Adicionar e gerenciar grupos de segurança

Azure DevOps Services

Os grupos de segurança são usados para gerenciar permissões e acesso, conforme descrito em Introdução com permissões, acesso e grupos de segurança. Por exemplo, os membros do grupo Colaboradores ou do grupo administradores Project recebem as permissões permitidas para esses grupos.

O Azure DevOps é pré-configurado com grupos de segurança padrão. Você pode adicionar e gerenciar grupos de segurança para sua organização ou projeto com os comandos do grupo de segurança az devops . Use este comando para executar as tarefas a seguir.

  • Criar um novo grupo de segurança
  • Exibir os grupos de segurança e os detalhes do grupo de segurança
  • Atualizar ou excluir um grupo de segurança
  • Gerenciar associações de grupo de segurança para grupos e usuários

Observação

Este artigo se aplica somente a Azure DevOps Services. Para Azure DevOps Server, você pode gerenciar grupos de segurança usando o comando TFSSecurity.

Pré-requisitos

  • Para adicionar e gerenciar grupos de segurança, você deve ser membro do grupo de segurança Project Collection Administrators.
  • Você deve ter instalado a extensão da CLI Azure DevOps conforme descrito em Introdução com Azure DevOps CLI.
  • Entre Azure DevOps usando az login.
  • Para os exemplos neste artigo, defina a organização padrão da seguinte maneira: az devops configure --defaults organization=YourOrganizationURL.

Comandos do grupo de segurança

Comando Descrição
az devops security group create Crie um grupo de segurança Azure DevOps.
az devops security group delete Exclua um grupo de segurança Azure DevOps.
az devops security group list Listar todos os grupos em um projeto ou organização.
az devops security group show Mostrar detalhes do grupo.
az devops security group update Atualizar nome e descrição para um grupo de segurança.
az devops security group membership add Adicione um membro a um grupo de segurança.
az devops security group membership list Listar as associações de um grupo ou usuário.
az devops security group membership remove Remova um membro de um grupo de segurança.

Os parâmetros a seguir são opcionais para todos os comandos e não são listados nos exemplos fornecidos neste artigo.

  • detectar: detectar automaticamente a organização. Valores aceitos: false, true. O padrão é true.
  • org: Azure DevOps URL da organização. Você pode configurar a organização padrão usando az devops configure -d organization=ORG_URL. Obrigatório se não estiver configurado como padrão ou selecionado por meio de configuração git. Exemplo: --org https://dev.azure.com/MyOrganizationName/.

Adicionar um grupo de segurança

Você pode criar um grupo de segurança com o comando de criação do grupo de segurança az devops .

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Parâmetros opcionais

  • descrição: Descrição do novo grupo de segurança.
  • email-id: crie um novo grupo usando o endereço de email como uma referência a um grupo existente de um provedor com suporte Azure Active Directory. Obrigatório se o nome ou id de origem estiver ausente.
  • grupos: uma lista separada por vírgulas de descritores que fazem referência a grupos que você deseja que o grupo recém-criado ingresse.
  • nome: Nome do novo grupo de segurança. Obrigatório se a ID de origem ou a ID de email estiver ausente.
  • origin-id: crie um novo grupo usando o OriginID como uma referência a um grupo existente de um provedor com suporte Azure AD. Obrigatório se o nome ou id de email estiver ausente.
  • projeto: Nome ou ID do projeto no qual o grupo deve ser criado.
  • escopo: criar grupo no nível do projeto ou da organização. Os valores aceitos são organização e projeto (padrão).

Exemplo

O comando a seguir cria o grupo de segurança de Gerenciamento de Contas no projeto MyFirstProject e mostra o resultado no formato de tabela.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Excluir um grupo de segurança

Você pode excluir um grupo de segurança com o comando az devops security group delete .

az devops security group delete --id
                                [--yes]

Parâmetros

  • ID: Obrigatório. Descritor de grupo de segurança. Para obter um descritor, use o comando az devops security group list .
  • Sim: opcional. Não solicite confirmação.

Exemplo

O comando a seguir exclui o grupo de segurança com o descritor especificado e não solicita confirmação.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Listar grupos de segurança

Você pode listar todos os grupos de segurança em um projeto ou organização com o comando az devops security group list .

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Parâmetros opcionais

  • continuação-token: se houver mais resultados que não podem ser retornados em uma única página, o conjunto de resultados conterá um token de continuação para recuperação do próximo conjunto de resultados.
  • projeto: Listar grupos para um projeto específico.
  • escopo: Listar os grupos no nível do projeto ou da organização. Os valores aceitos são organização e projeto (padrão).
  • subject-types: uma lista separada por vírgulas de subtipos de entidade de usuário para reduzir os resultados recuperados. Você pode fornecer a parte inicial do descritor (antes do ponto) como um filtro, por exemplo, vssgp,aadgp.

Exemplo

O comando a seguir lista o nome e o descritor para todos os grupos de segurança no MyFirstProject e mostra os resultados no formato de tabela.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Mostrar detalhes do grupo de segurança

Você pode mostrar os detalhes de um grupo de segurança com o comando az devops security group show .

az devops security group show --id

Parâmetros

  • ID: Obrigatório. Descritor de grupo de segurança.

Exemplo

O comando a seguir mostra detalhes do grupo de segurança Project Usuários Válidos no formato de tabela.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Atualizar um grupo de segurança

Você pode atualizar o nome e a descrição de um grupo de segurança com o comando az devops security group update .

az devops security group update --id
                                [--description]
                                [--name]

Parâmetros

  • ID: Obrigatório. Descritor de grupo de segurança.
  • descrição: opcional. Nova descrição para o grupo de segurança. Obrigatório se o nome estiver ausente.
  • nome: opcional. Novo nome para o grupo de segurança. Obrigatório se a descrição estiver ausente.

Exemplo

O comando a seguir altera o nome do grupo de segurança com o descritor especificado e mostra o resultado no formato YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Adicionar um membro a um grupo

Você pode adicionar um membro a um grupo de segurança com o comando az devops security group membership add .

az devops security group membership add --group-id
                                        --member-id

Parâmetros

  • group-id: Obrigatório. Descritor do grupo ao qual o membro deve ser adicionado.
  • member-id: Obrigatório. Descritor do grupo ou endereço de email do usuário a ser adicionado.

Exemplo

O comando a seguir adiciona o usuário contoso@contoso.com ao grupo de segurança especificado e mostra os resultados no formato de tabela.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Listar associações para um grupo ou usuário

Você pode listar associações para um grupo ou usuário com o comando az devops security group membership list .

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parâmetros

  • ID: Obrigatório. Descritor de grupo de segurança ou endereço de email do usuário cujos detalhes de associação são necessários.
  • relação: opcional. Obtenha informações de membros ou membros para o grupo. Os valores aceitos são membros e membros.

Exemplos

O comando a seguir lista os membros do grupo de segurança especificado e mostra os resultados no formato de tabela.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Aqui está outro exemplo que lista os membros da equipe do EMail para o projeto Fabrikam Fiber.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Remover um membro de um grupo

Você pode remover um membro de um grupo de segurança com o comando de remoção de associação de grupo de segurança az devops .

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parâmetros

  • group-id: Obrigatório. Descritor do grupo do qual o membro precisa ser removido.
  • member-id: Obrigatório. Descritor do grupo ou endereço de email do usuário a ser removido.
  • Sim: opcional. Não solicite confirmação.

Exemplo

O comando a seguir remove o usuário contoso@contoso.com do grupo de segurança especificado sem solicitar confirmação.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes