Dodawanie grup zabezpieczeń i zarządzanie nimi

  • Artykuł

Azure DevOps Services

Grupy zabezpieczeń służą do zarządzania uprawnieniami i dostępem zgodnie z opisem w temacie Rozpoczynanie pracy z uprawnieniami, dostępem i grupami zabezpieczeń. Na przykład członkowie grupy Współautorzy lub Grupa Administracja istratorów projektu mają przypisane uprawnienia, które są dozwolone dla tych grup.

Usługa Azure DevOps jest wstępnie skonfigurowana z domyślnymi grupami zabezpieczeń. Grupy zabezpieczeń dla organizacji lub projektu można dodawać i zarządzać nimi za pomocą poleceń az devops security group . Użyj tego polecenia, aby wykonać następujące zadania.

  • Tworzenie nowej grupy zabezpieczeń
  • Wyświetlanie grup zabezpieczeń i szczegółów grupy zabezpieczeń
  • Aktualizowanie lub usuwanie grupy zabezpieczeń
  • Zarządzanie członkostwem w grupach zabezpieczeń dla grup i użytkowników

Uwaga

Ten artykuł dotyczy tylko usług Azure DevOps Services. W przypadku usługi Azure DevOps Server można zarządzać grupami zabezpieczeń przy użyciu polecenia TFSSecurity.

Wymagania wstępne

  • Aby dodać grupy zabezpieczeń i zarządzać nimi, musisz być członkiem grupy zabezpieczeń Kolekcja projektów Administracja istrators.
  • Musisz mieć zainstalowane rozszerzenie interfejsu wiersza polecenia usługi Azure DevOps zgodnie z opisem w temacie Rozpoczynanie pracy z interfejsem wiersza polecenia usługi Azure DevOps.
  • Zaloguj się do usługi Azure DevOps przy użyciu polecenia az login.
  • W przykładach w tym artykule ustaw domyślną organizację w następujący sposób: az devops configure --defaults organization=YourOrganizationURL.

Polecenia grupy zabezpieczeń

Polecenie opis
az devops security group create Utwórz grupę zabezpieczeń usługi Azure DevOps.
az devops security group delete Usuń grupę zabezpieczeń usługi Azure DevOps.
az devops security group list Wyświetl listę wszystkich grup w projekcie lub organizacji.
az devops security group show Pokaż szczegóły grupy.
az devops security group update Zaktualizuj nazwę i opis grupy zabezpieczeń.
az devops security group membership add Dodaj członka do grupy zabezpieczeń.
az devops security group membership list Wyświetl listę członkostw dla grupy lub użytkownika.
az devops security group membership remove Usuń członka z grupy zabezpieczeń.

Następujące parametry są opcjonalne dla wszystkich poleceń, a nie wymienione w przykładach podanych w tym artykule.

  • wykryj: Automatycznie wykrywaj organizację. Zaakceptowane wartości: false, true. Ustawieniem domyślnym jest true.
  • org: Adres URL organizacji usługi Azure DevOps. Domyślną organizację można skonfigurować przy użyciu polecenia az devops configure -d organization=ORG_URL. Wymagane, jeśli ustawienie nie jest skonfigurowane jako domyślne lub odebrane za pośrednictwem konfiguracji usługi Git. Przykład: --org https://dev.azure.com/MyOrganizationName/.

Tworzenie grupy zabezpieczeń

Grupę zabezpieczeń można utworzyć za pomocą polecenia az devops security group create .

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parametry opcjonalne

  • opis: Opis nowej grupy zabezpieczeń.
  • email-id: utwórz nową grupę przy użyciu adresu e-mail jako odwołania do istniejącej grupy od dostawcy wspieranego przez firmę Microsoft Entra. Wymagane, jeśli brakuje nazwy lub identyfikatora źródła.
  • groups: rozdzielona przecinkami lista deskryptorów odwołujące się do grup, do których ma zostać dołączona nowo utworzona grupa.
  • name: nazwa nowej grupy zabezpieczeń. Wymagane, jeśli brakuje identyfikatora źródła lub adresu e-mail .
  • origin-id: utwórz nową grupę przy użyciu identyfikatora OriginID jako odwołania do istniejącej grupy od dostawcy wspieranego przez firmę Microsoft Entra. Wymagane, jeśli brakuje nazwy lub identyfikatora e-mail.
  • project: nazwa lub identyfikator projektu, w którym ma zostać utworzona grupa.
  • zakres: Utwórz grupę na poziomie projektu lub organizacji. Akceptowane wartości to organizacja i projekt (wartość domyślna).

Przykład

Następujące polecenie tworzy grupę zabezpieczeń Zarządzanie kontami w projekcie MyFirstProject i pokazuje wynik w formacie tabeli.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Usuwanie grupy zabezpieczeń

Grupę zabezpieczeń można usunąć za pomocą polecenia az devops security group delete .

az devops security group delete --id
                                [--yes]

Parametry

Przykład

Następujące polecenie usuwa grupę zabezpieczeń z określonym deskryptorem i nie wyświetla monitu o potwierdzenie.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Wyświetlanie listy grup zabezpieczeń

Możesz wyświetlić listę wszystkich grup zabezpieczeń w projekcie lub organizacji za pomocą polecenia az devops security group list .

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parametry opcjonalne

  • token-kontynuacji: jeśli na jednej stronie nie można zwrócić większej liczby wyników, zestaw wyników będzie zawierać token kontynuacji do pobierania następnego zestawu wyników.
  • project: Wyświetlanie listy grup dla określonego projektu.
  • zakres: Wyświetl listę grup na poziomie projektu lub organizacji. Akceptowane wartości to organizacja i projekt (wartość domyślna).
  • subject-types: rozdzielona przecinkami lista podtypów podmiotów użytkownika w celu zmniejszenia pobranych wyników. Możesz nadać początkową część deskryptora (przed kropką) jako filtr, na przykład vssgp, aadgp.

Przykład

Poniższe polecenie wyświetla nazwę i deskryptor dla wszystkich grup zabezpieczeń w programie MyFirstProject i pokazuje wyniki w formacie tabeli.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Pokaż szczegóły grupy zabezpieczeń

Szczegóły grupy zabezpieczeń można wyświetlić za pomocą polecenia az devops security group show .

az devops security group show --id

Parametry

  • id: wymagane. Deskryptor grupy zabezpieczeń.

Przykład

Poniższe polecenie zawiera szczegóły grupy zabezpieczeń Project Valid Users w formacie tabeli.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Aktualizowanie grupy zabezpieczeń

Nazwę i opis grupy zabezpieczeń można zaktualizować za pomocą polecenia az devops security group update .

az devops security group update --id
                                [--description]
                                [--name]

Parametry

  • id: wymagane. Deskryptor grupy zabezpieczeń.
  • opis: Opcjonalnie. Nowy opis grupy zabezpieczeń. Wymagane, jeśli brakuje nazwy .
  • name: Opcjonalnie. Nowa nazwa grupy zabezpieczeń. Wymagane, jeśli brakuje opisu .

Przykład

Następujące polecenie zmienia nazwę grupy zabezpieczeń za pomocą określonego deskryptora i pokazuje wynik w formacie YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Dodawanie członka do grupy

Możesz dodać członka do grupy zabezpieczeń za pomocą polecenia az devops security group add .

az devops security group membership add --group-id
                                        --member-id

Parametry

  • group-id: wymagane. Deskryptor grupy, do której ma zostać dodany element członkowski.
  • member-id: wymagane. Deskryptor grupy lub adresu e-mail użytkownika do dodania.

Przykład

Następujące polecenie dodaje użytkownika contoso@contoso.com do określonej grupy zabezpieczeń i pokazuje wyniki w formacie tabeli.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Wyświetlanie listy członkostw dla grupy lub użytkownika

Możesz wyświetlić listę członkostw dla grupy lub użytkownika za pomocą polecenia az devops security group membership list .

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parametry

  • id: wymagane. Deskryptor grupy zabezpieczeń lub adres e-mail użytkownika, którego szczegóły członkostwa są wymagane.
  • relacja: opcjonalnie. Uzyskaj informacje o członkach lub członkach grupy. Zaakceptowane wartości to element członkowski i elementy członkowskie.

Przykłady

Poniższe polecenie wyświetla listę elementów członkowskich określonej grupy zabezpieczeń i pokazuje wyniki w formacie tabeli.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Oto kolejny przykład, który zawiera listę członków zespołu EMail dla projektu Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Usuwanie członka z grupy

Możesz usunąć członka z grupy zabezpieczeń za pomocą polecenia az devops security group remove .

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parametry

  • group-id: wymagane. Deskryptor grupy, z której należy usunąć element członkowski.
  • member-id: wymagane. Deskryptor grupy lub adresu e-mail użytkownika do usunięcia.
  • Tak: opcjonalne. Nie monituj o potwierdzenie.

Przykład

Następujące polecenie usuwa użytkownika contoso@contoso.com z określonej grupy zabezpieczeń bez monitowania o potwierdzenie.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes