通过Azure AD租户策略限制组织创建

Azure DevOps Services

了解如何启用Azure Active Directory (Azure AD) 租户策略,以限制用户在Azure DevOps中创建组织。 默认情况下,此策略已关闭。

先决条件

你必须是Azure AD中的Azure DevOps管理员才能管理此策略。 这不是Project集合管理员的要求。

如果未在Azure DevOps中看到策略部分,则不是管理员。 若要检查角色,请登录到Azure 门户,然后选择Azure Active Directory>角色和管理员。 如果你不是Azure DevOps管理员,请与管理员交谈。

Check Azure AD roles and administrators

注意

目前,Azure DevOps管理员可以仅限制单个用户的新组织创建,而不能限制为组创建新组织。

还可以使用 Azure AD PowerShell 模块检查角色。 Azure AD PowerShell to enable policy

有关新的内置Azure AD角色的详细信息,请参阅Azure Active Directory中的管理员角色权限

打开策略

  1. 登录到组织 (https://dev.azure.com/{yourorganization}) 。

  2. 选择“ gear icon组织”设置

    Open Organization settings

  3. 选择Azure Active Directory,然后切换开关以打开策略,限制组织创建。

    Turn on Azure AD policy

可选

创建允许列表

警告

建议将组与租户策略配合使用,允许列出 () 。 如果使用命名用户,请注意,对命名用户的标识的引用将驻留在美国、欧洲 (欧盟) 和东南亚 (新加坡) 。

启用策略后,所有用户将受到限制,无法创建新组织。 向具有允许列表的用户授予异常。 允许列表上的用户可以创建新组织,但他们无法管理策略。

  1. 选择“添加AAD用户或组

Option, Create allow list and add Azure AD users or groups

创建错误消息

如果管理员不在允许列表上,请尝试创建一个组织,其错误类似于以下示例。

Error message example

在Azure DevOps的策略设置中自定义此错误消息。

  1. 选择 “编辑显示”消息

    Select Edit display message to customize

  2. 输入自定义邮件,然后选择“ 保存”。

    Customize error message dialog

错误消息是自定义的。

Customized error message

注意

不在允许列表上的管理员无法将其组织连接到打开策略的Azure AD租户。

Connection failed error