共用方式為

使用群組規則指派存取層級

  • 發行項

Azure DevOps Services

Azure DevOps 提供Microsoft Entra 群組和 Azure DevOps 群組的群組型存取層級。 這些群組可讓您將存取層級指派給整個使用者群組,以有效率地管理許可權。 在本文中,瞭解如何新增群組規則,以將存取層級指派給該使用者群組。 Azure DevOps 資源會指派給群組的所有成員。

指派群組規則以支援存取層級和專案成員資格。 當使用者指派給多個規則或Microsoft Entra 群組時,會取得最高的存取層級,以指定不同的存取層級。 例如,如果 John 指派給兩個Microsoft Entra 群組,以及兩個不同的群組規則,指定項目關係人存取權和其他基本存取權,則 John 的存取層級為 Basic。

當用戶離開Microsoft Entra 群組時,Azure DevOps 會根據該群組所定義的規則來調整其存取層級。 使用者會保留在 Azure DevOps 中,但可能有不同的許可權或訪問許可權。 指派給使用者的最高存取層級會決定其最終許可權。

注意

  • 透過群組規則對 專案讀取器 所做的變更不會保存。 如果您需要調整專案讀取器,請考慮替代方法,例如 直接指派自定義安全組
  • 建議您定期檢閱 [使用者] 頁面的 [群組規則] 索引卷標上所列的規則。 如果對Microsoft Entra ID 群組成員資格進行任何變更,這些變更會顯示在群組規則的下一次重新評估中,這些變更可在修改群組規則時視需要完成,或每隔 24 小時自動執行一次。 Azure DevOps 會每小時更新Microsoft Entra 群組成員資格,但最多可能需要 24 小時,Microsoft Entra 標識符更新 動態群組成員資格

必要條件

  • 若要管理群組規則,您必須是 Project Collection Administrators 群組的成員。 如果您不是成員, 請新增為成員

新增群組規則

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

    顯示醒目提示 [組織設定] 按鈕的螢幕快照。

  3. 選取 [許可權],然後確認您是 Project Collection Administrators 群組的成員

    顯示專案集合系統管理員群組成員的螢幕快照。

  4. 選取 [ 使用者],然後選取 [ 群組規則]。 此檢視會顯示您所有已建立的群組規則。 選取 [ 新增群組規則]。

    顯示已選取 [新增群組規則] 按鈕的螢幕快照。

    只有當您是 Project Collection Administrators 群組的成員時,才會顯示群組規則

  5. 完成您要為其建立規則之群組的對話框。 包含群組的存取層級,以及群組的任何選擇性專案存取。 選取 [新增]。

    顯示 [新增群組規則] 對話框的螢幕快照。

    通知隨即顯示,顯示規則的狀態和結果。 如果無法完成指派,請選取 [ 檢視狀態 ] 以查看詳細數據。

    顯示群組規則已完成的螢幕快照。

重要

  • 群組規則僅適用於沒有直接指派的使用者,以及未來新增至群組的使用者。 拿掉直接指派 ,讓群組規則套用至這些使用者。
  • 除非使用者第一次嘗試登入,否則使用者不會出現在 [所有使用者]。

管理群組成員

  1. 選取 [群組規則>>管理成員]。 顯示醒目提示的群組規則來管理成員的螢幕快照。

    保留現有自動化來管理依現狀執行之使用者的存取層級(例如 PowerShell)。 目標是反映自動化套用至這些使用者的相同資源。

  2. 新增成員,然後選取 [ 新增]。

    新增群組成員的螢幕快照。

    當您將相同的存取層級指派給使用者時,使用者只會取用一個存取層級。 您可以直接和透過群組來指派使用者指派。

驗證群組規則

確認資源已套用至每個群組和個別使用者。 選取 [ 所有使用者]、反白顯示使用者,然後選取 [ 摘要]。

顯示群組規則使用者摘要驗證的螢幕快照。

拿掉直接指派

若要只由其所在群組管理用戶的資源,請移除其直接指派。 透過個別指派指派指派給使用者的資源會保持指派給使用者。 此指派會保留資源已指派或從使用者的群組中移除。

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

    顯示醒目提示 [組織設定] 按鈕的螢幕快照。

  3. 選取使用者

    顯示已選取 [使用者] 索引標籤的螢幕快照。

  4. 選取只有群組管理資源的所有使用者。

    顯示 [選取的群組規則以進行移轉] 的螢幕快照。

  5. 若要確認您想要移除直接指派,請選取 [ 移除]。

    確認為 [移除] 的螢幕快照。

    直接指派會從用戶中移除。

    如果使用者不是任何群組的成員,則使用者不會受到影響。

常見問題集

問:Visual Studio 訂閱 如何使用群組規則?

答:Visual Studio 訂閱者一律會透過 Visual Studio系統管理入口網站 直接指派,並在 Azure DevOps 中優先於直接指派或透過群組規則指派的存取層級。 當您從用戶中樞檢視這些使用者時,授權來源一律會顯示為 Direct。 唯一的例外是獲指派基本 + 測試方案的 Visual Studio Professional 訂閱者。 由於基本 + 測試方案可在 Azure DevOps 中提供更多存取權,因此優先於 Visual Studio Professional 訂用帳戶。