezpieczeń
Grupę zabezpieczeń można usunąć za pomocą polecenia az devops security group delete .
az devops security group delete --id
[--yes]
Parametry
- id: wymagane. Deskryptor grupy zabezpieczeń. Aby uzyskać deskryptor, użyj polecenia az devops security group list .
- Tak: opcjonalne. Nie monituj o potwierdzenie.
Przykład
Następujące polecenie usuwa grupę zabezpieczeń z określonym deskryptorem i nie wyświetla monitu o potwierdzenie.
az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes
Wyświetlanie listy grup zabezpieczeń
Możesz wyświetlić listę wszystkich grup zabezpieczeń w projekcie lub organizacji za pomocą polecenia az devops security group list .
az devops security group list [--continuation-token]
[--project]
[--scope {organization, project}]
[--subject-types]
Parametry opcjonalne
- token-kontynuacji: jeśli na jednej stronie nie można zwrócić większej liczby wyników, zestaw wyników będzie zawierać token kontynuacji do pobierania następnego zestawu wyników.
- project: Wyświetlanie listy grup dla określonego projektu.
- zakres: Wyświetl listę grup na poziomie projektu lub organizacji. Akceptowane wartości to organizacja i projekt (wartość domyślna).
- subject-types: rozdzielona przecinkami lista podtypów podmiotów użytkownika w celu zmniejszenia pobranych wyników. Możesz nadać początkową część deskryptora (przed kropką) jako filtr, na przykład vssgp, aadgp.
Przykład
Poniższe polecenie wyświetla nazwę i deskryptor dla wszystkich grup zabezpieczeń w programie MyFirstProject i pokazuje wyniki w formacie tabeli.
az devops security group list --project MyFirstProject --output table
Name Descriptor
--------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ
Pokaż szczegóły grupy zabezpieczeń
Szczegóły grupy zabezpieczeń można wyświetlić za pomocą polecenia az devops security group show .
az devops security group show --id
Parametry
- id: wymagane. Deskryptor grupy zabezpieczeń.
Przykład
Poniższe polecenie zawiera szczegóły grupy zabezpieczeń Project Valid Users w formacie tabeli.
az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table
Name Description
------------------------------------ ------------------------------------------------------
[MyFirstProject]\Project Valid Users Members of this group have access to the team project.
Aktualizowanie grupy zabezpieczeń
Nazwę i opis grupy zabezpieczeń można zaktualizować za pomocą polecenia az devops security group update .
az devops security group update --id
[--description]
[--name]
Parametry
- id: wymagane. Deskryptor grupy zabezpieczeń.
- opis: Opcjonalnie. Nowy opis grupy zabezpieczeń. Wymagane, jeśli brakuje nazwy .
- name: Opcjonalnie. Nowa nazwa grupy zabezpieczeń. Wymagane, jeśli brakuje opisu .
Przykład
Następujące polecenie zmienia nazwę grupy zabezpieczeń za pomocą określonego deskryptora i pokazuje wynik w formacie YAML.
az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml
description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
Dodawanie członka do grupy
Możesz dodać członka do grupy zabezpieczeń za pomocą polecenia az devops security group add .
az devops security group membership add --group-id
--member-id
Parametry
- group-id: wymagane. Deskryptor grupy, do której ma zostać dodany element członkowski.
- member-id: wymagane. Deskryptor grupy lub adresu e-mail użytkownika do dodania.
Przykład
Następujące polecenie dodaje użytkownika contoso@contoso.com do określonej grupy zabezpieczeń i pokazuje wyniki w formacie tabeli.
az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table
Name Type Email
----------------------------------- ------ -------------------
[MyFirstProject]\Account Management group
contoso@contoso.com user contoso@contoso.com
Wyświetlanie listy członkostw dla grupy lub użytkownika
Możesz wyświetlić listę członkostw dla grupy lub użytkownika za pomocą polecenia az devops security group membership list .
az devops security group membership list --id
[--relationship {memberof, members}]
Parametry
- id: wymagane. Deskryptor grupy zabezpieczeń lub adres e-mail użytkownika, którego szczegóły członkostwa są wymagane.
- relacja: opcjonalnie. Uzyskaj informacje o członkach lub członkach grupy. Zaakceptowane wartości to element członkowski i elementy członkowskie.
Przykłady
Poniższe polecenie wyświetla listę elementów członkowskich określonej grupy zabezpieczeń i pokazuje wyniki w formacie tabeli.
az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table
Name Type Email Descriptor
------------------- ------ ------------------- ----------------------------------------------------
contoso@contoso.com user contoso@contoso.com msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh
Oto kolejny przykład, który zawiera listę członków zespołu EMail dla projektu Fabrikam Fiber.
az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name Type Email Descriptor
----------------- ------ -------------------------- ----------------------------------------------------
Christie Church user fabrikamfiber1@hotmail.com msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya user fabrikamfiber5@hotmail.com msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw
Usuwanie członka z grupy
Możesz usunąć członka z grupy zabezpieczeń za pomocą polecenia az devops security group remove .
az devops security group membership remove --group-id
--member-id
[--yes]
Parametry
- group-id: wymagane. Deskryptor grupy, z której należy usunąć element członkowski.
- member-id: wymagane. Deskryptor grupy lub adresu e-mail użytkownika do usunięcia.
- Tak: opcjonalne. Nie monituj o potwierdzenie.
Przykład
Następujące polecenie usuwa użytkownika contoso@contoso.com z określonej grupy zabezpieczeń bez monitowania o potwierdzenie.
az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes