Использование групп безопасности для управления пользователями и группами
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Для управления разрешениями и доступом используйте группы безопасности. Вы можете использовать стандартные или настраиваемые группы для задания разрешений. Вы можете добавить пользователей и группы в несколько групп. Например, вы добавляете большинство разработчиков в группу участников. Когда они присоединяются к команде, они также присоединяются к группе команды.
Дополнительные сведения см. в следующих статьях:
- Добавление пользователей или групп Active Directory / Microsoft Entra в встроенную группу безопасности
- Добавление пользователей и управление доступом
- Добавление пользователей или групп в группу или проект
- Удаление учетных записей пользователей
- Управление доступом с помощью разрешений
- Изменение разрешений на уровне проекта
- Изменение разрешений на уровне коллекции проектов
Пользователи наследуют разрешения от групп, к которым они относятся. Если для одной группы задано разрешение и запрет для другой группы, к которой принадлежит пользователь, то их эффективное назначение разрешений — "Запретить". Дополнительные сведения см. в разделе "Сведения о разрешениях/наследовании".
Как Azure DevOps использует группы безопасности
Azure DevOps использует группы безопасности для следующих целей:
- Определение разрешений, выделенных группе или пользователю
- Определение уровня доступа, выделенного группе или пользователю
- Фильтрация запросов рабочих элементов на основе членства в группе
- Использование @mention группы уровня проекта для отправки Уведомления по электронной почте членам этой группы
- Отправка уведомлений команд членам группы
- Добавление группы в разрешение на основе ролей
- Установка разрешений на уровне объекта для группы безопасности
Примечание.
Группы безопасности управляются на уровне организации, даже если они используются для конкретных проектов. В зависимости от разрешений пользователей некоторые группы могут быть скрыты на веб-портале. Чтобы просмотреть все имена групп в организации, можно использовать средство командной строки Azure DevOps или интерфейсы REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".
Примечание.
Группы безопасности управляются на уровне коллекции, даже если они используются для конкретных проектов. В зависимости от разрешений пользователей некоторые группы могут быть скрыты на веб-портале. Чтобы просмотреть все имена групп в коллекции, можно использовать средство командной строки Azure DevOps или интерфейсы REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".
Примечание.
Группы безопасности управляются на уровне коллекции, даже если они используются для конкретных проектов. В зависимости от разрешений пользователей некоторые группы могут быть скрыты на веб-портале. Чтобы просмотреть все имена групп в коллекции, можно использовать REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".
Необходимые компоненты
- Чтобы управлять разрешениями или группами на уровне проекта, необходимо быть членом группы администраторов проектов . Если вы создали проект, вы автоматически добавляете в качестве члена этой группы.
- Чтобы управлять разрешениями или группами на уровне коллекции или экземпляра, необходимо быть членом группы администраторов коллекции проектов . Если вы создали организацию или коллекцию, вы автоматически добавляете в качестве члена этой группы.
Примечание.
Пользователи, добавленные в группу "Пользователи с областью проекта" , не могут получить доступ к большинству страниц параметров организации, включая разрешения. Дополнительные сведения см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
Создание настраиваемой группы безопасности
Создайте группу уровня проекта, когда требуется управлять разрешениями на уровне проекта или объекта для проекта. Создайте группу уровня коллекции, когда требуется управлять разрешениями на уровне коллекции. Дополнительные сведения см. в разделе "Изменение разрешений на уровне проекта" и "Изменение разрешений на уровне коллекции проектов".
Примечание.
Чтобы включить страницу параметров разрешений проекта или страницу параметров разрешений организации версии 2, см. статью "Включить предварительный просмотр функций". Обе страницы предварительного просмотра предоставляют страницу параметров группы, которую текущая страница не поддерживает.
Создание группы уровня проекта
Откройте веб-портал и выберите проект, в котором нужно добавить пользователей или группы. Сведения о выборе другого проекта см. в разделе Switch project, репозиторий, команда.
Выберите "Разрешения для параметров>проекта".
Выберите новую группу , чтобы открыть диалоговое окно для добавления группы.
Создание группы уровня коллекции проекта
Откройте веб-портал и щелкните значок Azure DevOps, а затем выберите параметры организации.
В разделе "Безопасность" выберите "Разрешения" и выберите "Создать группу ", чтобы открыть диалоговое окно для добавления группы.
Определение новой группы
В открывшемся диалоговом окне введите имя группы. При необходимости добавьте участников и описание группы.
Например, здесь мы определим группу администраторов отслеживания работы.
После завершения нажмите кнопку "Создать ".
Откройте веб-портал и выберите проект, в котором нужно добавить пользователей или группы. Сведения о выборе другого проекта см. в разделе Switch project, репозиторий, команда.
Выберите "Безопасность параметров>проекта".
Чтобы просмотреть полное изображение, выберите пункт "Развернуть".
В разделе "Группы" выберите один из следующих вариантов:
- Читатели: чтобы добавить пользователей, которым требуется доступ только для чтения к проекту, выберите.
- Участники. Чтобы добавить пользователей, которые полностью участвуют в этом проекте или которым предоставлен доступ заинтересованных лиц.
- Администраторы проекта: чтобы добавить пользователей, которым необходимо администрировать проект. Дополнительные сведения см. в разделе Изменение разрешений на уровне проекта.
Выберите вкладку Участники.
Здесь мы выбираем группу участников .
Группа команд по умолчанию и все другие команды, добавляемые в проект, включаются в группу участников . Вместо этого добавьте нового пользователя в качестве члена команды, а пользователь автоматически наследует разрешения участника.
Совет
Управление пользователями гораздо проще использовать группы, а не отдельных пользователей.
Нажмите кнопку "Добавить", чтобы добавить пользователя или группу пользователей.
Введите имя учетной записи пользователя в текстовое поле. В текстовое поле можно ввести несколько удостоверений, разделенных запятыми. Система автоматически ищет совпадения. выберите соответствие(es), соответствующее вашим требованиям.
При первом добавлении пользователя или группы в Azure DevOps вы не можете перейти к нему или проверить понятное имя. После добавления удостоверения можно просто ввести понятное имя.
После завершения нажмите кнопку "Сохранить изменения ".
(Необязательно) Вы можете настроить разрешение пользователя для других функциональных возможностей проекта. Например, в областях и итерациях или общих запросах.
Примечание.
Пользователи с ограниченным доступом, например заинтересованные лица, не могут получить доступ к функциям, даже если эти функции предоставлены. Дополнительные сведения см. в разделе "Разрешения и доступ".
Добавление пользователей или групп в группу безопасности
По мере изменения ролей и обязанностей может потребоваться изменить уровни разрешений для отдельных членов проекта. Самый простой способ сделать это — добавить пользователя или группу пользователей в группу безопасности по умолчанию или настраиваемую группу безопасности. При изменении ролей можно удалить пользователя из группы.
Здесь показано, как добавить пользователя в встроенную группу администраторов проектов . Этот метод аналогичен независимо от того, какую группу вы добавляете. Если ваша организация подключена к идентификатору Microsoft Entra или Active Directory, можно добавить группы безопасности, определенные в этих каталогах, в группы безопасности Azure DevOps. Дополнительные сведения см. в разделе "Добавление пользователей или групп Microsoft Entra" в встроенную группу безопасности. Если вам нужно добавить более 10 тысяч пользователей или групп в группу безопасности Azure DevOps, рекомендуется добавить группу Azure Directory или Microsoft Entra, содержащую пользователей, а не добавлять пользователей напрямую.
Примечание.
Чтобы включить страницу параметров разрешений проекта или страницу параметров разрешений организации версии 2, см. статью "Включить предварительный просмотр функций". Обе страницы предварительного просмотра предоставляют страницу параметров группы, которую текущая страница не поддерживает.
Откройте страницу "Разрешения" для уровня проекта или уровня организации, как описано в предыдущем разделе, создайте пользовательскую группу безопасности.
Выберите группу безопасности, участники которой вы хотите управлять, а затем перейдите на вкладку "Участники " и нажмите кнопку "Добавить".
Например, здесь мы выбираем группу "Администраторы проекта" , "Участники" и " Добавить".
Введите имя учетной записи пользователя в текстовое поле, а затем выберите из отображаемого совпадения. Вы можете ввести несколько удостоверений, распознанных системой, в поле "Добавление пользователей" и (или) групп . Система автоматически ищет совпадения. Выберите совпадения, соответствующие вашему выбору.
Примечание.
Пользователи с ограниченным доступом, например заинтересованные лица, не могут получить доступ к функциям, даже если эти функции предоставлены. Дополнительные сведения см. в разделе "Разрешения и доступ".
Выберите Сохранить.
Откройте страницу "Разрешения" для уровня проекта или уровня организации, как описано в предыдущем разделе, создайте пользовательскую группу безопасности.
Выберите группу безопасности, участники которой вы хотите управлять, а затем перейдите на вкладку "Участники " и нажмите кнопку "Добавить".
Например, здесь мы выбираем группу "Администраторы проекта" , "Участники" и " Добавить".
Введите имя учетной записи пользователя в текстовое поле. В текстовое поле можно ввести несколько удостоверений, разделенных запятыми. Система автоматически ищет совпадения. Выберите совпадение(es), соответствующее вашему выбору.
Примечание.
Пользователи с ограниченным доступом, например заинтересованные лица, не могут получить доступ к функциям, даже если эти функции предоставлены. Дополнительные сведения см. в разделе "Разрешения и доступ".
Нажмите кнопку "Сохранить изменения". Щелкните значок обновления, чтобы просмотреть дополнения.
Изменение разрешений для пользователя или группы
Так как разрешения определены на разных уровнях, ознакомьтесь со следующими статьями, чтобы открыть диалоговое окно для разрешений, которые нужно изменить:
Удаление пользователей или групп из группы безопасности
Для пользователя или группы, которую вы хотите удалить, нажмите кнопку "Дополнительные параметры>удалить".
Выберите "Удалить", чтобы подтвердить удаление члена группы.
Чтобы удалить пользователя из группы, нажмите кнопку "Удалить " рядом с именем пользователя, которое требуется удалить.
Управление параметрами группы
Примечание.
Чтобы включить страницу параметров разрешений проекта или страницу параметров разрешений организации версии 2, см. статью "Включить предварительный просмотр функций". Обе страницы предварительного просмотра предоставляют страницу параметров группы, которую текущая страница не поддерживает.
Откройте страницу "Разрешения" для уровня проекта или уровня организации, как описано ранее в этой статье, создайте пользовательскую группу безопасности.
Перейдите на вкладку "Параметры". Вы можете изменить описание группы, добавить изображение группы или удалить группу на странице "Параметры группы".
На > странице "Разрешения" или "Параметры организации>" выберите группу, которую вы хотите управлять, а затем нажмите кнопку "Параметры".
Например, здесь мы открываем параметры группы "Администраторы отслеживания работы".
Вы можете изменить имя группы, описание группы, отправить изображение или удалить ее.
Вы можете изменить имя группы, описание, добавить изображение группы или удалить группу.
На странице "Безопасность параметров > проекта>" или "Параметры > организации>" выберите группу, которую вы хотите управлять
Выберите в меню "Изменить" или "Изменить профиль" или "Удалить".
Например, здесь мы открываем профиль редактирования для группы доступа заинтересованных лиц.
. . . и измените описание. Вы также можете изменить имя группы.
Нажмите кнопку "Сохранить", чтобы сохранить изменения.
Локальные развертывания
Сведения о локальных развертываниях см. в следующих статьях:
Если локальное развертывание интегрировано с отчетами SQL Server, необходимо управлять членством в этих продуктах отдельно от своих веб-сайтов. См . сведения о предоставлении разрешений для просмотра или создания отчетов SQL Server в TFS.