使用安全组管理用户和组

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

若要管理权限和访问权限,请使用安全组。 可以使用默认组或自定义组来设置权限。 可以将用户和组添加到多个组。 例如,将大多数开发人员添加到 参与者 组。 当他们加入团队时,他们还加入团队的组。

有关详细信息,请参阅以下文章:

用户从他们所属的组继承权限。 如果权限设置为“允许一个组”,而“拒绝”为用户所属的另一个组,则其有效权限分配为“拒绝”。 有关详细信息,请参阅 “关于权限/继承”。

Azure DevOps 如何使用安全组

Azure DevOps 将安全组用于以下目的:

  • 确定分配给组或用户的权限
  • 确定分配给组或用户的访问权限级别
  • 根据组中的成员身份筛选工作项查询
  • 使用项目级组的@mention将电子邮件通知发送到该组的成员
  • 向工作组成员发送团队通知
  • 将组添加到基于角色的权限
  • 将对象级权限设置为安全组

注意

安全组在组织级别进行管理,即使它们用于特定项目也是如此。 根据用户权限,某些组可能在 Web 门户中隐藏。 若要查看组织中的所有组名称,可以使用 Azure DevOps CLI 工具或 REST API。 有关详细信息,请参阅 “添加和管理安全组”。

注意

安全组在集合级别进行管理,即使它们用于特定项目也是如此。 根据用户权限,某些组可能在 Web 门户中隐藏。 若要查看集合中的所有组名称,可以使用 Azure DevOps CLI 工具或 REST API。 有关详细信息,请参阅 “添加和管理安全组”。

注意

安全组在集合级别进行管理,即使它们用于特定项目也是如此。 根据用户权限,某些组可能在 Web 门户中隐藏。 若要查看集合中的所有组名称,可以使用 REST API。 有关详细信息,请参阅 “添加和管理安全组”。

先决条件

  • 若要在项目级别管理权限或组,你必须是项目管理员组的成员。 如果创建了项目,系统会自动将你添加为此组的成员。
  • 若要在集合或实例级别管理权限或组,你必须是项目集合管理员组的成员。 如果创建了组织或集合,则会自动添加为此组的成员。

注意

添加到 项目范围的用户组 的用户无法访问大多数 组织设置 页面,包括权限。 有关详细信息,请参阅 管理组织、限制项目的用户可见性等

创建自定义安全组

如果要在项目或对象级别管理权限,请创建项目级组。 如果要在集合级别管理权限,请创建集合级组。 有关详细信息,请参阅 更改项目级权限更改项目集合级权限

注意

若要打开 “项目权限设置”页“组织权限设置”页 v2 预览页,请参阅 “启用预览功能”。 这两个预览页都提供当前页面未提供的组设置页。

创建项目级组

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 要选择其他项目,请参阅切换项目、存储库、团队

  2. 选择“项目设置>权限”。

    屏幕截图,打开“项目设置”、“权限”。

  3. 选择“新建组以打开用于添加组的对话框。

创建项目集合级组

  1. 打开 Web 门户并选择 Azure DevOps 图标,然后选择“组织设置”。

    打开组织设置的屏幕截图。

  2. 在“安全性”下,选择“权限,然后选择“新建”组以打开用于添加组的对话框。

    显示在组织级别创建安全组的屏幕截图。

定义新组

  1. 在打开的对话框中,输入 组的名称 。 (可选)添加组的成员和说明。

    例如,此处我们定义了工作跟踪管理员组。

    安全组对话框的屏幕截图,其中“在组织级别添加安全组”。

  2. 完成后选择“ 创建 ”。

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 要选择其他项目,请参阅切换项目、存储库、团队

  2. 选择“项目设置>安全性”。

    若要查看完整图像,请选择展开

    “项目设置,安全”页的屏幕截图。

  3. “组”下,选择以下选项之一:

    • 读者:若要添加需要对项目具有只读访问权限的用户,请选择。
    • 参与者:添加对此项目完全参与或已被授予利益干系人访问权限的用户。
    • 项目管理员:添加需要管理项目的用户。 有关详细信息,请参阅 更改项目级权限
  4. 选择“成员”选项卡。

    在这里,我们选择 “参与者” 组。

    显示“安全”页、“参与者组”和“成员身份”页的屏幕截图。

    默认团队组以及添加到项目的任何其他团队将作为 “参与者” 组的成员包含在内。 改为将新用户添加为团队成员,用户会自动继承参与者权限。

    提示

    使用组(而不是单个用户)管理用户要容易得多。

  5. 选择 “添加” 以添加用户或用户组。

  6. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择满足要求的匹配 (es) 。

    显示“添加用户和组”对话框、服务器版本的屏幕截图。

    首次将用户或组添加到 Azure DevOps 时,无法浏览到该用户或组或检查友好名称。 添加标识后,只需输入友好名称即可。

  7. 完成后,选择“ 保存更改 ”。

  8. (可选) 可以自定义用户对项目中其他功能的权限。 例如,在 区域和迭代共享查询中。

    注意

    具有有限访问权限(如利益干系人)的用户无法访问选择功能,即使向这些功能授予了权限。 有关详细信息,请参阅 权限和访问权限

将用户或组添加到安全组

随着角色和职责的变化,可能需要更改项目的各个成员的权限级别。 最简单的方法是将用户或用户组添加到默认安全组或自定义安全组。 如果角色发生更改,则可以从组中删除用户。

下面介绍如何将用户添加到内置 项目管理员 组。 无论要添加哪个组,该方法都是相似的。 如果组织已连接到 Microsoft Entra ID 或 Active Directory,则可以将这些目录中定义的安全组添加到 Azure DevOps 安全组。 有关详细信息,请参阅 将 Active Directory/Microsoft Entra 用户或组添加到内置安全组。 如果需要将超过 10k 个用户或组添加到 Azure DevOps 安全组,建议添加包含用户的 Azure Directory/Microsoft Entra 组,而不是直接添加用户。

注意

若要打开 “项目权限设置”页“组织权限设置”页 v2 预览页,请参阅 “启用预览功能”。 这两个预览页都提供当前页面未提供的组设置页。

  1. 如上一部分所述,打开项目级别或组织级别的“权限”页,创建自定义安全组

  2. 选择要管理其成员的安全组,然后选择“ 成员 ”选项卡,然后选择“ 添加”。

    例如,此处选择 “项目管理员 ”组、 “成员”,然后选择 “添加”。

    项目设置 > 权限,添加成员

  3. 在文本框中输入用户帐户的名称,然后从显示的匹配项中进行选择。 可以将系统识别的多个标识输入到 “添加用户和/或组 ”框中。 系统会自动搜索匹配项。 选择满足你选择的匹配项。

    添加用户和组对话框,预览页。

    注意

    具有有限访问权限(如利益干系人)的用户无法访问选择功能,即使向这些功能授予了权限。 有关详细信息,请参阅 权限和访问权限

  4. 选择“保存”。

  1. 如上一部分所述,打开项目级别或组织级别的“权限”页,创建自定义安全组

  2. 选择要管理其成员的安全组,然后选择“ 成员 ”选项卡,然后选择“ 添加”。

    例如,此处选择 “项目管理员 ”组、 “成员”,然后选择 “添加”。

    “项目设置”、“安全性”、“添加成员”页的屏幕截图。

  3. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择符合你的选择的匹配 (es) 。

    本地“添加用户和组”对话框的屏幕截图。

    注意

    具有有限访问权限(如利益干系人)的用户无法访问选择功能,即使向这些功能授予了权限。 有关详细信息,请参阅 权限和访问权限

  4. 选择“ 保存更改”。 选择 刷新图标以查看添加内容。

更改用户或组的权限

由于权限在不同级别定义,请查看以下文章,打开要更改的权限对话框:

从安全组中删除用户或组

  1. 对于要删除的用户或组,请选择“删除更多选项”。>

    删除用户云版本的屏幕截图。

  2. 选择“删除”以确认删除组成员。

    “删除用户确认”对话框(云版本)的屏幕截图。

  • 若要从组中删除用户,请选择 要删除的用户名旁边的“删除 ”。

    “删除用户确认”对话框(本地版本)的屏幕截图。

管理组设置

注意

若要打开 “项目权限设置”页“组织权限设置”页 v2 预览页,请参阅 “启用预览功能”。 这两个预览页都提供当前页面未提供的组设置页。

  1. 如本文前面所述,打开项目级别或组织级别的“权限”页,创建自定义安全组

  2. 选择“设置”选项卡。可以通过组“设置”页更改组说明、添加组图像或删除组

从“项目设置>权限”或“组织设置权限>页中,选择要管理的组,然后选择“设置”。

例如,此处打开“工作跟踪管理员”组的设置。

“打开组设置,预览”页的屏幕截图。

可以修改组名称、组说明、上传图像或删除组。


可以更改组名称、说明、添加组映像或删除组。

  1. 从“项目>设置>安全性”或“组织>设置安全性”>页中,选择要管理的组

  2. “编辑”菜单选择“编辑配置文件”或“删除”。

    例如,此处打开 “利益干系人访问”组的“编辑”配置文件

    打开“编辑组配置文件”,本地版本。

    。 。 。 并更改说明。 还可以更改组的名称。

    编辑组对话框配置文件说明,本地版本。

  3. 选择“ 保存” 以保存更改。

本地部署

有关本地部署,请参阅以下其他文章:

如果本地部署与 SQL Server 报表集成,则需要从其网站中单独管理这些产品的成员身份。 请参阅 授予在 TFS 中查看或创建 SQL Server 报表的权限。

后续步骤