新增和管理安全組

Azure DevOps Services

安全組是用來管理許可權和存取權，如開始使用許可權、存取權和安全組中所述。 例如，參與者群組或 Project 管理員 istrators 群組的成員會獲指派這些群組所允許的許可權。

Azure DevOps 已預先設定預設的安全性群組。 您可以使用 az devops 安全組命令，為組織或專案 新增和管理安全組 。 使用此命令來執行下列工作。

• 建立新的安全性群組
• 檢視安全組和安全組詳細數據
• 更新或刪除安全組
• 管理群組和使用者的安全組成員資格

注意

本文僅適用於 Azure DevOps Services。 針對 Azure DevOps Server，您可以使用 TFSSecurity 命令來管理安全組。

必要條件

• 若要新增和管理安全組，您必須是 Project Collection 管理員 istrators 安全組的成員。
• 您必須已安裝 Azure DevOps CLI 擴充功能，如開始使用 Azure DevOps CLI 中所述。
• 使用 az login登入 Azure DevOps。
• 如需本文中的範例，請設定默認組織，如下所示： az devops configure --defaults organization=YourOrganizationURL。

安全組命令

Command	描述
az devops security group create	建立 Azure DevOps 安全組。
az devops security group delete	刪除 Azure DevOps 安全組。
az devops security group list	列出專案或組織中的所有群組。
az devops security group show	顯示群組詳細數據。
az devops security group update	更新安全組的名稱和描述。
az devops security group membership add	將成員新增至安全組。
az devops security group membership list	列出群組或用戶的成員資格。
az devops security group membership remove	從安全組移除成員。

下列參數是所有命令的選擇性參數，但未列於本文中提供的範例中。

• detect：自動偵測組織。 接受的值：false、true。 預設為 true。
• 組織：Azure DevOps 組織 URL。 您可以使用 az devops configure -d organization=ORG_URL 來設定預設組織。 如果未設定為預設，或透過 git 組態挑選，則為必要專案。範例： --org https://dev.azure.com/MyOrganizationName/。

建立安全組

您可以使用 az devops 安全組 create 命令來建立安全組。

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

選擇性參數

• 描述：新安全組的描述。
• email-id：使用電子郵件地址作為 Microsoft Entra 支援提供者現有群組的參考，建立新的群組。 如果 遺漏名稱 或 origin-id ，則為必要專案。
• groups：以逗號分隔的描述元清單，參考您希望新建立的群組加入群組。
• name：新安全組的名稱。 如果 遺漏 origin-id 或 email-id ，則為必要專案。
• origin-id：使用 OriginID 作為 Microsoft Entra 支援提供者現有群組的參考，建立新的群組。 如果 遺漏名稱 或 電子郵件標識碼 ，則為必要專案。
• 項目：應該在其中建立群組的專案名稱或標識碼。
• 範圍：在專案或組織層級建立群組。 接受的值是組織和專案（預設值）。

範例

下列命令會在專案 MyFirstProject 中建立帳戶管理安全組，並以數據表格式顯示結果。

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

刪除安全組

您可以使用 az devops 安全組 delete 命令來刪除安全組。

az devops security group delete --id
                                [--yes]

參數

• id：必要。 安全組描述元。 若要取得描述元，請使用 az devops 安全組 list 命令。
• 是：選擇性。 請勿提示確認。

範例

下列命令會刪除具有指定描述元的安全組，而且不會提示確認。

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

列出安全組

您可以使用 az devops 安全組 list 命令，列出專案或組織中的所有安全組。

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

選擇性參數

• continuation-token：如果單一頁面中無法傳回更多結果，結果集將會包含接續令牌，以便擷取下一組結果。
• 專案：列出特定專案的群組。
• 範圍：列出專案或組織層級的群組。 接受的值是組織和專案（預設值）。
• subject-types：使用者主旨子類型的逗號分隔清單，以減少擷取的結果。 您可以提供描述元的初始部分（在點之前）做為篩選，例如 vssgp，aadgp。

範例

下列命令會列出 MyFirstProject 中所有安全組的名稱和描述項，並以表格格式顯示結果。

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

顯示安全組詳細數據

您可以使用 az devops 安全組 show 命令來顯示安全組的詳細數據。

az devops security group show --id

參數

• id：必要。 安全組描述元。

範例

下列命令會以表格格式顯示 Project Valid Users 安全組的詳細數據。

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

更新安全組

您可以使用 az devops 安全組 update 命令來更新安全組的名稱和描述。

az devops security group update --id
                                [--description]
                                [--name]

參數

• id：必要。 安全組描述元。
• 描述：選擇性。 安全組的新描述。 如果 遺漏名稱 ，則為必要專案。
• name：選擇性。 安全組的新名稱。 如果 遺漏描述 ，則為必要。

範例

下列命令會使用指定的描述元變更安全組的名稱，並以 YAML 格式顯示結果。

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

將成員新增至群組

您可以使用 az devops 安全組成員資格 add 命令，將成員新增至安全組。

az devops security group membership add --group-id
                                        --member-id

參數

• group-id：必要。 要加入成員之群組的描述元。
• member-id：必要。 要新增之使用者群組或電子郵件位址的描述項。

範例

下列命令會將使用者 contoso@contoso.com 新增至指定的安全組，並以數據表格式顯示結果。

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

列出群組或用戶的成員資格

您可以使用 az devops 安全組成員資格清單命令來列出群組或使用者的成員資格。

az devops security group membership list --id
                                         [--relationship {memberof, members}]

參數

• id：必要。 需要其成員資格詳細數據的安全組描述元或用戶電子郵件位址。
• 關聯性：選擇性。 取得 群組的成員 或 成員 資訊。 接受的值是 memberof 和 members。

範例

下列命令會列出指定安全組的成員，並以數據表格式顯示結果。

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

以下是另一個範例，其中列出 Fabrikam Fiber 專案的 EMail 小組成員。

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

從群組中移除成員

您可以使用 az devops 安全組成員資格 remove 命令，從安全組 中移除 成員。

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

參數

• group-id：必要。 需要從中移除成員之群組的描述元。
• member-id：必要。 要移除之使用者群組或電子郵件位址的描述項。
• 是：選擇性。 請勿提示確認。

範例

下列命令會從指定的安全組中移除使用者 contoso@contoso.com ，而不提示進行確認。

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes

相關文章

• 管理令牌和命名空間
• 安全性 REST API
• TFSSecurity 命令