第一次使用受控 DevOps 集區之前,您需要先準備一些事項。
概括而言,您需要:
- 有效的訂閱的 Azure 帳號,已註冊的受控 DevOps 集區資源提供者
- 在 Azure 訂用帳戶中建立受控的 DevOps 資源池的許可權
- Azure DevOps 組織,連線至將管理受控 DevOps 集區的使用者的 Microsoft Entra ID 租戶。
- 在 Azure DevOps 組織中建立受控 DevOps 集區的許可權
本文說明如何設定 Azure 訂用帳戶和 Azure DevOps 組織,以搭配受控 DevOps 集區使用。 這些設定步驟只需要針對每個 Azure DevOps 組織和 Azure 訂用帳戶執行一次。
備註
如果您要從管線建立受控DevOps集區,請將 驗證 Azure 許可權 和 驗證 Azure DevOps 許可權 中所述的許可權授與服務連線的應用程式註冊或受控識別,而不是您的帳戶。 如需詳細資訊,請參閱 使用 Azure Resource Manager 服務連線到 Azure 和使用 Azure DevOps 中的服務主體和受控識別。
設定您的 Azure 訂用帳戶
- 驗證 Azure 權限
- 在 Azure 訂用帳戶中註冊受控 DevOps 集區資源提供者
- 檢閱受控DevOps集區配額
- 建立開發人員中心和開發人員中心專案 (如果您打算使用 Azure 入口網站建立受控 DevOps 集區,您可以在集區建立程式期間建立開發人員中心和開發人員中心專案。
驗證 Azure 權限
若要建立和管理受控 DevOps 集區,您必須在要建立受控 DevOps 集區的 Azure 訂用帳戶中,將下列其中一個角色指派給您的帳戶。 下列角色會依最低權限到最高權限的順序列出。 DevOps 基礎結構參與者 是最低許可權角色,可讓您建立和管理受控 DevOps 集區。
| 角色 | 描述 |
|---|---|
| DevOps 基礎結構參與者 | 此角色可讓您在指定的 範圍內建立和管理受控 DevOps 集區,但不能建立其他 Azure DevOps 資源。 |
| 參與者 | 此 特殊許可權 角色可讓您建立和管理受控 DevOps 集區,以及其他 Azure 資源。 |
| 擁有者 | 此 特殊許可權 角色可讓您建立和管理受控 DevOps 集區,以及其他 Azure 資源,包括指派角色的能力。 |
若要檢查您帳戶的角色指派,請參閱 列出 Azure 角色指派。
如需指派角色的相關資訊,請參閱 指派 Azure 角色的步驟。
備註
如果您要從管線建立受控DevOps集區,請將上表的其中一個角色指派給服務連線的應用程式註冊或受控識別。 如需詳細資訊,請參閱 使用 Azure Resource Manager 服務連線到 Azure 和使用 Azure DevOps 中的服務主體和受控識別。
如果您在建立受控 DevOps 集區期間建立開發人員中心和開發人員中心專案,您必須針對您要建立開發人員中心的範圍,將參與者或擁有者角色指派給您的帳戶。 如需詳細資訊,請參閱 建立開發人員中心和開發人員中心專案。
在 Azure 訂用帳戶中註冊受控 DevOps 集區資源提供者
若要使用受控 DevOps 集區,請使用您的 Azure 訂用帳戶註冊下列資源提供者。
| 資源提供者 | 描述 |
|---|---|
| Microsoft.DevOpsInfrastructure | DevOps受控集區的資源提供者 |
| Microsoft.DevCenter | 開發中心和開發中心項目的資源供應商 |
要註冊資源提供者,需使用 /register/action 作業。 如果訂用帳戶的 參與者或擁有者角色 已指派給您的帳戶,則會包含執行此作業的權限。
Azure 入口網站
登入 Azure 入口網站。
在 Azure 入口網站功能表上,搜尋 [訂用帳戶]。 從可用的選項中進行選取。
選擇您打算用於管理 DevOps 集區的 Azure 訂閱。
在左側功能表的 [設定] 下,選取 [資源提供者]。
搜尋 Microsoft.DevOpsInfrastructure、從清單中選取複選框,然後選擇 [ 註冊]。
搜尋 Microsoft.DevCenter。 如果未註冊 Microsoft.DevCenter ,請從清單中選取複選框,然後選擇 [ 註冊]。
若要查看訂用帳戶中支援受控 DevOps 集區的 Azure 區域,請先註冊 Microsoft.DevOpsInfrastructure 提供者,從清單中選取它,然後選擇 [ 位置]。
