ユーザーとアクセス許可の管理に関する Faq

Azure DevOps Services |Azure DevOps Server 2020 |Azure DevOps Server 2019 |TFS 2018-TFS 2013

Azure DevOps のユーザーとアクセス許可の管理に関してよく寄せられる質問 (Faq) に対する回答を説明します。 Faq は、次の項目によってグループ化されています。

一般的なアクセス許可

Q: パスワードを忘れた場合はどうなりますか。

A: 組織でこの機能を有効にした場合は、 Microsoft アカウントパスワードを回復 することも、 職場または学校のアカウントのパスワードを回復 することもできます。 それ以外の場合は、Azure Active Directory 管理者に連絡して職場または学校アカウントを復元してください。

Q: ユーザーを管理できないのはなぜですか。

A: 組織レベルでユーザーを管理するには、プロジェクトコレクション管理者または 組織所有者 である必要があります。 追加するには、「プロジェクトまたはコレクションレベルでのアクセス許可の設定」を参照してください。

Q: 組織の所有者操作方法検索しますか?

A: 基本的なアクセス権が少なくともある場合は、組織の設定で現在の所有者を見つけることができます。

  1. 組織の設定 にアクセスします。

    組織の設定を開く

  2. 現在の所有者を検索します。

    組織情報で現在の所有者を検索する

Q: プロジェクトコレクション管理者を見つける操作方法

A: 少なくとも基本的なアクセス権を持っている場合は、組織のセキュリティ設定で プロジェクトコレクション管理者 を見つけることができます。

詳細については、「 プロジェクトコレクション管理者グループのメンバーを表示する」を参照してください。

詳細については、「 プロジェクト管理者グループのメンバーを表示する」を参照してください。

Visual Studio サブスクリプション

Q: "Visual Studio/MSDN サブスクライバー" を選択するにはどうすればよいですか?

A: このアクセスレベルは、有効で有効な Visual Studio サブスクリプションを持つユーザーに割り当てます。 Azure DevOps は、Azure DevOps が特典として利用されている Visual Studio サブスクライバーを自動的に認識し、検証します。 サブスクリプションに関連付けられている電子メールアドレスが必要です。

ユーザーが有効なアクティブな Visual Studio サブスクリプションを持っていない場合は、 利害関係者としてのみ機能します。

Q: Azure DevOps では、どの Visual Studio サブスクリプションを使用できますか。

Q: Visual Studio サブスクリプションが検証されないのはなぜですか。

Q: サブスクライバーがサインインした後、Visual Studio サブスクライバーのアクセスレベルが変更されるのはなぜですか。

A: Azure DevOps は Visual Studio サブスクライバーを認識します。 ユーザーは、ユーザーに割り当てられている現在のアクセスレベルではなく、サブスクリプションに基づいて自動的にアクセス権を持ちます。

Q: ユーザーのサブスクリプションの有効期限が切れるとどうなりますか。

A: 他のアクセスレベルが使用できない場合、ユーザーは 関係者として作業できます。 アクセスを復元するには、ユーザーがサブスクリプションを更新する必要があります。

ユーザー アクセス

Q: [すべてのユーザー] ビューでは、"最後のアクセス" とは何ですか。

A: 最後のアクセス の値は、ユーザーがリソースまたはサービスに最後にアクセスした日付になります。 Azure DevOps へのアクセスには、 visualstudio.com を直接使用し、リソースやサービスを間接的に使用することが含まれます。 たとえば、 Azure Artifacts の拡張機能を使用したり、Git コマンドラインまたは IDE から Azure DevOps にコードをプッシュしたりすることができます。

Q: Basic アクセスの有料のユーザーは、他の組織に参加できますか。

A: いいえ。ユーザーは、基本アクセスのためにユーザーが支払った組織にのみ参加できます。 ただし、ユーザーは、Basic アクセス権を持つユーザーがまだ使用可能な任意の組織に参加できます。 ユーザーは、利害関係者アクセス権を持つユーザーとして無料で参加することもできます。

Q: 一部の機能にユーザーがアクセスできないのはなぜですか。

A: ユーザーに適切な アクセスレベル が割り当てられていることを確認してください。

一部の機能は、 拡張機能としてのみ使用できます。 これらの拡張機能をインストールする必要があります。 ほとんどの拡張機能では、利害関係者アクセスではなく、少なくとも基本的なアクセス権が必要です。 [ Visual Studio Marketplaceの [Azure DevOps] タブで、拡張機能の説明を確認します。

たとえば、コードを検索する場合は、無料の Code Search 拡張機能をインストールできますが、拡張機能を使用するには、少なくとも Basic アクセスが必要です。

アプリの品質を向上させるために、無料の テスト & フィードバック拡張機能をインストールすることができますが、アクセスレベルと、オフラインで作業するか Azure DevOps Services に接続するかによって、さまざまな機能を利用できます。

一部の Visual Studio サブスクライバー は無料でこの機能を使用できますが、基本的なユーザーは、テスト計画を作成する前に basic + Test Plans アクセスにアップグレードする必要があります。

Q: ユーザーが一部の機能にアクセスできなくなるのはなぜですか。

A: ユーザーは次の理由でアクセスできなくなる可能性があります (ただし、ユーザーは 利害関係者として作業を続行できます)。

  • ユーザーの Visual Studio サブスクリプションの有効期限が切れています。 一方、ユーザーは 利害関係者として作業することも、ユーザーが自分のサブスクリプションを更新するまでユーザーに基本アクセス権を付与することもできます。 ユーザーがサインインすると、Azure DevOps によって自動的にアクセスが復元されます。

  • 課金に使用される Azure サブスクリプションがアクティブではなくなりました。 このサブスクリプションで行われたすべての購入は、Visual Studio サブスクリプションを含めて影響を受けます。 この問題を解決するには、 Azure アカウントポータルにアクセスします。

  • 課金に使用される Azure サブスクリプションが組織から削除されました。 組織のリンクの詳細については、こちらをご覧ください。

  • お客様の組織には、Azure で支払いを行っているユーザー数よりも多くのユーザーが基本アクセス権を持っています。 お客様の組織には、Basic アクセスを使用する5人の無料ユーザーが含まれます。 Basic アクセス権を持つユーザーをさらに追加する必要がある場合は、 これらのユーザーに対して料金を支払うことができます。

それ以外の場合は、カレンダー月の初日に、最初に組織にサインインしていないユーザーが最初にアクセスを失います。 アクセス権を必要としないユーザーが組織に存在する場合は、 組織からそれらを削除します。

Q: ユーザーアカウントは、他の Azure AD グループからアクセス許可を継承していますか。

A: ユーザーが複数の Azure AD グループに存在する場合、1つのグループでの 拒否 アクセス許可セットは、そのユーザーが存在するすべてのグループのユーザーに適用されます。 ユーザーのアクセス許可は、可能な限り低いレベルで 拒否 するように設定されているので、ユーザーがリソースを使用しているすべてのグループでは、拒否が常に優先されます。

たとえば、ユーザーが共同作成者グループとプロジェクト管理者グループにあり、共同作成者グループの特定のアクセス許可に対して [ 拒否 ] が設定されている場合、プロジェクト管理者グループのユーザーに対しても、そのアクセス許可は拒否されます。 このシナリオでは、 Not set オプションを使用できます。

アクセス許可の状態の詳細については、「 アクセス許可の状態」を参照してください。

組織のアプリアクセスポリシーを変更する

Q: 個人用アクセストークンと代替認証資格情報の違いはどのようなものですか。

A: 個人用アクセストークンは、代替認証資格情報に代わる、より便利で安全な代替手段です。 トークンの使用は、特定の有効期間、組織、およびトークンが承認するアクティビティの スコープ に制限できます。 個人用アクセストークンの詳細については、こちらを参照してください。

Q: 1 つの組織で1つの認証方法へのアクセスを拒否した場合、自分が所有しているすべての組織に影響がありますか。

A: いいえ。それでも、自分が所有している他のすべての組織でその方法を使用できます。 個人用アクセストークン は、トークンを作成したときの選択に基づいて、特定の組織またはすべての組織に適用されます。

Q: 認証方法へのアクセスを拒否し、もう一度アクセスを許可した場合、アクセスを必要とするアプリは引き続き動作しますか。

A: はい。これらのアプリは引き続き動作します。

組織から脱退する

Q: 所有者を削除することができない場合に、組織から自分を削除操作方法ますか。

A: 組織から削除するには、次の手順を実行します。

  1. Aex.dev.azure.comにアクセスします。

  2. 組織を選択し、[ 脱退] を選択します。

    メンバーが組織から自身を削除しています

  3. 組織から 脱退 することを確認します。

    組織から脱退するための確認を示すスクリーンショット。

グループベースのライセンス

Q: グループルールを削除しても、ユーザーのアクセスレベルとプロジェクトメンバーシップは失われますか。

A: ユーザーがリソースに明示的に割り当てられていない場合、または別のグループルールによって割り当てられていない場合、グループ TestGroup のユーザーはグループリソースにアクセスできなくなります。

削除-グループ-ルール-managing_group ベースのライセンス

Q: グループルールを削除すると、Azure DevOps または Azure AD グループは削除されますか。

A:いいえ。 グループは削除されません。

Q: [ <group> すべてのプロジェクトレベルグループからの削除] オプションはどのようなものですか。

A: このオプションを選択すると、プロジェクト リーダープロジェクトコントリビューター などのプロジェクトレベルの既定のグループから Azure DevOps または Azure AD グループが削除されます。

Q: ユーザーが複数のグループに存在する場合、最終的なアクセスレベルはどのように決定されますか。

A: グループ規則の種類は、サブスクライバー > Basic + Test Plans > Basic > 利害関係者という順序で順位付けされます。 ユーザーは、Visual Studio サブスクリプションを含むすべてのグループルール間で、常に最適なアクセスレベルを取得します。

次の例を参照して、サブスクライバーの検出がグループルールにどのように関連しているかを示します。

例 1: グループルールによってアクセス権が増える

Visual Studio Pro サブスクリプションを所有していて、Basic + Test Plans を与えるグループルールがある場合はどうなりますか。

期待される内容: グループルールによって自分のサブスクリプションよりも大きいため、Basic + Test Plans が表示されます。

例 2: グループルールによって同じアクセス権が与えられる

Visual Studio Test Pro サブスクリプションを所有していて、Basic + Test Plans を提供するグループルールを使用しています。どうなりますか。

予想されることは、Visual Studio Test Pro サブスクライバーとして検出されます。これは、アクセスがグループルールと同じであり、Visual Studio Test Pro に対して既に支払いを行っているためです。

プロジェクトへのメンバーの追加

Q: プロジェクトに他のメンバーを追加できないのはなぜですか。

A: お客様の組織は、Basic アクセス権を持つ最初の5人のユーザーに対して無料です。 追加料金なしで、関係者と Visual Studio サブスクライバーを無制限に追加できます。 Basic アクセスを使用する5人の無料ユーザーをすべて割り当てたら、利害関係者と Visual Studio サブスクライバーの追加を続行できます。

Basic アクセスを使用して6人以上のユーザーを追加するには、 Azure で課金を設定する必要があります。 その後、 基本的なアクセスを必要とするユーザーの数を増やし、組織に戻って、 これらのユーザーを追加し、基本アクセスを割り当てることができます。 課金が設定されている場合、追加のユーザーのアクセスに対して月額料金がかかります。 いつでも取り消すことができます。

さらに Visual Studio サブスクリプションが必要な場合は、 サブスクリプションを購入する方法に関するページを参照してください。

Q: 一部のユーザーがサインインできないのはなぜですか。

A: この問題は、組織が Azure Active Directory (Azure AD) を使用してアクセスを制御している場合を除き、ユーザーが Microsoft アカウントでサインインする必要があるために発生する可能性があります。 組織が Azure AD に接続されている場合、アクセス権を取得するには、ユーザーがディレクトリメンバーである必要があります。

Azure AD 管理者の場合は、ディレクトリにユーザーを追加できます。 Azure AD 管理者でない場合は、ディレクトリ管理者と協力して追加します。 Azure AD を使用した組織アクセスの制御について説明します。

Q: 一部のユーザーが特定の機能にアクセスできなくなったのはなぜですか。

A: アクセスの損失は、 さまざまな理由で発生する可能性があります。

Q: 操作方法組織からユーザーを削除しますか?

A: 組織内のすべてのプロジェクトで ユーザーを削除する方法に ついて説明します。 他のユーザーに対して支払いを行っても、組織へのアクセスが不要になった場合は、料金を避けるために有料ユーザーを減らす必要があります。

Q: Azure AD のグローバル管理者であるにもかかわらず、接続された Azure AD からメンバーを見つけることができないのはなぜですか。

A: Azure DevOps をバックアップする Azure AD インスタンスのゲストであると思います。 既定では Azure AD のゲストが Azure AD を検索することはできません。 このため、接続された Azure AD のユーザーが組織に追加されることはありません。

まず、Azure AD ゲストであるかどうかを確認します。

  1. 組織の [ 設定 ] セクションにアクセスします。 下の Azure Active Directory セクションを参照してください。 組織をバックアップするテナントをメモしておきます。

  2. 新しい Azure portal portal.azure.com にサインインします。 手順 1. で作成したテナントのユーザープロファイルを確認します。 次のように、 ユーザーの種類 の値を確認します。

    Azure portal でユーザーの種類を確認する

Azure AD ゲストの場合は、次のいずれかの手順を実行します。

  • Azure AD ゲストではなく、azure DevOps のユーザーを管理する別の Azure DevOps admin があること。 Azure DevOps 内のプロジェクトコレクション管理者グループのメンバーは、ユーザーを管理できます。
  • Azure AD の管理者に、接続された Azure AD からの削除を許可し、ユーザーを再追加してください。 管理者は、ゲストではなく Azure AD メンバーを作成する必要があります。 「 B2B ユーザーをゲストではなくメンバーとして追加 Azure AD ことはできますか?」を参照してください。
  • Azure AD PowerShell を使用して Azure AD ゲストの ユーザーの種類 を変更します。 次のプロセスを使用することはお勧めしませんが、それ以降は Azure DevOps からの Azure AD に対してクエリを実行することができます。
  1. Azure AD PowerShell モジュールをダウンロードしてインストールします。

    PS Install-Module -Name AzureAD
    
  2. PowerShell を開き、次のコマンドレットを実行します。

    a. Azure AD に接続します。

    PS Connect-AzureAD
    

    b. ユーザーの objectId を検索します。

    PS Get-AzureADuser -SearchString "YourUPN"
    

    c. このユーザーの usertype 属性をチェックして、ゲストまたはメンバーであるかどうかを確認します。

    PS Get-AzureADUser -objectId This is the result of the previous command
    

    d. Usertypeメンバー から guest に変更します。

    PS Set-AzureADUser -objectId <replacethe object ID for the result of the command to search> -UserType Member
    

Q: ユーザーハブでユーザーを追加または削除した後、Azure DevOps でユーザーがすぐに表示または非表示にならないのはなぜですか。

A: ユーザーを追加または削除した後に、新しいユーザーの検索に遅延が発生したり、削除されたユーザーが Azure DevOps (ドロップダウンリストやグループなど) からすぐに削除されるようになった場合は、調査可能なように 開発者コミュニティで問題レポートを 作成してください。

Q: "職場または学校のアカウント" と "個人のアカウント" のどちらかを選択する必要がありますか。

A: これは、 jamalhartnett@fabrikam.com 個人用 Microsoft アカウントと職場アカウントまたは学校アカウントによって共有されている電子メールアドレス (など) を使用してサインインした場合に発生します。 どちらの id も同じサインインアドレスを使用しますが、id は異なります。 2つの id には、異なるプロファイル、セキュリティ設定、およびアクセス許可があります。

  • この id を使用して組織を作成した場合、または以前にこの id でサインインした場合は、[ 職場または学校アカウント ] を選択します。 Id は、組織へのアクセスを制御する Azure AD 内の組織のディレクトリによって認証されます。

  • Azure DevOps で Microsoft アカウントを使用した場合は、[ 個人のアカウント ] を選択します。 Id は、Microsoft アカウントのグローバルディレクトリによって認証されます。

Q: [personal Microsoft アカウント] または [職場または学校アカウント] を選択した後にサインインできないのはなぜですか。

A: サインインアドレスが個人用 Microsoft アカウントと職場アカウントまたは学校アカウントによって共有されていても、選択した id にアクセス権がない場合、サインインすることはできません。 どちらの id も同じサインインアドレスを使用しますが、異なるプロファイル、セキュリティ設定、およびアクセス許可を持っています。

次の手順を完了して、Azure DevOps から完全にサインアウトします。 ブラウザーを閉じると、完全にサインアウトしない可能性があります。 もう一度サインインし、他の id を選択します。

  1. Azure DevOps を実行していないブラウザーも含め、すべてのブラウザーを閉じます。

  2. プライベートまたは incognito のブラウズセッションを開きます。

  3. 次の URL にアクセス https://aka.ms/vssignout します。

    "サインアウトが進行中です" というメッセージが表示されます。 サインアウトすると、Azure DevOps の web ページにリダイレクトさ @dev.azure.microsoft.com れます。

    ヒント

    サインアウトページのサインアウトに1分以上かかる場合は、ブラウザーを閉じて続行します。

  4. Azure DevOps にもう一度サインインします。 他の id を選択します。

Q: 操作方法 Azure DevOps のヘルプやサポートを受けることはできますか?

A: サポートには次のオプションがあります。