Udostępnij za pośrednictwem

Dodawanie grup zabezpieczeń i zarządzanie nimi

  • Artykuł

usługi Azure DevOps Services

Grupy zabezpieczeń służą do zarządzania uprawnieniami i dostępem zgodnie z opisem w Rozpoczynanie pracy z uprawnieniami, dostępem i grupami zabezpieczeń. Na przykład członkowie grupy Współautorzy lub Administratorzy projektu mają przypisane uprawnienia, które są dozwolone dla tych grup.

Usługa Azure DevOps jest wstępnie skonfigurowana z domyślnymi grupami zabezpieczeń. Grupy zabezpieczeń dla organizacji lub projektu można dodawać i zarządzać nimi za pomocą poleceń az devops security group. Użyj tego polecenia, aby wykonać następujące zadania.

  • Tworzenie nowej grupy zabezpieczeń
  • Wyświetlanie grup zabezpieczeń i szczegółów grupy zabezpieczeń
  • Aktualizowanie lub usuwanie grupy zabezpieczeń
  • Zarządzanie członkostwem w grupach zabezpieczeń dla grup i użytkowników

Nuta

Ten artykuł dotyczy tylko usług Azure DevOps Services. W przypadku usługi Azure DevOps Server można zarządzać grupami zabezpieczeń przy użyciu polecenia TFSSecurity.

Warunki wstępne

Polecenia grupy zabezpieczeń

Polecenie Opis
az devops security group create Utwórz grupę zabezpieczeń usługi Azure DevOps.
az devops security group delete Usuń grupę zabezpieczeń usługi Azure DevOps.
az devops security group list Wyświetl listę wszystkich grup w projekcie lub organizacji.
az devops security group show Pokaż szczegóły grupy.
az devops security group update Zaktualizuj nazwę i opis grupy zabezpieczeń.
az devops security group membership add Dodaj członka do grupy zabezpieczeń.
az devops security group membership list Wyświetl listę członkostw dla grupy lub użytkownika.
az devops security group membership remove Usuń członka z grupy zabezpieczeń.

Następujące parametry są opcjonalne dla wszystkich poleceń, a nie wymienione w przykładach podanych w tym artykule.

  • wykrywać: automatycznie wykrywaj organizację. Zaakceptowane wartości: false, true. Wartość domyślna to true.
  • organizacji: adres URL organizacji usługi Azure DevOps. Domyślną organizację można skonfigurować przy użyciu polecenia az devops configure -d organization=ORG_URL. Wymagane, jeśli ustawienie nie jest skonfigurowane jako domyślne lub odebrane za pośrednictwem konfiguracji usługi Git. Przykład: --org https://dev.azure.com/MyOrganizationName/.

Tworzenie grupy zabezpieczeń

Grupę zabezpieczeń można utworzyć za pomocą polecenia az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parametry opcjonalne

  • opis: opis nowej grupy zabezpieczeń.
  • identyfikator e-mail: utwórz nową grupę przy użyciu adresu e-mail jako odwołania do istniejącej grupy od dostawcy wspieranego przez firmę Microsoft Entra. Wymagane, jeśli brakuje nazwy lub identyfikatora źródła.
  • grupy: rozdzielona przecinkami lista deskryptorów odwołujące się do grup, do których ma zostać przyłączona nowo utworzona grupa.
  • nazwa: nazwa nowej grupy zabezpieczeń. Wymagane, jeśli brakuje identyfikatora źródła lub identyfikatora e-mail.
  • origin-id: utwórz nową grupę przy użyciu identyfikatora OriginID jako odwołania do istniejącej grupy od dostawcy wspieranego przez firmę Microsoft Entra. Wymagane, jeśli brakuje nazwy lub identyfikatora e-mail.
  • projekt: nazwa lub identyfikator projektu, w którym ma zostać utworzona grupa.
  • zakres: tworzenie grupy na poziomie projektu lub organizacji. Akceptowane wartości to organizacji i projekt (wartość domyślna).

Przykład

Następujące polecenie tworzy account management grupy zabezpieczeń w projekcie MyFirstProject i pokazuje wynik w formacie tabeli.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Usuwanie grupy zabezpieczeń

Grupę zabezpieczeń można usunąć za pomocą polecenia az devops security group delete.

az devops security group delete --id
                                [--yes]

Parametry

  • identyfikator: wymagane. Deskryptor grupy zabezpieczeń. Aby uzyskać deskryptor, użyj polecenia az devops security group list.
  • tak: opcjonalne. Nie monituj o potwierdzenie.

Przykład

Następujące polecenie usuwa grupę zabezpieczeń z określonym deskryptorem i nie wyświetla monitu o potwierdzenie.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Wyświetlanie listy grup zabezpieczeń

Możesz wyświetlić listę wszystkich grup zabezpieczeń w projekcie lub organizacji za pomocą polecenia az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parametry opcjonalne

  • token kontynuacji: jeśli w jednym zestawie wyników nie można zwrócić większej liczby wyników, zestaw wyników będzie zawierać token kontynuacji do pobierania następnego zestawu wyników.
  • projekt: wyświetlanie listy grup dla określonego projektu.
  • zakres: wyświetl listę grup na poziomie projektu lub organizacji. Akceptowane wartości to organizacji i projekt (wartość domyślna).
  • typów podmiotów: rozdzielona przecinkami lista podtypów podmiotów użytkownika w celu zmniejszenia pobranych wyników. Możesz nadać początkową część deskryptora (przed kropką) jako filtr, na przykład vssgp, aadgp.

Przykład

Poniższe polecenie zawiera listę nazw i deskryptora dla wszystkich grup zabezpieczeń w MyFirstProjecti pokazuje wyniki w formacie tabeli.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Pokaż szczegóły grupy zabezpieczeń

Szczegóły grupy zabezpieczeń można wyświetlić za pomocą polecenia az devops security group show.

az devops security group show --id

Parametry

  • identyfikator: wymagane. Deskryptor grupy zabezpieczeń.

Przykład

Poniższe polecenie zawiera szczegóły grupy zabezpieczeń Project Valid Users w formacie tabeli.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Aktualizowanie grupy zabezpieczeń

Nazwę i opis grupy zabezpieczeń można zaktualizować za pomocą polecenia az devops security group update.

az devops security group update --id
                                [--description]
                                [--name]

Parametry

  • identyfikator: wymagane. Deskryptor grupy zabezpieczeń.
  • opis: opcjonalne. Nowy opis grupy zabezpieczeń. Wymagane, jeśli brakuje nazwy .
  • nazwa: opcjonalne. Nowa nazwa grupy zabezpieczeń. Wymagane, jeśli brakuje opisu.

Przykład

Następujące polecenie zmienia nazwę grupy zabezpieczeń za pomocą określonego deskryptora i pokazuje wynik w formacie YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Dodawanie członka do grupy

Możesz dodać członka do grupy zabezpieczeń za pomocą polecenia az devops członkostwa w grupie zabezpieczeń dodaj.

az devops security group membership add --group-id
                                        --member-id

Parametry

  • identyfikator grupy: wymagane. Deskryptor grupy, do której ma zostać dodany element członkowski.
  • identyfikatora elementu członkowskiego: wymagane. Deskryptor grupy lub adresu e-mail użytkownika do dodania.

Przykład

Następujące polecenie dodaje użytkownika contoso@contoso.com do określonej grupy zabezpieczeń i pokazuje wyniki w formacie tabeli.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Wyświetlanie listy członkostw dla grupy lub użytkownika

Możesz wyświetlić listę członkostw dla grupy lub użytkownika za pomocą polecenia az devops security group membership list.

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parametry

  • identyfikator: wymagane. Deskryptor grupy zabezpieczeń lub adres e-mail użytkownika, którego szczegóły członkostwa są wymagane.
  • relacji: opcjonalne. Uzyskaj członka lub członków informacji dla grupy. Akceptowane wartości to elementu członkowskiego i składowych.

Przykłady

Poniższe polecenie wyświetla listę elementów członkowskich określonej grupy zabezpieczeń i pokazuje wyniki w formacie tabeli.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Oto kolejny przykład, który zawiera listę członków zespołu EMail dla projektu Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Usuwanie członka z grupy

Możesz usunąć członka z grupy zabezpieczeń za pomocą polecenia az devops security group membership remove.

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parametry

  • identyfikator grupy: wymagane. Deskryptor grupy, z której należy usunąć element członkowski.
  • identyfikatora elementu członkowskiego: wymagane. Deskryptor grupy lub adresu e-mail użytkownika do usunięcia.
  • tak: opcjonalne. Nie monituj o potwierdzenie.

Przykład

Następujące polecenie usuwa użytkownika contoso@contoso.com z określonej grupy zabezpieczeń bez monitowania o potwierdzenie.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes