Einschränken der Organisationserstellung über Azure AD Mandantenrichtlinie

Azure DevOps Services

Hier erfahren Sie, wie Sie die Azure Active Directory-Mandantenrichtlinie (Azure AD) aktivieren, die Benutzer davon abschränkt, eine Organisation in Azure DevOps. Diese Richtlinie ist standardmäßig deaktiviert.

Voraussetzungen

Sie müssen ein Azure DevOps administrator in Azure AD sein, um diese Richtlinie zu verwalten. Es ist nicht erforderlich, ein Administrator Project Sammlung zu sein.

Wenn der Richtlinienabschnitt in der Azure DevOps nicht Azure DevOps, sind Sie kein Administrator. Um Ihre Rolle zu überprüfen, melden Sie sich beim Azure-Portalan, und wählen Sie Azure Active Directory Rollen und Administratoren aus. Falls Sie kein Administrator Azure DevOps sind, wenden Sie sich an Ihren Administrator.

Check Azure AD roles and administrators

Sie können Ihre Rolle auch mithilfe des PowerShell Azure AD Moduls überprüfen. Azure AD PowerShell to enable policy

Weitere Informationen zu den neuen integrierten Rollen Azure AD sie unter Administratorrollenberechtigungen in Azure Active Directory.

Hinweis

Ein Azure DevOps Administrator kann die Erstellung einer neuen Organisation nur für einzelne Benutzer und nicht für Gruppen zu diesem Zeitpunkt einschränken.

Aktivieren der Richtlinie

  1. Melden Sie sich bei Ihrer Organisation an ( https://dev.azure.com/{yourorganization} ).

  2. Wählen Sie gear iconOrganisationseinstellungen aus.

    Open Organization settings

  3. Wählen Azure Active Directoryaus, und schalten Sie dann den Umschalter um, um die Richtlinie zu aktivieren und die Erstellung der Organisation zu beschränken.

    Turn on Azure AD policy

Optional

Allowlist erstellen

Warnung

Es wird empfohlen, Gruppen mit Ihren Mandantenrichtlinienlisten zu verwenden. Wenn Sie einen benannten Benutzer verwenden, beachten Sie, dass sich ein Verweis auf die Identität des benannten Benutzers in den Regionen USA, Europa (EU) und Asien, Südosten (Singapur) befindet.

Wenn die Richtlinie aktiviert ist, können alle Benutzer keine neuen Organisationen erstellen. Erteilen Sie Benutzern mit einer Allowlist eine Ausnahme. Benutzer in der Allowlist können neue Organisationen erstellen, aber sie können die Richtlinie nicht verwalten.

  1. Wählen Sie add AAD user or group (Benutzer oder Gruppe hinzufügen) aus.

Option, Create allow list and add Azure AD users or groups

Fehlermeldung erstellen

Wenn Administratoren, die nicht in der Allowlist sind, versuchen, eine Organisation zu erstellen, erhalten sie einen Fehler ähnlich dem folgenden Beispiel.

Error message example

Passen Sie diese Fehlermeldung in den Richtlinieneinstellungen in Azure DevOps.

  1. Wählen Sie Anzeigemeldung bearbeiten aus.

    Select Edit display message to customize

  2. Geben Sie Ihre angepasste Nachricht ein, und wählen Sie dann Speichern aus.

    Customize error message dialog

Die Fehlermeldung wird angepasst.

Customized error message

Hinweis

Administratoren, die nicht in der Liste der Zulässigen aufgeführt sind, können ihre Organisation nicht mit dem Azure AD-Mandanten verbinden, in dem die Richtlinie aktiviert ist.

Connection failed error