Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services
Чтобы управлять доступом к критически важным ресурсам и ключевым бизнес-ресурсам вашей команды в Azure DevOps Services, используйте службы Майкрософт, например Microsoft 365 или Идентификатор Microsoft Entra. Идентификатор Microsoft Entra работает с вашей организацией для управления доступом и аутентификацией пользователей.
Организуйте членов вашего каталога с помощью групп Microsoft Entra и управляйте разрешениями в организации массово. Добавьте эти группы в встроенные группы, такие как администраторы коллекции проектов или участники, или в пользовательские группы, такие как группа управления проектами. Члены группы Microsoft Entra наследуют разрешения от группы Azure DevOps, поэтому вам не нужно управлять участниками группы по отдельности.
Дополнительные сведения о преимуществах идентификатора Microsoft Entra и способах управления доступом организации с помощью учетных записей Майкрософт или идентификатора Microsoft Entra см. по указанным ссылкам.
Примечание.
Из-за функционального ограничения Microsoft Graph субъекты-службы не отображаются в списке членов группы Microsoft Entra в Azure DevOps. Разрешения, заданные для любых групп Microsoft Entra, по-прежнему применяются к любым субъектам-службам в группе, которые были добавлены в организации, даже если они не отображаются в веб-интерфейсе.
Предварительные условия
Добавление группы Microsoft Entra в группу Azure DevOps
Примечание.
Чтобы включить функцию предварительного просмотра, перейдите на Страницу настроек разрешений организации, версия 2, см. в разделе "Включить предварительные версии".
Войдите в свою организацию (
https://dev.azure.com/{yourorganization}).Перейдите к параметрам организации.
Выберите разрешения и выберите группу, в которую нужно добавить участника.
Выберите "Участники" и нажмите кнопку "Добавить".
Вы приглашаете гостей в идентификатор Microsoft Entra и в организации, поддерживаемые идентификаторами Microsoft Entra, не ожидая их принятия. Это приглашение позволяет добавлять этих гостей в организацию, предоставлять доступ к проектам, назначать расширения и многое другое.
Добавьте пользователей или группы и сохраните изменения.
Изменения идентификатора Microsoft Entra могут занять до 1 часа, чтобы быть видимыми в Azure DevOps, но вы можете немедленно переоценить свои разрешения.
Настройте доступ по требованию для групп администраторов
Если у вас есть доступ администратора коллекции проектов и администратора проекта, можно изменить конфигурацию организации или проекта. Чтобы повысить безопасность этих встроенных групп администраторов, рекомендуется внедрить доступ по требованию с помощью группы управления привилегированными идентичностями (PIM) Microsoft Entra. Этот подход позволяет предоставлять повышенные разрешения только при необходимости, уменьшая риск, связанный с постоянным доступом.
Настройка доступа
- Создайте группу с возможностью назначения ролей в Microsoft Entra ID.
- Добавьте группу Microsoft Entra в группу Azure DevOps.
Примечание.
При настройке JIT-доступа с помощью группы Microsoft Entra Privileged Identity Management (PIM) убедитесь, что любой пользователь с повышенным уровнем доступа также сохраняет стандартный доступ в организацию. Таким образом, они могут просматривать необходимые страницы и обновлять их разрешения по мере необходимости.
Использование доступа
- Активируйте доступ.
- Обновите разрешения в Azure DevOps.
- Выполните действия, требующие доступа администратора.
Примечание.
Пользователи имеют повышенный доступ в Azure DevOps до 1 часа после отключения доступа к группе PIM.