共用方式為

使用群組規則指派存取層級

  • 發行項

Azure DevOps Services

Azure DevOps 提供Microsoft Entra 群組和 Azure DevOps 群組的群組型存取層級,可讓您將存取層級指派給整個使用者群組,以有效率地管理許可權。 本文說明如何新增群組規則,以將存取層級指派給使用者群組。 Azure DevOps 資源會指派給群組的所有成員。

指派群組規則來管理存取層級和專案成員資格。 將使用者指派給具有不同存取層級的多個規則或Microsoft Entra 群組時,他們會收到其中最高的存取層級。 例如,如果 John 指派給具有不同群組規則的兩個Microsoft Entra 群組,其中一個指定專案關係人存取權,另一個是基本存取權,John 會收到基本存取權。

當用戶離開Microsoft Entra 群組時,Azure DevOps 會根據群組定義的規則調整其存取層級。 如果群組是使用者的唯一存取來源,Azure DevOps 會自動從組織移除它們。 如果使用者屬於其他群組,則會重新評估其存取層級和許可權。

注意

  • 透過群組規則對 專案讀取器 所做的變更不會保存。 若要調整專案讀取器,請考慮替代方法,例如 直接指派自定義安全組
  • 定期檢閱 [使用者] 頁面的 [群組規則] 索引標籤上所列的規則。 Microsoft Entra ID 群組成員資格的變更會出現在群組規則的下一次重新評估中,這些規則可在修改群組規則時視需要完成,或每隔 24 小時自動執行一次。 Azure DevOps 會每小時更新Microsoft Entra 群組成員資格,但最多可能需要 24 小時,Microsoft Entra 標識符更新 動態群組成員資格

必要條件

許可權:是專案集合系統管理員群組的成員。 組織擁有者自動成為這個群組的成員。

新增群組規則

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

    顯示醒目提示 [組織設定] 按鈕的螢幕快照。

  3. 選取 [許可權],然後確認您是 Project Collection Administrators 群組的成員

    顯示專案集合系統管理員群組成員的螢幕快照。

  4. 選取 [ 使用者],然後選取 [ 群組規則]。 此檢視會顯示您所有已建立的群組規則。 選取 [ 新增群組規則]。

    顯示已選取 [新增群組規則] 按鈕的螢幕快照。

    只有當您是 Project Collection Administrators 群組的成員時,才會顯示群組規則

  5. 完成您要為其建立規則之群組的對話框。 包含群組的存取層級,以及群組的任何選擇性專案存取。 選取 [新增]。

    顯示 [新增群組規則] 對話框的螢幕快照。

    通知隨即顯示,顯示規則的狀態和結果。 如果無法完成指派,請選取 [ 檢視狀態 ] 以查看詳細數據。

    顯示群組規則已完成的螢幕快照。

重要

  • 群組規則僅適用於沒有直接指派的使用者,以及未來新增至群組的使用者。 拿掉直接指派 ,讓群組規則套用至這些使用者。
  • 除非使用者第一次嘗試登入,否則使用者不會出現在 [所有使用者]。

管理群組成員

  1. 選取 [群組規則>>管理成員]。 顯示醒目提示的群組規則來管理成員的螢幕快照。

    保留現有的自動化來管理依現狀執行的使用者存取層級(例如 PowerShell 腳本)。 目標是確保自動化所套用的相同資源會針對這些用戶正確反映。

  2. 新增成員,然後選取 [ 新增]。

    新增群組成員的螢幕快照。

    當您將相同的存取層級指派給使用者時,無論指派是直接還是透過群組,他們只會取用一個存取層級。

驗證群組規則

確認資源已套用至每個群組和個別使用者。 選取 [ 所有使用者]、反白顯示使用者,然後選取 [ 摘要]。

顯示群組規則使用者摘要驗證的螢幕快照。

拿掉直接指派

若要只透過其群組成員資格管理用戶的資源,請移除任何直接指派。 不論使用者群組成員資格的變更為何,指派給使用者的資源都會個別指派。

  1. 登入您的組織 (https://dev.azure.com/{yourorganization})。

  2. 選取 [齒輪圖示組織設定]。

    顯示醒目提示 [組織設定] 按鈕的螢幕快照。

  3. 選取使用者

    顯示已選取 [使用者] 索引標籤的螢幕快照。

  4. 選取只有群組管理資源的所有使用者。

    顯示 [選取的群組規則以進行移轉] 的螢幕快照。

  5. 若要確認您想要移除直接指派,請選取 [ 移除]。

    確認為 [移除] 的螢幕快照。

    直接指派會從用戶中移除。 如果使用者不是任何群組的成員,則使用者不會受到影響。

常見問題集

問:Visual Studio 訂閱 如何使用群組規則?

答:Visual Studio 訂閱者一律會透過 Visual Studio系統管理入口網站 直接指派,並在 Azure DevOps 中優先於直接指派或透過群組規則指派的存取層級。 當您從用戶中樞檢視這些使用者時,授權來源一律會顯示為 Direct。 唯一的例外是獲指派基本 + 測試方案的 Visual Studio Professional 訂閱者。 由於基本 + 測試方案可在 Azure DevOps 中提供更多存取權,因此優先於 Visual Studio Professional 訂用帳戶。