Zuweisen von Zugriffsebenen mit Gruppenregeln

  • Artikel

Azure DevOps Services

Azure DevOps bietet gruppenbasierte Zugriffsebenen für Microsoft Entra-Gruppen und Azure DevOps-Gruppen. Mit diesen Gruppen können Sie Berechtigungen effizient verwalten, indem Sie den gesamten Benutzergruppen Zugriffsebenen zuweisen. In diesem Artikel erfahren Sie, wie Sie eine Gruppenregel hinzufügen, um dieser Gruppe von Benutzern eine Zugriffsstufe zuzuweisen. Azure DevOps-Ressourcen werden allen Mitgliedern einer Gruppe zugewiesen.

Weisen Sie Gruppenregeln zu, um sowohl Zugriffsebenen als auch Projektmitgliedschaften zu unterstützen. Benutzer erhalten die höchste Zugriffsebene, wenn sie mehreren Regeln oder Microsoft Entra-Gruppen zugewiesen sind, die unterschiedliche Zugriffsebenen angeben. Wenn John z. B. zwei Microsoft Entra-Gruppen und zwei verschiedene Gruppenregeln zugewiesen ist, die Den Stakeholder-Zugriff und den anderen grundlegenden Zugriff angeben, ist Johns Zugriffsebene "Einfach".

Wenn Benutzer die Microsoft Entra-Gruppe verlassen, passt Azure DevOps ihre Zugriffsebene basierend auf den für diese Gruppe definierten Regeln an. Der Benutzer wird in Azure DevOps erneut Standard, verfügt aber möglicherweise über unterschiedliche Berechtigungen oder Zugriffsrechte. Die dem Benutzer zugewiesene höchste Zugriffsebene bestimmt die endgültigen Berechtigungen.

Hinweis

  • Änderungen, die an Projektlesern über Gruppenregeln vorgenommen wurden, bleiben nicht erhalten. Wenn Sie Projektleser anpassen müssen, sollten Sie alternative Methoden wie direkte Zuweisung oder benutzerdefinierte Sicherheitsgruppen in Betracht ziehen.
  • Es wird empfohlen, die Regeln, die auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" aufgeführt sind, regelmäßig zu überprüfen. Wenn Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft vorgenommen werden, werden diese Änderungen in der nächsten Erneutbewertung der Gruppenregeln angezeigt, die bei Bedarf durchgeführt werden können, wenn eine Gruppenregel geändert wird, oder automatisch alle 24 Stunden. Azure DevOps aktualisiert die Microsoft Entra-Gruppenmitgliedschaft jede Stunde, es kann jedoch bis zu 24 Stunden dauern, bis die Microsoft Entra-ID die dynamische Gruppenmitgliedschaft aktualisiert.

Voraussetzungen

  • Zum Verwalten von Gruppenregeln müssen Sie Mitglied der Gruppe "Projektsammlungsadministratoren " sein. Wenn Sie kein Mitglied sind, werden Sie als mitglied hinzugefügt.

Hinzufügen einer Gruppenregel

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie gear iconOrganisationseinstellungen aus.

    Screenshot showing highlighted Organization settings button.

  3. Wählen Sie Berechtigungen aus, und überprüfen Sie dann, ob Sie Mitglied der Gruppe Projektsammlungsadministratoren sind.

    Screenshot showing project collection administrators group members.

  4. Wählen Sie Benutzer und dann Gruppenregeln aus. In dieser Ansicht werden alle erstellten Gruppenregeln angezeigt. Wählen Sie Gruppenregel hinzufügen aus.

    Screenshot showing selected Add a group rule button.

    Gruppenregeln werden nur angezeigt, wenn Sie Mitglied der Gruppe Projektsammlungsadministratoren sind.

  5. Schließen Sie das Dialogfeld für die Gruppe ab, für die Sie eine Regel erstellen möchten. Fügen Sie eine Zugriffsebene für die Gruppe und alle optionalen Projektzugriffe für die Gruppe ein. Wählen Sie Hinzufügen aus.

    Screenshot showing Add a group rule dialog.

    Es wird eine Benachrichtigung angezeigt, die den Status und das Ergebnis der Regel anzeigt. Wenn die Aufgabe nicht abgeschlossen werden konnte, wählen Sie "Status anzeigen" aus, um die Details anzuzeigen.

    Screenshot showing Group rule completed.

Wichtig

  • Gruppenregeln gelten nur für Benutzer ohne direkte Zuweisungen und für Benutzer, die der Gruppe in Zukunft hinzugefügt werden. Entfernen Sie direkte Zuweisungen , damit die Gruppenregeln für diese Benutzer gelten.
  • Benutzer werden erst dann in "Alle Benutzer " angezeigt, wenn sie versuchen, sich zum ersten Mal anzumelden.

Verwalten von Gruppenmitgliedern

  1. Wählen Sie Gruppenregeln>>Mitglieder verwalten aus. Screenshot shows highlighted group rule for managing members.

    Behalten Sie die vorhandene Automatisierung für die Verwaltung von Zugriffsebenen für Benutzer bei, die unverändert ausgeführt werden (z. B. PowerShell). Das Ziel besteht darin, die gleichen Ressourcen widerzuspiegeln, die die Automatisierung für diese Benutzer anwendet.

  2. Fügen Sie Mitglieder hinzu, und wählen Sie dann Hinzufügen aus.

    Screenshot of Adding a group member.

    Wenn Sie einem Benutzer dieselbe Zugriffsebene zuweisen, nutzt der Benutzer nur eine Zugriffsebene. Benutzerzuweisungen können sowohl direkt als auch über eine Gruppe vorgenommen werden.

Überprüfen der Gruppenregel

Stellen Sie sicher, dass die Ressourcen auf jede Gruppe und jeden einzelnen Benutzer angewendet werden. Wählen Sie Alle Benutzer aus, markieren Sie einen Benutzer, und wählen Sie dann Zusammenfassung aus.

Screenshot showing verification of user summary for group rule.

Entfernen von direkten Zuweisungen

Um die Ressourcen eines Benutzers nur von den Gruppen zu verwalten, in denen er sich befindet, entfernen Sie die direkten Zuweisungen. Ressourcen, die einem Benutzer über eine einzelne Zuweisung zugewiesen werden, bleiben dem Benutzer zugewiesen. Diese Zuweisung bleibt unabhängig davon, ob die Ressourcen den Gruppen des Benutzers zugewiesen oder entfernt werden.

  1. Melden Sie sich bei Ihrer Organisation an (https://dev.azure.com/{yourorganization}).

  2. Wählen Sie gear iconOrganisationseinstellungen aus.

    Screenshot showing highlighted Organization settings button.

  3. Wählen Sie Benutzer aus.

    Screenshot showing selected Users tab.

  4. Wählen Sie alle Benutzer mit Ressourcen für die Verwaltung nur nach Gruppen aus.

    Screenshot showing Selected group rules for migration.

  5. Um zu bestätigen, dass Sie die direkten Zuweisungen entfernen möchten, wählen Sie Entfernen aus.

    Screenshot of confirmation to Remove.

    Direkte Zuordnungen werden von den Benutzern entfernt.

    Wenn ein Benutzer kein Mitglied einer Gruppe ist, ist der Benutzer nicht betroffen.

Häufig gestellte Fragen

F: Wie funktioniert Visual Studio-Abonnements mit Gruppenregeln?

A: Visual Studio-Abonnenten werden immer direkt über das Visual Studio-Verwaltungsportal zugewiesen und haben Vorrang in Azure DevOps über Zugriffsstufen, die direkt oder über Gruppenregeln zugewiesen wurden. Wenn Sie diese Benutzer über den Benutzerhub anzeigen, wird die Lizenzquelle immer als "Direkt" angezeigt. Die einzige Ausnahme sind Visual Studio Professional-Abonnenten, denen Basic + Testpläne zugewiesen sind. Da Basic + Testpläne mehr Zugriff in Azure DevOps bieten, hat sie Vorrang vor einem Visual Studio Professional-Abonnement.