Добавление групп безопасности и управление ими
Azure DevOps Services
Группы безопасности используются для управления разрешениями и доступом, как описано в разделе "Начало работы с разрешениями, доступом и группами безопасности". Например, участникам группы "Участники" или группе "Проект" Администратор istrators назначаются разрешения, разрешенные для этих групп.
Azure DevOps предварительно настроен с группами безопасности по умолчанию. Вы можете добавлять группы безопасности для организации или проекта и управлять ими с помощью команд az devops security group . Используйте эту команду для выполнения следующих задач.
- Создание новой группы безопасности
- Просмотр групп безопасности и сведений о группе безопасности
- Обновление или удаление группы безопасности
- Управление членством в группах безопасности для групп и пользователей
Примечание.
Эта статья относится только к Azure DevOps Services. Для Azure DevOps Server можно управлять группами безопасности с помощью команды TFSSecurity.
Необходимые компоненты
- Чтобы добавить группы безопасности и управлять ими, необходимо быть членом группы безопасности коллекции проектов Администратор istrator.
- Необходимо установить расширение ИНТЕРФЕЙСА командной строки Azure DevOps, как описано в статье "Начало работы с Azure DevOps CLI".
- Войдите в Azure DevOps с помощью
az login. - В примерах этой статьи задайте организацию по умолчанию следующим образом:
az devops configure --defaults organization=YourOrganizationURL
Команды группы безопасности
| Команда | Description |
|---|---|
az devops security group create |
Создайте группу безопасности Azure DevOps. |
az devops security group delete |
Удалите группу безопасности Azure DevOps. |
az devops security group list |
Список всех групп в проекте или организации. |
az devops security group show |
Отображение сведений о группе. |
az devops security group update |
Обновите имя и описание группы безопасности. |
az devops security group membership add |
Добавьте участника в группу безопасности. |
az devops security group membership list |
Список членства для группы или пользователя. |
az devops security group membership remove |
Удалите участника из группы безопасности. |
Следующие параметры являются необязательными для всех команд, а не перечислены в примерах, приведенных в этой статье.
- обнаружение: автоматическое обнаружение организации. Принятые значения: false, true. Значение по умолчанию — "истина".
- org: URL-адрес организации Azure DevOps. Вы можете настроить организацию по умолчанию с помощью az devops configure -d organization=ORG_URL. Требуется, если не настроено как по умолчанию или выбрано с помощью конфигурации Git. Пример:
--org https://dev.azure.com/MyOrganizationName/.
Создание группы безопасности
Вы можете создать группу безопасности с помощью команды az devops security group create .
az devops security group create [--description]
[--email-id]
[--groups]
[--name]
[--origin-id]
[--project]
[--scope {organization, project}]
Необязательные параметры
- описание новой группы безопасности.
- идентификатор электронной почты: создайте новую группу с помощью адреса электронной почты в качестве ссылки на существующую группу от поставщика поддержки Microsoft Entra. Требуется, если отсутствует имя или идентификатор источника.
- группы: разделенный запятыми список дескрипторов, ссылающихся на группы, которые нужно присоединить только что созданную группу.
- имя: имя новой группы безопасности. Требуется, если идентификатор источника или идентификатор электронной почты отсутствует.
- origin-id: создайте новую группу с помощью OriginID в качестве ссылки на существующую группу из поддерживаемого поставщика Microsoft Entra. Требуется, если отсутствует имя или идентификатор электронной почты.
- проект: имя или идентификатор проекта, в котором должна быть создана группа.
- область. Создание группы на уровне проекта или организации. Допустимые значения : организация и проект (по умолчанию).
Пример
Следующая команда создает группу безопасности управления учетными записями в проекте MyFirstProject и отображает результат в формате таблицы.
az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table
Name Description
----------------------------------- ---------------------------------------------------------------------
[MyFirstProject]\Account Management Management team focused on creating and maintaining customer services
Удаление группы безопасности
Вы можете удалить группу безопасности с помощью команды az devops security group delete .
az devops security group delete --id
[--yes]
Параметры
- идентификатор: обязательный. Дескриптор группы безопасности. Чтобы получить дескриптор, используйте команду az devops security group list .
- Да: Необязательно. Не запрашивайте подтверждение.
Пример
Следующая команда удаляет группу безопасности с указанным дескриптором и не запрашивает подтверждение.
az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes
Перечисление групп безопасности
Вы можете перечислить все группы безопасности в проекте или организации с помощью команды az devops security group list .
az devops security group list [--continuation-token]
[--project]
[--scope {organization, project}]
[--subject-types]
Необязательные параметры
- токен продолжения. Если на одной странице не удается вернуть дополнительные результаты, результирующий набор будет содержать маркер продолжения для получения следующего набора результатов.
- проект: список групп для определенного проекта.
- область. Список групп на уровне проекта или организации. Допустимые значения : организация и проект (по умолчанию).
- темы: разделенный запятыми список подтипов субъекта пользователя для уменьшения полученных результатов. Вы можете предоставить начальную часть дескриптора (до точки) в качестве фильтра, например vssgp,aadgp.
Пример
Следующая команда содержит имя и дескриптор для всех групп безопасности в MyFirstProject и отображает результаты в формате таблицы.
az devops security group list --project MyFirstProject --output table
Name Descriptor
--------------------------------------- --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ
Отображение сведений о группе безопасности
Вы можете отобразить сведения о группе безопасности с помощью команды az devops security group show .
az devops security group show --id
Параметры
- идентификатор: обязательный. Дескриптор группы безопасности.
Пример
Следующая команда содержит сведения о группе безопасности "Допустимые пользователи Проекта" в формате таблицы.
az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table
Name Description
------------------------------------ ------------------------------------------------------
[MyFirstProject]\Project Valid Users Members of this group have access to the team project.
Обновление группы безопасности
Имя и описание группы безопасности можно обновить с помощью команды az devops security update .
az devops security group update --id
[--description]
[--name]
Параметры
- идентификатор: обязательный. Дескриптор группы безопасности.
- description: Необязательный. Новое описание группы безопасности. Обязательный, если имя отсутствует.
- имя: необязательно. Новое имя группы безопасности. Требуется, если описание отсутствует.
Пример
Следующая команда изменяет имя группы безопасности с указанным дескриптором и показывает результат в формате YAML.
az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml
description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
Добавление участника в группу
Вы можете добавить участника в группу безопасности с помощью команды az devops security group membership.
az devops security group membership add --group-id
--member-id
Параметры
- идентификатор группы: обязательный. Дескриптор группы, к которой должен быть добавлен член.
- member-id: обязательный. Дескриптор группы или адреса электронной почты пользователя, добавляемого.
Пример
Следующая команда добавляет пользователя contoso@contoso.com в указанную группу безопасности и отображает результаты в формате таблицы.
az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table
Name Type Email
----------------------------------- ------ -------------------
[MyFirstProject]\Account Management group
contoso@contoso.com user contoso@contoso.com
Перечисление членства для группы или пользователя
Вы можете перечислить членство для группы или пользователя с помощью команды az devops security group membership list .
az devops security group membership list --id
[--relationship {memberof, members}]
Параметры
- идентификатор: обязательный. Дескриптор группы безопасности или адрес электронной почты пользователя, сведения о членстве которого необходимы.
- связь: необязательно. Получение сведений о члене или членах группы. Допустимые значения — члены и члены.
Примеры
Следующая команда содержит список членов указанной группы безопасности и показывает результаты в формате таблицы.
az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table
Name Type Email Descriptor
------------------- ------ ------------------- ----------------------------------------------------
contoso@contoso.com user contoso@contoso.com msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh
Ниже приведен еще один пример, в который перечислены члены команды EMail для проекта Fabrikam Fibre.
az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name Type Email Descriptor
----------------- ------ -------------------------- ----------------------------------------------------
Christie Church user fabrikamfiber1@hotmail.com msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya user fabrikamfiber5@hotmail.com msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw
Удаление члена из группы
Вы можете удалить члена из группы безопасности с помощью команды az devops security group membership .
az devops security group membership remove --group-id
--member-id
[--yes]
Параметры
- идентификатор группы: обязательный. Дескриптор группы, из которой необходимо удалить член.
- member-id: обязательный. Дескриптор группы или адреса электронной почты пользователя, который необходимо удалить.
- Да: Необязательно. Не запрашивайте подтверждение.
Пример
Следующая команда удаляет пользователя contoso@contoso.com из указанной группы безопасности без запроса на подтверждение.
az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes