Acesso por meio de perguntas frequentes do Azure AD

Azure DevOps Services

Importante

Azure DevOps não dá mais suporte à autenticação de Credenciais Alternativas desde o início de 2 de março de 2020. Se você ainda estiver usando credenciais alternativas, recomendamos que você alterne para um método de autenticação mais seguro (por exemplo, tokens de acesso pessoal). Saiba mais.

Saiba as respostas às seguintes perguntas frequentes (perguntas frequentes) sobre o acesso à sua organização Azure DevOps por meio do Azure Active Directory (AD). As perguntas frequentes são agrupadas pelos seguintes assuntos:

Acesso geral com o Azure AD

Por que não vejo minha organização no portal do Azure?

Em ambos os aplicativos, você deve ter permissões de Administrador de Serviços do Azure ou Coadministrator para a assinatura do Azure vinculada à sua organização em Azure DevOps. Além disso, no portal do Azure, você deve ter permissões Project Administrador da Coleção ou proprietário da organização.

Fiz alterações no Azure Active Directory (Azure AD), mas elas não pareciam ter efeito, por quê?

As alterações feitas no Azure AD podem levar até 1 hora para ficarem visíveis no Azure DevOps.

Posso usar Microsoft 365 e o Azure AD com Azure DevOps?

Sim.

P: Por que eu tenho que escolher entre uma "conta corporativa ou de estudante" e minha "conta pessoal"?

R: Isso acontece quando você entra com um endereço de email (por exemplo, jamalhartnett@fabrikam.com) que é compartilhado por sua conta pessoal da Microsoft e por sua conta corporativa ou de estudante. Embora ambas as identidades usem o mesmo endereço de entrada, elas ainda são identidades separadas. As duas identidades têm perfis, configurações de segurança e permissões diferentes.

  • Selecione a conta corporativa ou de estudante se você usou essa identidade para criar sua organização ou se entrou anteriormente com essa identidade. Sua identidade é autenticada pelo diretório da sua organização no Azure AD, que controla o acesso à sua organização.

  • Selecione a conta pessoal se você usou sua conta microsoft com Azure DevOps. Sua identidade é autenticada pelo diretório global para contas da Microsoft.

Minha organização usa somente contas da Microsoft. Posso mudar para o Azure AD?

Sim, mas antes de alternar, verifique se o Azure AD atende às suas necessidades para compartilhar os seguintes itens:

  • itens de trabalho
  • code
  • recursos
  • outros ativos com sua equipe e parceiros

Saiba mais sobre como controlar o acesso com contas da Microsoft versus o Azure AD e como alternar quando estiver pronto.

P: Por que não posso entrar depois de selecionar "conta pessoal da Microsoft" ou "conta corporativa ou de estudante"?

R: Quando seu endereço de entrada é compartilhado por sua conta pessoal da Microsoft e por sua conta corporativa ou de estudante, mas sua identidade selecionada não tem acesso, você não pode entrar. Embora ambas as identidades usem o mesmo endereço de entrada, elas são separadas: elas têm perfis, configurações de segurança e permissões diferentes.

Saia completamente do Azure DevOps concluindo as etapas a seguir. Fechar seu navegador pode não sair completamente. Entre novamente e selecione sua outra identidade:

  1. Feche todos os navegadores, incluindo navegadores que não estão executando Azure DevOps.

  2. Abra uma sessão de navegação privada ou anônima.

  3. Vá para esta URL: https://aka.ms/vssignout.

    Você vê uma mensagem que diz: "Saia em andamento". Depois de sair, você será redirecionado para a página da Web Azure DevOps@dev.azure.microsoft.com.

    Dica

    Se a página de saída levar mais de um minuto para sair, feche o navegador e continue.

  4. Entre no Azure DevOps novamente. Selecione sua outra identidade.

O que acontece se minha assinatura do Azure estiver desabilitada?

Se você for o proprietário da organização ou administrador da conta de assinatura do Azure, verifique o status da assinatura no Centro de Contas e tente corrigir sua assinatura. Suas configurações pagas são restauradas. Ou você pode vincular sua organização a outra assinatura do Azure desvinculando sua organização da assinatura desabilitada. Enquanto sua assinatura estiver desabilitada, sua organização voltará aos limites mensais gratuitos até que sua assinatura seja corrigida.

Usuários e permissões do Azure AD

Se você não encontrar uma resposta para sua pergunta aqui, consulte perguntas frequentes sobre o gerenciamento de permissões e usuários.

Por que tenho que adicionar usuários a um diretório?

Sua organização autentica os usuários e controla o acesso por meio do Azure Active Directory (Azure AD). Todos os usuários devem ser membros do diretório para obter acesso.

Como administrador de diretório, você pode adicionar usuários ao diretório. Se você não for um administrador, trabalhe com o administrador do diretório para adicionar usuários. Saiba mais sobre como controlar o acesso a Azure DevOps Services usando um diretório.

Como fazer descobrir se minha organização usa o Azure AD para controlar o acesso?

Se você tiver pelo menos acesso Básico, veja como descobrir:

Acesse as configurações da organização e selecione a guia Azure Active Directory. Veja os exemplos a seguir de uma organização que não está conectada e, em seguida, uma organização conectada ao Azure AD.

Não conectado

Check for a connected directory in Organization settings = Not connected

Conectado

Check for a connected directory in Organization settings = Connected

Se sua organização estiver conectada ao diretório da sua organização, somente usuários do diretório da sua organização poderão ingressar em sua organização. Para obter mais informações, consulte Adicionar ou excluir usuários usando Azure Active Directory.

Minha organização controla o acesso usando Azure Active Directory. Posso simplesmente excluir usuários do diretório?

Sim, mas excluir um usuário do diretório remove o acesso do usuário a todas as organizações e outros ativos associados a esse diretório. Você deve ter permissões de administrador global do Azure AD para excluir um usuário do diretório do Azure AD.

Por que "nenhuma identidade é encontrada" quando tento adicionar usuários do Azure AD à minha organização Azure DevOps?

Você provavelmente é um convidado no Azure AD que apoia sua organização Azure DevOps, em vez de um membro. Por padrão, os convidados do Azure Active Directory não podem pesquisar o Azure Active Directory da maneira exigida pelo Azure DevOps. Saiba como converter um convidado do Azure AD em um membro.

Como posso converter um convidado do Azure AD em um membro?

Selecione entre as duas opções a seguir:

Converter o UserType do Azure AD de convidado para membro usando o Azure AD PowerShell

Aviso

Esse é um processo avançado e não é aconselhável, mas permite que o usuário consulte o Azure AD da organização Azure DevOps depois disso.

Pré-requisitos

O usuário que está fazendo a alteração userType deve ter os seguintes itens:

  • Um usuário da conta corporativa/de estudante (WSA)/nativo no Azure AD. Não é possível alterar o UserType com uma conta da Microsoft.
  • Administrador global permissões

Importante

Recomendamos que você crie um usuário novo (nativo) do Azure AD que seja um administrador global no Azure AD e conclua as etapas a seguir com esse usuário. Esse novo usuário deve eliminar a possibilidade de se conectar ao Azure AD errado. Você pode excluir o novo usuário quando terminar.

Processo

  1. Entre no portal do Azure como administrador global do diretório da sua organização.

  2. Vá para o locatário que apoia sua organização Azure DevOps.

  3. Verifique o UserType. Confirme se o usuário é um convidado.

    Check UserType in Azure portal

  4. Abra um prompt administrativo do Windows PowerShell.

  5. Execute Install-Module -Name AzureAD. O PowerShell do Azure Active Directory para Graph é baixado da Galeria do PowerShell. Você pode ver prompts sobre como instalar o NuGet e o repositório não confiável, retratados da seguinte maneira. Se você tiver problemas, examine os requisitos e informações do sistema na página do Azure Active Directory PowerShell para Graph .

    Administrator action in Windows PowerShell

  6. Depois que a instalação for concluída, execute Connect-AzureAD. Você será solicitado a entrar no Azure AD. Use uma ID que atenda aos critérios mencionados anteriormente.

  7. Execute Get-AzureADuser -SearchString "<display_name>", em <que display_name> faz parte de todo o nome de exibição do usuário, conforme visto no portal do Azure). O comando retorna quatro colunas para o usuário encontrado - ObjectId, DisplayName, UserPrincipalName, UserType - e o UserType deve dizer convidado.

  8. Execute Set-AzureADUser -ObjectID string -UserType Member, onde string está o valor de ObjectId retornado pelo comando anterior. O usuário está definido como status de membro.

  9. Execute Get-AzureADuser -SearchString "<display_name>" novamente para verificar se o UserType foi alterado. Você também pode verificar na seção do Azure Active Directory do portal do Azure. Embora não seja a norma, vimos que leva várias horas ou até dias até que essa alteração seja refletida dentro do Azure DevOps. Se ele não corrigir o problema do Azure DevOps imediatamente, dê-lhe algum tempo e continue tentando.

Grupos do Azure AD

Por que não posso atribuir permissões do Azure DevOps diretamente a um grupo do Azure AD?

Como esses grupos são criados e gerenciados no Azure, você não pode atribuir permissões do Azure DevOps diretamente ou proteger caminhos de controle de versão a esses grupos. Você receberá um erro se tentar atribuir permissões diretamente.

Você pode adicionar um grupo do Azure AD ao grupo do Azure DevOps que tem as permissões desejadas. Ou, em vez disso, você pode atribuir essas permissões ao grupo. Os membros do grupo do Azure AD herdam permissões do grupo em que você as adiciona.

Posso gerenciar grupos do Azure AD no Azure DevOps?

Não, porque esses grupos são criados e gerenciados no Azure. O Azure DevOps não armazena nem sincroniza o status de membro para grupos do Azure AD. Para gerenciar grupos do Azure AD, use o portal do Azure, o MIM (Microsoft Identity Manager) ou as ferramentas de gerenciamento de grupo que sua organização dá suporte.

Como faço para dizer a diferença entre um grupo do Azure DevOps e um grupo do Azure AD?

A interface do usuário do Azure DevOps indica o escopo de associação usando colchetes []. Por exemplo, considere esta página de configurações de permissões:

Permissions Settings with various scopes

Nome do escopo Definição
[fabrikam-fiber] A associação é definida nas Configurações da Organização
[Project Name] A associação é definida nas Configurações do Projeto
[TEAM FOUNDATION] A associação é definida diretamente no Azure AD

Observação

Se você adicionar um grupo do Azure AD a um grupo de segurança personalizado e usar um nome semelhante, poderá ver o que parece ser grupos duplicados. Examine o escopo [] para determinar qual é um Grupo de DevOps e que é um Grupo do Azure AD.

Por que os usuários não mostram todos os membros do grupo do Azure AD?

Esses usuários precisam entrar em sua organização antes de aparecerem em Usuários.

Como atribuir acesso da organização aos membros do grupo do Azure AD?

Quando esses membros do grupo entrarem em sua organização pela primeira vez, o Azure DevOps atribuirá automaticamente um nível de acesso a eles. Se tiverem assinaturas do Visual Studio, o Azure DevOps atribuirá o respectivo nível de acesso a elas. Caso contrário, o Azure DevOps atribui a eles o próximo nível de acesso "melhor disponível", nesta ordem: Básico, Stakeholder.

Se você não tiver níveis de acesso suficientes para todos os membros do grupo do Azure AD, os membros que se conectarem terão acesso ao Stakeholder.

Por que a guia Segurança não mostra todos os membros quando seleciono um grupo do Azure AD?

A guia Segurança mostra os membros do grupo do Azure AD somente depois que eles entram em sua organização e têm um nível de acesso atribuído a eles.

Para ver todos os membros do grupo do Azure AD, use o portal do Azure, o MIM ou as ferramentas de gerenciamento de grupo que sua organização dá suporte.

Por que o widget de membros da equipe não mostra todos os membros do grupo do Azure AD?

O widget de membros da equipe mostra apenas os usuários que entraram anteriormente em sua organização.

Por que o painel de capacidade da equipe não mostra todos os membros do grupo do Azure AD?

O painel de capacidade da equipe mostra apenas os usuários que entraram anteriormente em sua organização. Para definir a capacidade, adicione manualmente usuários à sua equipe.

Por que o Azure DevOps não recupera mais os níveis de acesso de usuários que não são membros do grupo do Azure AD?

O Azure DevOps não recupera automaticamente os níveis de acesso desses usuários. Para remover manualmente o acesso, acesse Usuários.

Posso atribuir itens de trabalho a membros do grupo do Azure AD que não entraram?

Você pode atribuir itens de trabalho a qualquer membro do Azure AD que tenha permissões para sua organização. Essa ação também adiciona esse membro à sua organização. Quando você adiciona usuários dessa forma, eles aparecem automaticamente como Usuários, com o melhor nível de acesso disponível. O usuário também aparece nas configurações de segurança.

Posso usar grupos do Azure AD para consultar itens de trabalho usando a cláusula "Em Grupo"?

Não há suporte para a consulta em grupos do Azure AD.

Posso usar grupos do Azure AD para configurar regras de campo em meus modelos de item de trabalho?

Não, mas você pode estar interessado em nossos planos de personalização de processo.

Adicionar usuários ao diretório

Adicione usuários da organização ao Azure Active Directory.

Por que recebi um erro informando que minha organização tem várias identidades ativas com o mesmo UPN?

Durante o processo de conexão, mapeamos usuários existentes para membros do locatário do Azure AD, com base em seu UPN, que geralmente é conhecido como endereço de entrada. Se detectarmos vários usuários com o mesmo UPN, não sabemos como mapear esses usuários. Esse cenário ocorrerá se um usuário alterar seu UPN para corresponder a um já existente na organização.

Posso alternar usuários atuais de contas da Microsoft para contas corporativas no Azure DevOps?

Não. Embora você possa adicionar novas contas de trabalho à sua organização, elas são tratadas como novos usuários. Se você quiser acessar todo o seu trabalho, incluindo seu histórico, deverá usar os mesmos endereços de entrada usados antes de sua organização ser conectada ao Azure AD. Adicione sua conta microsoft como membro ao Azure AD.

Por que não consigo adicionar usuários de outros diretórios ao meu Azure AD?

Você deve ser membro ou ter acesso de leitura nesses diretórios. Caso contrário, você pode adicioná-los usando a colaboração B2B por meio do administrador do Azure AD. Você também pode adicioná-las usando suas contas da Microsoft ou criando novas contas de trabalho para elas em seu diretório.

E se eu receber um erro ao tentar mapear um usuário para um membro existente da minha organização?

Você pode mapear o usuário para uma identidade diferente que ainda não seja um membro ativo da organização ou adicionar o usuário existente ao Azure AD. Se você ainda precisar mapear para o membro existente da organização do Azure DevOps, entre em contato com o suporte.

Como usar minha conta corporativa ou de estudante com minha assinatura do Visual Studio com MSDN?

Se você usou uma conta da Microsoft para ativar um Visual Studio com assinatura MSDN que contém o Azure DevOps como um benefício, você pode adicionar uma conta corporativa ou de estudante. A conta deve ser gerenciada pelo Azure AD. Saiba como vincular contas corporativas ou de estudante ao Visual Studio com assinaturas do MSDN.

Posso controlar o acesso à minha organização para usuários externos no diretório conectado?

Sim, mas somente para usuários externos que são adicionados como convidados por meio do Microsoft 365 ou adicionados usando a colaboração B2B pelo administrador do Azure AD. Esses usuários externos são gerenciados fora do diretório conectado. Para saber mais, entre em contato com o administrador do Azure AD. A configuração a seguir não afeta os usuários que são adicionados diretamente ao diretório da sua organização.

Antes de começar, verifique se você tem pelo menos acesso básico, não Stakeholder.

Conclua os pré-requisitos para adicionar usuários externos, ativando o acesso de convidado externo.

