Microsoft Entra 経由のアクセスに関する FAQ

どちらのアプリケーションでも、Azure DevOps で組織にリンクされている Azure サブスクリプションに対する Azure Service 管理istrator または共同管理者のアクセス許可が必要です。 また、Azure portalでは、プロジェクト コレクション管理者または組織の所有者のアクセス許可が必要です。

次の記事 の前提条件を満たしていることを確認します。組織を Microsoft Entra ID に接続します。

Microsoft Entra ID で行われた変更は、Azure DevOps で表示されるまでに最大 1 時間かかる場合があります。

はい。

• まだ組織を持っていませんか? Azure DevOps で組織を作成します。
• 組織は既にありますか? 組織を Microsoft Entra ID に接続します。

Q: "職場または学校アカウント" と "個人用アカウント" のどちらかを選択する必要があるのはなぜですか?

A: これは、個人の Microsoft アカウントと職場アカウントまたは学校アカウントで共有されているメール アドレス (例: jamalhartnett@fabrikam.com) を使用してサインインすると発生します。 両方の ID で同じサインイン アドレスが使用されますが、これらは引き続き個別の ID です。 2 つの ID には、プロファイル、セキュリティ設定、およびアクセス許可が異なります。

• この ID を使用して組織を作成した場合、または以前にこの ID でサインインした場合は、[ 職場または学校アカウント ] を選択します。 ID は、組織へのアクセスを制御する Microsoft Entra ID 内の組織のディレクトリによって認証されます。

• Azure DevOps で Microsoft アカウントを使用した場合は、[ 個人用 アカウント] を選択します。 ID は、Microsoft アカウントのグローバル ディレクトリによって認証されます。

はい。ただし、切り替える前に、Microsoft Entra ID が次の項目を共有するためのニーズを満たしていることを確認してください。

• 作業項目
• code
• resources
• チームとパートナーとの他の資産

Microsoft アカウントと Microsoft Entra ID を使用したアクセス制御の詳細と 、準備ができたら切り替える方法について説明します。

Q: "個人用 Microsoft アカウント" または "職場または学校アカウント" を選択した後にサインインできないのはなぜですか?

A: サインイン アドレスが個人の Microsoft アカウントと職場アカウントまたは学校アカウントによって共有されているが、選択した ID にアクセスできない場合は、サインインできません。 どちらの ID も同じサインイン アドレスを使用しますが、プロファイル、セキュリティ設定、アクセス許可が異なります。

次の手順を完了して、Azure DevOps から完全にサインアウトします。 ブラウザーを閉じても、完全にサインアウトされない場合があります。 もう一度サインインし、他の ID を選択します。

1. Azure DevOps を実行していないブラウザーを含め、すべてのブラウザーを閉じます。

2. プライベートまたはシークレット閲覧セッションを開きます。

3. 次の URL に移動します。 https://aka.ms/vssignout

   "進行中のサインアウト" というメッセージが表示されます。サインアウトすると、Azure DevOps @dev.azure.microsoft.com Web ページにリダイレクトされます。

   ヒント

   サインアウト ページのサインアウトに 1 分以上かかる場合は、ブラウザーを閉じて続行します。

4. Azure DevOps にもう一度サインインします。 他の ID を選択します。

組織の所有者または Azure サブスクリプション アカウント管理者の場合は、 アカウント センターでサブスクリプションの状態を確認してから、 サブスクリプションの修正を試みます。 有料設定が復元されます。 または、 無効なサブスクリプションから組織のリンクを解除することで、組織を別の Azure サブスクリプションにリンクすることもできます。 サブスクリプションが無効になっている間、サブスクリプションが固定されるまで、組織は無料の月次制限に戻ります。

Microsoft Entra のユーザーとアクセス許可

ここで質問に対する回答が見つからない場合は、「 ユーザーとアクセス許可の管理に関する FAQ」を参照してください。

組織はユーザーを認証し、Microsoft Entra ID を使用してアクセスを制御します。 アクセスするには、すべてのユーザーがディレクトリ メンバーである必要があります。

ディレクトリ管理者は、 ディレクトリにユーザーを追加できます。 管理者でない場合は、ディレクトリ管理者と協力してユーザーを追加してください。 ディレクトリを使用してAzure DevOps Servicesへのアクセスを制御する方法の詳細を確認してください。

