Доступ с помощью инструкций в разделе вопросов и ответов по Microsoft Entra

В обоих приложениях необходимо иметь разрешения службы Azure Администратор istrator или Coadministrator для подписки Azure, связанной с вашей организацией в Azure DevOps. Кроме того, в портал Azure необходимо иметь разрешения для коллекции проектов Администратор istrator или владелец организации.

Убедитесь, что выполнены предварительные требования в следующей статье, Подключение вашей организации идентификатору Microsoft Entra.

Изменения, внесенные в идентификатор Microsoft Entra, могут занять до 1 часа, чтобы быть видимыми в Azure DevOps.

Да.

• У вас еще нет организации? Создайте организацию в Azure DevOps.
• У вас уже есть организация? Подключение вашей организации идентификатору Microsoft Entra.

Вопрос. Почему мне нужно выбрать между "рабочей или учебной учетной записью" и "личная учетная запись"?

Ответ. Это происходит при входе с помощью адреса электронной почты (например, jamalhartnett@fabrikam.com), который предоставляется вашей личной учетной записью Майкрософт и рабочей учетной записью или учебной учетной записью. Хотя оба удостоверения используют один и тот же адрес входа, они по-прежнему разделены удостоверениями. Два удостоверения имеют разные профили, параметры безопасности и разрешения.

• Выберите рабочую или учебную учетную запись , если вы использовали это удостоверение для создания организации или если вы выполнили вход с помощью этого удостоверения. Удостоверение проходит проверку подлинности в каталоге вашей организации в идентификаторе Microsoft Entra, который управляет доступом к вашей организации.

• Выберите личную учетную запись, если вы использовали учетную запись Майкрософт с Azure DevOps. Удостоверение проходит проверку подлинности в глобальном каталоге для учетных записей Майкрософт.

Да, но перед переключением убедитесь, что идентификатор Microsoft Entra соответствует вашим потребностям для совместного использования следующих элементов:

• рабочие элементы
• кодом
• ресурсы
• другие ресурсы с вашей командой и партнерами

Узнайте больше об управлении доступом с помощью учетных записей Майкрософт и идентификатора Microsoft Entra, а также о том, как переключаться при подготовке.

Вопрос. Почему не удается войти после выбора "личная учетная запись Майкрософт" или "рабочая или учебная учетная запись"?

Ответ. Если ваш адрес входа предоставляется вашей личной учетной записью Майкрософт и рабочей учетной записью или учебной учетной записью, но у выбранного удостоверения нет доступа, вы не можете войти. Хотя оба удостоверения используют один и тот же адрес входа, они разделены: они имеют разные профили, параметры безопасности и разрешения.

Выйдите полностью из Azure DevOps, выполнив следующие действия. Закрытие браузера может не выходить полностью. Войдите еще раз и выберите другое удостоверение:

1. Закройте все браузеры, включая браузеры, не работающие под управлением Azure DevOps.

2. Откройте частный или инкогнито сеанс просмотра.

3. Перейдите по этому URL-адресу: https://aka.ms/vssignout

   Вы увидите сообщение, которое говорит: "Выйдите из процесса". После выхода вы перейдете на веб-страницу Azure DevOps @dev.azure.microsoft.com .

   Совет

   Если страница выхода занимает более минуты, чтобы выйти из нее, закройте браузер и продолжите работу.

4. Снова войдите в Azure DevOps. Выберите другое удостоверение.

Если вы являетесь владелец организации или учетной записью подписки Azure Администратор istrator, проверка состояние подписки в Центре учетных записей, попробуйте исправить подписку. Ваши платные параметры восстанавливаются. Кроме того, вы можете связать свою организацию с другой подпиской Azure, отменив связь вашей организации с отключенной подпиской. Хотя подписка отключена, ваша организация возвращается к бесплатным ежемесячным ограничениям до тех пор, пока ваша подписка не будет исправлена.

Пользователи и разрешения Microsoft Entra

Если вы не найдете ответ на ваш вопрос здесь, см . часто задаваемые вопросы об управлении пользователями и разрешениями.

Ваша организация проверяет подлинность пользователей и управляет доступом с помощью идентификатора Microsoft Entra. Все пользователи должны быть членами каталога для получения доступа.

Администратор каталога может добавлять пользователей в каталог. Если вы не являетесь администратором, обратитесь к администратору каталога, чтобы добавить пользователей. Узнайте больше об управлении доступом к Azure DevOps Services с помощью каталога.

Ваша работа в Azure DevOps Services связана с учетными данными для идентификатора Microsoft Entra. После подключения организации к каталогу пользователи продолжают работать без проблем, если их адреса учетных данных отображаются в подключенном каталоге. Если адреса пользователей не отображаются, необходимо добавить этих пользователей в каталог. В вашей организации могут быть политики добавления пользователей в каталог, поэтому узнайте больше.

Если у вас есть хотя бы базовый доступ, перейдите к параметрам организации и перейдите на вкладку Идентификатора Microsoft Entra. Вы можете либо Подключение каталог, либо каталог "Отключить".

Да, но удаление пользователя из каталога удаляет доступ пользователя ко всем организациям и другим ресурсам, связанным с этим каталогом. У вас должны быть разрешения Microsoft Entra Global Администратор istrator для удаления пользователя из каталога Microsoft Entra.

Возможно, вы являетесь гостем в идентификаторе Microsoft Entra, который поддерживает организацию Azure DevOps, а не член. Гости Microsoft Entra не могут выполнять поиск в Microsoft Entra ID таким способом, который используется в Azure DevOps. Например, гости Microsoft Entra не могут использовать веб-портал Azure DevOps для поиска или выбора пользователей, которые еще не были добавлены в организацию Azure DevOps. Узнайте, как преобразовать гостя Microsoft Entra в участника.

Добавьте этих пользователей в каталог с новыми рабочими или учебными учетными записями, а также переназначьте уровни доступа и считывали их в любые проекты. Если у них есть рабочие или учебные учетные записи, эти учетные записи можно использовать. Работа не теряется и остается с текущими адресами входа. Пользователи могут перенести работу, которую они хотят сохранить, за исключением журнала работы. Дополнительные сведения см. в статье о добавлении пользователей организации.

Восстановите пользователя, а не создайте новый. При создании нового пользователя даже с тем же адресом электронной почты этот пользователь не связан с предыдущим удостоверением.

Выберите один из следующих двух параметров:

• Удалите учетную запись администратора Microsoft Entra из каталога и повторно добавьте ее, что делает вас членом, а не гостем. Дополнительные сведения см. в статье "Можно ли добавлять пользователей Microsoft Entra B2B в качестве участников вместо гостей?".
• Измените UserType гостя Microsoft Entra с помощью Microsoft Graph PowerShell. Мы не советуем использовать этот расширенный процесс, но позволяет пользователю запрашивать идентификатор Microsoft Entra из организации Azure DevOps.

Преобразование UserType из гостя в участника с помощью Microsoft Graph PowerShell

Необходимые условия

Пользователь, изменяя UserType, должен иметь следующие элементы:

• Рабочая или учебная учетная запись (WSA)/собственный пользователь в идентификаторе Microsoft Entra. Вы не можете изменить UserType с учетной записью Майкрософт.
• Разрешения глобального администратора

Обработать

1. Войдите в портал Azure от имени глобального администратора каталога вашей организации.
2. Перейдите в клиент, который поддерживает организацию Azure DevOps.
3. Откройте запрос Администратор istrative Windows PowerShell для использования Microsoft Graph PowerShell.
4. Выполните процедуру Install-Module -Name Microsoft.Graph -Scope CurrentUser. Microsoft Graph загружается из коллекция PowerShell.
5. После завершения установки выполните команду Connect-MgGraph -Scopes "User.ReadWrite.All". Вам будет предложено войти в идентификатор Microsoft Entra. Обязательно используйте идентификатор, соответствующий ранее упоминание условиям и согласие на разрешения.
6. Выполните Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType, где <display_name> — отображаемое имя пользователя, как показано в портал Azure. Мы хотим изменить тип пользователя Memberна .
7. Выполнение Update-MgUser -UserId string -UserType Member, где string значение идентификатора, возвращаемого предыдущей командой. Пользователь имеет состояние участника.
8. Выполните еще раз, чтобы убедиться Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType , что UserType изменился. Вы также можете проверить в разделе идентификатора Microsoft Entra портал Azure.

Хотя это не норма, мы видели, что это занимает несколько часов или даже дней до этого изменения отражается в Azure DevOps. Если проблема Azure DevOps не устранена немедленно, дайте ему некоторое время и продолжайте пытаться.

Так как эти группы создаются и управляются в Azure, вы не можете назначать разрешения Azure DevOps напрямую или безопасные пути управления версиями для этих групп. При попытке назначить разрешения напрямую возникает ошибка.

Вы можете добавить группу Microsoft Entra в группу Azure DevOps с нужными разрешениями. Кроме того, вы можете назначить эти разрешения группе. Члены группы Microsoft Entra наследуют разрешения от группы, в которой вы их добавляете.

Нет, так как эти группы создаются и управляются в Azure. Azure DevOps не сохраняет или синхронизирует состояние члена для групп Microsoft Entra. Для управления группами Microsoft Entra используйте портал Azure, Microsoft Identity Manager (MIM) или средства управления группами, поддерживаемые вашей организацией.

Пользовательский интерфейс Azure DevOps указывает на членство область с помощью квадратных []скобок. Например, рассмотрим эту страницу параметров разрешений:

Эти пользователи должны войти в свою организацию, прежде чем они появятся в Users.

При первом входе этих участников группы в организацию Azure DevOps автоматически назначает им уровень доступа. Если у них есть подписки Visual Studio, Azure DevOps назначает им соответствующий уровень доступа. В противном случае Azure DevOps назначает им следующий уровень доступа "лучший доступный", в этом порядке: "Базовый", "Заинтересованный".

Если у вас недостаточно уровней доступа для всех участников группы Microsoft Entra, те участники, которые войдите в систему, получают доступ к заинтересованным лицам.

Требовать JIT-доступ с помощью группы Microsoft Entra управление привилегированными пользователями (PIM). Дополнительные сведения см. в статье JIT-доступ для групп администраторов.

На вкладке "Безопасность" отображаются члены группы Microsoft Entra только после входа в вашу организацию и назначаемого им уровня доступа.

Чтобы просмотреть всех участников группы Microsoft Entra, используйте портал Azure, MIM или средства управления группами, поддерживаемые вашей организацией.

Мини-приложение участников группы показывает только пользователей, которые ранее вошли в вашу организацию.

В области емкости группы отображаются только пользователи, которые ранее вошли в вашу организацию. Чтобы задать емкость, вручную добавьте пользователей в команду.

Azure DevOps не автоматически освобождает уровни доступа от этих пользователей. Чтобы вручную удалить доступ, перейдите в раздел "Пользователи".

Рабочие элементы можно назначить любому участнику Microsoft Entra, у которого есть разрешения для вашей организации. Это действие также добавляет этого участника в вашу организацию. При добавлении пользователей таким образом они автоматически отображаются как пользователи с лучшим уровнем доступа. Пользователь также отображается в параметрах безопасности.

Нет, мы не поддерживаем запросы в группах Microsoft Entra.

Нет, но вы можете быть заинтересованы в наших планах настройки процесса.

Добавление пользователей в каталог

Добавьте пользователей организации в идентификатор Microsoft Entra.

Во время процесса подключения мы сопоставляем существующих пользователей с членами клиента Microsoft Entra на основе имени участника-пользователя, который часто называется адресом входа. Если мы обнаруживаем несколько пользователей с одинаковым именем участника-пользователя, мы не знаем, как сопоставить этих пользователей. Этот сценарий возникает, если пользователь изменяет имя участника-пользователя в соответствии с уже существующим в организации.

Если вы столкнулись с этой ошибкой, просмотрите список пользователей для любых дубликатов. Если вы нашли дубликаты, удалите пользователей, которые вам не нужны. Если вы не можете найти дубликаты, обратитесь в службу поддержки.

№ Хотя в организацию можно добавить новые рабочие учетные записи, они рассматриваются как новые пользователи. Если вы хотите получить доступ ко всей работе, включая журнал, необходимо использовать те же адреса входа, которые использовались перед подключением организации к идентификатору Microsoft Entra. Добавьте свою учетную запись Майкрософт в качестве участника в идентификатор Microsoft Entra.

