Perguntas frequentes sobre o acesso via Microsoft Entra

Em ambos os aplicativos, você deve ter permissões de Administrador de Serviço ou Coadministrador do Azure para a assinatura do Azure vinculada à sua organização no Azure DevOps. Além disso, no portal do Azure, você deve ter permissões de Administrador de Coleção de Projetos ou proprietário da organização.

Verifique se você atende aos pré-requisitos no artigo a seguir, Conectar sua organização ao Microsoft Entra ID.

As alterações feitas na ID do Microsoft Entra podem levar até 1 hora para ficarem visíveis no Azure DevOps.

Sim.

• Ainda não tem uma organização? Crie uma organização no Azure DevOps.
• Já tem uma organização? Conecte sua organização ao Microsoft Entra ID.

P: Por que tenho que escolher entre uma "conta corporativa ou de estudante" e minha "conta pessoal"?

R: Isso acontece quando você entra com um endereço de email (por exemplo, jamalhartnett@fabrikam.com) que é compartilhado por sua conta pessoal da Microsoft e por sua conta corporativa ou de estudante. Embora ambas as identidades usem o mesmo endereço de entrada, elas ainda são identidades separadas. As duas identidades têm perfis diferentes, configurações de segurança e permissões.

• Selecione Conta corporativa ou de estudante se você usou essa identidade para criar sua organização ou se você entrou anteriormente com essa identidade. Sua identidade é autenticada pelo diretório da sua organização no Microsoft Entra ID, que controla o acesso à sua organização.

• Selecione Conta pessoal se você usou sua conta Microsoft com o Azure DevOps. Sua identidade é autenticada pelo diretório global para contas da Microsoft.

Sim, mas antes de alternar, verifique se a ID do Microsoft Entra atende às suas necessidades de compartilhamento dos seguintes itens:

• itens de trabalho
• code
• recursos
• outros ativos com sua equipe e parceiros

Saiba mais sobre como controlar o acesso com contas da Microsoft versus o Microsoft Entra ID e como alternar quando estiver pronto.

P: Por que não consigo entrar depois de selecionar "conta Microsoft pessoal" ou "conta corporativa ou de estudante"?

R: Quando seu endereço de entrada é compartilhado por sua conta Pessoal da Microsoft e por sua conta corporativa ou de estudante, mas sua identidade selecionada não tem acesso, você não pode entrar. Embora ambas as identidades usem o mesmo endereço de entrada, elas são separadas: elas têm perfis, configurações de segurança e permissões diferentes.

Saia completamente do Azure DevOps concluindo as etapas a seguir. Fechar o navegador pode não desconte-lo completamente. Entre novamente e selecione sua outra identidade:

1. Feche todos os navegadores, incluindo navegadores que não estão executando o Azure DevOps.

2. Abra uma sessão de navegação privada ou anônima.

3. Acesse esta URL: https://aka.ms/vssignout.

   Você verá uma mensagem dizendo: "Saia em andamento". Depois de sair, você será redirecionado para a página da Web do Azure DevOps @dev.azure.microsoft.com .

   Dica

   Se a página de saída levar mais de um minuto para sair, feche o navegador e continue.

4. Entre no Azure DevOps novamente. Selecione sua outra identidade.

Se você for o proprietário da organização ou o Administrador da Conta da assinatura do Azure, verifique o status da assinatura no Centro de Contas e tente corrigir sua assinatura. Suas configurações pagas são restauradas. Ou você pode vincular sua organização a outra assinatura do Azure desvinculando sua organização da assinatura desabilitada. Enquanto sua assinatura estiver desabilitada, sua organização voltará aos limites mensais gratuitos até que sua assinatura seja corrigida.

Usuários e permissões do Microsoft Entra

Se você não encontrar uma resposta para sua pergunta aqui, consulte Perguntas frequentes sobre gerenciamento de usuários e permissões.

Sua organização autentica usuários e controla o acesso por meio do Microsoft Entra ID. Todos os usuários devem ser membros do diretório para obter acesso.

Como administrador de diretório, você pode adicionar usuários ao diretório. Se você não for um administrador, trabalhe com o administrador do diretório para adicionar usuários. Saiba mais sobre como controlar o acesso a Azure DevOps Services usando um diretório.

