Atribuir níveis de acesso com regras de grupo
Serviços de DevOps do Azure
O Azure DevOps fornece níveis de acesso baseados em grupo para grupos do Microsoft Entra e grupos do Azure DevOps, permitindo que você gerencie permissões de forma eficiente atribuindo níveis de acesso a grupos inteiros de usuários. Este artigo explica como adicionar uma regra de grupo para atribuir um nível de acesso a um grupo de usuários. Os recursos do Azure DevOps são atribuídos a todos os membros de um grupo.
Atribua uma regra de grupo para gerenciar os níveis de acesso e as associações ao projeto. Quando um usuário é atribuído a várias regras ou grupos do Microsoft Entra com diferentes níveis de acesso, ele recebe o nível de acesso mais alto entre eles. Por exemplo, se John for atribuído a dois grupos do Microsoft Entra com regras de grupo diferentes, um especificando o acesso de partes interessadas e o outro o acesso básico, John receberá acesso básico.
Quando um usuário sai de um grupo do Microsoft Entra, o Azure DevOps ajusta seu nível de acesso de acordo com as regras definidas do grupo. Se o grupo foi a única fonte de acesso do usuário, o Azure DevOps os removerá automaticamente da organização. Se o usuário pertencer a outros grupos, seu nível de acesso e permissões serão reavaliados.
Nota
- As alterações feitas nos leitores de projeto por meio de regras de grupo não persistem. Para ajustar os leitores de projeto, considere métodos alternativos, como atribuição direta ou grupos de segurança personalizados.
- Reveja regularmente as regras listadas no separador "Regras de grupo" da página "Utilizadores". As alterações na associação ao grupo Microsoft Entra ID aparecerão na próxima reavaliação das regras do grupo, que pode ser feita sob demanda, quando uma regra de grupo for modificada ou automaticamente a cada 24 horas. O Azure DevOps atualiza a associação ao grupo do Microsoft Entra a cada hora, mas pode levar até 24 horas para que o Microsoft Entra ID atualize a associação ao grupo dinâmico.
Pré-requisitos
Permissões: seja membro do grupo Administradores da Coleção de Projetos. Os proprietários da organização são automaticamente membros deste grupo.
Adicionar regra de grupo
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}
).Selecione Configurações da organização.
Selecione Permissões e verifique se você é membro do grupo Administradores de Coleção de Projetos .
Selecione Usuários e, em seguida, selecione Regras de grupo. Esta vista mostra-lhe todas as regras de grupo criadas. Selecione Adicionar uma regra de grupo.
As regras de grupo aparecem somente se você for membro do grupo Administradores da Coleção de Projetos .
Preencha a caixa de diálogo do grupo para o qual você deseja criar uma regra. Inclua um nível de acesso para o grupo e qualquer acesso opcional ao projeto para o grupo. Selecione Adicionar.
Uma notificação é exibida, mostrando o status e o resultado da regra. Se a atribuição não puder ser concluída, selecione Exibir status para ver os detalhes.
Importante
- As regras de grupo só se aplicam a usuários sem atribuições diretas e a usuários adicionados ao grupo no futuro. Remova as atribuições diretas para que as regras de grupo se apliquem a esses usuários.
- Os usuários não aparecem em Todos os usuários até que tentem entrar pela primeira vez.
Gerir membros do grupo
Selecione Regras>>de grupo Gerenciar membros.
Mantenha a automação existente para gerenciar os níveis de acesso do usuário em execução no estado em que se encontra (por exemplo, scripts do PowerShell). O objetivo é garantir que os mesmos recursos aplicados pela automação sejam refletidos com precisão para esses usuários.
Adicione membros e selecione Adicionar.
Quando você atribui o mesmo nível de acesso a um usuário, ele consome apenas um nível de acesso, independentemente de a atribuição ser feita diretamente ou por meio de um grupo.
Verificar regra de grupo
Verifique se os recursos são aplicados a cada grupo e usuário individual. Selecione Todos os usuários, realce um usuário e selecione Resumo.
Remover atribuições diretas
Para gerenciar os recursos de um usuário somente por meio de suas associações de grupo, remova todas as atribuições diretas. Os recursos atribuídos a um usuário individualmente permanecem atribuídos, independentemente das alterações nas associações de grupo do usuário.
Inicie sessão na sua organização (
https://dev.azure.com/{yourorganization}
).Selecione Configurações da organização.
Selecione Utilizadores.
Selecione todos os usuários com recursos para gerenciamento somente por grupos.
Para confirmar que deseja remover as atribuições diretas, selecione Remover.
As atribuições diretas são removidas dos usuários. Se um usuário não for membro de nenhum grupo, ele não será afetado.
FAQs
P: Como as assinaturas do Visual Studio funcionam com regras de grupo?
R: Os Subscritores do Visual Studio são sempre atribuídos diretamente através do Portal de Administração do Visual Studio e têm precedência no Azure DevOps sobre os níveis de acesso atribuídos diretamente ou através de regras de grupo. Quando visualiza estes utilizadores a partir do Hub de Utilizadores, a Origem da Licença é sempre apresentada como Direct. A única exceção são os assinantes do Visual Studio Professional aos quais são atribuídos Planos Básicos + de Teste. Como os Planos Básico + de Teste fornecem mais acesso no Azure DevOps, ele tem precedência sobre uma assinatura do Visual Studio Professional.