Вы должны быть членом или иметь доступ на чтение в этих каталогах. В противном случае их можно добавить с помощью совместной работы B2B с помощью администратора Microsoft Entra. Их также можно добавить с помощью учетных записей Майкрософт или создания рабочих учетных записей в каталоге.

Вы можете сопоставить пользователя с другим удостоверением, которое еще не является активным членом организации или добавить существующего пользователя в идентификатор Microsoft Entra. Если вам по-прежнему нужно сопоставить существующего члена организации Azure DevOps, обратитесь в службу поддержки.

Если вы использовали учетную запись Майкрософт для активации Visual Studio с подпиской MSDN, содержащей Azure DevOps в качестве преимущества, можно добавить рабочую или учебную учетную запись. Идентификатор Microsoft Entra должен управлять учетной записью. Узнайте , как связать рабочие или учебные учетные записи с Visual Studio с подписками MSDN.

Да, но только для внешних пользователей, которые добавляются в качестве гостей через Microsoft 365 или добавляются с помощью совместной работы B2B администратором Microsoft Entra. Эти внешние пользователи управляются за пределами подключенного каталога. Чтобы узнать больше, обратитесь к администратору Microsoft Entra. Следующий параметр не влияет на пользователей, которые добавляются непосредственно в каталог вашей организации.

Прежде чем начать, убедитесь, что у вас есть по крайней мере базовый доступ, а не заинтересованные лица.

Выполните необходимые условия для добавления внешних пользователей, превратив внешний гостевой доступ в On.

Перейдите в коллекцию или проект проекта. В верхней строке выберите Параметры и выберите "Безопасность".

Найдите группу Microsoft Entra и удалите ее из вашей организации.

Пользователи могут принадлежать вашей организации как отдельным лицам, так и членам групп Microsoft Entra в группах Azure DevOps. Эти пользователи по-прежнему могут получить доступ к вашей организации, пока они являются членами этих групп Microsoft Entra.

Чтобы заблокировать доступ для пользователей, удалите их из групп Microsoft Entra в организации или удалите эти группы из вашей организации. В настоящее время мы не можем полностью заблокировать доступ или сделать исключения для таких пользователей.

Пользователи, которые отключены или удалены из каталога, больше не могут получить доступ к вашей организации с помощью любого механизма, включая PATs или SSH.

Подключение, отключать или изменять подключение Microsoft Entra

• Подключение организации к Microsoft Entra ID
• Отключение организации от каталога
• Изменение каталога, подключенного к Azure DevOps
• Получение списка организаций, поддерживаемых идентификатором Microsoft Entra
• Ограничение создания организации с помощью политики клиента

Вы можете скачать полный список организаций, поддерживаемых клиентом Microsoft Entra. Дополнительные сведения см. в разделе "Получение списка организаций, поддерживаемых идентификатором Microsoft Entra".

Да. Если не удается найти идентификатор Microsoft Entra, созданный из Microsoft 365, см. статью "Почему не отображается каталог, который требуется подключить?".

Возможно, каталог не отображается для любого из следующих обстоятельств:

• Вы не распознаете как владельца организации для управления подключениями к каталогу.

• Обратитесь к администратору организации Microsoft Entra и попросите их сделать вас членом организации. Возможно, вы не входите в организацию.

Ваша организация была подключена к каталогу, когда владелец организации создали организацию или когда-то после этого. При создании организации с рабочей или учебной учетной записью ваша организация автоматически подключается к каталогу, который управляет этой рабочей или учебной учетной записью. Да, можно переключить каталоги. Может потребоваться перенести некоторых пользователей.

Да. Дополнительные сведения см. в разделе "Переключиться на другой идентификатор Microsoft Entra".

