透過 Microsoft Entra 租使用者原則限制組織建立

  • 發行項

Azure DevOps Services

瞭解如何開啟 Microsoft Entra 租使用者原則,以限制使用者在 Azure DevOps 中建立組織。 預設會關閉此原則。

必要條件

您必須是 Microsoft Entra ID 中的 Azure DevOps 管理員istrator,才能管理此原則。 它不需要成為 Project Collection 管理員istrator。

如果您沒有在 Azure DevOps 中看到原則區段,則您不是系統管理員。 若要檢查您的角色,請登入 Azure 入口網站,然後選擇 [Microsoft Entra ID > 角色和系統管理員 ]。 如果您不是 Azure DevOps 系統管理員,請與您的系統管理員交談。

Check Microsoft Entra roles and administrators

開啟原則

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取gear icon組織設定

    Screenshot showing highlighted Organization settings button.

  3. 選取 [Microsoft Entra ID ],然後切換切換開關以開啟原則,限制組織建立。

    Turn on Microsoft Entra policy

選擇性

建立 allowlist

警告

建議您搭配租使用者原則允許清單使用群組。 如果您使用具名使用者,請注意,具名使用者的身分識別參考將位於美國、歐洲(EU)和東南亞(新加坡)。

開啟原則後,所有使用者都無法建立新的組織。 將例外狀況授與具有 allowlist 的使用者。 允許清單上的使用者可以建立新的組織,但無法管理原則。

  1. 選取 [ 新增 Microsoft Entra 使用者或群組 ]。

Option, Create allow list and add Microsoft Entra users or groups

建立錯誤訊息

當不在允許清單上的系統管理員嘗試建立組織時,他們會收到類似下列範例的錯誤。

Error message example

在 Azure DevOps 的原則設定中自訂此錯誤訊息。

  1. 選取 [ 編輯顯示訊息 ]。

    Select Edit display message to customize

  2. 輸入您的自訂訊息,然後選擇 [ 儲存 ]。

    Customize error message dialog

錯誤訊息已自訂。

Customized error message

注意

管理員istrators 不在允許清單中,無法將其組織連線到開啟原則的 Microsoft Entra 租使用者。

Connection failed error