使用群組規則指派存取層級

  • 發行項

Azure DevOps Services

Azure DevOps 提供 Microsoft Entra 群組和 Azure DevOps 群組的群組型存取層級。 這些群組可讓您將存取層級指派給整個使用者群組,以有效率地管理許可權。 在本文中,瞭解如何新增群組規則,以將存取層級指派給該使用者群組。 Azure DevOps 資源會指派給群組的所有成員。

指派群組規則以支援存取層級和專案成員資格。 當使用者指派給多個規則或 Microsoft Entra 群組時,會取得最高的存取層級,以指定不同層級的存取權。 例如,如果 John 指派給兩個 Microsoft Entra 群組和兩個不同的群組規則,以指定項目關係人存取權和其他基本存取權,則 John 的存取層級為 Basic。

當使用者離開 Microsoft Entra 群組時,Azure DevOps 會根據該群組所定義的規則來調整其存取層級。 使用者會保留在 Azure DevOps 中,但可能有不同的許可權或訪問許可權。 指派給使用者的最高存取層級會決定其最終許可權。

注意

  • 透過群組規則對 專案讀取器 所做的變更不會保存。 如果您需要調整專案讀取器,請考慮替代方法,例如 直接指派自定義安全組
  • 建議您定期檢閱 [使用者] 頁面的 [群組規則] 索引卷標上所列的規則。 如果對 Microsoft Entra ID 群組成員資格進行任何變更,這些變更會顯示在群組規則的下一次重新評估中,這些變更可在修改群組規則時視需要完成,或每隔 24 小時自動進行一次。 Azure DevOps 每小時會更新 Microsoft Entra 群組成員資格,但可能需要 24 小時,Microsoft Entra ID 才能更新 動態群組成員資格

必要條件

  • 若要管理群組規則,您必須是 Project Collection 管理員 istrators 群組的成員。 如果您不是成員, 請新增為成員

新增群組規則

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取gear icon組織設定

    Screenshot showing highlighted Organization settings button.

  3. 選取 [許可權],然後確認您是 Project Collection 管理員 istrators 群組的成員

    Screenshot showing project collection administrators group members.

  4. 選取 [ 使用者],然後選取 [ 群組規則]。 此檢視會顯示您所有已建立的群組規則。 選取 [ 新增群組規則]。

    Screenshot showing selected Add a group rule button.

    只有當您是 Project Collection 管理員 istrators 群組的成員時,才會顯示群組規則

  5. 完成您要為其建立規則之群組的對話框。 包含群組的存取層級,以及群組的任何選擇性專案存取。 選取 [新增]。

    Screenshot showing Add a group rule dialog.

    通知隨即顯示,顯示規則的狀態和結果。 如果無法完成指派,請選取 [ 檢視狀態 ] 以查看詳細數據。

    Screenshot showing Group rule completed.

重要

  • 群組規則僅適用於沒有直接指派的使用者,以及未來新增至群組的使用者。 拿掉直接指派 ,讓群組規則套用至這些使用者。
  • 除非使用者第一次嘗試登入,否則使用者不會出現在 [所有使用者]。

管理群組成員

  1. 選取 [群組規則>>管理成員]。 Screenshot shows highlighted group rule for managing members.

    保留現有自動化來管理依現狀執行之使用者的存取層級(例如 PowerShell)。 目標是反映自動化套用至這些使用者的相同資源。

  2. 新增成員,然後選取 [ 新增]。

    Screenshot of Adding a group member.

    當您將相同的存取層級指派給使用者時,使用者只會取用一個存取層級。 您可以直接和透過群組來指派使用者指派。

驗證群組規則

確認資源已套用至每個群組和個別使用者。 選取 [ 所有使用者]、反白顯示使用者,然後選取 [ 摘要]。

Screenshot showing verification of user summary for group rule.

拿掉直接指派

若要只由其所在群組管理用戶的資源,請移除其直接指派。 透過個別指派指派指派給使用者的資源會保持指派給使用者。 此指派會保留資源已指派或從使用者的群組中移除。

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取gear icon組織設定

    Screenshot showing highlighted Organization settings button.

  3. 選取使用者

    Screenshot showing selected Users tab.

  4. 選取只有群組管理資源的所有使用者。

    Screenshot showing Selected group rules for migration.

  5. 若要確認您想要移除直接指派,請選取 [ 移除]。

    Screenshot of confirmation to Remove.

    直接指派會從用戶中移除。

    如果使用者不是任何群組的成員,則使用者不會受到影響。

常見問題集

問:Visual Studio 訂閱 如何使用群組規則?

答:Visual Studio 訂閱者一律會透過Visual Studio 管理員 入口網站直接指派,並在 Azure DevOps 中優先於直接指派或透過群組規則指派的存取層級。 當您從用戶中樞檢視這些使用者時,授權來源一律會顯示為 Direct。 唯一的例外是獲指派基本 + 測試方案的 Visual Studio Professional 訂閱者。 由於基本 + 測試方案可在 Azure DevOps 中提供更多存取權,因此優先於 Visual Studio Professional 訂用帳戶。