Atribuir níveis de acesso com regras de grupo

Azure DevOps Services

O Azure DevOps fornece níveis de acesso baseados em grupo para grupos do Microsoft Entra e grupos do Azure DevOps. Esses grupos permitem que você gerencie permissões de forma eficiente, atribuindo níveis de acesso a grupos inteiros de usuários. Neste artigo, saiba como adicionar uma regra de grupo para atribuir um nível de acesso a esse grupo de usuários. Os recursos de DevOps do Azure são atribuídos a todos os membros de um grupo.

Atribua regras de grupo para oferecer suporte a níveis de acesso e associações de projeto. Os usuários obtêm o nível de acesso mais alto quando são atribuídos a mais de uma regra ou grupo do Microsoft Entra, que especificam diferentes níveis de acesso. Por exemplo, se João for atribuído a dois grupos do Microsoft Entra e a duas regras de Grupo diferentes que especificam o acesso de Partes Interessadas e o outro acesso Básico, o nível de acesso de João será Básico.

Quando os usuários saem do grupo Microsoft Entra, o Azure DevOps ajusta seu nível de acesso com base nas regras definidas para esse grupo. O usuário permanece no Azure DevOps, mas pode ter permissões ou direitos de acesso diferentes. O nível de acesso mais alto atribuído ao usuário determina suas permissões finais.

Observação

• As alterações feitas nos leitores do projeto por meio de regras de grupo não persistem. Se você precisar ajustar os leitores do projeto, considere métodos alternativos, como atribuição direta ou grupos de segurança personalizados.
• Recomendamos que você examine regularmente as regras listadas na guia "Regras de grupo" da página "Usuários". Se alguma alteração for feita na associação ao grupo ID do Microsoft Entra, essas alterações aparecerão na próxima reavaliação das regras de grupo, que pode ser feita sob demanda, quando uma regra de grupo é modificada ou automaticamente a cada 24 horas. O Azure DevOps atualiza a associação de grupo do Microsoft Entra a cada hora, mas pode levar até 24 horas para que a ID do Microsoft Entra atualize a associação de grupo dinâmico.

Pré-requisitos

• Para gerenciar regras de grupo, você deve ser membro do grupo Administradores de Coleção de Projetos . Se você não é um membro, seja adicionado como um.

Adicionar regra de grupo

1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Configurações da organização.

   

3. Selecione Permissões e verifique se você é membro do grupo Administradores de Coleção de Projetos .

   

4. Selecione Usuários e, em seguida, selecione Regras de grupo. Essa exibição mostra todas as regras de grupo criadas. Selecione Adicionar uma regra de grupo.

   

   As regras de grupo só aparecerão se você for membro do grupo Administradores de Coleção de Projetos .

5. Preencha a caixa de diálogo do grupo para o qual você deseja criar uma regra. Inclua um nível de acesso para o grupo e qualquer acesso de projeto opcional para o grupo. Selecione Adicionar.

   

   Uma notificação é exibida, mostrando o status e o resultado da regra. Se a atribuição não puder ser concluída, selecione Exibir status para ver os detalhes.

   

Importante

• As regras de grupo só se aplicam aos usuários sem atribuições diretas e aos usuários adicionados ao grupo daqui para frente. Remova as atribuições diretas para que as regras de grupo se apliquem a esses usuários.
• Os usuários não aparecem em Todos os usuários até que tentem entrar pela primeira vez.

Gerenciar membros do grupo

1. Selecione Regras de grupo>>Gerenciar membros.

   Deixe a automação existente para gerenciar níveis de acesso para usuários em execução no modo em que se encontra (por exemplo, o PowerShell). A meta é refletir os mesmos recursos que a automação está aplicando a esses usuários.

2. Adicione membros e, em seguida, selecione Adicionar.

   

   Quando você atribui o mesmo nível de acesso a um usuário, o usuário consome apenas um nível de acesso. As atribuições de usuário podem ser feitas diretamente e por meio de um grupo.

Verificar regra de grupo

Verifique se os recursos são aplicados a cada grupo e usuário individual. Selecione Todos os usuários, realce um usuário e, em seguida, selecione Resumo.

Remover atribuições diretas

Para gerenciar os recursos de um usuário somente pelos grupos em que ele está, remova suas atribuições diretas. Os recursos atribuídos a um usuário por meio de atribuição individual permanecem atribuídos ao usuário. Essa atribuição permanece se os recursos são atribuídos ou retirados dos grupos do usuário.

1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Configurações da organização.

   

3. Selecione Usuários.

   

4. Selecione todos os usuários com recursos para gerenciamento somente por grupos.

   

5. Para confirmar que você deseja remover as atribuições diretas, selecione Remover.

   

   As atribuições diretas são removidas dos usuários.

   Se um usuário não for membro de nenhum grupo, o usuário não será afetado.

Perguntas Frequentes

P: Como as assinaturas do Visual Studio funcionam com regras de grupo?

R: Os Assinantes do Visual Studio são sempre atribuídos diretamente por meio do Portal de Administração do Visual Studio e têm precedência no Azure DevOps sobre os níveis de acesso atribuídos diretamente ou por meio de regras de grupo. Quando você exibe esses usuários do Hub de Usuários, a Fonte de Licença sempre é exibida como Direta. A única exceção são os assinantes do Visual Studio Professional que recebem Planos Básicos + de Teste. Como o Basic + Test Plans fornece mais acesso no Azure DevOps, ele tem precedência sobre uma assinatura do Visual Studio Professional.

Artigos relacionados

• Instalar usuários ou grupos do Active Directory e do Microsoft Entra em um grupo de segurança interno
• Sobre como acessar sua organização com o Microsoft Entra ID
• Gerenciar grupos do Microsoft Entra