Доступ с помощью инструкций в разделе вопросов и ответов по Azure AD

Azure DevOps Services

Важно!

Azure DevOps больше не поддерживает проверку подлинности с помощью альтернативных учетных данных с начала 2 марта 2020 г. Если вы все еще используете альтернативные учетные данные, настоятельно рекомендуем переключиться на более безопасный метод проверки подлинности (например, личные маркеры доступа). Подробнее.

ознакомьтесь с ответами на следующие часто задаваемые вопросы о доступе к вашей Azure DevOps организации через Azure Active Directory (AD). Часто задаваемые вопросы группируются по следующим темам:

Общий доступ с помощью Azure AD

Вопрос. Почему моя организация не отображается в портал Azure?

Ответ. в обоих приложениях необходимо иметь разрешения администратора служб Azure или соадминистратора для подписки Azure, связанной с вашей организацией в Azure DevOps. кроме того, в портал Azureнеобходимо иметь разрешения администратора коллекции Project или владельца организации.

вопрос. я внес изменения в Azure Active Directory (Azure AD), но они не вступили в силу, почему?

Ответ. изменения, внесенные в Azure AD, могут отображаться в Azure DevOps в течение 1 часа.

вопрос. можно ли использовать Microsoft 365 и Azure AD с Azure DevOps?

A. Да.

Вопрос. Зачем нужно выбирать между "рабочей или учебной учетной записью" и моей "личной учетной записью"?

Ответ. это происходит при входе с использованием адреса электронной почты (например, jamalhartnett@fabrikam.com ), который предоставляется вашей личной учетная запись Майкрософт и вашей рабочей учетной записи или учебной учетной записи. Хотя оба удостоверения используют один и тот же адрес для входа, они по-прежнему являются отдельными удостоверениями. У двух удостоверений есть разные профили, параметры безопасности и разрешения.

  • Выберите Рабочая или учебная учетная запись , если вы использовали это удостоверение для создания Организации, или если вы ранее вошли с этим удостоверением. Ваш идентификатор проходит проверку подлинности в каталоге вашей организации в Azure AD, который управляет доступом к вашей организации.

  • Выберите Личная учетная запись , если вы использовали учетная запись Майкрософт с Azure DevOps. Удостоверение проверяется с помощью глобального каталога для учетных записей Майкрософт.

Вопрос. Моя организация использует только учетные записи Майкрософт. Можно ли переключиться на Azure AD?

ОТВЕТ. A. Да, но перед переключением убедитесь, что Azure AD соответствует вашим потребностям в предоставлении общего доступа к следующим элементам:

  • рабочие элементы
  • code
  • ресурсов
  • другие активы с вашей группой и партнерами

Узнайте больше об управлении доступом с помощью учетных записей Майкрософт и Azure AD, а также о том, как переключаться, когда будете готовы.

Вопрос. Почему не удается войти в систему после выбора "Персональная учетная запись Майкрософт" или "Рабочая или учебная учетная запись"?

Ответ. Если ваш адрес для входа является общим для личного учетная запись Майкрософт и вашей рабочей учетной записи или учебной учетной записи, но у выбранного удостоверения нет доступа, вы не сможете войти в систему. Хотя оба удостоверения используют один и тот же адрес для входа, они разделяются: они имеют разные профили, параметры безопасности и разрешения.

выйдите полностью из Azure DevOps, выполнив следующие действия. Закрытие браузера может не выйти полностью. Войдите снова и выберите другое удостоверение:

  1. Закройте все браузеры, включая браузеры, которые не работают Azure DevOps.

  2. Откройте частный или режиме инкогнито сеанс обзора.

  3. Перейдите по этому URL-адресу: https://aka.ms/vssignout .

    Появится сообщение "идет выход". после выхода вы будете перенаправлены на @dev.azure.microsoft.com веб-страницу Azure DevOps.

    Совет

    Если для выхода на страницу выхода требуется больше минуты, закройте браузер и продолжайте работу.

  4. войдите в Azure DevOps еще раз. Выберите другое удостоверение.

Вопрос. что произойдет, если моя подписка Azure отключена?

Ответ. Если вы являетесь владельцем организации или администратором учетной записи подписки Azure, проверьте состояние подписки в центре управления учетной записьюи попытайтесь исправить подписку. Ваши платные параметры восстановлены. Вы также можете связать свою организацию с другой подпиской Azure, отменив связь организации с отключенной подпиской. Пока подписка отключена, ваша организация переходит к бесплатным месячным ограничениям, пока подписка не будет исправлена.

Пользователи и разрешения Azure AD

Если вы не нашли ответ на свой вопрос, см. раздел часто задаваемые вопросы об управлении пользователями и разрешениями.

Вопрос. Зачем добавлять пользователей в каталог?

Ответ. Ваша организация проверяет подлинность пользователей и управляет доступом с помощью Azure Active Directory (Azure AD). Для получения доступа все пользователи должны быть членами каталога.

Администратор каталога может добавлять пользователей в каталог. Если вы не являетесь администратором, обратитесь к администратору каталога, чтобы добавить пользователей. дополнительные сведения об управлении доступом к Azure DevOps Services с помощью каталога.

Вопрос. Разделы справки узнать, использует ли моя организация Azure AD для управления доступом?

Ответ. Если у вас есть по крайней мере базовый доступ, вот как это можно узнать:

перейдите к параметрам вашей организации и перейдите на вкладку Azure Active Directory . См. следующие примеры Организации, которая не подключена, а затем — Организации, которая подключена к Azure AD.

Не подключено

Проверьте наличие подключенного каталога в параметрах Организации = не подключено

Подключен

Проверьте наличие подключенного каталога в параметрах Организации = подключено

Если ваша организация подключена к каталогу вашей организации, только пользователи из каталога вашей организации могут присоединиться к вашей организации. Дополнительные сведения см. в разделе Добавление или удаление пользователей с помощью Azure Active Directory.

Вопрос. Моя организация управляет доступом с помощью Azure Active Directory. Можно ли просто удалить пользователей из каталога?

Ответ. Да, но удаление пользователя из каталога удаляет доступ пользователя ко всем организациям и другим ресурсам, связанным с этим каталогом. Для удаления пользователя из каталога Azure ADнеобходимо иметь разрешения глобального администратора Azure AD.

вопрос. почему не найдены удостоверения при попытке добавить пользователей из Azure AD в мою Azure DevOpsную организацию?

ответ. вы, вероятно, являетесь гостевым компьютером в Azure AD, который выполняет резервное копирование Azure DevOps организации, а не участника. По умолчанию гости Azure AD не могут выполнять поиск в Azure AD так, как это требуется для Azure DevOps. Узнайте, как преобразовать гостевой компьютер Azure AD в член.

Вопрос. как можно преобразовать гостевой компьютер Azure AD в участника?

Ответ. Выберите один из следующих двух вариантов:

Преобразование Azure AD UserType из гостевого в член с помощью Azure AD PowerShell

Предупреждение

это расширенный процесс, который не рекомендуется, но он позволяет пользователю запрашивать Azure AD из Azure DevOps организации.

Предварительные требования

Пользователь, выполняющий изменение UserType, должен иметь следующие элементы:

  • Пользователь рабочей или учебной учетной записи (WSA)/Native в Azure AD. Нельзя изменить UserType на учетную запись Майкрософт.
  • Разрешения глобального администратора

Важно!

Рекомендуется создать новый (собственный) пользователь Azure AD, который является глобальным администратором в Azure AD, а затем выполнить следующие действия с этим пользователем. Этот новый пользователь должен исключить возможность подключения к неправильной службе Azure AD. После завершения вы можете удалить нового пользователя.

Процесс

  1. Войдите в портал Azure в качестве глобального администратора каталога вашей организации.

  2. перейдите в клиент, который будет выполнять резервное копирование Azure DevOps организации.

  3. Проверьте UserType. Убедитесь, что пользователь является гостевым.

    Проверка UserType в портал Azure

  4. откройте запрос администратора Windows PowerShell.

  5. Выполните процедуру Install-Module -Name AzureAD. Azure Active Directory PowerShell для Graph загружается из коллекция PowerShell. вы можете увидеть запросы об установке NuGet и недоверенных репозиториев, как показано ниже. при возникновении проблем ознакомьтесь с требованиями к системе и сведениями на странице Azure Active Directory PowerShell для Graph .

    Действие администратора в Windows PowerShell

  6. После завершения установки выполните Connect-AzureAD . Вам будет предложено войти в Azure AD. Обязательно используйте идентификатор, соответствующий указанным выше критериям.

  7. Выполните Get-AzureADuser -SearchString "<display_name>" , где <display_name> является частью всего отображаемого имени пользователя, как показано внутри портал Azure). Команда возвращает четыре столбца для пользователя Found-ObjectId, DisplayName, UserPrincipalName, UserType-и UserType должен сказать Guest.

  8. Execute Set-AzureADUser -ObjectID string -UserType Member , где string — значение ObjectID, возвращенное предыдущей командой. Пользователю присваивается состояние участник.

  9. Get-AzureADuser -SearchString "<display_name>"Снова выполните, чтобы проверить, изменился ли usertype. также можно проверить в разделе Azure Active Directory портал Azure. Хотя это и не является нормой, мы рассмотрели, что он занимает несколько часов или даже дней, прежде чем это изменение будет отражено в Azure DevOps. если проблема не Azure DevOps устраняется немедленно, придайте ей некоторое время и повторите попытку.

Группы Azure AD

вопрос. почему не удается назначить разрешения Azure DevOps непосредственно группе Azure AD?

ответ. поскольку эти группы создаются и управляются в Azure, вы не можете назначать разрешения Azure DevOps напрямую или защищать пути управления версиями для этих групп. При попытке назначить разрешения напрямую возникает ошибка.

вы можете добавить группу Azure AD в группу Azure DevOps с нужными разрешениями. Вместо этого можно назначить эти разрешения группе. Члены группы Azure AD наследуют разрешения от группы, в которую вы их добавляете.

Вопрос. можно ли управлять группами Azure AD в Azure DevOps?

Ответ. нет, так как эти группы создаются и управляются в Azure. Azure DevOps не сохраняет или не синхронизирует состояние членов групп Azure AD. для управления группами Azure AD используйте портал Azure, Microsoft Identity Manager (MIM) или средства управления группами, которые поддерживает ваша организация.

вопрос. Разделы справки сообщить о разнице между группой Azure DevOps и группой Azure AD?

ответ. Azure DevOps пользовательский интерфейс указывает область действия членства с помощью квадратных скобок [] . Например, рассмотрим следующую страницу параметров разрешений:

разрешения Параметры с разными областями

Имя области Определение
[fabrikam-fiber] членство определено в Параметры организации
[Project Name] членство определяется в Project Параметры
[TEAM FOUNDATION] Членство определяется непосредственно в Azure AD

Примечание

Если вы добавите группу Azure AD в пользовательскую группу безопасности и используете аналогичное имя, возможно, вы увидите, что это дубликаты групп. изучите область в, [] чтобы определить, какая группа DevOps и является группой Azure AD.

Вопрос. Почему пользователи не показывают все члены группы Azure AD?

Ответ. Эти пользователи должны входить в вашу организацию, прежде чем они появятся в списке пользователей.

Вопрос. Разделы справки назначать доступ Организации членам группы Azure AD?

ответ. когда члены группы входят в систему в первый раз, Azure DevOps автоматически назначает ему уровень доступа. если у них есть Visual Studio подписки, Azure DevOps назначает им соответствующий уровень доступа. в противном случае Azure DevOps назначает им следующий "лучший доступный" уровень доступав следующем порядке: "базовый", "заинтересованное лицо".

Если у вас недостаточно уровней доступа для всех участников группы Azure AD, эти участники получат доступ к заинтересованным лицам.

Вопрос. Почему на вкладке "безопасность" отображаются все элементы при выборе группы Azure AD?

Ответ. на вкладке Безопасность отображаются члены группы Azure AD только после того, как они входят в вашу организацию и имеют назначенный им уровень доступа.

чтобы просмотреть всех членов группы Azure AD, используйте портал Azure, MIM или средства управления группами, которые поддерживает ваша организация.

Вопрос. Почему мини-приложение "члены группы" отображает все члены группы Azure AD?

Ответ. Мини-приложение "члены группы" показывает только пользователей, которые ранее вошли в вашу организацию.

Вопрос. Почему в области "производительность команды" отображаются все члены группы Azure AD?

Ответ. в области "производительность команды" отображаются только пользователи, которые ранее вошли в вашу организацию. Чтобы задать емкость, вручную добавьте пользователей в команду.

Вопрос. Почему комната команды не показывает автономных пользователей?

Ответ. в комнате команды отображаются члены группы Azure AD, но только они находятся в сети.

вопрос. почему не Azure DevOps не запрашивать уровни доступа у пользователей, которые не являются членами группы Azure AD?

ответ. Azure DevOps не выполняет автоматическое освобождение уровней доступа от этих пользователей. Чтобы вручную удалить доступ, перейдите к разделу Пользователи.

Вопрос. можно ли назначить рабочие элементы членам группы Azure AD, которые не вошли в сеть?

Ответ. Вы можете назначить рабочие элементы любому члену Azure AD, имеющему разрешения для вашей организации. Это действие также добавляет этого участника в вашу организацию. При добавлении пользователей таким способом они автоматически отображаются как пользователи с наилучшим доступным уровнем доступа. Пользователь также отображается в параметрах безопасности.

Вопрос. можно ли использовать группы Azure AD для запроса рабочих элементов с помощью предложения "in Group"?

Ответ. нет, запросы к группам Azure AD не поддерживаются.

Вопрос. можно ли использовать группы Azure AD для настройки правил полей в шаблонах рабочих элементов?

Ответ. нет, но вас могут заинтересовать наши планы настройки процесса.

Добавление пользователей в каталог

Добавьте пользователей организации в Azure Active Directory.

Вопрос. Почему я получаю сообщение о том, что моя организация имеет несколько активных удостоверений с одним именем участника-пользователя?

Ответ. в процессе подключения существующие пользователи сопоставляются с членами клиента Azure AD на основе их имени участника-пользователя, которое часто называется адресом для входа. Если обнаружено несколько пользователей с одним именем участника-пользователя, мы не будем знать, как сопоставлять этих пользователей. Эта ситуация возникает, если пользователь изменяет свое имя участника-пользователя, чтобы оно совпадало с именем, уже существующим в Организации.

Вопрос. можно ли переключать текущих пользователей с учетных записей Майкрософт на рабочие учетные записи Azure DevOps?

Ответ. Нет. Хотя в Организации можно добавлять новые рабочие учетные записи, они рассматриваются как новые пользователи. Если вы хотите получить доступ ко всей работе, включая ее журнал, необходимо использовать те же адреса входа, которые использовались до подключения Организации к Azure AD. Добавьте учетная запись Майкрософт в качестве участника в Azure AD.

Вопрос. Почему не удается добавить пользователей из других каталогов в мою службу Azure AD?

Ответ. необходимо быть членом или иметь доступ на чтение в этих каталогах. В противном случае их можно добавить с помощью службы совместной работы B2B через администратора Azure AD. Их также можно добавить с помощью учетных записей Майкрософт или создать для них новые рабочие учетные записи в каталоге.

Вопрос. что делать, если возникает ошибка при попытке связать пользователя с существующим участником моей организации?

Ответ. Вы можете связать пользователя с другим удостоверением, который еще не является активным участником Организации, или добавить существующего пользователя в Azure AD. если вам по-прежнему нужно соотнесение с существующим Azure DevOps членом организации, обратитесь в службу поддержки.

вопрос. Разделы справки использовать мою рабочую или учебную учетную запись с моим Visual Studio с подпиской MSDN?

ответ. если вы использовали учетная запись Майкрософт для активации Visual Studio с подпиской MSDN , содержащей Azure DevOps в качестве преимущества, можно добавить рабочую или учебную учетную запись. Учетная запись должна управляться Azure AD. узнайте , как связать рабочие или учебные учетные записи с подпиской MSDN по Visual Studio.

Вопрос. можно ли управлять доступом к моей организации для внешних пользователей в подключенном каталоге?

ответ. да, но только для внешних пользователей, добавленных в качестве гостей через Microsoft 365 или добавленных с помощью службы совместной работы B2B администратором Azure AD. Эти внешние пользователи управляются за пределами подключенного каталога. Чтобы узнать больше, обратитесь к администратору Azure AD. Следующий параметр не влияет на пользователей, которые добавляются непосредственно в каталог вашей организации.

Прежде чем начать, убедитесь, что у вас есть по крайней мере базовый доступ, а не заинтересованное лицо.

Выполните необходимые условия для добавления внешних пользователей, включив внешний гостевой доступ.

Удаление пользователей или групп

Вопрос. Разделы справки удалить группу Azure AD из Azure DevOps?

Ответ. Перейдите к коллекции проектов или проекту. на верхней панели выберите Параметры, а затем выберите безопасность.

Найдите группу Azure AD и удалите ее из вашей организации.

Снимок экрана: проект с выделенным параметром "Удалить"

Вопрос. Почему мне предложено удалить пользователя из группы Azure AD при удалении этого пользователя из моей организации?

ответ. пользователи могут принадлежать к вашей организации как к отдельным пользователям, так и в качестве членов групп Azure AD в группах Azure DevOps. Эти пользователи по-прежнему могут получить доступ к вашей организации, пока они входят в эти группы Azure AD.

Чтобы запретить доступ для пользователей, удалите их из групп Azure AD в вашей организации или удалите эти группы из вашей организации. Сейчас мы не можем полностью блокировать доступ или делать исключения для таких пользователей.

Вопрос. Если пользователь Azure AD удален, все связанные с ним ПАТС также будут отозваны?

Ответ. Пользователи, которые отключены или удалены из каталога, не могут получить доступ к Организации с помощью какого-либо механизма, в том числе через ПАТС или SSH.

Подключение, отключение от или изменение подключения Azure AD

Вопрос. как можно управлять несколькими организациями, которые поддерживаются Azure AD?

ответ. вы можете скачать полный список организаций, поддерживаемых Azure Active Directoryным клиентом. Дополнительные сведения см. в статье Получение списка организаций, поддерживаемых Azure AD.

Вопрос. можно ли подключить мою организацию к Azure AD, созданной на основе Microsoft 365?

A. Да. если вы не можете найти службу Azure AD, созданную на основе Microsoft 365, см. раздел почему не отображается каталог, к которому нужно подключиться?.

Вопрос. Почему каталог, к которому я хочу подключиться, не отображается?   Что следует делать?

Ответ. каталог может не отображаться в следующих случаях:

  • У вас нет разрешений владельца Организации на управление подключениями к каталогам.

  • Обратитесь к администратору организации Azure AD и попросите его сделать вас членом Организации. Возможно, вы не являетесь частью Организации.

Вопрос. Почему моя организация уже подключена к каталогу? Можно ли изменить этот каталог?

Ответ. Ваша организация была подключена к каталогу, когда владелец Организации создал организацию или позже. При создании Организации с рабочей или учебной учетной записью ваша организация автоматически подключается к каталогу, который управляет этой рабочей или учебной учетной записью. Да, можно переключать каталоги. Возможно, потребуется выполнить миграцию некоторых пользователей.

Вопрос. можно ли переключиться на другой каталог?

A. Да. Дополнительные сведения см. в разделе переключение на другую службу Azure AD.

Важно!

Пользователи и группы, которые наследуют членство и разрешения из группы Azure AD, больше не будут наследовать эти разрешения после перемещения. группы Azure ad, добавленные в Azure DevOpsную организацию, не переносятся и будут прекращены в вашей организации при изменении подключения к Azure AD. Все разрешения и отношения членства, внесенные в эти группы Azure AD, также будут прекращены после перемещения.

Вопрос. альтернативные учетные данные больше не работают. Что делать?

ответ. Azure DevOps больше не поддерживает проверку подлинности с альтернативными учетными данными с начала 2 марта 2020 г. Если вы все еще используете альтернативные учетные данные, настоятельно рекомендуем переключиться на более безопасный метод проверки подлинности (например, личные маркеры доступа или SSH). Подробнее.

Вопрос. Некоторые пользователи отключены, но они совпадают с удостоверениями в Azure AD.   Что следует делать?

A.

  • в Azure DevOps параметры организации выберите Azure Active Directory и нажмите кнопку разрешить.

    Выберите Azure AD и разрешите

  • Совпадение с удостоверениями. Завершив настройку, щелкните Далее.

    Разрешение отключенных пользователей

Вопрос. при разрешении отсоединений я получаю сообщение об ошибке.   Что следует делать?

A.

  • Попробуйте еще раз.

  • Вы можете быть гостевым в Azure AD. Попросите администратора организации, который является членом Azure AD, выполнить сопоставление. Или попросите администратора Azure AD преобразовать вас в член.

    Снимок экрана, показывающий об ошибке при разрешении отключенных пользователей.

  • Если сообщение об ошибке содержит пользователя в вашем домене, но вы не видите его в вашем каталоге, пользователь, вероятно, оставил вашу компанию. Перейдите к параметрам пользователя организации, чтобы удалить пользователя из Организации.

Вопрос. когда я пытаюсь пригласить нового пользователя в мою службу Azure AD, я получил исключение 403. Что делать?

Ответ. Вы можете быть гостевым в Azure AD и не иметь нужных разрешений для приглашения пользователей. Перейдите к параметрам внешних параметров совместной работы в Azure AD и переместите переключатель "гости в приглашении" в положение Да. Обновите Azure AD и повторите попытку.

вопрос. будут ли мои пользователи иметь существующие подписки Visual Studio?

ответ. Visual Studio администраторы подписок обычно назначают подписки корпоративным адресам электронной почты пользователей, чтобы пользователи могли получать приветственные сообщения и уведомления. Если адреса электронной почты для удостоверений и подписок совпадают, пользователи могут получить доступ к преимуществам подписки. По мере перехода от Майкрософт к удостоверениям Azure AD, преимущества пользователей по-прежнему будут работать с новым удостоверением Azure AD. Но адреса электронной почты должны совпадать. Если адреса электронной почты не совпадают, администратору подписки необходимо переназначить подписку. в противном случае пользователи должны добавить альтернативное удостоверение в свою подписку Visual Studio.

Вопрос. что делать, если требуется вход при использовании средства выбора людей?

Ответ. Очистите кэш браузера и удалите все файлы cookie для сеанса. Закройте браузер, а затем снова откройте.

Вопрос. что делать, если моя учетная запись электронной почты не найдена в Azure AD?

A.

  • в Azure DevOps параметры организации выберите Azure Active Directory и нажмите кнопку разрешить.

    Выберите Azure AD и разрешите

  • Совпадение с удостоверениями. Завершив настройку, щелкните Далее.

    Разрешение отключенных пользователей

Вопрос. что если мои рабочие элементы указывают, что пользователи недействительны?

Ответ. Очистите кэш браузера и удалите все файлы cookie для сеанса. Закройте браузер, а затем снова откройте.

вопрос. когда моя организация подключается к Azure AD, будет ли она обновлять Azure Boards рабочие элементы, запросы на вытягивание и другие фрагменты, на которые я ссылался в системе, с новым идентификатором?

Ответ. Да, все элементы в системе обновляются с новым ИДЕНТИФИКАТОРом, когда идентификатор пользователя сопоставляется с личным адресом электронной почты по их рабочему адресу.

Вопрос. что делать, если я получаю предупреждение о членах, которые будут потеряют доступ к Организации?

Ответ. Вы по-прежнему можете подключиться к Azure AD, но попытаться устранить проблему с сопоставлением после подключения. Если вам по-прежнему нужна помощь, обратитесь в службу поддержки.

Снимок экрана с предупреждением о подключении к Azure AD.

Выделите выделенный текст, чтобы увидеть, какие пользователи затрагиваются.

Показывать отключенных пользователей

Вопрос. что делать, если у меня более 100 пользователей и вы хотите подключиться к Azure AD?

Ответ. более 100 пользователей могут подключаться, однако может потребоваться обратиться в службу поддержки для получения помощи от отключенных пользователей.

вопрос. в моей Azure DevOps организации более 100 участников, как подключиться к Azure AD?

Ответ. в настоящее время вы можете подключиться, но функции сопоставления и приглашения, помогающие разрешать отключенные пользователи, не будут работать свыше 100. Обратитесь в службу поддержки.

вопрос. почему git.exeили Visual Studio не удается выполнить проверку подлинности после создания связи или отсоединения от Azure Active Directory?

Ответ. Если вы используете версию GCM перед v 1.15.0, необходимо очистить кэш клиента. Очистка кэша клиента выполняется так же просто, как удаление %LocalAppData%\GitCredentialManager\tenant.cache файла на каждом компьютере, возвращающего ошибку входа. GCM автоматически воссоздает и заполняет файл кэша по мере необходимости при последующих попытках входа.

Вопрос. Разделы справки получить справку или поддержку для Azure DevOps?

О. у вас есть следующие варианты поддержки: