Atribuir níveis de acesso com regras de grupo

Azure DevOps Services

O Azure DevOps fornece níveis de acesso baseados em grupo para grupos do Microsoft Entra e grupos do Azure DevOps, permitindo que você gerencie permissões com eficiência atribuindo níveis de acesso a grupos inteiros de usuários. Este artigo explica como adicionar uma regra de grupo para atribuir um nível de acesso a um grupo de usuários. Os recursos do Azure DevOps são atribuídos a todos os membros de um grupo.

Atribua uma regra de grupo para gerenciar os níveis de acesso e as associações ao projeto. Quando um usuário é atribuído a várias regras ou grupos do Microsoft Entra com diferentes níveis de acesso, ele recebe o nível de acesso mais alto entre eles. Por exemplo, se John for atribuído a dois grupos do Microsoft Entra com regras de grupo diferentes, um especificando o acesso do Stakeholder e o outro o acesso básico, John receberá o acesso básico.

Quando um usuário sai de um grupo do Microsoft Entra, o Azure DevOps ajusta seu nível de acesso de acordo com as regras definidas do grupo. Se o grupo for a única fonte de acesso do usuário, o Azure DevOps o removerá automaticamente da organização. Se o usuário pertencer a outros grupos, seu nível de acesso e permissões serão reavaliados.

Observação

• As alterações feitas nos leitores do projeto por meio de regras de grupo não persistem. Para ajustar os leitores do projeto, considere métodos alternativos, como atribuição direta ou grupos de segurança personalizados.
• Revise regularmente as regras listadas na guia "Regras do grupo" da página "Usuários". As alterações na associação de grupo da ID do Microsoft Entra aparecerão na próxima reavaliação das regras de grupo, que pode ser feita sob demanda, quando uma regra de grupo for modificada ou automaticamente a cada 24 horas. O Azure DevOps atualiza a associação de grupo do Microsoft Entra a cada hora, mas pode levar até 24 horas para que a ID do Microsoft Entra atualize a associação de grupo dinâmico.

Pré-requisitos

Permissões: seja membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo.

Adicionar regra de grupo

1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Configurações da organização.

   

3. Selecione Permissões e verifique se você é membro do grupo Administradores de Coleção de Projetos .

   

4. Selecione Usuários e, em seguida, selecione Regras de grupo. Essa exibição mostra todas as regras de grupo criadas. Selecione Adicionar uma regra de grupo.

   

   As regras de grupo só aparecerão se você for membro do grupo Administradores de Coleção de Projetos .

5. Preencha a caixa de diálogo do grupo para o qual você deseja criar uma regra. Inclua um nível de acesso para o grupo e qualquer acesso de projeto opcional para o grupo. Selecione Adicionar.

   

   Uma notificação é exibida, mostrando o status e o resultado da regra. Se a atribuição não puder ser concluída, selecione Exibir status para ver os detalhes.

   

Importante

• As regras de grupo só se aplicam aos usuários sem atribuições diretas e aos usuários adicionados ao grupo daqui para frente. Remova as atribuições diretas para que as regras de grupo se apliquem a esses usuários.
• Os usuários não aparecem em Todos os usuários até tentarem entrar pela primeira vez.

Gerenciar membros do grupo

1. Selecione Regras de grupo>>Gerenciar membros.

   Mantenha a automação existente para gerenciar os níveis de acesso do usuário em execução no estado em que se encontra (por exemplo, scripts do PowerShell). O objetivo é garantir que os mesmos recursos aplicados pela automação sejam refletidos com precisão para esses usuários.

2. Adicione membros e, em seguida, selecione Adicionar.

   

   Quando você atribui o mesmo nível de acesso a um usuário, ele consome apenas um nível de acesso, independentemente de a atribuição ser feita diretamente ou por meio de um grupo.

Verificar regra de grupo

Verifique se os recursos são aplicados a cada grupo e usuário individual. Selecione Todos os usuários, realce um usuário e, em seguida, selecione Resumo.

Remover atribuições diretas

Para gerenciar os recursos de um usuário somente por meio de suas associações de grupo, remova todas as atribuições diretas. Os recursos atribuídos a um usuário individualmente permanecem atribuídos, independentemente das alterações nas associações de grupo do usuário.

1. Entre em sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Configurações da organização.

   

3. Selecione Usuários.

   

4. Selecione todos os usuários com recursos para gerenciamento somente por grupos.

   

5. Para confirmar que você deseja remover as atribuições diretas, selecione Remover.

   

   As atribuições diretas são removidas dos usuários. Se um usuário não for membro de nenhum grupo, o usuário não será afetado.

Perguntas Frequentes

P: Como as Assinaturas do Visual Studio funcionam com regras de grupo?

R: Os Assinantes do Visual Studio são sempre atribuídos diretamente por meio do Portal de Administração do Visual Studio e têm precedência no Azure DevOps sobre os níveis de acesso atribuídos diretamente ou por meio de regras de grupo. Quando você exibe esses usuários no Hub de Usuários, a Origem da Licença sempre é exibida como Direta. A única exceção são os assinantes do Visual Studio Professional que recebem Planos Básicos + Testes. Como o Basic + Test Plans fornece mais acesso no Azure DevOps, ele tem precedência sobre uma assinatura do Visual Studio Professional.

Artigos relacionados

• Instalar usuários ou grupos do Active Directory e do Microsoft Entra em um grupo de segurança interno
• Saiba mais sobre como acessar sua organização com a ID do Microsoft Entra
• Gerenciar grupos do Microsoft Entra