編輯

共用方式為


透過 Microsoft Entra 常見問題集存取

Azure DevOps Services

重要

Azure DevOps 不支援替代認證驗證。 如果您仍在使用替代認證,強烈建議您切換到更安全的驗證方法。

瞭解下列常見問題的解答,以瞭解透過 Microsoft Entra ID 存取 Azure DevOps 組織的常見問題。 我們將常見問題分組為下列主題:

具有 Microsoft Entra 識別碼的一般存取

為什麼我在 Azure 入口網站 中看不到我的組織?

在這兩個應用程式中,您必須擁有 連結至 Azure DevOps 中組織之 Azure 訂用帳戶的 Azure 服務管理員或共同管理員 許可權。 此外,在 Azure 入口網站 中,您必須具有專案集合管理員或組織擁有者許可權。

我需要設定具有 Microsoft Entra 識別符的現有 Azure DevOps 實例嗎?

請確定您符合下列文章中的必要條件: 將組織連線到Microsoft Entra ID

我變更了 Microsoft Entra 識別符, 但他們似乎沒有生效, 為什麼?

Microsoft Entra 識別碼所做的變更最多可能需要 1 小時才能顯示在 Azure DevOps 中。

我可以搭配 Azure DevOps 使用 Microsoft 365 和 Microsoft Entra 標識符嗎?

為什麼我必須選擇「公司或學校帳戶」和我的「個人帳戶」?

當您使用這兩個帳戶共用的電子郵件位址(例如, jamalhartnett@fabrikam.com)登入時,您必須選擇「公司或學校帳戶」和「個人帳戶」。 雖然這兩個身分識別使用相同的登入位址,但它們是分開的,而且有不同的配置檔、安全性設定和許可權。

  • 如果您使用此身分識別來建立您的組織或先前使用它登入,請選取 [公司或學校帳戶 ]。 Microsoft Entra ID 中的組織目錄會驗證您的身分識別,並控制貴組織的存取權。

  • 如果您使用Microsoft帳戶搭配 Azure DevOps,請選取 [個人 帳戶]。 Microsoft帳戶的全域目錄會驗證您的身分識別。

我的組織只會使用Microsoft帳戶。 我可以切換至 Microsoft Entra 識別符嗎?

,但在切換之前,請確定Microsoft Entra ID 符合共用下列專案的需求:

  • 工作項目
  • 代碼
  • 資源
  • 您的小組和合作夥伴的其他資產

深入瞭解如何使用Microsoft帳戶與Microsoft Entra標識符來控制存取權,以及如何 在準備好時切換。

為什麼我在選取 [個人Microsoft帳戶] 或 [公司或學校帳戶] 之後無法登入?

如果您的登入位址是由您的個人Microsoft帳戶和公司或學校帳戶共用,但選取的身分識別沒有存取權,則您無法登入。 雖然這兩個身分識別使用相同的登入位址,但它們是分開的,而且有不同的配置檔、安全性設定和許可權。 完成下列步驟,從 Azure DevOps 完全註銷。 關閉瀏覽器可能不會完全註銷。 再次登入並選取您的其他身分識別:

  1. 關閉所有瀏覽器,包括未執行 Azure DevOps 的瀏覽器。

  2. 開啟私人或無痕瀏覽會話。

  3. 移至此 URL: https://aka.ms/vssignout

    訊息會顯示「進行中註銷」。註銷之後,系統會將您重新導向至 Azure DevOps @dev.azure.microsoft.com 網頁。

    提示

    如果註銷頁面花費的時間超過一分鐘,請關閉瀏覽器,然後再試一次。

  4. 再次登入 Azure DevOps。 選取您的其他身分識別。

如果我的 Azure 訂用帳戶已停用,會發生什麼事?

如果您是組織擁有者或 Azure 訂用帳戶帳戶管理員,請在帳戶中心檢查您的訂用帳戶狀態,然後嘗試修正您的訂用帳戶。 您的付費設定會還原。 或者,您可以將組織從停用的訂用帳戶取消連結,以 將組織連結至另一個 Azure 訂用帳戶。 當您的訂用帳戶停用時,您的組織會回到免費每月限制,直到您的訂用帳戶已修正為止。

Microsoft Entra 用戶和許可權

如果您在這裡找不到問題的解答,請參閱 使用者和許可權管理常見問題

為什麼我必須將使用者新增至目錄?

您的組織會透過 Microsoft Entra 識別碼來驗證使用者和控制存取。 所有用戶都必須是目錄成員,才能取得存取權。

身為目錄管理員,您可以將 使用者新增至目錄。 如果您不是系統管理員,請與目錄管理員合作以新增使用者。 深入瞭解如何使用 目錄來控制 Azure DevOps Services 的存取權。

目前用戶會發生什麼事?

您在 Azure DevOps 中的工作會與您的認證相關聯,以取得Microsoft Entra ID。 當您的組織連線到您的目錄之後,如果使用者的認證位址出現在連線的目錄中,則繼續順暢地運作。 如果未顯示使用者的位址,您必須 將這些使用者新增至您的目錄。 您的組織可能有將使用者新增至目錄的原則,因此請先深入瞭解。

如何? 瞭解我的組織是否使用 Microsoft Entra ID 來控制存取?

如果您至少有 [基本] 存取權,請移至 [組織設定],然後選取 [Microsoft Entra ID] 索引標籤。[連線目錄] 或 [中斷連線] 目錄

我的組織會使用 Microsoft Entra ID 控制存取。 我是否可以從目錄中刪除使用者?

是,但從目錄中刪除使用者,會移除使用者存取與該目錄相關聯的所有組織和其他資產。 如需詳細資訊,請參閱 從您的 Microsoft Entra 目錄中刪除使用者。

當我嘗試將來自 Microsoft Entra 識別碼的使用者新增至 Azure DevOps 組織時,為什麼「找不到身分識別」?

您可能是 Microsoft Entra標識符中的來賓 ,可備份您的 Azure DevOps 組織,而不是 成員。 Microsoft Entra 來賓無法以 Azure DevOps 所需的方式搜尋 Microsoft Entra ID。 例如,Microsoft Entra 來賓無法使用 Azure DevOps 入口網站來搜尋或選取未新增至 Azure DevOps 組織的使用者。 了解如何將 Microsoft Entra 來賓轉換為成員

如果我們不能使用相同的登入位址,該怎麼辦?

使用新的公司或學校帳戶將這些使用者新增至目錄,然後重新指派存取層級,並將其讀取至任何專案。 如果他們有現有的公司或學校帳戶,則可以改用這些帳戶。 工作不會遺失,且會保留其目前的登入位址。 用戶可以移轉他們想要保留的工作,但工作歷程記錄除外。 如需詳細資訊,請參閱 如何新增組織使用者

如果我不小心刪除Microsoft Entra標識符中的使用者,該怎麼辦?

還原使用者,而不是建立新的使用者。 如果您建立新的使用者,即使使用相同的電子郵件位址,此使用者也不會與先前的身分識別相關聯。

如何將Microsoft Entra 來賓轉換成成員?

請從下列兩個選項中選取:

使用 Microsoft Graph PowerShell 將 UserType 從來賓轉換成成員

警告

我們不建議 使用此進階程式,但可讓使用者從 Azure DevOps 組織查詢Microsoft Entra 識別符。

先決條件

當使用者進行UserType變更時,具有下列專案:

  • Microsoft Entra 識別碼中的公司/學校帳戶 (WSA)/原生使用者。 您無法使用 Microsoft 帳戶變更 UserType。
  • 用戶系統管理員許可權

重要

建議您在 entra ID Microsoft 中建立具有用戶系統管理員許可權的新(原生)Microsoft Entra 使用者。 使用此使用者完成下列步驟,以排除連線到錯誤的Microsoft Entra ID 的可能性。 完成時,您可以刪除新的使用者。

處理

  1. 以組織目錄的用戶系統管理員身分登入 Azure 入口網站
  2. 移至可備份 Azure DevOps 組織的租使用者。
  3. 開啟系統管理 Windows PowerShell 提示字元,以使用 Microsoft Graph PowerShell。
  4. 執行 Install-Module -Name Microsoft.Graph -Scope CurrentUser。 Microsoft Graph 會從 PowerShell 資源庫 下載。
  5. 安裝完成之後,請執行 Connect-MgGraph -Scopes "User.ReadWrite.All"。 登入 Microsoft Entra ID。 請務必使用符合先前提及準則的標識符,並同意許可權。
  6. 執行 Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType,其中 <display_name> 是用戶的顯示名稱,如 Azure 入口網站 所示。 我們想要將 userType 變更為 Member
  7. 執行 Update-MgUser -UserId string -UserType Member,其中 string 是上一個命令傳回的標識符值。 用戶會設定為成員狀態。
  8. 再次執行 Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType 以確認 UserType 已變更。 您也可以在 Azure 入口網站 的 Microsoft Entra ID 區段中進行驗證。

雖然不是常態,但可能需要數小時,或甚至數天,此變更才會反映在 Azure DevOps 中。 如果它無法立即修正您的 Azure DevOps 問題,請給予它一些時間並持續嘗試。

Microsoft Entra 群組

為什麼我無法將 Azure DevOps 許可權直接指派給 Microsoft Entra 群組?

由於這些群組是在 Azure 中建立和管理的,因此您無法直接指派 Azure DevOps 許可權,或將這些群組的安全版本控制路徑指派給這些群組。 如果您嘗試直接指派許可權,就會收到錯誤。

您可以將Microsoft Entra 群組新增至具有所需許可權的 Azure DevOps 群組。 或者,您可以改為將這些許可權指派給群組。 Microsoft Entra 群組成員會繼承您新增許可權的群組。

我可以在 Azure DevOps 中管理Microsoft Entra 群組嗎?

否,因為這些群組會在 Azure 中建立和管理。 Azure DevOps 不會儲存或同步處理Microsoft Entra 群組的成員狀態。 若要管理Microsoft Entra 群組,請使用 Azure 入口網站、Microsoft Identity Manager (MIM),或貴組織支援的群組管理工具。

如何? 說明 Azure DevOps 群組與Microsoft Entra 群組之間的差異?

Azure DevOps UI 會使用方括弧 []指出成員資格範圍。 例如,請考慮此許可權設定頁面:

具有各種範圍的許可權設定

範圍名稱 定義
[fabrikam-fiber] 成員資格定義於組織設定中
[Project Name] 成員資格定義於項目設定中
[TEAM FOUNDATION] 成員資格直接定義於Microsoft Entra標識符中

注意

如果您將Microsoft Entra 群組新增至自定義安全組並使用類似的名稱,您可能會看到看似重複的群組。 檢查 中的 [] 範圍,以判斷哪一個是 DevOps 群組,以及哪一個是Microsoft Entra 群組。

為什麼 [使用者] 列表不會顯示所有Microsoft Entra 群組成員?

這些用戶必須先登入您的組織,才能出現在 [使用者] 中。

如何? 將組織存取權指派給Microsoft Entra 群組成員?

當這些群組成員第一次登入您的組織時,Azure DevOps 會自動為其指派存取層級。 如果他們有 Visual Studio 訂用帳戶,Azure DevOps 會為其指派各自的存取層級。 否則,Azure DevOps 會依下列順序指派下一個「最佳可用」 存取層級:基本項目關係人。

如果您沒有足夠的存取層級可供所有Microsoft Entra 群組成員使用,則登入的成員會取得項目關係人存取權。

如何保護內建系統管理員群組的存取權?

需要使用 Microsoft Entra Privileged Identity Management (PIM) 群組進行 Just-In-Time 存取。 如需詳細資訊,請參閱 系統管理員群組的 Just-In-Time 存取。

為什麼當我選取Microsoft Entra 群組時,[安全性] 索引卷標不會顯示所有成員?

[安全性] 索引標籤只會在登入您的組織之後顯示Microsoft Entra 群組成員,併為其指派存取層級。

若要查看所有Microsoft Entra 群組成員,請使用 Azure 入口網站、MIM 或貴組織支援的群組管理工具。

為什麼小組成員小工具不會顯示所有Microsoft Entra 群組成員?

小組成員小工具只會顯示先前登入您組織的使用者。

為什麼小組容量窗格不會顯示所有Microsoft Entra 群組成員?

[小組容量] 窗格只會顯示先前登入您組織的使用者。 若要設定容量,請手動將使用者新增至您的小組。

為什麼 Azure DevOps 不會再從未Microsoft Entra 群組成員的使用者回收存取層級?

Azure DevOps 不會自動從這些使用者回收存取層級。 若要手動移除其存取權,請移至 [ 使用者]。

我可以將工作專案指派給尚未登入的 Entra 群組成員Microsoft嗎?

您可以將工作專案指派給任何具有組織許可權Microsoft Entra 成員。 此動作也會將該成員新增至您的組織。 當您以這種方式新增使用者時,其會自動顯示為 [使用者],並具有最佳的可用存取層級。 使用者也會出現在安全性設定中。

是否可以使用 Microsoft Entra 群組來使用 「In Group」 子句來查詢工作專案?

否,我們不支持查詢 Microsoft Entra 群組。

我可以使用Microsoft Entra 群組在工作項目範本中設定字段規則嗎?

否,但您可能對程式 自定義方案感興趣。

將使用者新增至目錄

將組織使用者新增至您的Microsoft Entra識別符

為什麼我收到錯誤,指出我的組織有多個使用中身分識別具有相同 UPN?

在連線過程中,我們會根據其 UPN 將現有的用戶對應至 Microsoft Entra 租用戶的成員,這通常稱為登入位址。 如果我們偵測到多個具有相同 UPN 的用戶,我們就不知道如何對應這些使用者。 如果一名使用者將其 UPN 變更為組織中已經存在的 UPN,就會發生此案例。

如果您遇到此錯誤,請檢閱您的使用者清單是否有任何重複。 如果您發現任何重複,請移除您不需要的使用者。 如果您找不到任何重複專案, 請連絡支持人員

我可以將目前使用者從 Microsoft 帳戶切換至 Azure DevOps 中的公司帳戶嗎?

否。 雖然您可以將新的工作帳戶新增至您的組織,但它們會被視為新使用者。 如果您想要存取所有工作,包括其歷程記錄,您必須使用與組織連線到Microsoft Entra ID 之前所使用的相同登入位址。 將Microsoft帳戶新增為成員至您的 Microsoft Entra ID。

為什麼我無法從其他目錄將使用者新增至我的Microsoft Entra標識符?

成為 或的成員,或具有這些目錄中的讀取許可權。 否則,您可以透過您的 Microsoft Entra 系統管理員,使用 B2B 共同作業來新增它們。 您也可以使用其Microsoft帳戶,或在目錄中為其建立新的工作帳戶來新增它們。

如果我在嘗試將用戶對應至組織的現有成員時發生錯誤,該怎麼辦?

您可以將用戶對應至尚未成為組織作用中成員的不同身分識別,或將現有的使用者新增至您的 Microsoft Entra ID。 如果您仍然需要對應至現有的 Azure DevOps 組織成員, 請連絡支持人員。

如何? 使用我的公司或學校帳戶搭配 Visual Studio 搭配 MSDN 訂用帳戶?

如果您使用Microsoft帳戶以 MSDN 訂用帳戶來啟用 Visual Studio,其中包含 Azure DevOps 作為權益,您可以新增公司或學校帳戶。 Microsoft Entra 標識碼必須管理帳戶。 瞭解如何 使用 MSDN 訂用帳戶將公司或學校帳戶連結至 Visual Studio。

我可以控制連線目錄中外部用戶的組織存取嗎?

是,但僅適用於透過 Microsoft 365 新增為來賓的外部使用者,或由您的 Microsoft Entra 系統管理員使用 B2B 共同作業新增。 這些外部使用者是在連線目錄外部管理。 如需詳細資訊,請連絡您的 Microsoft Entra 系統管理員。 下列設定不會影響 直接新增至組織目錄的使用者。

開始之前,請確定您至少有基本存取權,而不是項目關係人。

完成新增外部使用者的必要條件,將外部來賓存取權開啟

移除使用者或群組

如何? 從 Azure DevOps 移除Microsoft Entra 群組?

移至您的專案集合或專案。 在上方列中,選取 [ 設定],然後選取 [ 安全性]。

尋找Microsoft Entra 群組,並將其從您的組織中刪除。

項目的螢幕快照,其中已醒目提示 [刪除] 選項

當我從我的組織中刪除該使用者時,為何要求從 Microsoft Entra 群組移除使用者?

用戶可以屬於貴組織,無論是個人還是 Azure DevOps 群組中Microsoft Entra 群組的成員。 當這些使用者是這些Microsoft Entra 群組的成員時,這些使用者仍然可以存取您的組織。

若要封鎖使用者的所有存取權,請從組織中的 Microsoft entra 群組中移除這些存取,或從您的組織移除這些群組。 我們目前無法完全封鎖存取,或對這類用戶進行例外狀況。

如果移除Microsoft Entra 使用者,其所有相關的 PAT 也會撤銷嗎?

已停用或從目錄移除的使用者,無法再透過任何機制存取您的組織,包括透過 PAT 或 SSH。

線上、中斷連線,或變更Microsoft Entra 連線

如何管理連線到 Microsoft Entra 識別碼的多個組織?

您可以下載由 Microsoft Entra 租使用者所支援之組織的完整清單。 如需詳細資訊,請參閱 取得Microsoft Entra標識符所支援的組織清單。

我可以將組織連線到從 Microsoft 365 建立的 Microsoft Entra 識別符嗎?

。 如果您找不到從 Microsoft 365 建立的 Microsoft Entra ID,請參閱 為什麼看不到想要連線的目錄?

為什麼我看不到要連線的目錄? 我該怎麼做?

您可能不會看到下列任何情況的目錄:

  • 您無法辨識為 管理目錄連線的組織擁有者

  • 與Microsoft Entra 組織系統管理員交談,並要求他們讓您成為組織的成員。 您可能不是組織的一部分。

為什麼我的組織已經連線到目錄? 我可以變更該目錄嗎?

當組織擁有者建立組織時,或之後的某個時間,您的組織已連線到目錄。 當您使用公司或學校帳戶建立組織時,您的組織會自動連線到管理該公司或學校帳戶的目錄。 是,您可以 切換目錄。 您可能必須移轉某些使用者。

我可以切換至不同的目錄嗎?

。 如需詳細資訊,請參閱 切換至另一個Microsoft Entra ID

重要

當您變更 Microsoft Entra 連線時,繼承Microsoft Entra 群組成員資格和許可權的使用者和群組不再繼承這些許可權。 Microsoft新增至 Azure DevOps 組織的 Entra 群組不會轉移,也不會停止存在於您的組織中。 與這些Microsoft Entra 群組建立的所有許可權和成員資格關聯性,也會在傳輸之後停止存在。 此外,當您變更 Microsoft Entra 連線時, Microsoft Entra 群組上啟用的群組規則 就不再存在。

為什麼和何時應該要求支援手動清除 SSH 金鑰?

當您從一個Microsoft Entra 租使用者切換到另一個租使用者時,基礎身分識別也會變更,以及使用者在其舊身分識別中擁有的任何 PAT 令牌或 SSH 密鑰都停止運作。 上傳至組織的任何作用中 SSH 金鑰都不會在租使用者切換程式的一部分刪除,這可能會阻止使用者在切換之後上傳新的密鑰。 我們建議使用者刪除其所有的 SSH 金鑰,再切換其 Active Directory 租用戶。 我們已在待辦項目中運作,以在租使用者交換器程式期間自動刪除 SSH 金鑰,並在過渡期間,如果您遭到封鎖而無法在租使用者切換之後上傳新的密鑰,建議您連絡支援人員以刪除這些舊的 SSH 金鑰。

我的替代認證不再運作。 我該如何處理?

自 2020 年 3 月 2 日起,Azure DevOps 不再支援替代認證驗證。 如果您仍在使用替代認證,強烈建議您切換至更安全的驗證方法(例如,個人存取令牌或 SSH)。 深入了解

某些使用者已中斷連線,但Microsoft Entra標識碼中有相符的身分識別。 我該怎麼做?

  • 在您的 Azure DevOps [組織設定] 中,選取 [Microsoft Entra ID],然後選取 [解析]

    選取 [Microsoft項目標識符],然後選取 [解析]

  • 比對身分識別。 完成後,請選取 [下一步]

    解決已中斷連線的使用者

我在解決中斷連線時收到錯誤訊息。 我該怎麼做?

  • 然後再試一次。

  • 您可能是Microsoft Entra識別碼中的來賓。 要求組織系統管理員,誰是Microsoft Entra ID 的成員,執行對應。 或者,要求Microsoft Entra ID 的系統管理員將您轉換成成員。

  • 如果錯誤訊息包含網域中的使用者,但您未在目錄中看到使用者,則使用者可能會離開您的公司。 移至組織使用者設定,以從您的組織移除使用者。

當我嘗試邀請新使用者加入我的Microsoft Entra 標識符時,我收到 403 個例外狀況。 我該如何處理?

您可能是 Microsoft Entra ID 中的來賓,而且沒有邀請使用者的正確許可權。 移至 [Microsoft Entra ID 中的 [外部共同作業設定 ],並將 [來賓可以邀請] 切換為 [是]。 重新整理Microsoft Entra標識符,然後再試一次。

我的使用者是否會保留其現有的 Visual Studio 訂用帳戶?

Visual Studio 訂用帳戶管理員通常會將訂用帳戶指派給使用者的公司電子郵件位址,讓使用者可以接收歡迎電子郵件和通知。 如果身分識別和訂用帳戶電子郵件位址相符,用戶可以存取訂用帳戶的優點。 當您從Microsoft轉換到 Microsoft Entra 身分識別時,用戶的優點仍會與其新的Microsoft Entra 身分識別搭配使用。 但是,電子郵件地址必須相符。 如果電子郵件位址不相符,您的訂用帳戶管理員必須 重新指派訂用帳戶。 否則,用戶必須將 替代身分識別新增至其Visual Studio訂用帳戶。

如果我在使用人員選擇器時需要登入,該怎麼辦?

清除瀏覽器快取,並刪除工作階段的任何 Cookie。 關閉瀏覽器,然後重新開啟。

如果我的工作專案指出使用者無效,該怎麼辦?

清除瀏覽器快取,並刪除工作階段的任何 Cookie。 關閉瀏覽器,然後重新開啟。

一旦我的組織連線到 Microsoft Entra 識別碼,它就會更新 Azure Boards 工作專案、提取要求,以及我以新標識碼在系統中參考的其他部分嗎?

,當使用者的標識碼從其個人電子郵件對應到工作電子郵件時,系統會以新的標識碼更新系統中的所有專案。

如果我收到有關將失去組織存取權的成員發出警告,該怎麼辦?

您仍然可以連線到Microsoft Entra ID,但在聯機后嘗試解決對應問題,然後選取粗體文字以查看哪些使用者受到影響。 如果您仍然需要協助, 請連絡支持人員

顯示Microsoft Entra 連線警告的螢幕快照。

在 Azure DevOps 組織中有超過 100 個成員,如何連線到Microsoft Entra 標識符?

目前,您仍然可以連線,但有助於解決連線中斷連線的使用者後聯機無法超過 100 的對應和邀請功能。 請連絡支持人員

為什麼git.exe/Visual Studio 在連結/取消連結Microsoft Entra 標識符之後無法進行驗證?

如果您使用 v1.15.0 之前的 GCM 版本,則必須清除租使用者快取。 清除租使用者快取就像刪除 %LocalAppData%\GitCredentialManager\tenant.cache 每部計算機上傳回登入錯誤一樣簡單。 GCM 會在後續登入嘗試時,自動重新建立並填入快取檔案。

如何? 取得 Azure DevOps 的說明或支援嗎?

從下列支援選項中選擇:

  • 在 開發人員社群回報 Azure DevOps 的問題。
  • 提供 開發人員社群 的建議
  • 取得 Stack Overflow 的建議
  • 檢視 MSDN 上 Azure DevOps 論壇封存