Seu trabalho nos Serviços de DevOps do Azure está associado às suas credenciais para o Microsoft Entra ID. Depois que sua organização estiver conectada ao diretório, os usuários continuarão trabalhando perfeitamente se seus endereços de credencial aparecerem no diretório conectado. Se os endereços dos usuários não aparecerem, você deverá adicionar esses usuários ao diretório. Sua organização pode ter políticas sobre como adicionar usuários ao diretório, portanto, saiba mais primeiro.

Se você tiver pelo menos acesso Básico, vá para as configurações da Organização e selecione a guia ID do Microsoft Entra. Você pode conectar diretório ou desconectar diretório.

Sim, mas excluir um usuário do diretório remove o acesso do usuário a todas as organizações e outros ativos associados a esse diretório. Você deve ter permissões de Administrador Global do Microsoft Entra para excluir um usuário do diretório do Microsoft Entra.

Você provavelmente é um convidado na ID do Microsoft Entra que apoia sua organização de DevOps do Azure, em vez de um membro. Os convidados do Microsoft Entra não podem pesquisar o Microsoft Entra ID da maneira exigida pelo Azure DevOps. Por exemplo, os convidados do Microsoft Entra não podem usar o portal da Web do Azure DevOps para pesquisar ou selecionar usuários que ainda não foram adicionados à organização do Azure DevOps. Saiba como converter convidados do Microsoft Entra em membros.

Adicione esses usuários ao diretório com novas contas corporativas ou de estudante, reatribua os níveis de acesso e os leia para todos os projetos. Se eles tiverem contas corporativas ou de estudante existentes, essas contas poderão ser usadas. O trabalho não é perdido e permanece com seus endereços de entrada atuais. Os usuários podem migrar o trabalho que desejam manter, exceto pelo histórico de trabalho. Para obter mais informações, confira como adicionar usuários da organização.

Restaure o usuário, em vez de criar um novo. Se você criar um novo usuário, mesmo com o mesmo endereço de email, esse usuário não estará associado à identidade anterior.

Selecione uma das duas opções a seguir:

• Peça a um administrador do Microsoft Entra que remova sua conta do diretório e a adicione novamente, tornando-o um membro, em vez de um convidado. Para obter mais informações, consulte Os usuários do Microsoft Entra B2B podem ser adicionados como membros em vez de convidados?.
• Altere o UserType do convidado do Microsoft Entra usando o Microsoft Graph PowerShell. Não aconselhamos o uso desse processo avançado, mas ele permite que o usuário consulte a ID do Microsoft Entra da organização de DevOps do Azure.

Converter o UserType de convidado em membro usando o Microsoft Graph PowerShell

Pré-requisitos

O usuário que está fazendo a alteração userType deve ter os seguintes itens:

• Uma conta corporativa/de estudante (WSA)/usuário nativo no Microsoft Entra ID. Não é possível alterar o UserType com uma conta da Microsoft.
• permissões de Administrador global

Processo

1. Entre no portal do Azure como administrador global do diretório da sua organização.
2. Vá para o locatário que apoia sua organização do Azure DevOps.
3. Abra um prompt administrativo do Windows PowerShell para usar o Microsoft Graph PowerShell.
4. Execute Install-Module -Name Microsoft.Graph -Scope CurrentUser. O Microsoft Graph é baixado da Galeria do PowerShell.
5. Depois que a instalação for concluída, execute Connect-MgGraph -Scopes "User.ReadWrite.All". Você será solicitado a entrar na ID do Microsoft Entra. Certifique-se de usar uma ID que atenda aos critérios mencionados anteriormente e consinta com as permissões.
6. Execute Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType, onde <display_name> é o nome de exibição do usuário, conforme visto dentro do portal do Azure. Queremos alterar o userType para Member.
7. Execute Update-MgUser -UserId string -UserType Member, onde string é o valor de Id retornado pelo comando anterior. O usuário está definido como status de membro.
8. Execute Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType novamente para verificar se o UserType foi alterado. Você também pode verificar na seção ID do Microsoft Entra do portal do Azure.

