Adicionar e gerenciar grupos de segurança

Azure DevOps Services | Azure DevOps Server 2020

Os grupos de segurança são usados para gerenciar permissões e acesso, conforme descrito em Começar com permissões, acesso e grupos de segurança. Por exemplo, os membros do grupo Colaboradores ou Project administradores são atribuídos às permissões permitidas para esses grupos.

O Azure DevOps é pré-configurado com grupos de segurança padrão. Você pode adicionar e gerenciar grupos de segurança para sua organização, uma coleção ou projeto com os comandos az devops security group. Use este comando para:

  • Criar um novo grupo de segurança
  • Exibir grupos de segurança e detalhes do grupo de segurança
  • Atualizar ou excluir um grupo de segurança
  • Gerenciar associações de grupo de segurança para grupos e usuários

Observação

Por Azure DevOps Server, você pode gerenciar grupos de segurança usando o comando documentado neste artigo az devops security group ou usando o comando az devops security group Para saber mais, confira Comando TFSSecurity.

Pré-requisitos

  • Para adicionar e gerenciar grupos de segurança, você deve ser membro do grupo de segurança Project Administradores da Coleção.
  • Você deve ter instalado a extensão Azure DevOps CLI do Azure DevOps, conforme descrito em Começar a Azure DevOps CLI.
  • Entre no Azure DevOps usando az login .
  • Para os exemplos neste artigo, de definir a organização padrão da seguinte forma:
    • Para Azure DevOps Services: .
    • Para Azure DevOps Server:

Comandos do grupo de segurança

Comando Descrição
az devops security group create Crie um grupo Azure DevOps segurança.
az devops security group delete Exclua um Azure DevOps de segurança.
az devops security group list Listar todos os grupos em um projeto ou organização.
az devops security group show Mostrar detalhes do grupo.
az devops security group update Nome e descrição da atualização para um grupo de segurança.
az devops security group membership add Adicione um membro a um grupo de segurança.
az devops security group membership list Listar as associações para um grupo ou usuário.
az devops security group membership remove Remover um membro de um grupo de segurança.

Os parâmetros a seguir são opcionais para todos os comandos e não estão listados nos exemplos fornecidos neste artigo.

  • detect: detectar automaticamente a organização. Valores aceitos: false, true. O padrão é true.
  • org: Azure DevOps URL da organização. Você pode configurar a organização padrão usando az devops configure -d organization=ORG_URL. Obrigatório se não estiver configurado como padrão ou retirado por meio da configuração do git. Exemplo: --org https://dev.azure.com/MyOrganizationName/ .

Adicionar um grupo de segurança

Você pode criar um grupo de segurança com o comando az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parâmetros opcionais

  • description: descrição do novo grupo de segurança.
  • email-id:crie um novo grupo usando o endereço de email como uma referência a um grupo existente de um Azure Active Directory com suporte. Necessário se name ouorigin-id estiver ausente.
  • grupos:uma lista separada por vírgulas de descritores que referenciam grupos que você deseja que o grupo recém-criado insinte.
  • name: nome do novo grupo de segurança. Necessário se origin-id ouemail-id estiver ausente.
  • origin-id:crie um novo grupo usando o OriginID como uma referência a um grupo existente de um provedor com suporte do Azure AD. Necessário se name ouemail-id estiver ausente.
  • project: nome ou ID do projeto no qual o grupo deve ser criado.
  • scope:crie um grupo no nível do projeto ou da organização. Os valores aceitos são organizaçãoe projeto (padrão).

Exemplo

O comando a seguir cria o grupo de segurança Gerenciamento de Conta no projeto MyFirstProject e mostra o resultado no formato de tabela.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Excluir um grupo de segurança

Você pode excluir um grupo de segurança com o comando az devops security group delete.

az devops security group delete --id
                                [--yes]

Parâmetros

  • id: obrigatório. Descritor do grupo de segurança. Para obter um descritor, use o comando az devops security group list.
  • sim:opcional. Não solicitar confirmação.

Exemplo

O comando a seguir exclui o grupo de segurança com o descritor especificado e não solicita confirmação.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Listar grupos de segurança

Você pode listar todos os grupos de segurança em um projeto ou organização com o comando az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parâmetros opcionais

  • continuation-token:se houver mais resultados que não podem ser retornados em uma única página, o conjunto de resultados conterá um token de continuação para recuperação do próximo conjunto de resultados.
  • project: lista grupos para um projeto específico.
  • scope: lista os grupos no nível do projeto ou da organização. Os valores aceitos são organizaçãoe projeto (padrão).
  • subject-types:uma lista separada por vírgulas de subtipos de assunto do usuário para reduzir os resultados recuperados. Você pode dar a parte inicial do descritor (antes do ponto) como um filtro, por exemplo, vssgp, aadgp.

Exemplo

O comando a seguir lista o nome e o descritor de todos os grupos de segurança em MyFirstProjecte mostra os resultados no formato de tabela.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Mostrar detalhes do grupo de segurança

Você pode mostrar os detalhes de um grupo de segurança com o comando az devops security group show.

az devops security group show --id

Parâmetros

  • id: obrigatório. Descritor do grupo de segurança.

Exemplo

O comando a seguir mostra detalhes para o grupo Project segurança Usuários Válidos no formato de tabela.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Atualizar um grupo de segurança

Você pode atualizar o nome e a descrição de um grupo de segurança com o comando az devops security group update.

az devops security group update --id
                                [--description]
                                [--name]

Parâmetros

  • id: obrigatório. Descritor do grupo de segurança.
  • description: opcional. Nova descrição para o grupo de segurança. Obrigatório se o nome estiver ausente.
  • name: opcional. Novo nome para o grupo de segurança. Necessário se a descrição estiver ausente.

Exemplo

O comando a seguir altera o nome do grupo de segurança com o descritor especificado e mostra o resultado no formato YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Adicionar um membro a um grupo

Você pode adicionar um membro a um grupo de segurança com o comando az devops security group membership add.

az devops security group membership add --group-id
                                        --member-id

Parâmetros

  • ID do grupo: obrigatório. Descritor do grupo ao qual o membro deve ser adicionado.
  • ID-do-membro: obrigatório. Descritor do grupo ou endereço de email do usuário a ser adicionado.

Exemplo

O comando a seguir adiciona o usuário contoso@contoso.com ao grupo de segurança especificado e mostra os resultados em formato de tabela.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Listar associações para um grupo ou usuário

Você pode listar associações para um grupo ou usuário com o comando AZ DevOps Security Group Membership List .

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parâmetros

  • ID: obrigatório. Descritor de grupo de segurança ou endereço de email do usuário cujos detalhes de associação são necessários.
  • relação: opcional. Obter informações de membro ou Membros do grupo. Os valores aceitos são memberOf e Members.

Exemplos

O comando a seguir lista os membros do grupo de segurança especificado e mostra os resultados em formato de tabela.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Aqui está outro exemplo que lista os membros da equipe de EMail para o projeto Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Remover um membro de um grupo

Você pode remover um membro de um grupo de segurança com o comando AZ DevOps Security Group Membership remove .

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parâmetros

  • ID do grupo: obrigatório. Descritor do grupo do qual o membro precisa ser removido.
  • ID-do-membro: obrigatório. Descritor do grupo ou endereço de email do usuário a ser removido.
  • Sim: opcional. Não solicite confirmação.

Exemplo

O comando a seguir remove o usuário contoso@contoso.com do grupo de segurança especificado sem solicitar confirmação.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes