Domande frequenti sull'accesso tramite Microsoft Entra

In entrambe le applicazioni è necessario disporre delle autorizzazioni Amministrazione istrator o Coadministrator per la sottoscrizione di Azure collegata all'organizzazione in Azure DevOps. Inoltre, nel portale di Azure, è necessario disporre delle autorizzazioni di proprietario dell'Amministrazione istrator o dell'organizzazione di Project Collection.

Assicurarsi di soddisfare i prerequisiti nell'articolo seguente, Connessione l'organizzazione all'ID Microsoft Entra.

Le modifiche apportate in Microsoft Entra ID possono richiedere fino a 1 ora per essere visibili in Azure DevOps.

Sì.

• Non si ha ancora un'organizzazione? Creare un'organizzazione in Azure DevOps.
• Hai già un'organizzazione? Connessione'organizzazione all'ID Microsoft Entra.

D: Perché devo scegliere tra un "account aziendale o dell'istituto di istruzione" e il mio "account personale"?

R: Ciò si verifica quando si accede con un indirizzo di posta elettronica ,ad esempio , jamalhartnett@fabrikam.comcondiviso dall'account Microsoft personale e dall'account aziendale o dell'istituto di istruzione. Anche se entrambe le identità usano lo stesso indirizzo di accesso, sono comunque identità separate. Le due identità hanno profili diversi, impostazioni di sicurezza e autorizzazioni.

• Selezionare Account aziendale o dell'istituto di istruzione se è stata usata questa identità per creare l'organizzazione o se in precedenza si è eseguito l'accesso con questa identità. L'identità viene autenticata dalla directory dell'organizzazione in Microsoft Entra ID, che controlla l'accesso all'organizzazione.

• Selezionare Account personale se è stato usato l'account Microsoft con Azure DevOps. L'identità viene autenticata dalla directory globale per gli account Microsoft.

Sì, ma prima di passare, assicurarsi che Microsoft Entra ID soddisfi le esigenze di condivisione degli elementi seguenti:

• elementi di lavoro
• codice
• risorse
• altri asset con il team e i partner

Altre informazioni sul controllo dell'accesso con gli account Microsoft rispetto all'ID Entra Microsoft e su come passare quando si è pronti.

D: Perché non è possibile accedere dopo aver selezionato "account Microsoft personale" o "account aziendale o dell'istituto di istruzione"?

R: Quando l'indirizzo di accesso viene condiviso dall'account Microsoft personale e dall'account aziendale o dell'istituto di istruzione, ma l'identità selezionata non ha accesso, non è possibile accedere. Anche se entrambe le identità usano lo stesso indirizzo di accesso, sono separate: hanno profili, impostazioni di sicurezza e autorizzazioni diversi.

Disconnettersi completamente da Azure DevOps completando la procedura seguente. Chiudere il browser potrebbe non disconnettersi completamente. Accedere di nuovo e selezionare l'altra identità:

1. Chiudere tutti i browser, inclusi i browser che non eseguono Azure DevOps.

2. Aprire una sessione di esplorazione privata o in incognito.

3. Passare a questo URL: https://aka.ms/vssignout.

   Viene visualizzato un messaggio che indica che "Disconnettersi in corso". Dopo la disconnessione, si viene reindirizzati alla pagina Web di Azure DevOps @dev.azure.microsoft.com .

   Suggerimento

   Se la pagina di disconnesso richiede più di un minuto per disconnettersi, chiudere il browser e continuare.

4. Accedere di nuovo ad Azure DevOps. Selezionare l'altra identità.

Se si è il proprietario dell'organizzazione o l'account di sottoscrizione di Azure Amministrazione istrator, controllare lo stato della sottoscrizione nel Centro account, quindi provare a correggere la sottoscrizione. Le impostazioni a pagamento vengono ripristinate. In alternativa, è possibile collegare l'organizzazione a un'altra sottoscrizione di Azure scollegando l'organizzazione dalla sottoscrizione disabilitata. Anche se la sottoscrizione è disabilitata, l'organizzazione torna ai limiti mensili gratuiti fino a quando la sottoscrizione non viene risolta.

Utenti e autorizzazioni di Microsoft Entra

Se non si trova una risposta alla domanda, vedere Domande frequenti sulla gestione di utenti e autorizzazioni.

L'organizzazione autentica gli utenti e controlla l'accesso tramite Microsoft Entra ID. Tutti gli utenti devono essere membri della directory per ottenere l'accesso.

Gli amministratori della directory possono aggiungere utenti alla directory. Se non si è un amministratore, rivolgersi all'amministratore della directory per aggiungere utenti. Altre informazioni sul controllo dell'accesso ad Azure DevOps Services tramite una directory.

Il lavoro in Azure DevOps Services è associato alle credenziali per Microsoft Entra ID. Dopo che l'organizzazione è connessa alla directory, gli utenti continuano a lavorare senza problemi se gli indirizzi delle credenziali vengono visualizzati nella directory connessa. Se gli indirizzi degli utenti non vengono visualizzati, è necessario aggiungere tali utenti alla directory. L'organizzazione potrebbe disporre di criteri sull'aggiunta di utenti alla directory, quindi per prima cosa è possibile scoprire di più.

Se si ha almeno l'accesso di base, passare alle impostazioni dell'organizzazione e quindi selezionare la scheda MICROSOFT Entra ID . È possibile Connessione directory o Disconnetti directory.

Sì, ma l'eliminazione di un utente dalla directory rimuove l'accesso dell'utente a tutte le organizzazioni e ad altri asset associati a tale directory. È necessario disporre delle autorizzazioni di Microsoft Entra Global Amministrazione istrator per eliminare un utente dalla directory Microsoft Entra.

Probabilmente si è un guest nell'ID Microsoft Entra che esegue il backup dell'organizzazione di Azure DevOps, anziché di un membro. I guest Microsoft Entra non possono cercare Microsoft Entra ID nel modo richiesto da Azure DevOps. Ad esempio, gli utenti guest di Microsoft Entra non possono usare il portale Web di Azure DevOps per cercare o selezionare gli utenti che non sono già stati aggiunti all'organizzazione di Azure DevOps. Informazioni su come convertire un guest Microsoft Entra in un membro.

Aggiungere questi utenti alla directory con nuovi account aziendali o dell'istituto di istruzione e riassegnare i livelli di accesso e leggerli in qualsiasi progetto. Se hanno account aziendali o dell'istituto di istruzione esistenti, è possibile usare tali account. Il lavoro non viene perso e rimane con gli indirizzi di accesso correnti. Gli utenti possono eseguire la migrazione del lavoro che vogliono mantenere, ad eccezione della cronologia di lavoro. Per altre informazioni, vedere come aggiungere utenti dell'organizzazione.

Ripristinare l'utente anziché crearne uno nuovo. Se si crea un nuovo utente, anche con lo stesso indirizzo di posta elettronica, questo utente non è associato all'identità precedente.

Selezionare una delle due opzioni seguenti:

• Chiedere a un amministratore di Microsoft Entra di rimuovere l'account dalla directory e aggiungerlo di nuovo, rendendolo membro, anziché guest. Per altre informazioni, vedere Microsoft Entra B2B users be added as members instead of guest?.
• Modificare il tipo di utente del guest Microsoft Entra usando Microsoft Graph PowerShell. Non è consigliabile usare questo processo avanzato, ma consente all'utente di eseguire query sull'ID Microsoft Entra dall'organizzazione Azure DevOps.

Convertire userType da guest a membro usando Microsoft Graph PowerShell

Prerequisiti

L'utente che apporta la modifica UserType deve avere gli elementi seguenti:

• Un account aziendale/dell'istituto di istruzione (WSA)/utente nativo in Microsoft Entra ID. Non è possibile modificare UserType con un account Microsoft.
• Autorizzazioni di amministratore globale

Processo

1. Accedere al portale di Azure come amministratore globale per la directory dell'organizzazione.
2. Passare al tenant che esegue il backup dell'organizzazione di Azure DevOps.
3. Aprire un prompt di Windows PowerShell Amministrazione istrativo per usare Microsoft Graph PowerShell.
4. Eseguire Install-Module -Name Microsoft.Graph -Scope CurrentUser. Il download di Microsoft Graph da PowerShell Gallery.
5. Al termine dell'installazione, eseguire Connect-MgGraph -Scopes "User.ReadWrite.All". Verrà richiesto di accedere all'ID Microsoft Entra. Assicurarsi di usare un ID che soddisfi i criteri indicati in precedenza e fornire il consenso alle autorizzazioni.
6. Eseguire Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType, dove <display_name> è il nome visualizzato per l'utente, come illustrato all'interno del portale di Azure. Si vuole modificare userType in Member.
7. Eseguire Update-MgUser -UserId string -UserType Member, dove string è il valore di ID restituito dal comando precedente. L'utente è impostato sullo stato del membro.
8. Eseguire Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType di nuovo per verificare che UserType sia stato modificato. È anche possibile verificare nella sezione MICROSOFT Entra ID del portale di Azure.

Anche se non è la norma, abbiamo visto che sono necessarie diverse ore o anche giorni prima che questa modifica venga riflessa all'interno di Azure DevOps. Se non risolve immediatamente il problema di Azure DevOps, assegnargli tempo e continuare a provare.

Poiché questi gruppi vengono creati e gestiti in Azure, non è possibile assegnare le autorizzazioni di Azure DevOps direttamente o i percorsi di controllo della versione sicuri a questi gruppi. Se si tenta di assegnare direttamente le autorizzazioni, viene visualizzato un errore.

È possibile aggiungere un gruppo Microsoft Entra al gruppo Azure DevOps con le autorizzazioni desiderate. In alternativa, è possibile assegnare queste autorizzazioni al gruppo. I membri del gruppo Microsoft Entra ereditano le autorizzazioni dal gruppo in cui sono state aggiunte.

No, perché questi gruppi vengono creati e gestiti in Azure. Azure DevOps non archivia o sincronizza lo stato dei membri per i gruppi di Microsoft Entra. Per gestire i gruppi di Microsoft Entra, usare i portale di Azure, Microsoft Identity Manager (MIM) o gli strumenti di gestione dei gruppi supportati dall'organizzazione.

L'interfaccia utente di Azure DevOps indica l'ambito di appartenenza usando le []parentesi quadre . Si consideri ad esempio questa pagina delle impostazioni delle autorizzazioni:

Questi utenti devono accedere all'organizzazione prima che vengano visualizzati in Utenti.

Quando questi membri del gruppo accedono per la prima volta all'organizzazione, Azure DevOps assegna automaticamente un livello di accesso. Se hanno sottoscrizioni di Visual Studio, Azure DevOps assegna il rispettivo livello di accesso. In caso contrario, Azure DevOps assegna loro il livello di accesso "migliore disponibile", in questo ordine: Basic, Stakeholder.

Se non si hanno livelli di accesso sufficienti per tutti i membri del gruppo Microsoft Entra, i membri che accedono ottengono un accesso stakeholder.

Richiedere l'accesso JIT usando un gruppo di Microsoft Entra Privileged Identity Management (PIM). Per altre informazioni, vedere Accesso JUST-in-time per i gruppi di amministratori.

La scheda Sicurezza mostra i membri del gruppo Microsoft Entra solo dopo aver eseguito l'accesso all'organizzazione e avere un livello di accesso assegnato.

Per visualizzare tutti i membri del gruppo Microsoft Entra, usare i portale di Azure, MIM o gli strumenti di gestione dei gruppi supportati dall'organizzazione.

Il widget dei membri del team mostra solo gli utenti che hanno eseguito l'accesso in precedenza all'organizzazione.

Il riquadro capacità del team mostra solo gli utenti che hanno eseguito l'accesso in precedenza all'organizzazione. Per impostare la capacità, aggiungere manualmente gli utenti al team.

Azure DevOps non recupera automaticamente i livelli di accesso da questi utenti. Per rimuovere manualmente l'accesso, passare a Utenti.

È possibile assegnare elementi di lavoro a qualsiasi membro di Microsoft Entra con autorizzazioni per l'organizzazione. Questa azione aggiunge anche il membro all'organizzazione. Quando si aggiungono utenti in questo modo, vengono visualizzati automaticamente come Utenti, con il livello di accesso migliore disponibile. L'utente viene visualizzato anche nelle impostazioni di sicurezza.

No, non è supportata l'esecuzione di query sui gruppi di Microsoft Entra.

No, ma potresti essere interessato ai piani di personalizzazione del processo.

Aggiungere utenti alla directory

Aggiungere utenti dell'organizzazione all'ID Microsoft Entra.

Durante il processo di connessione, viene eseguito il mapping degli utenti esistenti ai membri del tenant di Microsoft Entra, in base al relativo UPN, noto spesso come indirizzo di accesso. Se vengono rilevati più utenti con lo stesso UPN, non si sa come eseguire il mapping di questi utenti. Questo scenario si verifica se un utente modifica l'UPN in modo che corrisponda a quello già esistente nell'organizzazione.

Se si verifica questo errore, esaminare l'elenco di utenti per eventuali duplicati. Se si trovano duplicati, rimuovere gli utenti non necessari. Se non è possibile trovare duplicati, contattare il supporto tecnico.

No. Anche se è possibile aggiungere nuovi account aziendali all'organizzazione, questi vengono considerati come nuovi utenti. Se si vuole accedere a tutto il lavoro, inclusa la cronologia, è necessario usare gli stessi indirizzi di accesso usati prima che l'organizzazione fosse connessa all'ID Microsoft Entra. Aggiungere l'account Microsoft come membro all'ID Microsoft Entra.

È necessario essere un membro o avere accesso in lettura in tali directory. In caso contrario, è possibile aggiungerli usando collaborazione B2B tramite l'amministratore di Microsoft Entra. È anche possibile aggiungerli usando i propri account Microsoft o creando nuovi account di lavoro per loro nella directory.

È possibile eseguire il mapping dell'utente a un'identità diversa che non è ancora un membro attivo dell'organizzazione o aggiungere l'utente esistente all'ID Microsoft Entra. Se è ancora necessario eseguire il mapping al membro dell'organizzazione Azure DevOps esistente, contattare il supporto tecnico.

Se è stato usato un account Microsoft per attivare una sottoscrizione di Visual Studio con MSDN contenente Azure DevOps come vantaggio, è possibile aggiungere un account aziendale o dell'istituto di istruzione. Microsoft Entra ID deve gestire l'account. Informazioni su come collegare account aziendali o dell'istituto di istruzione a Visual Studio con sottoscrizioni MSDN.

Sì, ma solo per gli utenti esterni che vengono aggiunti come guest tramite Microsoft 365 o aggiunti con collaborazione B2B dall'amministratore di Microsoft Entra. Questi utenti esterni vengono gestiti all'esterno della directory connessa. Per altre informazioni, contattare l'amministratore di Microsoft Entra. L'impostazione seguente non influisce sugli utenti aggiunti direttamente alla directory dell'organizzazione.

Prima di iniziare, assicurarsi di avere almeno l'accesso di base, non degli stakeholder.

Completare i prerequisiti per l'aggiunta di utenti esterni, attivando l'accesso guest esterno.

Passare alla raccolta o al progetto del progetto. Nella barra superiore selezionare Impostazioni e quindi selezionare Sicurezza.

Trovare il gruppo Microsoft Entra ed eliminarlo dall'organizzazione.

Gli utenti possono appartenere all'organizzazione, sia come singoli utenti che come membri dei gruppi di Microsoft Entra nei gruppi di Azure DevOps. Questi utenti possono comunque accedere all'organizzazione mentre sono membri di questi gruppi di Microsoft Entra.

Per bloccare tutti gli accessi per gli utenti, rimuoverli dai gruppi di Microsoft Entra nell'organizzazione o rimuovere questi gruppi dall'organizzazione. Attualmente non è possibile bloccare completamente l'accesso o fare eccezioni per tali utenti.

Gli utenti che sono disabilitati o rimossi dalla directory non possono più accedere all'organizzazione da qualsiasi meccanismo, inclusi i protocolli PAT o SSH.

Connessione a, disconnettersi o modificare la connessione Microsoft Entra

• Connettere l'organizzazione a Microsoft Entra ID
• Disconnettere l'organizzazione dalla directory
• Modificare la directory connessa ad Azure DevOps
• Ottenere un elenco di organizzazioni supportate da Microsoft Entra ID
• Limitare la creazione dell'organizzazione con i criteri del tenant

È possibile scaricare un elenco completo di organizzazioni supportate da un tenant di Microsoft Entra. Per altre informazioni, vedere Ottenere un elenco di organizzazioni supportate da Microsoft Entra ID.

Sì. Se non è possibile trovare l'ID Microsoft Entra creato da Microsoft 365, vedere Perché non viene visualizzata la directory che si vuole connettere?

È possibile che la directory non venga visualizzata per una delle circostanze seguenti:

• Non si è riconosciuti come proprietario dell'organizzazione per gestire le connessioni alla directory.

• Rivolgersi all'amministratore dell'organizzazione di Microsoft Entra e chiedere loro di diventare membro dell'organizzazione. È possibile che non si faccia parte dell'organizzazione.

L'organizzazione è stata connessa a una directory quando il proprietario dell'organizzazione ha creato l'organizzazione o in un secondo momento. Quando si crea un'organizzazione con un account aziendale o dell'istituto di istruzione, l'organizzazione viene connessa automaticamente alla directory che gestisce l'account aziendale o dell'istituto di istruzione. Sì, è possibile cambiare directory. Potrebbe essere necessario eseguire la migrazione di alcuni utenti.

Sì. Per altre informazioni, vedere Passare a un altro ID Microsoft Entra.

Quando si passa da un tenant di Microsoft Entra a un altro, l'identità sottostante cambia anche e qualsiasi token PAT o chiavi SSH che l'utente aveva con la vecchia identità smette di funzionare. Tutte le chiavi SSH attive caricate nell'organizzazione non vengono eliminate come parte del processo di cambio del tenant, che potrebbe impedire all'utente di caricare nuove chiavi dopo l'opzione. È consigliabile eliminare tutte le chiavi SSH prima di passare al tenant di Active Directory attivo. È stato eseguito il backlog per l'eliminazione automatica delle chiavi SSH come parte del processo di cambio del tenant e, nel frattempo, se si è bloccati il caricamento di nuove chiavi dopo l'opzione del tenant, è consigliabile contattare il supporto tecnico per eliminare le vecchie chiavi SSH.

Azure DevOps non supporta più l'autenticazione delle credenziali alternative dall'inizio del 2 marzo 2020. Se si usano ancora credenziali alternative, è consigliabile passare a un metodo di autenticazione più sicuro, ad esempio token di accesso personale o SSH. Altre informazioni.

• Nelle Impostazioni dell'organizzazione Azure DevOps selezionare Microsoft Entra ID e quindi selezionare Risolvi.

  

• Trovare la corrispondenza con le identità. Al termine, selezionare Avanti.

  

• Riprovare.

• Potresti essere un ospite in Microsoft Entra ID. Richiedere che un amministratore dell'organizzazione, membro di Microsoft Entra ID, faccia il mapping. In alternativa, richiedere che un amministratore dell'ID Microsoft Entra converta l'utente in un membro.

  

• Se il messaggio di errore include un utente nel dominio, ma non vengono visualizzati nella directory, l'utente probabilmente ha lasciato la società. Passare alle impostazioni utente dell'organizzazione per rimuovere l'utente dall'organizzazione.

Potresti essere un guest in Microsoft Entra ID e non avere il diritto di invitare gli utenti. Passare a Impostazioni di collaborazione esterna in Microsoft Entra ID e spostare l'interruttore "Gli utenti guest possono invitare" su Sì. Aggiornare Microsoft Entra ID e riprovare.

Gli amministratori delle sottoscrizioni di Visual Studio assegnano in genere sottoscrizioni agli indirizzi di posta elettronica aziendali degli utenti, in modo che gli utenti possano ricevere messaggi di posta elettronica e notifiche di benvenuto. Se gli indirizzi di posta elettronica di identità e sottoscrizione corrispondono, gli utenti possono accedere ai vantaggi della sottoscrizione. Quando si passa da Microsoft alle identità di Microsoft Entra, i vantaggi degli utenti funzionano ancora con la nuova identità Microsoft Entra. Tuttavia, gli indirizzi di posta elettronica devono corrispondere. Se gli indirizzi di posta elettronica non corrispondono, l'amministratore della sottoscrizione deve riassegnare la sottoscrizione. In caso contrario, gli utenti devono aggiungere un'identità alternativa alla sottoscrizione di Visual Studio.

Cancellare la cache del browser ed eliminare eventuali cookie per la sessione. Chiudere il browser e quindi riaprire.

Cancellare la cache del browser ed eliminare eventuali cookie per la sessione. Chiudere il browser e quindi riaprire.

Sì, tutti i componenti del sistema vengono aggiornati con il nuovo ID quando l'ID di un utente viene mappato dal proprio messaggio di posta elettronica personale al messaggio di posta elettronica aziendale.

È comunque possibile connettersi all'ID Microsoft Entra, ma provare a risolvere il problema di mapping dopo la connessione. Se hai ancora bisogno di assistenza, contatta il supporto tecnico.

Selezionare il testo in grassetto per vedere quali utenti sono interessati.

Attualmente, è comunque possibile connettersi, ma le funzionalità di mapping e invito che consentono di risolvere gli utenti disconnessi dopo la connessione non funzionano oltre 100. Contattare il supporto tecnico.

La cache del tenant deve essere cancellata se si usa una versione GCM precedente alla versione 1.15.0. La cancellazione della cache del tenant è semplice quanto l'eliminazione del %LocalAppData%\GitCredentialManager\tenant.cache file in ogni computer che restituisce un errore di accesso. GCM ricrea e popola automaticamente il file della cache, se necessario, nei successivi tentativi di accesso.

D: Ricerca per categorie ottenere assistenza o supporto per Azure DevOps?

R: Sono disponibili le opzioni seguenti per il supporto:

• Segnalare un problema con Azure DevOps nella community degli sviluppatori.
• Fornire un suggerimento nella community degli sviluppatori
• Ottenere consigli su Stack Overflow
• Visualizzare gli archivi del forum di Azure DevOps su MSDN

Articoli correlati

• Configurare e personalizzare le domande frequenti dell'organizzazione
• Domande frequenti sulla gestione di utenti e autorizzazioni
• Configurare le domande frequenti su Visual Studio