如需 Azure 資源提供者的詳細資訊,請參閱 Azure 資源提供者和類型。
檢視管理的 DevOps 集區配額
受控DevOps集區會使用 Azure 配額 來管理執行代理程式的虛擬機資源使用量。 受控 DevOps 集區配額是以每個 Azure VM SKU 系列 CPU 核心為基礎。 預設情況下,支援受控 DevOps 資源池的區域獲得五個針對下列 SKU 系列授與的配額核心。
standardBSFamilystandardDADSv5FamilystandardDASv5FamilystandardDDSv5FamilystandardDLDSv5FamilystandardDPLDSv5FamilystandardDPLSv5FamilystandardDPSv5FamilystandardDSv2FamilystandardDSv5FamilystandardDv2FamilystandardEASv4FamilystandardEDSv5FamilystandardESv5FamilystandardFSv2FamilystandardLSv3Family
備註
某些 Azure 區域要求客戶進行 要求程式以取得存取權,而且您的訂用帳戶可能不會獲得預設配額。 如需如何要求配額的指示,請參閱 檢視您的配額 以檢視訂用帳戶的配額,如果您沒有所需虛擬機大小的配額,請參閱 要求配額調整 。
新受控 DevOps 集區資源的預設代理程式大小為 Standard D2ads v5,這是 standardDADSv5Family 的一部分。 標準 D2ads v5 使用兩個核心,因此您可以建立最多兩個代理程式的集區,總共四個核心,而不需要額外的配額。 若要建立更多專案,您必須 要求配額調整。
檢視您的配額
若要檢視您區域中 SKU 系列的配額,請登入 Azure 入口網站,在搜尋方塊中輸入 配額 ,然後從清單中選擇 [ 配額 ]。
選擇 [受控 DevOps 集區]。
選擇您的訂用帳戶和您想要建立集區的區域。 在下列範例中, 標準 DADSv5 系列 vCPU 配額為 8 中的 8 個,這表示有八個核心可供使用,但所有八個都正在使用中。 如果您想要針對此 SKU 使用八個以上的核心,或想要使用不同的沒有配額的 SKU,您可以要求配額調整。
要求配額調整
若要要求增加配額,請在您區域中所需的 SKU 選擇 要求調整。
指定所選 SKU 所需的核心數目,然後選擇 [ 提交]。 在下列範例中, 標準 DSv2 系列 vCPU 要求 20 個核心。
配額要求需要一些時間來處理。 下列範例顯示成功調整配額的結果。
如果配額調整無法自動核准,系統會引導您提交支援要求,如下一節所述。
建立配額支援申請
如果您的訂用帳戶沒有容量以所需的 Azure VM SKU 和最大代理程式計數來設定集區,集區建立會失敗,並出現類似下列訊息的錯誤:
Cores needed to complete this request is 8, which exceeds the current limit of 0 for SKU family standardDDSv4Family in region eastus. Please choose a different region if possible, or request additional quota at https://portal.azure.com/#view/Microsoft_Azure_Support/NewSupportRequestV3Blade/issueType/quota/subscriptionId/subscription_id_placeholder/topicId/3eadc5d3-b59a-3658-d8c6-9c729ba35b97。
移至連結以啟動 新的支援要求 ,以要求增加配額。 選擇 [下一步]。
選擇 [輸入詳細數據]。
輸入 [區域]、 [Sku 系列]、 [新增限制],然後選擇 [ 儲存並繼續]。 在下列範例中, 標準 DDSv4 系列 vCPU 要求 100 個核心。
在此表單中填入下列詳細資料:
嚴重性:根據業務影響,選擇其中一個可用的嚴重性層級。
慣用的連絡方法:您可以選擇透過 電子郵件 或 電話連絡。
選取 [下一步:檢閱+建立]。 驗證提供的資訊,然後選取 [建立] 以建立支援要求。
在24小時內,受控 DevOps 集區支援小組會評估您的請求並回覆您。
建立開發中心和開發中心項目
受控 DevOps 集區需要一個開發中心和一個開發中心專案。 當您在 Azure 入口網站 中建立集區時,您可以選擇建立開發人員中心和開發人員中心專案,但如果您想要事先建立它們,請執行下列步驟。
