添加组织用户和管理访问权限

Azure DevOps Services

了解如何将用户添加到组织并通过直接分配管理用户访问权限。 有关添加用户和相关概念的概述,请参阅 关于 Azure DevOps 中的组织管理。 用户可以包括人类用户、服务帐户 和服务主体

以下类型的用户可以免费加入Azure DevOps Services组织:

  • 获取 基本功能(如版本控制、敏捷工具、Java、生成、发布等)的五个用户
  • 获取 利益干系人功能(例如处理积压工作、工作项和查询)的无限用户
  • 同时获得基本或基本 + 测试计划功能的无限 Visual Studio 订阅者 ,具体取决于其订阅级别。

需要更多具有基本功能的用户?

注意

有关邀请外部用户的信息,请参阅 添加外部用户

先决条件

有关支持将用户添加到组织的方法的概述,请参阅 关于组织管理、添加和管理用户访问

向组织添加用户

管理员可以将用户添加到组织、授予对相应工具扩展和服务访问级别的访问权限,以及将用户添加到组 - 所有这些都在一个视图中。

注意

如果你有 Microsoft Entra ID 支持的组织,并且需要添加外部 Microsoft Entra ID 的用户,请先 添加外部用户。 在“告诉我们有关此用户的信息”页上的“用户类型”下,确保选择“具有现有 Microsoft 帐户的用户”。 完成这些步骤后,使用以下步骤将 Microsoft Entra ID 用户添加到 Azure DevOps。

在单个事务中最多可以添加 50 个用户。 当你添加用户时,每个用户都会收到一封通知电子邮件,其中包含指向组织页面的链接。

若要向其他用户授予对组织的访问权限,请添加其电子邮件地址。

  1. () https://dev.azure.com/{yourorganization} 登录到组织。

  2. 选择 gear icon“组织设置”。

    Screenshot showing highlighted Organization settings button.

  3. 选择“ 用户”,然后选择“ 添加用户”。

    Select the Users tab, and then select Add users

  4. 输入以下信息。

    Web portal, organization admin context, Add new users dialog box

    • 用户: 输入用户的电子邮件地址 (Microsoft 帐户) 或 GitHub 用户名。 可以通过使用分号 (;) 来添加多个电子邮件地址。 电子邮件地址在被接受时显示为红色。 有关 GitHub 身份验证的详细信息,请参阅 常见问题解答。 若要添加服务主体,请输入应用程序或托管标识的显示名称。
    • 访问级别: 对于参与代码库的用户,请将访问级别保留为 “基本 ”。 若要了解详细信息,请参阅 关于访问级别
    • 添加到项目: 选择要将其添加到的项目。
    • Azure DevOps 组: 保留为 项目参与者,这是参与项目的用户的默认安全组。 若要了解详细信息,请参阅 默认权限和访问分配

    注意

    为 GitHub 帐户添加个人 Microsoft 帐户和 ID 的电子邮件地址,除非你计划使用 Microsoft Entra ID 对用户进行身份验证并控制组织访问权限。 如果用户没有 Microsoft 或 GitHub 帐户,请要求用户注册 Microsoft 帐户GitHub 帐户

  5. 选择“ 添加” 以完成邀请。

有关用户访问的详细信息,请阅读 访问级别

注意

可以将人员添加到项目而不是组织。 如果组织有可用的席位,则会自动向用户分配 基本功能 ;如果没有 席位,则系统会自动向用户分配利益干系人功能 。 了解如何 将成员添加到项目

当用户不再需要对组织的访问权限时,请将其从组织 中删除

管理用户

在 Web 浏览器中,可以查看和编辑某些用户信息。 在 Azure DevOps CLI 命令中,可以查看有关特定用户的详细信息并更新其访问级别。

“用户”视图在表中显示每个用户的关键信息。 在此视图中,可以执行以下任务:

  • 请参阅和修改分配的服务扩展和访问级别。
  • 多选用户并批量编辑其扩展和访问权限。
  • 通过搜索部分用户名、访问级别或扩展名称进行筛选。
  • 查看每个用户的上次访问日期。 此信息可帮助你选择从中删除访问权限或降低访问权限的用户,以保持在许可证限制范围内。 有关详细信息,请参阅使用 Microsoft Entra ID 管理访问权限。
  1. () https://dev.azure.com/{yourorganization} 登录到组织。

  2. 选择 gear icon“组织设置”。

    Screenshot showing highlighted Organization settings button.

  3. 选择“用户”。

    .

  4. 选择用户或用户组。 然后,选择“名称”列末尾的“操作...”,打开上下文菜单。

    在上下文菜单中,选择以下选项之一:

    • 更改访问级别

    • 管理用户

    • 重新发送邀请

    • 删除直接分配

    • 从组织中删除 (删除用户)

      Select Users, select an item in the context menu

  5. 保存所做更改。

将用户视图限制为组织项目

若要限制所选用户访问组织信息,请启用 “将用户可见性和协作限制为特定项目 ”预览功能,并将用户添加到 “项目范围用户” 组。 添加后,该组中的用户无法访问他们尚未添加到的项目。

注意

添加到 Project-Scoped Users 组的用户和组对项目和组织信息的访问权限有限,以及通过人员选取器选择标识的有限访问权限。 有关详细信息,请参阅 管理组织、限制项目的用户可见性等

完成以下步骤,将用户添加到新的 Project-Scoped Users 组:

  1. () https://dev.azure.com/{yourorganization} 登录到组织。

  2. 启用“ 将用户可见性和协作限制为组织的特定项目 预览功能”。 有关详细信息,请参阅 管理预览功能

    提示

    启用将用户可见性和协作限制到特定项目的预览功能后,“项目范围的用户组”仅显示在“权限>”下。

  3. 将用户或组添加到项目 () ,如 将用户添加到项目或团队中所述。 添加到团队的用户将自动添加到项目和团队组。

  4. 打开 “组织设置”,选择 gear icon“组织设置”。

    Screenshot showing highlighted Organization settings button.

  5. 打开 “安全>权限” ,然后选择“ 项目范围用户”。 选择“ 成员 ”选项卡。添加要限定到项目的所有用户和组, (已向其添加) 。

重要

  • 本部分所述的有限可见性功能仅适用于通过 Web 门户的交互。 使用 REST API 或 azure devops CLI 命令,项目成员可以访问受限数据。
  • 在 Microsoft Entra ID 中具有默认访问权限的受限组中具有成员的来宾用户无法搜索具有人员选取器的用户。 当预览功能为组织关闭或来宾用户不是受限组的成员时,来宾用户可以按预期搜索所有 Microsoft Entra 用户。

有关详细信息,请参阅 添加或删除用户或组,管理安全组

警告

为组织启用特定项目预览功能的“限制用户可见性和协作”时,项目范围内的用户无法通过 Microsoft Entra 组成员身份(而不是显式用户邀请)搜索已添加到组织的用户。 这是一种意外的行为,正在处理解决方法。 若要自行解决此问题,请禁用组织的 “将用户可见性和协作限制为特定项目 ”预览功能。

常见问题解答

问:可以添加哪些电子邮件地址?

答:

  • 如果组织已连接到 Microsoft Entra ID,则只能将内部的电子邮件地址添加到目录中。

  • 添加具有“个人”Microsoft 帐户的用户的电子邮件地址,除非使用组织的目录对用户进行身份验证并通过 Microsoft Entra ID 控制访问权限

  • 如果组织已连接到目录,则所有用户必须是目录成员。 他们必须使用目录管理的工作或学校帐户登录到 Azure DevOps。 如果它们不是成员,则需要 将其添加到目录

Add members' sign-in addresses or display names

将成员添加到项目后,每个成员都会收到一封链接到组织的邀请电子邮件。 他们可以使用此链接登录到组织并查找项目。 首次登录时,可能会要求首次成员提供额外的详细信息,以个性化其体验。

问:如果用户没有收到或丢失邀请电子邮件,该怎么办?

答:

  • 对于连接到 Microsoft Entra ID 的组织:如果要从 Microsoft Entra ID 外部邀请用户,则必须使用电子邮件。 从组织中删除用户会删除其访问权限和许可证。 但是,分配给它们的任何项目保持不变。 如果用户存在于 Microsoft Entra 租户中,则始终可以邀请用户回到组织。 从 Microsoft Entra ID 中删除它们后,无法向其分配任何项目(工作项、拉取请求等)。 我们保留已分配给用户的项目的历史记录。

  • 对于 具有 Microsoft 帐户的组织:可以将电子邮件包含的项目页面的链接发送给新团队成员。 从组织中删除用户会删除其访问权限和许可证。 不能再向这些用户分配任何项目 (工作项、拉取请求等) 。 但是,分配给它们的任何项目保持不变。

问:为什么我不能再添加任何成员?

答: 请参阅 问:为什么我不能再向项目添加任何成员?

问: 访问权限权限有何不同?

答: 访问级别根据用户的订阅控制用户对所选 Web 门户功能的访问权限。 权限控制用户对选择操作的访问权限,具体取决于安全组成员身份或特定访问控制级别 (ACL) 对特定用户或组的分配。

后续步骤