Aggiungere e gestire gruppi di sicurezza

Servizi di Azure DevOps

I gruppi di sicurezza vengono usati per gestire le autorizzazioni e l'accesso, come descritto in Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza. Ad esempio, ai membri del gruppo Collaboratori o del gruppo Project Amministrazione istrators vengono assegnate le autorizzazioni consentite per tali gruppi.

Azure DevOps è preconfigurato con gruppi di sicurezza predefiniti. È possibile aggiungere e gestire gruppi di sicurezza per l'organizzazione o il progetto con i comandi az devops security group . Usare questo comando per eseguire le attività seguenti.

• Creare un nuovo gruppo di sicurezza
• Visualizzare i gruppi di sicurezza e i dettagli del gruppo di sicurezza
• Aggiornare o eliminare un gruppo di sicurezza
• Gestire le appartenenze ai gruppi di sicurezza per gruppi e utenti

Nota

Questo articolo si applica solo ad Azure DevOps Services. Per Azure DevOps Server, è possibile gestire i gruppi di sicurezza usando il comando TFSSecurity.

Prerequisiti

• Per aggiungere e gestire i gruppi di sicurezza, è necessario essere membri del gruppo di sicurezza Project Collection Amministrazione istrators.
• È necessario aver installato l'estensione dell'interfaccia della riga di comando di Azure DevOps come descritto in Introduzione all'interfaccia della riga di comando di Azure DevOps.
• Accedere ad Azure DevOps usando az login.
• Per gli esempi in questo articolo, impostare l'organizzazione predefinita come segue: az devops configure --defaults organization=YourOrganizationURL.

Comandi del gruppo di sicurezza

Comando	Descrizione
az devops security group create	Creare un gruppo di sicurezza di Azure DevOps.
az devops security group delete	Eliminare un gruppo di sicurezza di Azure DevOps.
az devops security group list	Elencare tutti i gruppi in un progetto o un'organizzazione.
az devops security group show	Mostra i dettagli del gruppo.
az devops security group update	Aggiornare il nome e la descrizione per un gruppo di sicurezza.
az devops security group membership add	Aggiungere un membro a un gruppo di sicurezza.
az devops security group membership list	Elencare le appartenenze per un gruppo o un utente.
az devops security group membership remove	Rimuovere un membro da un gruppo di sicurezza.

I parametri seguenti sono facoltativi per tutti i comandi e non sono elencati negli esempi forniti in questo articolo.

• detect: rileva automaticamente l'organizzazione. Valori accettati: false, true. Il valore predefinito è true.
• org: URL dell'organizzazione di Azure DevOps. È possibile configurare l'organizzazione predefinita usando az devops configure -d organization=ORG_URL. Obbligatorio se non è configurato come predefinito o selezionato tramite git config. Esempio: --org https://dev.azure.com/MyOrganizationName/.

Creare un gruppo di sicurezza

È possibile creare un gruppo di sicurezza con il comando az devops security group create .

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parametri facoltativi

• description: Descrizione del nuovo gruppo di sicurezza.
• email-id: creare un nuovo gruppo usando l'indirizzo di posta elettronica come riferimento a un gruppo esistente da un provider supportato da Microsoft Entra. Obbligatorio se manca il nome o l'ID origine.
• groups: elenco delimitato da virgole di descrittori che fanno riferimento ai gruppi a cui si vuole aggiungere il gruppo appena creato.
• name: nome del nuovo gruppo di sicurezza. Obbligatorio se manca l'ID origine o l'ID di posta elettronica.
• origin-id: creare un nuovo gruppo usando OriginID come riferimento a un gruppo esistente da un provider supportato da Microsoft Entra. Obbligatorio se manca il nome o l'ID di posta elettronica.
• project: nome o ID del progetto in cui deve essere creato il gruppo.
• scope: creare un gruppo a livello di progetto o organizzazione. I valori accettati sono organizzazione e progetto (impostazione predefinita).

Esempio

Il comando seguente crea il gruppo di sicurezza Gestione account nel progetto MyFirstProject e mostra il risultato in formato tabella.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Eliminare un gruppo di sicurezza

È possibile eliminare un gruppo di sicurezza con il comando az devops security group delete .

az devops security group delete --id
                                [--yes]

Parametri

• id: obbligatorio. Descrittore del gruppo di sicurezza. Per ottenere un descrittore, usare il comando az devops security group list .
• Sì: facoltativo. Non richiedere conferma.

Esempio

Il comando seguente elimina il gruppo di sicurezza con il descrittore specificato e non richiede conferma.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Elencare i gruppi di sicurezza

È possibile elencare tutti i gruppi di sicurezza in un progetto o un'organizzazione con il comando az devops security group list .

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parametri facoltativi

• continuation-token: se sono presenti più risultati che non possono essere restituiti in una singola pagina, il set di risultati conterrà un token di continuazione per il recupero del set di risultati successivo.
• project: elenca i gruppi per un progetto specifico.
• scope: elencare i gruppi a livello di progetto o organizzazione. I valori accettati sono organizzazione e progetto (impostazione predefinita).
• subject-types: elenco delimitato da virgole di sottotipi di oggetto utente per ridurre i risultati recuperati. È possibile assegnare la parte iniziale del descrittore (prima del punto) come filtro, ad esempio vssgp, aadgp.

Esempio

Il comando seguente elenca il nome e il descrittore per tutti i gruppi di sicurezza in MyFirstProject e mostra i risultati in formato tabella.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Visualizzare i dettagli del gruppo di sicurezza

È possibile visualizzare i dettagli di un gruppo di sicurezza con il comando az devops security group show .

az devops security group show --id

Parametri

• id: obbligatorio. Descrittore del gruppo di sicurezza.

Esempio

Il comando seguente mostra i dettagli per il gruppo di sicurezza Project Valid Users in formato tabella.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Aggiornare un gruppo di sicurezza

È possibile aggiornare il nome e la descrizione di un gruppo di sicurezza con il comando az devops security group update .

az devops security group update --id
                                [--description]
                                [--name]

Parametri

• id: obbligatorio. Descrittore del gruppo di sicurezza.
• description: facoltativo. Nuova descrizione per il gruppo di sicurezza. Obbligatorio se il nome è mancante.
• name: facoltativo. Nuovo nome per il gruppo di sicurezza. Obbligatorio se la descrizione è mancante.

Esempio

Il comando seguente modifica il nome del gruppo di sicurezza con il descrittore specificato e mostra il risultato in formato YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Aggiungere un membro a un gruppo

È possibile aggiungere un membro a un gruppo di sicurezza con il comando az devops security group membership add .

az devops security group membership add --group-id
                                        --member-id

Parametri

• group-id: obbligatorio. Descrittore del gruppo a cui aggiungere il membro.
• member-id: obbligatorio. Descrittore del gruppo o dell'indirizzo di posta elettronica dell'utente da aggiungere.

Esempio

Il comando seguente aggiunge l'utente contoso@contoso.com al gruppo di sicurezza specificato e mostra i risultati in formato tabella.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Elencare le appartenenze per un gruppo o un utente

È possibile elencare le appartenenze per un gruppo o un utente con il comando az devops security group membership list .

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parametri

• id: obbligatorio. Descrittore del gruppo di sicurezza o indirizzo di posta elettronica dell'utente i cui dettagli di appartenenza sono necessari.
• relationship: facoltativo. Ottenere informazioni sui membri o per il gruppo. I valori accettati sono memberof e membri.

Esempi

Il comando seguente elenca i membri del gruppo di sicurezza specificato e mostra i risultati in formato tabella.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Ecco un altro esempio che elenca i membri del team EMail per il progetto Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Rimuovere un membro da un gruppo

È possibile rimuovere un membro da un gruppo di sicurezza con il comando az devops security group membership remove .

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parametri

• group-id: obbligatorio. Descrittore del gruppo da cui deve essere rimosso il membro.
• member-id: obbligatorio. Descrittore del gruppo o dell'indirizzo di posta elettronica dell'utente da rimuovere.
• Sì: facoltativo. Non richiedere conferma.

Esempio

Il comando seguente rimuove l'utente contoso@contoso.com dal gruppo di sicurezza specificato senza chiedere conferma.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes

Articoli correlati

• Gestire token e spazi dei nomi
• API REST di sicurezza
• Comando TFSSecurity