多個受控DevOps集區可以使用相同的開發人員中心和開發人員中心專案,而開發人員中心專案不需要位於與受控DevOps集區相同的區域或相同的訂用帳戶。
若要建立開發人員中心和開發人員中心專案,您必須在希望建立開發人員中心的範圍內,將您的帳戶指派參與者或擁有者角色。
建立開發人員中心
登入 Azure 入口網站。
在 Azure 入口網站的功能表上,搜尋 開發人員中心,從可用的選項中選取它,然後選擇 [ 建立]。
選擇所需的訂用帳戶、資源組名和位置,然後選擇 [檢閱 + 建立]。
在確認視窗中,選擇 [ 建立] 以建立開發人員中心。
等到建立新的開發人員中心,然後繼續進行下一節並建立開發人員中心專案。
建立開發人員中心專案
移至上一節中建立的開發人員中心,然後選擇 [ 建立專案]。
![[建立開發人員中心專案] 按鈕的螢幕快照](media/prerequisites/create-dev-center-proect-button.png?view=azure-devops)
選擇所需的訂用 帳戶、 資源群組、 開發人員中心、 名稱,然後選擇 [ 檢閱 + 建立]。
在確認視窗中,選擇 [ 建立 ] 以建立開發人員中心專案。
當您建立受控DevOps集區時,請指定您在這些步驟中建立的開發人員中心和開發人員中心專案。
設定您的 Azure DevOps 組織
將 Azure DevOps 組織連線到 Microsoft Entra 識別碼並驗證成員資格
若要在 Azure DevOps 組織中建立受控 DevOps 集區,您的 Azure DevOps 組織必須連線到 Microsoft Entra ID,而且您的使用者帳戶必須是下列Microsoft Entra ID 租用戶的成員:
- 包含管理的 DevOps 集區的 Azure 訂用帳戶的租用戶
- Azure DevOps 組織所連線的租戶
- 在 Azure 入口網站中檢視您目前的目錄 (Azure 租使用者)。
-
檢視 Azure DevOps 組織的租戶。 您可以在 Azure DevOps 入口網站中直接移至此頁面:
https://dev.azure.com/<your-organization>/_settings/organizationAad。 - 如果您的 Azure DevOps 組織未連線到 Microsoft Entra ID,請遵循 將組織連線至 Microsoft Entra ID 中的步驟,並連線到所需的租使用者,例如與 Azure 訂用帳戶相同的租使用者。
確認 Azure DevOps 許可權
當您建立受控 DevOps 集區時,您用來登入包含受控 DevOps 集區的 Azure 訂用帳戶會用來在 Azure DevOps 組織中建立對應的代理程式集區。 若要成功建立受控 DevOps 集區,您的帳戶必須在 Azure DevOps 組織中具有下列許可權。
備註
2025 年 10 月,受控 DevOps 集區啟用了新的集區建立模式,移除了組織層級代理程式集區系統管理員權限的需求。 建立集區現在只需要在您希望建立管理的 DevOps 集區的每個專案中具備專案層級的許可權。
| 權限 | 描述 |
|---|---|
| Azure DevOps 組織成員 | 您必須是您希望建立 DevOps 管理資源池的 Azure DevOps 組織成員。 |
| Azure DevOps 專案成員 | 您必須是每個專案的成員,才能在這些專案中提供您的受控 DevOps 集區供管線使用。 |
| 專案層級代理程式集區管理員或創建者 | 您必須在每個您希望使受控 DevOps 集區可供管線使用的專案中,於專案層級具有 系統管理員 或 建立者 代理程式集區的許可權。 |
備註
如果您要從管線建立受控DevOps集區,請將服務連線的應用程式註冊或受控識別新增至 Azure DevOps 組織,並將上表所述的許可權授與它。 如需詳細資訊,請參閱 使用 Azure Resource Manager 服務連線到 Azure 和使用 Azure DevOps 中的服務主體和受控識別。
確認 Azure DevOps 組織中的成員資格
您必須是 Azure DevOps 組織的成員,才能將本節中的許可權指派給您的帳戶。
小提示
如果您目前在 Azure DevOps 組織中工作,例如使用 Azure Boards、使用 Azure Repos 或使用 Azure Pipelines,您已經是該 Azure DevOps 組織的成員,您可以略過此步驟,並繼續 進行 確認 Azure DevOps 專案成員資格。
若要確認您在 Azure DevOps 組織中的成員資格:
移至
https://dev.azure.com/{organization}/_settings/users,將{organization}替換為您的 Azure DevOps 組織名稱。如果您可以存取頁面,請檢閱使用者清單,並確認您是 Azure DevOps 組織的成員。
確認 Azure DevOps 專案成員資格
您必須是每個專案的成員(任何角色都可以,包括讀取者),才能使您的管理的 DevOps 池在各個專案的流水線中使用。
小提示
如果您目前正在 Azure DevOps 專案中工作,例如使用 Azure Boards、使用 Azure Repos 或使用 Azure Pipelines,您已經是該 Azure DevOps 專案的成員,您可以略過此步驟,並繼續 驗證專案層級代理程式集區系統管理員或建立者許可權。
若要驗證您在專案中的成員資格:
移至
https://dev.azure.com/{organization}/{project}/_settings/permissions,將{organization}替換為您的 Azure DevOps 組織名稱,並將{project}替換為專案的名稱。如果您可以存取該頁面,請選擇 [使用者],並確認您已列為使用者。
這很重要
如果建立受控 DevOps 集區似乎成功,但集區未新增至 Azure DevOps 專案,請確認您是專案成員,此外還具有 驗證專案層級代理程式集區系統管理員或建立者許可權中所述的其中一個專案層級代理程式集區許可權。 如果您具有專案層級代理程式集區許可權,但不是專案成員,則受控 DevOps 集區建立可能會以無訊息方式失敗。
確認專案層級的代理程式集區的管理員或建立者權限
除了上一個步驟所述的專案成員資格需求之外,您還必須具有專案層級代理程式集區系統 管理員 或 建立者 許可權,以取得您想要讓受控 DevOps 集區可供管線使用的每個專案。
- 您可以由專案集合管理員、專案管理員或其他專案層級代理程式集區管理員直接指派系統管理員或建立者許可權。
- 如果您是 專案集合系統管理員 或 專案系統管理員,您的帳戶會自動獲指派系統 管理員 許可權。
受控DevOps集區有兩種不同的模式,可用來將受控DevOps集區新增至 Azure DevOps 組織中的專案。
- 如果您建立受控 DevOps 集區,並將 [ 將集區新增至所有專案 ] 設定為 是,則受控 DevOps 集區會將集區設定為您具有 「管理員」 或 「建立者」 權限的所有專案中可用,並略過您缺乏這些權限的任何專案。 在將 系統管理員 許可權或 建立者 許可權指派給這些項目的帳戶之後,您可以手動將集區新增至其他專案。
- 如果您在建立受管理 DevOps 集區時提供專案清單,則必須具有每個列出專案的管理員或建立者權限,否則集區建立會失敗。
若要檢查專案層級的代理程式集區許可權:
移至 Azure DevOps 入口網站 並登入您的 Azure DevOps 組織 ()
https://dev.azure.com/{your-organization},移至您想要使用受控 DevOps 集區執行管線的專案,然後選擇 [ 專案設定]。
移至 管線>代理池>安全性。
您也可以移至
https://dev.azure.com/{organization name}/{project name}/_settings/agentqueues,然後選擇 [安全性],直接移至專案層級代理程式集區安全性設定。檢視專案層級代理程式集區範圍的使用者許可權清單。 在此範例中,不會新增任何特定使用者,因此只有專案集合系統管理員和預設專案層級群組系統管理員有權在專案層級建立集區,或將使用者指派給此角色。
如果您需要建立受控 DevOps 集區以用於此專案,請要求專案集合系統管理員、專案系統管理員 (或列出的其中一個系統管理員群組中的任何人) 或此處列出的系統管理員,選擇 [新增],將您新增為 系統管理員 或 建立者,然後選擇 [ 儲存]。 如需詳細資訊,請參閱 在 Azure Pipelines 中設定代理程式集區安全性。
小提示
如果已啟用 [新增 ] 按鈕,您有權建立受管理 DevOps 集區以用於此專案。
如果停用 [ 新增 ] 按鈕,則您沒有建立受管理 DevOps 集區以用於此專案的權限,除非您具有 [建立者] 權限,在此情況下,您的名稱 (或您所屬群組的名稱) 會在 [ 使用者] 權限 清單中列為具有 [建立者] 權限。