Назначение уровней доступа с помощью правил группы

  • Статья

Azure DevOps Services

Azure DevOps предоставляет уровни доступа на основе групп Microsoft Entra и групп Azure DevOps. Эти группы позволяют эффективно управлять разрешениями, назначая уровни доступа всем группам пользователей. В этой статье вы узнаете, как добавить правило группы для назначения уровня доступа этой группе пользователей. Ресурсы Azure DevOps назначаются всем членам группы.

Назначьте правила групп для поддержки уровней доступа и членства в проекте. Пользователи получают самый высокий уровень доступа, если они назначены нескольким правилам или группе Microsoft Entra, которые указывают различные уровни доступа. Например, если Джон назначен двум группам Microsoft Entra и двум разным правилам группы, которые указывают доступ заинтересованных лиц и другой базовый доступ, уровень доступа Джона является базовым.

Когда пользователи покидают группу Microsoft Entra, Azure DevOps настраивает уровень доступа на основе правил, определенных для этой группы. Пользователь остается в Azure DevOps, но может иметь разные разрешения или права доступа. Самый высокий уровень доступа, назначенный пользователю, определяет свои окончательные разрешения.

Примечание.

  • Изменения, внесенные в средства чтения проектов с помощью правил группы, не сохраняются. Если необходимо настроить средства чтения проектов, рассмотрите альтернативные методы, такие как прямое назначение или пользовательские группы безопасности.
  • Рекомендуется регулярно просматривать правила, перечисленные на вкладке "Правила группы" страницы "Пользователи". Если какие-либо изменения вносятся в членство в группе идентификаторов Microsoft Entra, эти изменения отображаются в следующей повторной оценке правил группы, которые можно выполнить по запросу, когда правило группы изменяется или автоматически каждые 24 часа. Azure DevOps обновляет членство в группе Microsoft Entra каждый час, но для обновления динамического членства в группах может потребоваться до 24 часов.

Необходимые компоненты

  • Чтобы управлять правилами группы, необходимо быть членом группы Администратор управляемых элементов коллекции проектов. Если вы не являетесь членом, получите его как один.

Добавление правила группы

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconПараметры организации.

    Screenshot showing highlighted Organization settings button.

  3. Выберите разрешения и убедитесь, что вы являетесь членом группы Администратор istratorов коллекции проектов.

    Screenshot showing project collection administrators group members.

  4. Выберите "Пользователи" и выберите "Правила группы". В этом представлении показаны все созданные правила группы. Выберите " Добавить правило группы".

    Screenshot showing selected Add a group rule button.

    Правила групп отображаются только в том случае, если вы являетесь членом группы Администратор istratorов коллекции проектов.

  5. Заполните диалоговое окно для группы, для которой требуется создать правило. Включите уровень доступа для группы и любой дополнительный доступ к проекту для группы. Выберите Добавить.

    Screenshot showing Add a group rule dialog.

    Отображается уведомление, показывающее состояние и результат правила. Если назначение не удалось завершить, выберите состояние "Вид", чтобы просмотреть сведения.

    Screenshot showing Group rule completed.

Внимание

  • Правила групп применяются только к пользователям без прямых назначений и к пользователям, добавленным в группу. Удалите прямые назначения, чтобы правила группы применялись к этим пользователям.
  • Пользователи не отображаются во всех пользователях , пока они не попытаются войти в систему в первый раз.

Управление членами группы

  1. Выберите ">>Управление элементами группы". Screenshot shows highlighted group rule for managing members.

    Оставьте существующую автоматизацию для управления уровнями доступа для пользователей, работающих как есть (например, PowerShell). Цель состоит в том, чтобы отразить те же ресурсы, что и автоматизация, применяемая к этим пользователям.

  2. Добавьте участников и нажмите кнопку "Добавить".

    Screenshot of Adding a group member.

    При назначении того же уровня доступа пользователю пользователь использует только один уровень доступа. Назначения пользователей можно выполнять как напрямую, так и через группу.

Проверка правила группы

Убедитесь, что ресурсы применяются к каждой группе и отдельному пользователю. Выберите всех пользователей, выделите пользователя и нажмите кнопку "Сводка".

Screenshot showing verification of user summary for group rule.

Удаление прямых назначений

Чтобы управлять ресурсами пользователя только группами, в которые они вошли, удалите их прямые назначения. Ресурсы, назначенные пользователю с помощью отдельного назначения, остаются назначенными пользователю. Это назначение остается независимо от того, назначены ли ресурсы или удалены из групп пользователей.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите gear iconПараметры организации.

    Screenshot showing highlighted Organization settings button.

  3. Выберите Пользователи.

    Screenshot showing selected Users tab.

  4. Выберите всех пользователей с ресурсами для управления только по группам.

    Screenshot showing Selected group rules for migration.

  5. Чтобы подтвердить удаление прямых назначений, нажмите кнопку "Удалить".

    Screenshot of confirmation to Remove.

    Прямые назначения удаляются от пользователей.

    Если пользователь не является членом каких-либо групп, это не влияет на пользователя.

Вопросы и ответы

Вопрос. Как Подписки Visual Studio работать с правилами группы?

Ответ. Подписчики Visual Studio всегда назначаются напрямую через портал Visual Studio Администратор и имеют приоритет в Azure DevOps над уровнями доступа, назначенными напрямую или с помощью правил группы. При просмотре этих пользователей из Центра пользователей источник лицензий всегда отображается как Direct. Единственным исключением являются подписчики Visual Studio Professional, которым назначены базовые и тестовые планы. Так как базовые и тестовые планы предоставляют больше доступа в Azure DevOps, он имеет приоритет над подпиской Visual Studio Professional.