Atribuir níveis de acesso com regras de grupo

Serviços de DevOps do Azure

O Azure DevOps fornece níveis de acesso baseados em grupo para grupos do Microsoft Entra e grupos do Azure DevOps. Esses grupos permitem que você gerencie permissões de forma eficiente atribuindo níveis de acesso a grupos inteiros de usuários. Neste artigo, saiba como adicionar uma regra de grupo para atribuir um nível de acesso a esse grupo de usuários. Os recursos do Azure DevOps são atribuídos a todos os membros de um grupo.

Atribua regras de grupo para dar suporte a níveis de acesso e associações de projeto. Os usuários obtêm o nível de acesso mais alto quando são atribuídos a mais de uma regra ou grupo do Microsoft Entra, que especificam diferentes níveis de acesso. Por exemplo, se João for atribuído a dois grupos do Microsoft Entra e a duas regras de Grupo diferentes que especificam o acesso de Partes Interessadas e o outro acesso Básico, o nível de acesso de João será Básico.

Quando os usuários saem do grupo Microsoft Entra, o Azure DevOps ajusta seu nível de acesso com base nas regras definidas para esse grupo. O usuário permanece no Azure DevOps, mas pode ter permissões ou direitos de acesso diferentes. O nível de acesso mais alto atribuído ao usuário determina suas permissões finais.

Nota

• As alterações feitas nos leitores de projeto por meio de regras de grupo não persistem. Se você precisar ajustar os leitores de projeto, considere métodos alternativos, como atribuição direta ou grupos de segurança personalizados.
• Recomendamos que reveja regularmente as regras listadas no separador "Regras de grupo" da página "Utilizadores". Se forem feitas alterações na associação ao grupo do Microsoft Entra ID, essas alterações aparecerão na próxima reavaliação das regras do grupo, que pode ser feita sob demanda, quando uma regra de grupo for modificada ou automaticamente a cada 24 horas. O Azure DevOps atualiza a associação ao grupo do Microsoft Entra a cada hora, mas pode levar até 24 horas para que o Microsoft Entra ID atualize a associação ao grupo dinâmico.

Pré-requisitos

• Para gerenciar regras de grupo, você deve ser membro do grupo Administradores de Coleção de Projetos . Se você não for um membro, seja adicionado como um.

Adicionar regra de grupo

1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Definições da organização.

   

3. Selecione Permissões e verifique se você é membro do grupo Administradores de Coleção de Projetos .

   

4. Selecione Usuários e, em seguida, selecione Regras de grupo. Esta vista mostra-lhe todas as regras de grupo criadas. Selecione Adicionar uma regra de grupo.

   

   As regras de grupo aparecem somente se você for membro do grupo Administradores da Coleção de Projetos .

5. Preencha a caixa de diálogo do grupo para o qual você deseja criar uma regra. Inclua um nível de acesso para o grupo e qualquer acesso opcional ao projeto para o grupo. Selecione Adicionar.

   

   Uma notificação é exibida, mostrando o status e o resultado da regra. Se a atribuição não puder ser concluída, selecione Exibir status para ver os detalhes.

   

Importante

• As regras de grupo só se aplicam a usuários sem atribuições diretas e a usuários adicionados ao grupo no futuro. Remova as atribuições diretas para que as regras de grupo se apliquem a esses usuários.
• Os usuários não aparecem em Todos os usuários até que tentem entrar pela primeira vez.

Gerir membros do grupo

1. Selecione Regras>>de grupo Gerenciar membros.

   Deixe a automação existente para gerenciar níveis de acesso para usuários que executam como estão (por exemplo, PowerShell). O objetivo é refletir os mesmos recursos que a automação está aplicando a esses usuários.

2. Adicione membros e selecione Adicionar.

   

   Quando você atribui o mesmo nível de acesso a um usuário, o usuário consome apenas um nível de acesso. As atribuições de usuário podem ser feitas diretamente e por meio de um grupo.

Verificar regra de grupo

Verifique se os recursos são aplicados a cada grupo e usuário individual. Selecione Todos os usuários, realce um usuário e selecione Resumo.

Remover atribuições diretas

Para gerenciar os recursos de um usuário somente pelos grupos em que ele está, remova suas atribuições diretas. Os recursos atribuídos a um usuário por meio de atribuição individual permanecem atribuídos ao usuário. Essa atribuição permanece independentemente de os recursos serem atribuídos ou retirados dos grupos de usuários.

1. Inicie sessão na sua organização (https://dev.azure.com/{yourorganization}).

2. Selecione Definições da organização.

   

3. Selecione Utilizadores.

   

4. Selecione todos os usuários com recursos para gerenciamento somente por grupos.

   

5. Para confirmar que deseja remover as atribuições diretas, selecione Remover.

   

   As atribuições diretas são removidas dos usuários.

   Se um usuário não for membro de nenhum grupo, ele não será afetado.

FAQs

P: Como as assinaturas do Visual Studio funcionam com regras de grupo?

R: Os Subscritores do Visual Studio são sempre atribuídos diretamente através do Portal de Administração do Visual Studio e têm precedência no Azure DevOps sobre os níveis de acesso atribuídos diretamente ou através de regras de grupo. Quando visualiza estes utilizadores a partir do Hub de Utilizadores, a Origem da Licença é sempre apresentada como Direct. A única exceção são os assinantes do Visual Studio Professional aos quais são atribuídos Planos Básicos + de Teste. Como os Planos Básico + de Teste fornecem mais acesso no Azure DevOps, ele tem precedência sobre uma assinatura do Visual Studio Professional.

Artigos relacionados

• Instalar usuários ou grupos do Ative Directory e do Microsoft Entra em um grupo de segurança interno
• Sobre como acessar sua organização com o Microsoft Entra ID
• Gerenciar grupos do Microsoft Entra