使用组规则分配访问级别

  • 项目

Azure DevOps Services

Azure DevOps 为 Microsoft Entra 组和 Azure DevOps 组提供基于组的访问级别。 通过向整个用户组分配访问级别,这些组允许你有效地管理权限。 本文介绍如何添加组规则以向该用户组分配访问级别。 Azure DevOps 资源将分配给组的所有成员。

分配组规则以支持访问级别和项目成员身份。 用户分配到多个规则或 Microsoft Entra 组时获得最高访问级别,这些规则指定不同的访问级别。 例如,如果 John 分配到两个 Microsoft Entra 组和两个不同的组规则,这些规则指定利益干系人访问权限和其他基本访问权限,则 John 的访问级别为 Basic。

当用户离开 Microsoft Entra 组时,Azure DevOps 会根据为该组定义的规则调整其访问级别。 用户保留在 Azure DevOps 中,但可能具有不同的权限或访问权限。 分配给用户的最高访问级别决定了其最终权限。

注意

  • 通过组规则对 项目读取者 所做的更改不会保留。 如果需要调整项目读取器,请考虑替代方法,例如 直接分配自定义安全组
  • 建议定期查看“用户”页的“组规则”选项卡上列出的规则。 如果对 Microsoft Entra ID 组成员身份进行了任何更改,这些更改将显示在组规则的下一次重新评估中,这些更改可在修改组规则时按需完成,或每隔 24 小时自动执行一次。 Azure DevOps 每小时更新 Microsoft Entra 组成员身份,但 Microsoft Entra ID 可能需要长达 24 小时才能更新 动态组成员身份

先决条件

  • 若要管理组规则,您必须是 Project Collection 管理员istrators 组的成员。 如果你不是成员, 请将其添加为一个成员。

添加组规则

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 gear icon“组织设置”。

    Screenshot showing highlighted Organization settings button.

  3. 选择“ 权限”,然后验证你是 “项目集合管理员 ”组的成员。

    Screenshot showing project collection administrators group members.

  4. 选择“ 用户”,然后选择“ 组规则”。 此视图显示所有创建的组规则。 选择“ 添加组规则”。

    Screenshot showing selected Add a group rule button.

    仅当您是“项目集合管理员”组的成员时,才会显示组规则

  5. 完成要为其创建规则的组的对话框。 包括组的访问级别和组的任何可选项目访问权限。 选择 添加

    Screenshot showing Add a group rule dialog.

    将显示一条通知,显示规则的状态和结果。 如果无法完成分配,请选择“ 查看状态 ”以查看详细信息。

    Screenshot showing Group rule completed.

重要

  • 组规则仅适用于没有直接分配的用户,以及以后添加到组的用户。 删除直接分配 ,以便组规则应用于这些用户。
  • 在用户首次尝试登录之前,用户不会显示在 所有用户 中。

管理组成员

  1. 选择“ 组规则>>”“管理成员”。 Screenshot shows highlighted group rule for managing members.

    保留现有自动化,以管理按原样运行的用户的访问级别 (例如 PowerShell) 。 目标是反映自动化应用于这些用户的相同资源。

  2. 添加成员,然后选择“ 添加”。

    Screenshot of Adding a group member.

    将相同的访问级别分配给某个用户时,该用户只使用一个访问级别。 用户分配既可以直接进行,也可以通过组进行。

验证组规则

验证资源是否已应用于每个组和单个用户。 选择“ 所有用户”,突出显示某个用户,然后选择“ 摘要”。

Screenshot showing verification of user summary for group rule.

删除直接分配

若要仅按用户所在组管理用户的资源,请删除其直接分配。 通过单个分配分配给用户的资源将保留分配给该用户。 无论资源是已分配还是从用户组中取出,此分配都保持不变。

  1. (https://dev.azure.com/{yourorganization}) 登录到组织。

  2. 选择 gear icon“组织设置”。

    Screenshot showing highlighted Organization settings button.

  3. 选择用户

    Screenshot showing selected Users tab.

  4. 选择具有仅按组管理的资源的所有用户。

    Screenshot showing Selected group rules for migration.

  5. 若要确认是否要删除直接分配,请选择“ 删除”。

    Screenshot of confirmation to Remove.

    直接分配将从用户中删除。

    如果用户不是任何组的成员,则该用户不受影响。

常见问题

问:Visual Studio 订阅如何使用组规则?

答:Visual Studio 订阅服务器始终通过 Visual Studio 管理员 门户直接分配,在 Azure DevOps 中优先于直接分配或通过组规则分配的访问级别。 从用户中心查看这些用户时,许可证源始终显示为 Direct。 唯一的例外是分配了基本 + 测试计划的 Visual Studio Professional 订阅者。 由于基本 + 测试计划在 Azure DevOps 中提供了更多访问权限,因此优先于 Visual Studio Professional 订阅。