Embora não seja a norma, vimos que leva várias horas ou até mesmo dias antes que essa alteração seja refletida dentro do Azure DevOps. Se ele não corrigir o problema do Azure DevOps imediatamente, dê a ele algum tempo e continue tentando.

Como esses grupos são criados e gerenciados no Azure, você não pode atribuir permissões do Azure DevOps diretamente ou proteger caminhos de controle de versão a esses grupos. Você receberá um erro se tentar atribuir permissões diretamente.

Você pode adicionar um grupo do Microsoft Entra ao grupo de DevOps do Azure que tem as permissões desejadas. Ou, em vez disso, você pode atribuir essas permissões ao grupo. Os membros do grupo Microsoft Entra herdam permissões do grupo onde você os adiciona.

Não, porque esses grupos são criados e gerenciados no Azure. O Azure DevOps não armazena nem sincroniza o status de membros para grupos do Microsoft Entra. Para gerenciar grupos do Microsoft Entra, use o portal do Azure, o Microsoft Identity Manager (MIM) ou as ferramentas de gerenciamento de grupo que sua organização suporta.

A interface do usuário do Azure DevOps indica o escopo da associação usando colchetes []. Por exemplo, considere esta página de configurações de permissões:

Esses usuários precisam entrar em sua organização antes de aparecerem em Usuários.

Quando esses membros do grupo se conectarem à sua organização pela primeira vez, o Azure DevOps atribuirá um nível de acesso a eles automaticamente. Se eles tiverem assinaturas do Visual Studio, o Azure DevOps atribuirá o respectivo nível de acesso a elas. Caso contrário, o Azure DevOps atribuirá a eles o próximo nível de acesso "melhor disponível", nesta ordem: Básico, Stakeholder.

Se você não tiver níveis de acesso suficientes para todos os membros do grupo Microsoft Entra, os membros que entrarem receberão um acesso de Interessado.

Exigir acesso just-in-time usando um grupo do Microsoft Entra Privileged Identity Management (PIM). Para obter mais informações, consulte Acesso just-in-time para grupos de administradores.

A guia Segurança mostra os membros do grupo Microsoft Entra somente depois que eles entrarem em sua organização e tiverem um nível de acesso atribuído a eles.

Para ver todos os membros do grupo Microsoft Entra, use o portal do Azure, o MIM ou as ferramentas de gerenciamento de grupo que sua organização suporta.

O widget de membros da equipe mostra apenas os usuários que entraram anteriormente em sua organização.

O painel de capacidade da equipe mostra apenas os usuários que entraram anteriormente em sua organização. Para definir a capacidade, adicione manualmente usuários à sua equipe.

O Azure DevOps não recupera automaticamente os níveis de acesso desses usuários. Para remover manualmente o acesso, acesse Usuários.

Você pode atribuir itens de trabalho a qualquer membro do Microsoft Entra que tenha permissões para sua organização. Essa ação também adiciona esse membro à sua organização. Quando você adiciona usuários dessa forma, eles aparecem automaticamente como Usuários, com o melhor nível de acesso disponível. O usuário também aparece nas configurações de segurança.

Não, não oferecemos suporte à consulta em grupos do Microsoft Entra.

Não, mas você pode estar interessado em nossos planos de personalização de processo.

Adicionar usuários ao diretório

Adicione usuários da organização à sua ID do Microsoft Entra.

Durante o processo de conexão, mapeamos os usuários existentes para membros do locatário do Microsoft Entra, com base em seu UPN, que geralmente é conhecido como endereço de entrada. Se detectarmos vários usuários com o mesmo UPN, não sabemos como mapear esses usuários. Esse cenário ocorre se um usuário altera seu UPN para corresponder a um já existente na organização.

Se você encontrar esse erro, revise sua lista de usuários para obter informações sobre duplicatas. Se você encontrar duplicatas, remova os usuários que não precisa. Se você não conseguir encontrar duplicatas, entre em contato com o suporte.

Não. Embora você possa adicionar novas contas corporativas à sua organização, elas são tratadas como novos usuários. Se você quiser acessar todo o seu trabalho, incluindo seu histórico, deverá usar os mesmos endereços de entrada que usou antes de sua organização ser conectada à sua ID do Microsoft Entra. Adicione sua conta da Microsoft como membro à sua ID do Microsoft Entra.

Você deve ser membro ou ter acesso de leitura nesses diretórios. Caso contrário, você pode adicioná-los usando a colaboração B2B por meio do administrador do Microsoft Entra. Você também pode adicioná-las usando suas contas microsoft ou criando novas contas de trabalho para elas em seu diretório.

Você pode mapear o usuário para uma identidade diferente que ainda não seja um membro ativo da organização ou adicionar o usuário existente à sua ID do Microsoft Entra. Se você ainda precisar mapear para o membro existente da organização do Azure DevOps, entre em contato com o suporte.

Se você usou uma conta da Microsoft para ativar um Visual Studio com assinatura msdn contendo o Azure DevOps como um benefício, você pode adicionar uma conta corporativa ou de estudante. O Microsoft Entra ID deve gerenciar a conta. Saiba como vincular contas corporativas ou de estudante ao Visual Studio com assinaturas do MSDN.

Sim, mas apenas para usuários externos que são adicionados como convidados por meio do Microsoft 365 ou adicionados usando a colaboração B2B pelo administrador do Microsoft Entra. Esses usuários externos são gerenciados fora do diretório conectado. Para saber mais, entre em contato com o administrador do Microsoft Entra. A configuração a seguir não afeta os usuários que são adicionados diretamente ao diretório da sua organização.

Antes de começar, verifique se você tem pelo menos acesso Básico, não Stakeholder.

Conclua os pré-requisitos para adicionar usuários externos, ativando o acesso de convidado externo.

Acesse a coleção ou o projeto do projeto. Na barra superior, selecione Configurações e, em seguida, selecione Segurança.

Localize o grupo Microsoft Entra e exclua-o da sua organização.

Os usuários podem pertencer à sua organização, como indivíduos e como membros de grupos do Microsoft Entra em grupos de DevOps do Azure. Esses usuários ainda podem acessar sua organização enquanto são membros desses grupos do Microsoft Entra.

Para bloquear todo o acesso dos usuários, remova-os dos grupos do Microsoft Entra em sua organização ou remova esses grupos de sua organização. No momento, não podemos bloquear completamente o acesso ou criar exceções para esses usuários.

Os usuários que estão desabilitados ou removidos do diretório não podem mais acessar sua organização por qualquer mecanismo, incluindo por meio de PATs ou SSH.

Conectar-se, desconectar-se ou alterar a conexão do Microsoft Entra

• Conectar sua organização ao Microsoft Entra ID
• Desconectar sua organização do diretório
• Alterar o diretório conectado ao Azure DevOps
• Obter uma lista de organizações apoiadas pelo Microsoft Entra ID
• Restringir a criação da organização com a política de locatário

Você pode baixar uma lista completa de organizações apoiadas por um locatário do Microsoft Entra. Para obter mais informações, consulte Obter uma lista de organizações com suporte do Microsoft Entra ID.

Sim. Se você não conseguir encontrar sua ID do Microsoft Entra criada a partir do Microsoft 365, consulte Por que não vejo o diretório que desejo conectar?.

Talvez você não veja o diretório para nenhuma das seguintes circunstâncias:

• Você não é reconhecido como o Proprietário da organização para gerenciar conexões de diretório.

• Fale com o administrador da organização do Microsoft Entra e peça-lhes que o tornem membro da organização. É possível que você não faça parte da organização.

Sua organização estava conectada a um diretório quando o proprietário da organização criou a organização ou algum tempo depois. Quando você cria uma organização com uma conta corporativa ou de estudante, sua organização é conectada automaticamente ao diretório que gerencia essa conta corporativa ou de estudante. Sim, você pode alternar diretórios. Talvez seja necessário migrar alguns usuários.

Sim. Para obter mais informações, consulte Alternar para outra ID do Microsoft Entra.

Quando você alterna de um locatário do Microsoft Entra para outro, a identidade subjacente também muda e quaisquer tokens PAT ou chaves SSH que o usuário tinha com sua identidade antiga param de funcionar. Quaisquer chaves SSH ativas carregadas na organização não são excluídas como parte do processo de troca de locatário, o que pode impedir o usuário de carregar novas chaves após a mudança. Recomendamos que os usuários excluam todas as chaves SSH antes de alternarem o locatário do Active Directory. Temos trabalho em nossa lista de pendências para a exclusão automática das chaves SSH como parte do processo de alternância de locatário e, nesse ínterim, se você estiver impedido de carregar novas chaves após a troca de locatário, recomendamos que entre em contato com o Suporte para excluir essas chaves SSH antigas.

O Azure DevOps não dá mais suporte à autenticação de Credenciais Alternativas desde o início de 2 de março de 2020. Se você ainda estiver usando Credenciais Alternativas, recomendamos que você alterne para um método de autenticação mais seguro (por exemplo, tokens de acesso pessoal ou SSH). Saiba mais.

• Nas Configurações de organização do Azure DevOps, selecione Microsoft Entra ID e, em seguida, Resolver.

  

• Corresponder às identidades. Selecione Avançar quando terminar.

  

• Tente novamente.

• Você pode ser um convidado no Microsoft Entra ID. Solicite que um administrador da organização, que é membro do Microsoft Entra ID, faça o mapeamento. Ou, solicite que um administrador da ID do Microsoft Entra converta você em um membro.

  

• Se a mensagem de erro incluir um usuário em seu domínio, mas você não vê-lo ativo em seu diretório, o usuário provavelmente deixou sua empresa. Acesse as configurações do usuário da organização para remover o usuário da sua organização.

Você pode ser um convidado no Microsoft Entra ID e não tem a permissão certa para convidar usuários. Vá para Configurações de colaboração externa no Microsoft Entra ID e mova o botão de alternância "Convidados podem convidar" para Sim. Atualize a ID do Microsoft Entra e tente novamente.

Os administradores de assinatura do Visual Studio normalmente atribuem assinaturas aos endereços de email corporativos dos usuários, para que os usuários possam receber emails e notificações de boas-vindas. Se os endereços de email de identidade e assinatura corresponderem, os usuários poderão acessar os benefícios da assinatura. À medida que você faz a transição das identidades do Microsoft para o Microsoft Entra, os benefícios dos usuários ainda funcionam com a nova identidade do Microsoft Entra. Porém, os endereços de email devem corresponder. Se os endereços de email não corresponderem, o administrador da assinatura deverá reatribuir a assinatura. Caso contrário, os usuários devem adicionar uma identidade alternativa à assinatura do Visual Studio.

Limpe o cache do navegador e exclua os cookies da sessão. Feche o navegador e reabra.

Limpe o cache do navegador e exclua os cookies da sessão. Feche o navegador e reabra.

Sim, todas as partes do sistema são atualizadas com a nova ID quando a ID de um usuário é mapeada de seu email pessoal para seu email de trabalho.

Você ainda pode se conectar ao Microsoft Entra ID, mas tente resolver o problema de mapeamento depois de se conectar. Se você ainda precisar de ajuda, entre em contato com o suporte.

Selecione o texto em negrito para ver quais usuários são afetados.

Atualmente, você ainda pode se conectar, mas os recursos de mapeamento e convite que ajudam a resolver usuários desconectados após a conexão não funcionam além de 100. Contate o Suporte.

O cache do locatário deverá ser limpo se você estiver usando uma versão do GCM antes da v1.15.0. Limpar o cache do locatário é tão fácil quanto excluir o %LocalAppData%\GitCredentialManager\tenant.cache arquivo em cada computador que retorna um erro de entrada. O GCM recria e popula automaticamente o arquivo de cache, conforme necessário, em tentativas de entrada subsequentes.

P: Como fazer obter ajuda ou suporte para o Azure DevOps?

R: Você tem as seguintes opções de suporte:

• Relatar um problema com o Azure DevOps no Developer Community.
• Fornecer uma sugestão sobre Developer Community
• Obtenha conselhos sobre o Stack Overflow
• Exibir os arquivos do fórum do Azure DevOps no MSDN

Artigos relacionados

• Configurar e personalizar perguntas frequentes da organização
• Perguntas frequentes sobre gerenciamento de usuários e permissões
• Configurar perguntas frequentes do Visual Studio