Remover usuários ou grupos

Como fazer remover um grupo do Azure AD do Azure DevOps?

Vá para sua coleção de projetos ou projeto. Na barra superior, selecione Configurações e selecione Segurança.

Localize o grupo do Azure AD e exclua-o da sua organização.

Screenshot of project, with Delete option highlighted

Por que me pediram para remover um usuário de um grupo do Azure AD quando excluo esse usuário da minha organização?

Os usuários podem pertencer à sua organização, tanto como indivíduos quanto como membros de grupos do Azure AD em grupos de Azure DevOps. Esses usuários ainda podem acessar sua organização enquanto são membros desses grupos do Azure AD.

Para bloquear todo o acesso dos usuários, remova-os dos grupos do Azure AD em sua organização ou remova esses grupos da sua organização. Atualmente, não podemos bloquear o acesso completamente ou criar exceções para esses usuários.

Se um usuário do Azure AD for removido, todos os PATs relacionados também serão revogados?

Os usuários que estão desabilitados ou removidos do seu diretório não podem mais acessar sua organização por nenhum mecanismo, incluindo por meio de PATs ou SSH.

Conexão para, desconectar ou alterar a conexão do Azure AD

Como posso gerenciar várias organizações que têm o suporte do Azure AD?

Você pode baixar uma lista completa de organizações apoiadas por um locatário Azure Active Directory. Para obter mais informações, consulte Obter uma lista de organizações com o apoio do Azure AD.

Posso conectar minha organização a um Azure AD criado a partir de Microsoft 365?

Sim. Se você não conseguir encontrar seu Azure AD criado a partir de Microsoft 365, consulte Por que não vejo o diretório que quero conectar?.

Por que não vejo o diretório ao qual quero me conectar? O que devo fazer?

Talvez você não veja o diretório para nenhuma das seguintes circunstâncias:

  • Você não é reconhecido como o proprietário da Organização para gerenciar conexões de diretório.

  • Fale com o administrador da organização do Azure AD e peça que ele faça de você um membro da organização. É possível que você não faça parte da organização.

Por que minha organização já está conectada a um diretório? Posso alterar esse diretório?

Sua organização estava conectada a um diretório quando o proprietário da organização criou a organização ou algum tempo depois. Quando você cria uma organização com uma conta corporativa ou de estudante, sua organização é conectada automaticamente ao diretório que gerencia essa conta corporativa ou de estudante. Sim, você pode alternar diretórios. Talvez seja necessário migrar alguns usuários.

Posso mudar para um diretório diferente?

Sim. Para obter mais informações, consulte Alternar para outro Azure AD.

Importante

Os usuários e grupos que herdam a associação e as permissões de um grupo do Azure AD não herdarão mais essas permissões após a transferência. Os grupos do Azure AD adicionados à sua organização Azure DevOps não são transferidos e deixarão de existir em sua organização quando a conexão do Azure AD for alterada. Todas as permissões e relações de associação feitas com esses grupos do Azure AD também deixarão de existir após a transferência. Além disso, observe que as regras de grupo habilitadas em grupos do Azure AD deixarão de existir quando a conexão do Azure AD for alterada.

Minhas credenciais alternativas não funcionam mais. O que devo fazer?

Azure DevOps não dá mais suporte à autenticação de Credenciais Alternativas desde o início de 2 de março de 2020. Se você ainda estiver usando credenciais alternativas, recomendamos que você alterne para um método de autenticação mais seguro (por exemplo, tokens de acesso pessoal ou SSH). Saiba mais.

Alguns usuários estão desconectados, mas têm identidades correspondentes no Azure AD. O que devo fazer?

  • Nas configurações da organização Azure DevOps, selecione Azure Active Directory e selecione Resolver.

    Select Azure AD and then Resolve

  • Corresponda às identidades. Selecione Avançar quando terminar.

    Resolve disconnected users

Recebi uma mensagem de erro quando estava resolvendo desconexões. O que devo fazer?

  • Tente novamente.

  • Você pode ser um convidado no Azure AD. Solicite que um administrador da organização, que é membro do Azure AD, faça o mapeamento. Ou solicite que um administrador do Azure AD converta você em um membro.

    Screenshot showing an error when when resolving disconnected users.

  • Se a mensagem de erro incluir um usuário em seu domínio, mas você não vê-lo ativo em seu diretório, o usuário provavelmente deixou sua empresa. Vá para as configurações do usuário da organização para remover o usuário da sua organização.

Quando eu estava tentando convidar um novo usuário para o meu Azure AD, recebi uma exceção 403. O que devo fazer?

Você pode ser um convidado no Azure AD e não tem a permissão certa para convidar usuários. Acesse as configurações de colaboração externa no Azure AD e mova a alternância "Convidados podem convidar" para Sim. Atualize o Azure AD e tente novamente.

Meus usuários manterão suas assinaturas de Visual Studio existentes?

Visual Studio administradores de assinatura normalmente atribuem assinaturas aos endereços de email corporativos dos usuários, para que os usuários possam receber emails e notificações de boas-vindas. Se os endereços de email de identidade e assinatura corresponderem, os usuários poderão acessar os benefícios da assinatura. À medida que você faz a transição da Microsoft para as identidades do Azure AD, os benefícios dos usuários ainda funcionam com sua nova identidade do Azure AD. Porém, os endereços de email devem corresponder. Se os endereços de email não corresponderem, o administrador da assinatura deverá reatribuir a assinatura. Caso contrário, os usuários deverão adicionar uma identidade alternativa à assinatura Visual Studio.

E se eu for obrigado a entrar quando eu usar o seletor de pessoas?

Limpe o cache do navegador e exclua os cookies da sessão. Feche seu navegador e reabra.

E se minha conta de email não for encontrada no Azure AD?

  • Nas configurações da organização Azure DevOps, selecione Azure Active Directory e selecione Resolver.

    Select Azure AD and then Resolve

  • Corresponda às identidades. Selecione Avançar quando terminar.

    Resolve disconnected users

E se meus itens de trabalho estiverem indicando que os usuários não são válidos?

Limpe o cache do navegador e exclua os cookies da sessão. Feche seu navegador e reabra.

Depois que minha organização estiver conectada ao Azure AD, ela atualizará Azure Boards itens de trabalho, solicitações de pull e outras partes em que sou referenciado no sistema com minha nova ID?

Sim, todas as partes do sistema são atualizadas com a nova ID quando a ID de um usuário é mapeada de seu email pessoal para seu email de trabalho.

E se eu receber um aviso sobre os membros que perderão o acesso à organização?

Você ainda pode se conectar ao Azure AD, mas tente resolver o problema de mapeamento depois de se conectar. Se você ainda precisar de ajuda, entre em contato com o suporte.

Screenshot showing Azure AD connection warning.

Selecione o texto em negrito para ver quais usuários são afetados.

Show disconnected users

E se eu tiver mais de 100 usuários e quiser me conectar ao Azure AD?

Com mais de 100 usuários, você ainda pode se conectar, no entanto, talvez seja necessário entrar em contato com o Suporte para obter ajuda com usuários desconectados.

Com mais de 100 membros na minha organização Azure DevOps, como posso me conectar a um Azure AD?

Atualmente, você ainda pode se conectar, mas os recursos de mapeamento e convite que ajudam a resolver usuários desconectados após a conexão não funcionarão além de 100. Entre em contato com o Suporte.

Por que git.exe/Visual Studio falha ao autenticar depois de vincular/desvincular de Azure Active Directory?

O cache de locatário deve ser limpo se você estiver usando uma versão do GCM antes da v1.15.0. Limpar o cache de locatário é tão fácil quanto excluir o %LocalAppData%\GitCredentialManager\tenant.cache arquivo em cada computador que retorna um erro de entrada. O GCM recria e preenche automaticamente o arquivo de cache, conforme necessário, em tentativas de entrada subsequentes.

P: Como fazer obter ajuda ou suporte para Azure DevOps?

R: Você tem as seguintes opções de suporte: