Przypisywanie poziomów dostępu przy użyciu reguł grupy

Azure DevOps Services

Usługa Azure DevOps zapewnia poziomy dostępu oparte na grupach firmy Microsoft i grupach usługi Azure DevOps, co umożliwia efektywne zarządzanie uprawnieniami przez przypisywanie poziomów dostępu do całych grup użytkowników. W tym artykule wyjaśniono, jak dodać regułę grupy w celu przypisania poziomu dostępu do grupy użytkowników. Zasoby usługi Azure DevOps są przypisywane do wszystkich członków grupy.

Przypisz regułę grupy, aby zarządzać poziomami dostępu i członkostwem w projekcie. Gdy użytkownik jest przypisany do wielu reguł lub grup firmy Microsoft Entra z różnymi poziomami dostępu, otrzymuje między nimi najwyższy poziom dostępu. Jeśli na przykład Jan jest przypisany do dwóch grup firmy Microsoft Entra z różnymi regułami grupy — jeden określający dostęp uczestnika projektu i drugi dostęp podstawowy — Jan otrzymuje dostęp podstawowy.

Gdy użytkownik opuszcza grupę Microsoft Entra, usługa Azure DevOps dostosowuje swój poziom dostępu zgodnie ze zdefiniowanymi regułami grupy. Jeśli grupa była jedynym źródłem dostępu użytkownika, usługa Azure DevOps automatycznie usuwa je z organizacji. Jeśli użytkownik należy do innych grup, ich poziom dostępu i uprawnienia są ponownie oceniane.

Uwaga

• Zmiany wprowadzone w czytelnikach projektu za pomocą reguł grupy nie są utrwalane. Aby dostosować czytelników projektu, rozważ alternatywne metody, takie jak bezpośrednie przypisanie lub niestandardowe grupy zabezpieczeń.
• Regularnie przeglądaj reguły wymienione na karcie "Reguły grupy" na stronie "Użytkownicy". Zmiany członkostwa w grupie Microsoft Entra ID zostaną wyświetlone w następnej ponownej ocenie reguł grupy, które można wykonać na żądanie, gdy reguła grupy zostanie zmodyfikowana lub automatycznie co 24 godziny. Usługa Azure DevOps aktualizuje członkostwo w grupie Microsoft Entra co godzinę, ale aktualizowanie członkostwa w grupie dynamicznej może potrwać do 24 godzin.

Wymagania wstępne

Uprawnienia: być członkiem grupy Administratorzy kolekcji projektów. Właściciele organizacji są automatycznie członkami tej grupy.

Dodawanie reguły grupy

1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

   

3. Wybierz pozycję Uprawnienia, a następnie sprawdź, czy jesteś członkiem grupy Administratorzy kolekcji projektów.

   

4. Wybierz pozycję Użytkownicy, a następnie wybierz pozycję Reguły grupy. Ten widok przedstawia wszystkie utworzone reguły grupy. Wybierz pozycję Dodaj regułę grupy.

   

   Reguły grupy są wyświetlane tylko wtedy, gdy jesteś członkiem grupy Administratorzy kolekcji projektów.

5. Ukończ okno dialogowe grupy, dla której chcesz utworzyć regułę. Uwzględnij poziom dostępu dla grupy i dowolny opcjonalny dostęp do projektu dla grupy. Wybierz Dodaj.

   

   Zostanie wyświetlone powiadomienie z wyświetlonym stanem i wynikiem reguły. Jeśli nie można ukończyć przypisania, wybierz pozycję Wyświetl stan , aby wyświetlić szczegóły.

   

Ważne

• Reguły grup mają zastosowanie tylko do użytkowników bez bezpośrednich przypisań i do użytkowników dodanych do grupy w przyszłości. Usuń przypisania bezpośrednie, aby reguły grupy były stosowane do tych użytkowników.
• Użytkownicy nie są wyświetlani w obszarze Wszyscy użytkownicy , dopóki nie spróbują zalogować się po raz pierwszy.

Zarządzanie członkami grup

1. Wybierz pozycję Reguły>>grupy Zarządzaj członkami.

   Zachowaj istniejącą automatyzację zarządzania poziomami dostępu użytkowników uruchomionymi zgodnie z rzeczywistym użyciem (na przykład skryptami programu PowerShell). Celem jest upewnienie się, że te same zasoby zastosowane przez automatyzację zostaną dokładnie odzwierciedlone dla tych użytkowników.

2. Dodaj członków, a następnie wybierz pozycję Dodaj.

   

   Po przypisaniu tego samego poziomu dostępu do użytkownika używają tylko jednego poziomu dostępu, niezależnie od tego, czy przypisanie jest wykonywane bezpośrednio, czy za pośrednictwem grupy.

Weryfikowanie reguły grupy

Sprawdź, czy zasoby są stosowane do każdej grupy i poszczególnych użytkowników. Wybierz pozycję Wszyscy użytkownicy, wyróżnij użytkownika, a następnie wybierz pozycję Podsumowanie.

Usuwanie przypisań bezpośrednich

Aby zarządzać zasobami użytkownika wyłącznie za pośrednictwem członkostw w grupach, usuń wszystkie bezpośrednie przypisania. Zasoby przypisane do użytkownika indywidualnie pozostają przypisane, niezależnie od zmian członkostwa w grupach użytkownika.

1. Zaloguj się do swojej organizacji (https://dev.azure.com/{yourorganization}).

2. Wybierz pozycję Ustawienia organizacji.

   

3. Wybierz Użytkowników.

   

4. Wybierz wszystkich użytkowników z zasobami do zarządzania tylko według grup.

   

5. Aby potwierdzić, że chcesz usunąć przypisania bezpośrednie, wybierz pozycję Usuń.

   

   Bezpośrednie przypisania są usuwane z użytkowników. Jeśli użytkownik nie jest członkiem żadnych grup, nie ma to wpływu na użytkownika.

Często zadawane pytania

.: Jak subskrypcje programu Visual Studio działają z regułami grup?

1: Subskrybenci programu Visual Studio są zawsze bezpośrednio przypisywani za pośrednictwem portalu administracyjnego programu Visual Studio i mają pierwszeństwo przed użyciem poziomów dostępu przypisanych bezpośrednio lub za pośrednictwem reguł grupy. Po wyświetleniu tych użytkowników z Centrum użytkowników źródło licencji zawsze jest wyświetlane jako Bezpośrednie. Jedynym wyjątkiem są subskrybenci programu Visual Studio Professional, którym przypisano plany podstawowe i testowe. Ponieważ plany podstawowe i testowe zapewniają większy dostęp w usłudze Azure DevOps, pierwszeństwo ma subskrypcja programu Visual Studio Professional.

Powiązane artykuły

• Instalowanie użytkowników lub grup usługi Active Directory i firmy Microsoft w wbudowanej grupie zabezpieczeń
• Dowiedz się więcej o uzyskiwaniu dostępu do organizacji za pomocą identyfikatora Entra firmy Microsoft
• Zarządzanie grupami entra firmy Microsoft