Azure DevOps Services での作業は、Microsoft Entra ID の資格情報に関連付けられています。 組織がディレクトリに接続されると、接続されたディレクトリに資格情報アドレスが表示される場合、ユーザーはシームレスに作業を続けます。 ユーザーのアドレスが表示されない場合は、 それらのユーザーをディレクトリに追加する必要があります。 組織には、ディレクトリへのユーザーの追加に関するポリシーが設定されている場合があるため、最初に詳細を確認してください。

少なくとも Basic アクセス権がある場合は、組織の設定に移動し、[Microsoft Entra ID] タブを選択します。[ディレクトリの接続] または [ディレクトリの切断] を選択できます。

はい。ただし、ディレクトリからユーザーを削除すると、そのディレクトリに関連付けられているすべての組織およびその他の資産に対するユーザーのアクセス権が削除されます。 Microsoft Entra ディレクトリからユーザーを削除するには、Microsoft Entra Global 管理istrator のアクセス許可が必要です。

メンバーではなく、Azure DevOps 組織をサポートする Microsoft Entra ID のゲストである可能性があります。 Microsoft Entra ゲストは、Azure DevOps が求める方法で Microsoft Entra ID を検索できません。 たとえば、Microsoft Entra ゲストは、Azure DevOps Web ポータルを使用して、Azure DevOps 組織にまだ追加されていないユーザーを検索したり選択したりすることはできません。 Microsoft Entra ゲストをメンバーに変換する方法について説明します。

これらのユーザーを新しい職場または学校アカウントでディレクトリに追加し、アクセス レベルを再割り当てして、すべてのプロジェクトに読み取ります。 既存の職場または学校アカウントがある場合は、代わりにそれらのアカウントを使用できます。 作業は失われず、現在のサインイン アドレスにとどまります。 ユーザーは、作業履歴を除き、保持する作業を移行できます。 詳細については、「 組織のユーザーを追加する方法」を参照してください。

新しいユーザーを作成するのではなく、ユーザーを復元します。 同じメール アドレスを持つ新しいユーザーを作成した場合、このユーザーは以前の ID に関連付けられません。

次の 2 つのオプションから選択します。

• Microsoft Entra 管理者にディレクトリからアカウントを削除して再度追加してもらうと、ゲストではなくメンバーになります。 詳細については、「Microsoft Entra B2B ユーザーをゲストではなくメンバーとして追加できますか?」を参照してください。
• Microsoft Graph PowerShell を使用して、Microsoft Entra ゲストの UserType を変更します。 この高度なプロセスを使用することはお勧めしません が、ユーザーは Azure DevOps 組織の Microsoft Entra ID に対してクエリを実行できます。

Microsoft Graph PowerShell を使用して UserType をゲストからメンバーに変換する

前提条件

UserType を変更するユーザーには、次の項目が必要です。

• Microsoft Entra ID の職場/学校アカウント (WSA)/ネイティブ ユーザー。 Microsoft アカウントを使用して UserType を変更することはできません。
• アクセス許可のグローバル管理者

Process

1. 組織のディレクトリのグローバル管理者としてAzure portalにサインインします。
2. Azure DevOps 組織をバックアップするテナントに移動します。
3. Microsoft Graph PowerShell を使用するには、管理の Windows PowerShell プロンプトを開きます。
4. Install-Module -Name Microsoft.Graph -Scope CurrentUser を実行します。 Microsoft Graph は、PowerShell ギャラリーからダウンロードします。
5. インストールが完了したら、 を実行 Connect-MgGraph -Scopes "User.ReadWrite.All"します。 Microsoft Entra ID にサインインするように求められます。 以前にメンションされた条件を満たす ID を使用し、アクセス許可に同意してください。
6. Execute Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType( <display_name> は、Azure portal 内で見られるように、ユーザーの表示名です。 userType Memberを .
7. Execute Update-MgUser -UserId string -UserType Member。前 string のコマンドによって返された ID の値です。 ユーザーはメンバーの状態に設定されます。
8. もう一度実行 Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType して、UserType が変更されたことを確認します。 Azure portal の Microsoft Entra ID セクションで確認することもできます。

標準ではありませんが、この変更が Azure DevOps 内に反映されるまでに数時間、または数日かかることが分かっています。 Azure DevOps の問題がすぐに解決しない場合は、しばらくしてから試し続けてください。

これらのグループは Azure で作成および管理されるため、Azure DevOps のアクセス許可を直接割り当てたり、これらのグループにセキュリティで保護されたバージョン管理パスを割り当てたりすることはできません。 アクセス許可を直接割り当てようとすると、エラーが発生します。

必要なアクセス許可を持つ Azure DevOps グループに Microsoft Entra グループを追加できます。 または、代わりにこれらのアクセス許可をグループに割り当てることができます。 Microsoft Entra グループのメンバーは、追加するグループからアクセス許可を継承します。

いいえ。これらのグループは Azure で作成および管理されるためです。 Azure DevOps では、Microsoft Entra グループのメンバーの状態は保存または同期されません。 Microsoft Entra グループを管理するには、Azure portal、Microsoft Identity Manager (MIM)、または組織がサポートするグループ管理ツールを使用します。

Azure DevOps UI は、角かっこ を使用してメンバーシップ スコープを示します []。 たとえば、次のアクセス許可設定ページを考えてみましょう。

これらのユーザーは、[ユーザー] に表示される前に組織にサインインする必要があります。

これらのグループ メンバーが初めて組織にサインインすると、Azure DevOps によってアクセス レベルが自動的に割り当てられます。 Visual Studio サブスクリプションがある場合、Azure DevOps によってそれぞれのアクセス レベルが割り当てられます。 それ以外の場合、Azure DevOps は、次の "利用可能な最適な" アクセス レベルを、Basic、Stakeholder という順序で割り当てます。

すべての Microsoft Entra グループ メンバーに十分なアクセス レベルがない場合は、サインインしたメンバーが利害関係者アクセス権を取得します。

Microsoft Entra Privileged Identity Management (PIM) グループを使用して Just-In-Time アクセスを要求します。 詳細については、「管理者グループの Just-In-Time アクセス」を参照してください。

[セキュリティ] タブには、組織にサインインし、アクセス レベルが割り当てられた後にのみ、Microsoft Entra グループメンバーが表示されます。

すべての Microsoft Entra グループ メンバーを 表示するには、Azure portal、MIM、または組織でサポートされているグループ管理ツールを使用します。

チーム メンバー ウィジェットには、以前に組織にサインインしたユーザーのみが表示されます。

[チーム容量] ウィンドウには、以前に組織にサインインしたユーザーのみが表示されます。 容量を設定するには、チームにユーザーを手動で追加します。

Azure DevOps では、これらのユーザーからアクセス レベルが自動的に再利用されることはありません。 アクセス権を手動で削除するには、[ユーザー] に移動 します。

組織のアクセス許可を持つ Microsoft Entra メンバーに作業項目を割り当てることができます。 このアクションにより、そのメンバーも組織に追加されます。 この方法でユーザーを追加すると、ユーザーは自動的に [ユーザー] として表示され、使用可能なアクセス レベルが最適になります。 ユーザーは、セキュリティ設定にも表示されます。

いいえ。Microsoft Entra グループに対するクエリはサポートされていません。

いいえ。ただし、 プロセスのカスタマイズ計画に関心がある場合があります。

ディレクトリにユーザーを追加する

組織のユーザーを Microsoft Entra ID に追加します。

接続プロセス中に、既存のユーザーを、サインイン アドレスと呼ばれる UPN に基づいて Microsoft Entra テナントのメンバーにマップします。 同じ UPN を持つ複数のユーザーを検出した場合、これらのユーザーをマップする方法はわかりません。 このシナリオは、ユーザーが UPN を組織内の既存のものに一致するように変更した場合に発生します。

このエラーが発生した場合は、重複するユーザーの一覧を確認します。 重複が見つかる場合は、不要なユーザーを削除します。 重複が見つからない場合は、 サポートにお問い合わせください。

いいえ。 組織に新しい職場アカウントを追加することはできますが、新しいユーザーとして扱われます。 履歴を含むすべての作業にアクセスする場合は、組織が Microsoft Entra ID に接続する前に使用したのと同じサインイン アドレスを使用する必要があります。 Microsoft アカウントをメンバーとして Microsoft Entra ID に追加します。

メンバーであるか、それらのディレクトリで読み取りアクセス権を持っている必要があります。 それ以外の場合は、Microsoft Entra 管理者から B2B コラボレーションを使用して追加できます。 Microsoft アカウントを使用するか、ディレクトリに新しい職場アカウントを作成して追加することもできます。

組織のアクティブなメンバーではない別の ID にユーザーをマップしたり、既存のユーザーを Microsoft Entra ID に追加したりできます。 既存の Azure DevOps 組織メンバーにマップする必要がある場合は、 サポートにお問い合わせください。

Microsoft アカウントを使用して、特典として Azure DevOps を含む MSDN サブスクリプションで Visual Studio をアクティブ化した場合は、職場または学校アカウントを追加できます。 Microsoft Entra ID はアカウントを管理する必要があります。 MSDN サブスクリプションを使用して、職場または学校のアカウントを Visual Studio にリンクする方法について説明します。

はい。ただし、Microsoft 365 を通じてゲストとして追加された外部ユーザー、または Microsoft Entra 管理者による B2B コラボレーションを使用して追加された外部ユーザーのみ。 これらの外部ユーザーは、接続されたディレクトリの外部で管理されます。 詳細については、Microsoft Entra 管理者にお問い合わせください。 次の設定は、組織の ディレクトリに直接追加されたユーザーには影響しません。

開始する前に、利害関係者ではなく、少なくとも Basic アクセス権があることを確認してください。

外部ユーザーを追加し、[外部ゲスト アクセス] を [オン] に切り上げるための前提条件を満たします。

プロジェクト コレクションまたはプロジェクトに移動します。 上部のバーで、[設定] を選択し、[セキュリティ] を選択します。

Microsoft Entra グループを見つけて、組織から削除します。

ユーザーは、個人と Azure DevOps グループの Microsoft Entra グループのメンバーの両方として、組織に属することができます。 これらのユーザーは、これらの Microsoft Entra グループのメンバーである間も組織にアクセスできます。

ユーザーのすべてのアクセスをブロックするには、組織内の Microsoft Entra グループからユーザーを削除するか、組織からこれらのグループを削除します。 現在、アクセスを完全にブロックしたり、そのようなユーザーに対して例外を作成したりすることはできません。

ディレクトリから無効になっている、または削除されたユーザーは、PAT や SSH を使用するなど、どのメカニズムでも組織にアクセスできなくなります。

Microsoft Entra 接続への接続、接続の切断、または変更

• Microsoft Entra ID に組織を接続する
• ディレクトリから組織を切断する
• Azure DevOps に接続されているディレクトリを変更する
• Microsoft Entra ID に基づく組織の一覧を取得する
• テナント ポリシーを使用してorganization作成を制限する

Microsoft Entra テナントによってサポートされている組織の完全な一覧をダウンロードできます。 詳細については、「Microsoft Entra ID によってサポートされる組織の一覧を取得する」を参照してください。

はい。 Microsoft 365 から作成された Microsoft Entra ID が見つからない場合は、「接続するディレクトリが表示されない理由」を参照してください。

次の状況では、ディレクトリが表示されない場合があります。

• ディレクトリ接続を管理する 組織の所有者 として認識されません。

• Microsoft Entra 組織の管理者に相談し、組織のメンバーになるように依頼します。 組織に参加していない可能性があります。

組織の所有者が組織を作成したとき、または後でディレクトリに組織が接続されました。 職場または学校アカウントを使用して組織を作成すると、その職場または学校アカウントを管理するディレクトリに組織が自動的に接続されます。 はい。 ディレクトリを切り替えることができます。 一部のユーザーを移行する必要がある場合があります。

はい。 詳細については、「別の Microsoft Entra ID に切り替える」を参照してください。

Microsoft Entra テナント間で切り替えると、基になる ID も変更され、ユーザーが以前の ID で持っていた PAT トークンまたは SSH キーも機能しなくなります。 組織にアップロードされたアクティブな SSH キーはテナント切り替えプロセスの一部として削除されないため、ユーザーが切り替え後に新しいキーをアップロードできなくなる可能性があります。 ユーザーは、Active Directory テナントを切り替える 前に 、すべての SSH キーを削除することをお勧めします。 テナント切り替えプロセスの一環として SSH キーを自動削除するためのバックログの作業があります。その間、テナント切り替え後に新しいキーのアップロードがブロックされている場合は、サポートに連絡して古い SSH キーを削除することをお勧めします。

Azure DevOps では、2020 年 3 月 2 日以降、代替資格情報認証はサポートされなくなりました。 引き続き代替資格情報を使用している場合は、より安全な認証方法 (個人用アクセス トークンや SSH など) に切り替えるよう強くお勧めします。 詳細については、こちらを参照してください。

• Azure DevOps の [組織の設定] で、 [Microsoft Entra ID] を選択し、 [解決する] を選択します。

  

• ID と一致します。 完了したら、 [次へ] を選択します。

  

• やり直してください。

• Microsoft Entra ID のゲストである可能性があります。 Microsoft Entra ID のメンバーである組織管理者にマッピングを依頼します。 または、Microsoft Entra ID の管理者がメンバーに変換するように要求します。

  

• エラー メッセージにドメイン内のユーザーが含まれているのに、ディレクトリにアクティブなユーザーが表示されない場合、ユーザーは会社を離れた可能性があります。 組織のユーザー設定に移動して、組織からユーザーを削除します。

Microsoft Entra ID のゲストであり、ユーザーを招待するための適切なアクセス許可がない可能性があります。 Microsoft Entra ID の [外部コラボレーション設定] に移動し、[ゲストは招待できます] トグルを [はい] に移動します。 Microsoft Entra ID を更新して、もう一度やり直してください。

Visual Studio サブスクリプション管理者は通常、ユーザーの会社のメール アドレスにサブスクリプションを割り当てて、ユーザーがウェルカム メールと通知を受信できるようにします。 ID とサブスクリプションのメール アドレスが一致する場合、ユーザーはサブスクリプションの利点にアクセスできます。 Microsoft から Microsoft Entra ID に移行しても、ユーザーの利点は引き続き新しい Microsoft Entra ID で機能します。 ただし、メール アドレスは一致している必要があります。 メール アドレスが一致しない場合は、サブスクリプション管理者が サブスクリプションを再割り当てする必要があります。 それ以外の場合、ユーザーは Visual Studio サブスクリプションに代替 ID を追加する必要があります。

ブラウザーのキャッシュをクリアし、セッションの Cookie をすべて削除します。 ブラウザーを閉じてから、もう一度開きます。

ブラウザーのキャッシュをクリアし、セッションの Cookie をすべて削除します。 ブラウザーを閉じてから、もう一度開きます。

はい。ユーザーの ID が個人のメールから仕事用メールにマップされると、システム内のすべての部分が新しい ID で更新されます。

引き続き Microsoft Entra ID に接続できますが、接続後にマッピングの問題を解決してみてください。 それでもサポートが必要な場合は、 サポートにお問い合わせください。

太字のテキストを選択して、影響を受けるユーザーを確認します。

現時点では接続することはできますが、接続後に切断されたユーザーを解決するのに役立つマッピング機能と招待機能は 100 を超えて機能しません。 サポートにお問い合わせください。

v1.15.0 より前の GCM バージョンを使用している場合は、テナント キャッシュをクリアする必要があります。 テナント キャッシュのクリアは、サインイン エラーを %LocalAppData%\GitCredentialManager\tenant.cache 返す各マシン上のファイルを削除するのと同じくらい簡単です。 GCM は、後続のサインイン試行時に、必要に応じてキャッシュ ファイルを自動的に再作成して設定します。

Q: Azure DevOps のヘルプまたはサポート操作方法得られますか?

A: サポートには次のオプションがあります。

• Developer Communityの Azure DevOps に関する問題を報告します。
• Developer Communityに関する提案を提供する
• Stack Overflow に関するアドバイスを受ける
• MSDN の Azure DevOps フォーラムの アーカイブを表示する

関連記事

• 組織の構成とカスタマイズに関する FAQ
• ユーザーとアクセス許可の管理に関する FAQ
• Visual Studio の設定に関する FAQ