Azure AD を介したアクセスについてよくあるご質問

Azure DevOps Services

重要

Azure DevOps では、2020年3月2日以降の代替資格情報認証がサポートされなくなりました。 引き続き別の資格情報を使用している場合は、より安全な認証方法 (個人用アクセストークンなど) に切り替えることを強くお勧めします。 詳細については、こちらを参照してください

Azure Active Directory (AD) を介した組織へのアクセスに Azure DevOps関してよく寄せられる質問 (FAQ) に対する回答について説明します。 FAQ は、次の件名でグループ化されています。

Azure AD を使用した一般的なAzure AD

Q: 組織が組織の組織に表示Azure portal。

A: どちらのアプリケーションでも、Azure DevOps で組織にリンクされている Azure サブスクリプションに対する Azure サービス管理者または共同管理者のアクセス許可が必要です。 また、次の Azure portalプロジェクト コレクション管理者または組織の所有者のアクセス許可が必要です。

Q: Azure Active Directory (Azure AD) に変更を加えましたが、それが有効にならなかったように見えました。なぜですか?

A: Azure ADで行われた変更は、1 時間後に表示Azure DevOps。

Q: Microsoft 365とAzure ADを使用Azure DevOps?

A:はい。

Q: "職場または学校のアカウント" と "個人のアカウント" のどちらかを選択する必要がありますか。

A: これは、 jamalhartnett@fabrikam.com 個人用 Microsoft アカウントと職場アカウントまたは学校アカウントによって共有されている電子メールアドレス (など) を使用してサインインした場合に発生します。 どちらの id も同じサインインアドレスを使用しますが、id は異なります。 2つの id には、異なるプロファイル、セキュリティ設定、およびアクセス許可があります。

  • この id を使用して組織を作成した場合、または以前にこの id でサインインした場合は、[ 職場または学校アカウント ] を選択します。 Id は、組織へのアクセスを制御する Azure AD 内の組織のディレクトリによって認証されます。

  • Azure DevOps で Microsoft アカウントを使用した場合は、[ 個人のアカウント ] を選択します。 Id は、Microsoft アカウントのグローバルディレクトリによって認証されます。

Q: 組織では Microsoft アカウントのみを使用しています。 アプリケーションに切り替Azure AD?

A: A。はい。ただし、切り替える前に、次Azure ADを共有するニーズを満たしている必要があります。

  • 作業項目
  • code
  • resources
  • チームやパートナーとの他の資産

Microsoft アカウントと Azure AD のアクセス制御の詳細と、 の準備ができたら切り替える 方法について説明します

Q: [personal Microsoft アカウント] または [職場または学校アカウント] を選択した後にサインインできないのはなぜですか。

A: サインインアドレスが個人用 Microsoft アカウントと職場アカウントまたは学校アカウントによって共有されていても、選択した id にアクセス権がない場合、サインインすることはできません。 どちらの id も同じサインインアドレスを使用しますが、異なるプロファイル、セキュリティ設定、およびアクセス許可を持っています。

次の手順を完了して、Azure DevOps から完全にサインアウトします。 ブラウザーを閉じると、完全にサインアウトしない可能性があります。 もう一度サインインし、他の id を選択します。

  1. Azure DevOps を実行していないブラウザーも含め、すべてのブラウザーを閉じます。

  2. プライベートまたは incognito のブラウズセッションを開きます。

  3. 次の URL にアクセス https://aka.ms/vssignout します。

    "サインアウトが進行中です" というメッセージが表示されます。 サインアウトすると、Azure DevOps の web ページにリダイレクトさ @dev.azure.microsoft.com れます。

    ヒント

    サインアウトページのサインアウトに1分以上かかる場合は、ブラウザーを閉じて続行します。

  4. Azure DevOps にもう一度サインインします。 他の id を選択します。

Q: Azure サブスクリプションが無効になっている場合は、どうなるでしょうか。

A: 組織の所有者またはAzureサブスクリプション アカウント管理者の場合は、アカウント センターでサブスクリプションの状態を確認してから、サブスクリプションを修正してみてください。 有料設定が復元されます。 または、無効になっているサブスクリプション から組織のリンクを解除することで、組織を別の Azure サブスクリプションにリンクすることもできます。 サブスクリプションが無効になっている間は、サブスクリプションが修正されるまで、組織は無料の毎月の制限に戻されます。

Azure ADとアクセス許可を設定する

質問に対する回答がここに見当たらない場合は、「ユーザーとアクセス許可の管理に関する FAQ 」を参照してください

Q: ディレクトリにユーザーを追加する必要がある理由

A: 組織はユーザーを認証し、ユーザーを介してアクセスを制御Azure Active Directory (Azure AD)。 アクセスするには、すべてのユーザーがディレクトリ メンバーである必要があります。

ディレクトリ管理者は、ディレクトリ にユーザーを追加できます。 管理者ではない場合は、ディレクトリ管理者と一緒にユーザーを追加してください。 ディレクトリ を使用 してアクセスを制御する方法Azure DevOps Services詳細を確認してください

Q: 操作方法を使用してアクセスを制御Azure AD確認できますか?

A: Basic 以上のアクセス権がある場合は、次の方法を見つける方法を示します。

[組織の設定 ] に移動 し、[組織] タブ Azure Active Directory します。接続されていない組織と、その組織に接続されている組織の次の例をAzure AD。

[未接続]

[組織の設定] = [接続されていません] で接続されているディレクトリを確認します

接続済み

[組織の設定] = [接続済み] で接続されているディレクトリを確認します

組織が組織のディレクトリに接続されている場合、組織のディレクトリのユーザーだけが組織に参加できます。 詳細については、「 を使用してユーザーを追加または削除する」をAzure Active Directory。

Q: 組織は、組織でアクセスを制御Azure Active Directory。 ディレクトリからユーザーを削除できますか?

A: はい。ただし、ディレクトリからユーザーを削除すると、そのディレクトリに関連付けられているすべての組織および他の資産へのユーザーのアクセス権が削除されます。 ディレクトリ からユーザー Azure AD削除するには、グローバル管理者のアクセス許可 Azure ADがあります

Q: 自分の組織にユーザーを組織に追加しようとして、Azure ADが見つからないAzure DevOps。

A: メンバー ではなく、Azure AD組織をAzure DevOpsゲストである可能性 があります。 既定では、Azure AD ゲストは、Azure DevOps によって要求される方法で Azure AD を検索することはできません。 ゲストから メンバー にAzure ADする方法について学習します

Q: ゲストからメンバーにAzure AD変換する方法

A: 次の 2 つのオプションから選択します。

PowerShell Azure ADを使用して UserType をゲストからメンバー Azure AD変換する

警告

これは高度なプロセスであり、お勧めされませんが、その後、ユーザーは組織からAzure ADクエリAzure DevOpsできます。

前提条件

UserType を変更するユーザーには、次の項目が必要です。

  • アプリ内の仕事/学校アカウント (WSA)/ネイティブ ユーザー Azure AD。 Microsoft アカウントを使用して UserType を変更することはできません。
  • グローバル管理者のアクセス許可

重要

Azure AD のグローバル管理者である新しい (ネイティブの) Azure AD ユーザーを作成し、そのユーザーと一緒に次の手順を実行することをお勧めします。 この新しいユーザーは、間違ったユーザーに接続する可能性をAzure AD。 完了したら、新しいユーザーを削除できます。

処理

  1. 組織のディレクトリの Azure portal 管理者として、管理者としてサインインします。

  2. 自分の組織をバックアップするテナントAzure DevOpsします。

  3. UserType を確認します。 ユーザーがゲストである必要があります。

    次のページで UserType を確認Azure portal

  4. [管理] ダイアログ Windows PowerShell開きます。

  5. Install-Module -Name AzureAD を実行します。 PowerShell for Graph Azure Active Directoryは 、次のページからダウンロードPowerShell ギャラリー。 NuGet と信頼されていないリポジトリのインストールに関するプロンプトが表示される場合があります。次に示します。 問題が発生した場合は、PowerShell for Graph のページのAzure Active Directory と情報を確認 してください。

    管理者アクション (Windows PowerShell

  6. インストールが完了したら、 を実行します Connect-AzureAD 。 サインインを求めるメッセージが表示Azure AD。 前述の条件を満たす ID を必ず使用してください。

  7. Get-AzureADuser -SearchString "<display_name>" 実行します。この<display_name>は、ユーザーの表示名全体の一部です 。この名前は、Azure portal)。 このコマンドは、見つかったユーザーに対して 4 つの列 (ObjectId、DisplayName、UserPrincipalName、UserType) を返し、UserType は guest と言 う必要があります

  8. Set-AzureADUser -ObjectID <string> -UserType Member 実行します。 ここで は、前のコマンドによって返された ObjectId の値です。 ユーザーはメンバーの状態に設定されています。

  9. もう Get-AzureADuser -SearchString "<display_name>" 一度 を実行して、UserType が変更されたと確認します。 また、次のセクションAzure Active Directoryで確認Azure portal。 標準ではありますが、この変更が内部に反映されるには数時間または数日かかるAzure DevOps。 問題がすぐに解決しない場合はAzure DevOps時間を与え、試し続ける必要があります。

Azure AD グループ

Q: アクセス許可をグループにAzure DevOpsに割り当てAzure ADできません。

A: これらのグループは Azure で作成および管理されるので、Azure DevOps のアクセス許可を直接割り当てるか、これらのグループにセキュリティで保護されたバージョン管理パスを割り当てすることはできません。 アクセス許可を直接割り当てこうとすると、エラーが発生します。

必要なアクセス許可Azure ADグループにAzure DevOpsグループを追加できます。 または、これらのアクセス許可をグループに割り当てすることもできます。 Azure ADメンバーは、追加したグループからアクセス許可を継承します。

Q: グループ内のAzure ADを管理Azure DevOps?

A: いいえ。これらのグループは Azure で作成および管理されます。 Azure DevOpsグループのメンバー状態を格納または同期Azure ADされません。 グループをAzure ADするには、Azure portal 、Microsoft Identity Manager(MIM)、または組織でサポートされているグループ管理ツールを使用します。

Q: 操作方法グループとグループのAzure DevOps違いをAzure ADしますか?

A: この UI Azure DevOps、角かっこ を使用してメンバーシップ スコープを示します [] 。 たとえば、次のアクセス許可設定ページを考え考え、

さまざまなスコープを持つアクセス許可の設定

スコープ名 定義
[fabrikam-fiber] メンバーシップは[組織の設定] で定義されます
[Project Name] メンバーシップは[プロジェクトの設定] で定義されます
[TEAM FOUNDATION] メンバーシップは、 次の方法で 直接定義Azure AD

注意

カスタム セキュリティ グループAzure AD追加し、同様の名前を使用すると、重複するグループと思う名前が表示される場合があります。 のスコープを調べて、DevOps グループと、グループグループのAzure AD [] します。

Q: ユーザーがグループ メンバーの一部をAzure ADしない理由

A: これらのユーザーは、[ユーザー] に表示される前に、組織にサインインする必要があります。

Q: グループ 操作方法に組織のアクセス権を割Azure AD割り当てる必要がありますか?

A: これらのグループ メンバーが初めて組織にサインインすると、Azure DevOpsアクセス レベルが自動的に割り当てらされます。 サブスクリプション が含 Visual Studio場合、Azure DevOpsアクセス レベルを割り当てる必要があります。 それ以外の場合Azure DevOps、次の "利用可能 な"アクセス レベルを Basic、Stakeholder の順に割り当てる必要があります。

すべてのグループ メンバーに対して十分なアクセス レベルAzure AD場合、サインインしたメンバーは利害関係者アクセス権を取得します。

Q: グループを選択すると、[セキュリティ] タブメンバーが表示Azure ADしないのですか?

A: この[セキュリティ] タブはAzure ADにサインインし、アクセス レベルが割り当てられた後にのみグループ メンバーを表示します。

すべてのグループ メンバー Azure AD表示するには、Azure portal、MIM、または組織でサポートされているグループ管理ツールを使用します。

Q: チーム メンバー ウィジェットにグループ メンバーの一部Azure AD表示しない理由

A: チーム メンバー ウィジェットには、以前に組織にサインインしたユーザーだけが表示されます。

Q: チームの容量ウィンドウに、グループ メンバーの一部Azure AD表示されません。

A: [チームの容量] ウィンドウには、以前に組織にサインインしたユーザーだけが表示されます。 容量を設定するには、手動でチームにユーザーを追加します。

Q: チーム ルームにオフライン ユーザーが表示しない理由

A: チーム ルームにはグループ Azure ADが表示されますが、オンラインの場合にのみ表示されます。

Q: グループ メンバーをAzure DevOpsユーザーからアクセス レベルを再利用できないAzure AD理由は何ですか?

A: Azure DevOpsユーザーからアクセス レベルが自動的に再利用されません。 アクセス権を手動で削除するには、 [ユーザー] に 移動します

Q: サインインしていないグループ メンバー Azure ADに作業項目を割り当てできますか?

A: 組織のアクセス許可を持つAzure ADメンバーに作業項目を割り当てできます。 また、このアクションにより、そのメンバーが組織に追加されます。 この方法でユーザーを追加すると、ユーザーは自動的に [ユーザー] として表示され、使用可能なアクセス レベルが最適です。 ユーザーはセキュリティ設定にも表示されます。

Q: "In Group" Azure AD使用して、複数のグループを使用して作業項目のクエリを実行できますか?

A: いいえ。Azure ADに対するクエリはサポートされていません。

Q: 作業項目テンプレートAzure ADグループを使用してフィールド ルールを設定できますか?

A: いいえ。ただし、プロセスカスタマイズ 計画 に 関心がある場合があります

ディレクトリにユーザーを追加する

組織のユーザーを 自分の組織の Azure Active Directory。

Q: 組織に同じ UPN を持つ複数のアクティブな ID があるというエラーが表示される理由は何ですか?

A: 接続プロセス中に、既存のユーザーを、サインイン アドレスと呼ばれる UPN に基づいて、Azure AD テナントのメンバーにマップします。 同じ UPN を持つ複数のユーザーが検出された場合、これらのユーザーをマップする方法はわかりません。 このシナリオは、ユーザーが組織内に既に存在する UPN と一致する UPN を変更した場合に発生します。

Q: 現在のユーザーを Microsoft アカウントから仕事用アカウントに切り替Azure DevOps?

A:いいえ。 新しい作業アカウントを組織に追加することもできますが、新しいユーザーとして扱います。 履歴を含むすべての作業にアクセスする場合は、組織が Azure AD に接続する前に使用したのと同じサインイン アドレスを使用する必要があります。 自分のMicrosoft アカウントをメンバーとして追加Azure AD。

Q: 他のディレクトリのユーザーを自分のディレクトリに追加できないAzure AD。

A: メンバーである必要があります。または、それらのディレクトリに読み取りアクセス権を持っている必要があります。 それ以外の場合は、管理者 を 介して B2B コラボレーションを使用Azure ADできます。 また、Microsoft アカウントを使用するか、ディレクトリに新しい作業アカウントを作成して追加することもできます。

Q: ユーザーを組織の既存のメンバーにマップしようとしてエラーが発生した場合は、どうしますか?

A: 組織のアクティブなメンバーではない別の ID にユーザーをマップしたり、既存のユーザーを Azure AD に追加Azure AD。 既存の組織メンバーに引き続きマップする必要がある場合Azure DevOpsサポート にお問い合わせください。

Q: 操作方法 MSDN サブスクリプションで自分のアカウントと一緒にVisual Studioアカウントを使用できますか?

A: Microsoft アカウント を使用して、特典として Azure DevOps を含む MSDN サブスクリプションを使用して Visual Studio をアクティブ化した場合は、仕事用または学校アカウントを追加できます。 アカウントは、次の方法で管理Azure AD。 MSDN サブスクリプションを使用して、学校または学校のアカウントVisual Studioリンクする方法について説明します

Q: 接続されたディレクトリ内の外部ユーザーに対する組織へのアクセスを制御できますか?

A: はい。ただし、Microsoft 365 を介してゲストとして追加された外部ユーザー、または管理者 によって B2Bコラボレーションを使用して追加された外部ユーザー Azure ADします。 これらの外部ユーザーは、接続されたディレクトリの外部で管理されます。 詳細については、管理者にお問い合Azure ADください。 次の設定は、組織の ディレクトリ に直接追加されるユーザー には影響を与え "されません"。

開始する前に、利害関係者ではなく、少なくとも Basic アクセス権を持っている必要があります。

外部ユーザー を追加するための前提条件を完了し、[外部ゲスト アクセス] を [オン] に 設定します

ユーザーまたはグループを削除する

Q: 操作方法グループをAzure AD削除Azure DevOps?

A: プロジェクト コレクションまたはプロジェクトに移動します。 上部のバーで、[設定] を 選択し、[セキュリティ] を 選択します

新しいAzure ADを見つけて、組織から削除します。

[削除] オプションが強調表示されているプロジェクトのスクリーンショット

Q: 組織からユーザーを削除するときに、Azure ADグループからユーザーを削除する必要がありますか?

A: ユーザーは、個人として、またはグループ内のグループのメンバー Azure AD、組織Azure DevOpsできます。 これらのユーザーは、これらのグループのメンバーである間も、引き続きAzure ADできます。

ユーザーのすべてのアクセスをブロックするには、組織内Azure ADグループからユーザーを削除するか、これらのグループを組織から削除します。 現時点では、アクセスを完全にブロックしたり、そのようなユーザーに対して例外を作成したりする必要があります。

Q: ユーザー Azure AD削除された場合、関連するすべての PAT も取り消されますか?

A: ディレクトリで無効または削除されたユーザーは、PAT や SSH を介してなどのメカニズムによって組織にアクセスできなくなります。

接続の接続、切断、または接続の変更Azure ADする

Q: サポートされている複数の組織を管理するには、どうすればAzure AD。

A: テナントをサポートする組織の完全な一覧をAzure Active Directoryできます。 詳細については、「 でサポートされている組織の一覧を取得する」をAzure AD。

Q: 組織を、組織から作成されたAzure ADに接続Microsoft 365。

A:はい。 Microsoft 365 から作成されたファイルが見Azure AD場合は、「接続するディレクトリが表示されませんか?」 を参照してください

Q: 接続先のディレクトリが表示されません。 どうすればよいですか。

A: 次のような状況では、ディレクトリが表示されない場合があります。

  • ディレクトリ接続を管理 するための組織の所有者 アクセス許可が付与されません。

  • 組織の管理者Azure AD連絡し、組織のメンバーにしてください。 組織の一部ではない可能性があります。

Q: 組織が既にディレクトリに接続されている理由 そのディレクトリを変更できますか?

A: 組織は、組織所有者が組織を作成した時点、または後でディレクトリに接続されました。 仕事用アカウントまたは学校アカウントを使用して組織を作成すると、その組織は、その会社または学校アカウントを管理するディレクトリに自動的に接続されます。 はい、ディレクトリ を 切り替えできます。 一部のユーザーを移行する必要がある場合があります。

Q: 別のディレクトリに切り替えできますか?

A:はい。 詳細については、「別のデータ に切り替える」をAzure AD。

Q: 代替資格情報が機能しなくなりました。 どうすればよいですか。

A: Azure DevOps 2020 年 3 月 2 日の初め以降、代替資格情報認証はサポートされなくなりました。 代替資格情報を引き続き使用している場合は、より安全な認証方法 (個人用アクセス トークンや SSH など) に切り替える方法を強く推奨します。 詳細については、こちらを参照してください

Q: 一部のユーザーは切断されますが、一致する ID を持つユーザー Azure AD。 どうすればよいですか。

A:

  • [組織の設定Azure DevOps で、[] を 選択Azure Active Directory し、[ 解決] を 選択します

    [解決Azure AD解決] を選択します。

  • ID と一致します。 完了したら、 [次へ] を選択します。

    切断されたユーザーを解決する

Q: 切断を解決するときにエラー メッセージが表示されます。 どうすればよいですか。

A:

  • やり直してください。

  • ゲストの場合は、Azure AD。 組織のメンバーである組織の管理者に対して、Azure ADを実行する必要があります。 または、ユーザーの管理者にメンバーへのAzure ADを要求します。

    切断されたユーザーを解決する際のエラーを示すスクリーンショット。

  • エラー メッセージにドメイン内のユーザーが含まれていますが、ディレクトリにアクティブなユーザーが表示されていない場合、ユーザーは会社を離した可能性があります。 組織のユーザー設定に移動して、組織からユーザーを削除します。

Q: 新しいユーザーを自分のアカウントに招待しようとAzure AD、403 例外が発生しました。 どうすればよいですか。

A: ユーザーを招待する適切なアクセスAzure ADゲストである場合があります。 [外部コラボレーション の設定] に移動 Azure AD[ゲストは招待できます] トグルを [はい] に 移動します。 更新Azure ADして、もう一度やり直してください。

Q: ユーザーは既存のサブスクリプションを保持Visual Studioしますか?

A: Visual Studio管理者は、通常、ユーザーがウェルカム メールと通知を受信できるよう、ユーザーの会社の電子メール アドレスにサブスクリプションを割り当てる必要があります。 ID とサブスクリプションの電子メール アドレスが一致する場合、ユーザーはサブスクリプションの利点にアクセスできます。 Microsoft から ID に移行Azure AD、ユーザーの利点は引き続き新しい ID Azure ADされます。 ただし、電子メール アドレスは一致する必要があります。 電子メール アドレスが一致しない場合は、サブスクリプション管理者がサブスクリプション を再割 り当てする必要があります。 それ以外の場合、ユーザー はサブスクリプション に代替 ID を追加Visual Studioがあります

Q: ユーザー ピッカーを使用するときにサインインする必要がある場合は、どうしますか?

A: ブラウザーのキャッシュをクリアし、セッションの Cookie を削除します。 ブラウザーを閉じてから、もう一度開きます。

Q: 電子メール アカウントが電子メール アカウントに見つからない場合Azure AD。

A:

  • [組織の設定Azure DevOps で、[] を 選択Azure Active Directory し、[ 解決] を 選択します

    [解決Azure AD解決] を選択します。

  • ID と一致します。 完了したら、 [次へ] を選択します。

    切断されたユーザーを解決する

Q: 作業項目がユーザーが無効であることを示している場合は、どうしますか?

A: ブラウザーのキャッシュをクリアし、セッションの Cookie を削除します。 ブラウザーを閉じてから、もう一度開きます。

Q: 組織が Azure AD に接続されると、新しい ID でシステムで参照されている Azure Boards 作業項目、pull request、その他の部分が更新されますか?

A: はい。ユーザーの ID が個人の電子メールから仕事用メールにマップされた場合、システム内のすべての部分が新しい ID で更新されます。

Q: 組織へのアクセス権を失うメンバーに関する警告が表示された場合は、どうしますか?

A: 引き続き Azure AD接続できますが、接続後にマッピングの問題を解決してみてください。 それでもヘルプが必要な場合は、サポート にお問い合わせください

接続の警告Azure AD示すスクリーンショット。

太字のテキストを選択して、影響を受けるユーザーを確認します。

切断されたユーザーを表示する

Q: 100 人を超えるユーザーがいて、ユーザーが 100 人を超えるユーザーに接続Azure AD。

A: 100 人を超えるユーザーでも接続できます。ただし、切断されたユーザーについてはサポートに問い合わせが必要な場合があります。

Q: 組織のメンバーが 100 人を超える場合Azure DevOpsに接続するにはどうすればAzure AD。

A: 現時点では接続できますが、接続後に切断されたユーザーを解決するのに役立つマッピング機能と招待機能は 100 を超えて機能しません。 サポートにお問い合わせください

Q: リンク/リンクgit.exeリンクVisual Studio後、/Visual Studio認証に失敗する理由は何Azure Active Directory。

A: v1.15.0 より前の GCM バージョンを使用している場合は、テナント キャッシュをクリアする必要があります。 テナント キャッシュをクリアするのは、サインイン エラーを返す各マシン上のファイルを削除 %LocalAppData%\GitCredentialManager\tenant.cache するのと同じほど簡単です。 GCM は、後続のサインイン試行時に、必要に応じてキャッシュ ファイルを自動的に再作成して設定します。

Q: 操作方法 Azure DevOps のヘルプやサポートを受けることはできますか?

A: サポートには次のオプションがあります。