При переходе с одного клиента Microsoft Entra на другой базовый идентификатор также изменяется и все маркеры PAT или ключи SSH, которые у пользователя с старым удостоверением перестают работать. Все активные ключи SSH, отправленные в организацию, не удаляются в рамках процесса переключения клиента, что может заблокировать отправку пользователем новых ключей после переключения. Рекомендуется, чтобы пользователи удалили все свои ключи SSH перед переключением арендатора Active Directory. Мы работали в нашей невыполненной работе по автоматическому удалению ключей SSH в рамках процесса переключения клиента и в промежуточный период, если вы заблокированы от отправки новых ключей после переключения клиента, мы рекомендуем обратиться в службу поддержки, чтобы удалить эти старые ключи SSH.

Azure DevOps больше не поддерживает проверку подлинности альтернативных учетных данных с 2 марта 2020 г. Если вы по-прежнему используете альтернативные учетные данные, мы настоятельно рекомендуем переключиться на более безопасный метод проверки подлинности (например, личные маркеры доступа или SSH). Подробнее.

• В разделе Параметры организации Azure DevOps выберите Microsoft Entra ID и щелкните Разрешить.

  

• Сопоставление удостоверений. Нажмите кнопку "Далее", когда вы закончите.

  

• Повторите попытку.

• Вы можете быть гостем в идентификаторе Microsoft Entra. Попросите администратора организации, являющегося членом идентификатора Microsoft Entra ID, выполнить сопоставление. Или попросите администратора идентификатора Microsoft Entra преобразовать вас в член.

  

• Если сообщение об ошибке содержит пользователя в вашем домене, но вы не видите их активными в каталоге, пользователь, скорее всего, покинул вашу компанию. Перейдите к параметрам пользователя организации, чтобы удалить пользователя из организации.

Вы можете быть гостем в идентификаторе Microsoft Entra и не иметь права на приглашение пользователей. Перейдите к параметрам внешней совместной работы в идентификаторе Microsoft Entra и переместите переключатель "Гости могут пригласить" в "Да". Обновите идентификатор Microsoft Entra и повторите попытку.

Администраторы подписок Visual Studio обычно назначают подписки корпоративным адресам электронной почты пользователей, чтобы пользователи могли получать приветственные сообщения электронной почты и уведомления. Если удостоверения и адреса электронной почты подписки совпадают, пользователи могут получить доступ к преимуществам подписки. При переходе от Майкрософт к удостоверениям Microsoft Entra преимущества пользователей по-прежнему работают с новым удостоверением Microsoft Entra. Но адреса электронной почты должны совпадать. Если адреса электронной почты не совпадают, администратор подписки должен переназначить подписку. В противном случае пользователи должны добавить альтернативное удостоверение в свою подписку Visual Studio.

Очистите кэш браузера и удалите все файлы cookie для сеанса. Закройте браузер и снова откройте его.

Очистите кэш браузера и удалите все файлы cookie для сеанса. Закройте браузер и снова откройте его.

Да, все элементы в системе обновляются с новым идентификатором, когда идентификатор пользователя сопоставляется с личным сообщением электронной почты с рабочим письмом.

Вы по-прежнему можете подключиться к идентификатору Microsoft Entra, но попытаться устранить проблему сопоставления после подключения. Если вам по-прежнему нужна помощь, обратитесь в службу поддержки.

Выберите полужирный текст, чтобы узнать, какие пользователи затронуты.

В настоящее время можно подключиться, но функции сопоставления и приглашения, которые помогают устранить отключенные пользователи после подключения, не работают более 100. Обратитесь в службу поддержки.

Кэш клиента необходимо очистить, если вы используете GCM-версию до версии 1.15.0. Очистка кэша клиента упрощает удаление %LocalAppData%\GitCredentialManager\tenant.cache файла на каждом компьютере, возвращающего ошибку входа. GCM автоматически создает и заполняет файл кэша при необходимости при последующих попытках входа.

Вопрос. Разделы справки получить справку или поддержку Azure DevOps?

Ответ. У вас есть следующие варианты поддержки:

• Сообщите о проблеме с Azure DevOps на Сообщество разработчиков.
• Предоставьте предложение по Сообщество разработчиков
• Советы по Stack Overflow
• Просмотр архивов форума Azure DevOps в MSDN

Связанные статьи

• Настройка и настройка часто задаваемых вопросы организации
• Часто задаваемые вопросы об управлении пользователями и разрешениями
• Настройка часто задаваемых вопросы о Visual Studio