Partilhar via

Adicionar e gerenciar grupos de segurança

  • Artigo

Serviços de DevOps do Azure

Os grupos de segurança são usados para gerenciar permissões e acessos conforme descrito em Introdução às permissões, acesso e grupos de segurança. Por exemplo, os membros do grupo Colaboradores ou do grupo Administradores de Projeto recebem as permissões permitidas para esses grupos.

O Azure DevOps é pré-configurado com grupos de segurança padrão. Você pode adicionar e gerenciar grupos de segurança para sua organização ou projeto com os comandos security group az devops. Use este comando para executar as seguintes tarefas.

  • Criar um novo grupo de segurança
  • Ver grupos de segurança e detalhes do grupo de segurança
  • Atualizar ou excluir um grupo de segurança
  • Gerenciar associações de grupos de segurança para grupos e usuários

Observação

Este artigo aplica-se apenas aos Serviços de DevOps do Azure. Para o Azure DevOps Server, você pode gerenciar grupos de segurança usando o comando TFSSecurity.

Pré-requisitos

  • Permissões: Seja membro do grupo de segurança Administradores da Coleção de Projetos . Para obter mais informações sobre tokens, consulte de referência de permissão e namespace de segurança .
  • Tools: Instale a extensão da CLI do Azure DevOps conforme descrito em Introdução à CLI do Azure DevOps. Entre no Azure DevOps usando az login.

Comandos do grupo de segurança

Comando Descrição
az devops security group create Crie um grupo de segurança do Azure DevOps.
az devops security group delete Exclua um grupo de segurança do Azure DevOps.
az devops security group list Liste todos os grupos em um projeto ou organização.
az devops security group show Mostrar detalhes do grupo.
az devops security group update Atualize o nome e a descrição de um grupo de segurança.
az devops security group membership add Adicione um membro a um grupo de segurança.
az devops security group membership list Liste as associações de um grupo ou usuário.
az devops security group membership remove Remova um membro de um grupo de segurança.

Os parâmetros a seguir são opcionais para todos os comandos e não estão listados nos exemplos fornecidos neste artigo.

  • detetar: Detetar automaticamente a organização. Valores aceitos: false, true. O padrão é true.
  • org: URL da organização do Azure DevOps. Você pode configurar a organização padrão usando az devops configure -d organization=ORG_URL. Necessário se não configurado como padrão ou captado via git config. Exemplo: --org https://dev.azure.com/MyOrganizationName/.

Criar um grupo de segurança

Você pode criar um grupo de segurança com o comando az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parâmetros opcionais

  • descrição: Descrição do novo grupo de segurança.
  • de identificação de e-mail : Crie um novo grupo usando o endereço de email como referência a um grupo existente de um provedor apoiado pelo Microsoft Entra. Obrigatório se nome ou de ID de origem estiver ausente.
  • grupos: Uma lista separada por vírgulas de descritores que fazem referência a grupos aos quais você deseja que o grupo recém-criado participe.
  • nome: Nome do novo grupo de segurança. Obrigatório se de ID de origem ou de ID de e-mail estiver ausente.
  • origin-id: Crie um novo grupo usando o OriginID como referência a um grupo existente de um provedor apoiado pelo Microsoft Entra. Obrigatório se nome ou de identificação de e-mail estiver ausente.
  • projeto: Nome ou ID do projeto no qual o grupo deve ser criado.
  • escopo: Criar grupo no nível do projeto ou da organização. Os valores aceitos são da organização e do projeto (padrão).

Exemplo

O comando a seguir cria o grupo de segurança Gerenciamento de Conta no projeto MyFirstProject e mostra o resultado em formato de tabela.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Excluir um grupo de segurança

Você pode excluir um grupo de segurança com o comando az devops security group delete.

az devops security group delete --id
                                [--yes]

Parâmetros

  • id: Obrigatório. Descritor de grupo de segurança. Para obter um descritor, use o comando az devops security group list.
  • sim: Opcional. Não solicite confirmação.

Exemplo

O comando a seguir exclui o grupo de segurança com o descritor especificado e não solicita confirmação.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Listar grupos de segurança

Você pode listar todos os grupos de segurança em um projeto ou organização com o comando az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parâmetros opcionais

  • token de continuação: Se houver mais resultados que não podem ser retornados em uma única página, o conjunto de resultados conterá um token de continuação para recuperação do próximo conjunto de resultados.
  • projeto: Listar grupos para um projeto específico.
  • escopo: Liste os grupos no nível do projeto ou da organização. Os valores aceitos são da organização e do projeto (padrão).
  • tipos de assunto: Uma lista separada por vírgulas de subtipos de assunto do usuário para reduzir os resultados recuperados. Você pode dar a parte inicial do descritor (antes do ponto) como um filtro, por exemplo, vssgp,aadgp.

Exemplo

O comando a seguir lista o nome e o descritor de todos os grupos de segurança noMyFirstProject e mostra os resultados em formato de tabela.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Mostrar detalhes do grupo de segurança

Você pode mostrar os detalhes de um grupo de segurança com o comando az devops security group show.

az devops security group show --id

Parâmetros

  • id: Obrigatório. Descritor de grupo de segurança.

Exemplo

O comando a seguir mostra detalhes do grupo de segurança Usuários Válidos do Projeto em formato de tabela.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Atualizar um grupo de segurança

Você pode atualizar o nome e a descrição de um grupo de segurança com o comando az devops security group update.

az devops security group update --id
                                [--description]
                                [--name]

Parâmetros

  • id: Obrigatório. Descritor de grupo de segurança.
  • descrição: Opcional. Nova descrição para o grupo de segurança. Obrigatório se nome estiver faltando.
  • nome: Opcional. Novo nome para o grupo de segurança. Obrigatório se de descrição estiver faltando.

Exemplo

O comando a seguir altera o nome do grupo de segurança com o descritor especificado e mostra o resultado no formato YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Adicionar um membro a um grupo

Você pode adicionar um membro a um grupo de segurança com o comando az devops security group membership add.

az devops security group membership add --group-id
                                        --member-id

Parâmetros

  • de identificação de grupo : Obrigatório. Descritor do grupo ao qual o membro deve ser adicionado.
  • ID de membro: Obrigatório. Descritor do grupo ou endereço de e-mail do usuário a ser adicionado.

Exemplo

O comando a seguir adiciona o contoso@contoso.com do usuário ao grupo de segurança especificado e mostra os resultados em formato de tabela.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Listar associações para um grupo ou usuário

Você pode listar associações para um grupo ou usuário com o comando az devops security group membership list.

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parâmetros

  • id: Obrigatório. Descritor de grupo de segurança ou endereço de e-mail do usuário cujos detalhes de associação são necessários.
  • relação: Opcional. Obtenha membro de ou membros informações para o grupo. Os valores aceites são membro de e membros.

Exemplos

O comando a seguir lista os membros do grupo de segurança especificado e mostra os resultados em formato de tabela.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Aqui está outro exemplo que lista os membros da equipe EMail para o projeto Fabrikam Fibra.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Remover um membro de um grupo

Você pode remover um membro de um grupo de segurança com o comando az devops security group membership remove.

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parâmetros

  • de identificação de grupo : Obrigatório. Descritor do grupo do qual o membro precisa ser removido.
  • ID de membro: Obrigatório. Descritor do grupo ou endereço de e-mail do usuário a ser removido.
  • sim: Opcional. Não solicite confirmação.

Exemplo

O comando a seguir remove o usuário contoso@contoso.com do grupo de segurança especificado sem solicitar confirmação.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes