用户和权限管理常见问题解答

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

了解以下常见问题的解答, (常见问题解答) Azure DevOps中的用户和权限管理。 常见问题解答按以下主题分组:

常规权限

问:如果我忘记了密码,会发生什么情况?

答:如果组织启用此功能,则可以恢复 Microsoft 帐户密码或恢复工作或学校帐户密码。 否则,请联系Azure Active Directory管理员以恢复工作或学校帐户。

问:为什么我无法管理用户?

答:必须是Project集合管理员组或组织所有者的成员才能管理组织级别的用户。 若要添加,请参阅 组织或集合级别的更改权限

问:如何实现查找组织所有者?

答:如果至少具有基本访问权限,可以在组织设置中找到当前所有者。

  1. 转到 组织设置

    Open Organization settings

  2. 查找当前所有者。

    Find the current owner in organization information

问:如何实现查找Project集合管理员?

答:如果至少具有基本访问权限,可以在组织的或集合的设置中找到Project集合管理员组的成员。

有关详细信息,请参阅 查找项目集合管理员

有关详细信息,请参阅 查找项目管理员

Visual Studio 订阅

问:何时选择“Visual Studio/MSDN 订阅服务器”?

答:将此访问级别分配给具有活动、有效Visual Studio订阅的用户。 Azure DevOps会自动识别和验证具有Azure DevOps权益的Visual Studio订阅者。 需要与订阅关联的电子邮件地址。

如果用户没有有效的活动Visual Studio订阅,他们只能作为利益干系人工作。

问:我可以将哪些Visual Studio订阅用于Azure DevOps?

问:为什么我的Visual Studio订阅无法验证?

问:为什么在订阅者登录后Visual Studio订阅者访问级别更改?

答:Azure DevOps可识别Visual Studio订阅者。 用户根据订阅自动拥有访问权限,而不是基于分配给用户的当前访问级别。

问:如果用户的订阅过期,会发生什么情况?

答:如果没有其他访问级别可用,用户可以 充当利益干系人。 若要还原访问权限,用户必须续订其订阅。

用户访问权限

问:“上次访问”在“所有用户”视图中意味着什么?

答: 上次访问 中的值是用户访问任何资源或服务的最后日期。 访问Azure DevOps包括直接使用 organizationname.visualstudio.com,以及间接使用资源或服务。 例如,可以使用Azure Artifacts扩展,也可以将代码推送到 Git 命令行或 IDE 中的Azure DevOps。

问:支付基本访问权限的用户是否可以加入其他组织?

答:否,用户只能加入用户为其支付基本访问权限的组织。 但是,用户可以加入任何具有基本访问权限的免费用户仍可用的组织。 用户还可以免费作为具有利益干系人访问权限的用户加入。

问:为什么用户无法访问某些功能?

答:确保用户具有分配给他们的正确 访问级别

某些功能仅可用作 扩展。 需要安装这些扩展。 大多数扩展要求你至少具有基本访问权限,而不是利益干系人访问权限。 在Visual Studio市场Azure DevOps选项卡中检查扩展的说明。

例如,若要搜索代码,可以安装免费的 代码搜索扩展,但至少需要基本访问权限才能使用该扩展。

为了帮助团队提高应用质量,可以安装免费的测试&反馈扩展,但你可以根据访问级别以及脱机工作还是连接到Azure DevOps Services获得不同的功能。

某些Visual Studio订阅者可以使用此功能免费,但基本用户需要升级到 Basic + Test Plans 访问权限,然后才能创建测试计划。

问:为什么用户无法访问某些功能?

答:用户因以下原因而失去访问权限, (尽管用户可以继续 作为利益干系人) 工作

  • 用户的Visual Studio订阅已过期。 同时,用户可以 充当利益干系人,也可以向用户授予基本访问权限,直到用户续订其订阅。 用户登录后,Azure DevOps自动还原访问权限。

  • 用于计费的 Azure 订阅不再处于活动状态。 使用此订阅进行的所有购买都会受到影响,包括Visual Studio订阅。 若要解决此问题,请访问 Azure 帐户门户

  • 用于计费的 Azure 订阅已从组织中删除。 了解有关 链接组织的详细信息。

  • 你的组织拥有比在 Azure 中支付的用户数更多的具有基本访问权限的用户。 你的组织包括五个具有基本访问权限的免费用户。 如果需要添加具有基本访问权限的更多用户,可以为 这些用户付费

否则,在日历月的第一天,尚未登录组织最长的用户将首先失去访问权限。 如果组织具有不再需要访问权限的用户,请 将其从组织中删除

问:我的用户帐户如何从其他Azure AD组继承权限?

答:如果用户位于多个Azure AD组中,则一个组中的 DENY 权限集将应用于用户位于的所有组中。 由于权限设置为“ 拒绝 ”,因此用户对资源使用的影响在他们处于的所有组中,因为拒绝始终优先。

例如,如果用户位于“参与者”组和Project管理员组中,并且“拒绝”为参与者组中的特定权限设置,则Project管理员组中的用户也拒绝该权限。 在此方案中,可以使用 “未设置 ”选项。

有关权限状态的详细信息,请参阅 权限状态

更改组织的应用访问策略

问:个人访问令牌与备用身份验证凭据有何不同?

答:个人访问令牌是替代身份验证凭据更方便且更安全的替代方法。 可以将令牌的使用限制为特定生存期、组织以及令牌授权的活动 范围 。 详细了解 个人访问令牌

问:如果我拒绝访问一个组织中的一种身份验证方法,那是否会影响我拥有的所有组织?

答:否,你仍然可以在拥有的所有其他组织中使用该方法。 个人访问令牌 适用于特定组织或所有组织,具体取决于创建令牌时所做的选择。

问:如果我拒绝访问身份验证方法,请再次允许访问,需要访问权限的应用是否会继续工作?

答:是的,这些应用将继续工作。

离开组织

问:当所有者无法删除我时,如何实现从组织中删除自己?

答:若要从组织中删除自己,请执行以下步骤:

  1. 转到 aex.dev.azure.com

  2. 选择组织,然后选择 “离开”。

    Member removing their self from the organization

  3. 确认要 离开 组织。

    Screenshot showing confirmation for leaving the organization.

基于组的许可

问:如果我删除组规则,我的用户是否会失去其访问级别和项目成员身份?

答:如果用户尚未显式分配给资源或通过其他组规则分配,则组 TestGroup 中的用户将失去对组资源的访问权限。

remove-test-group-group-rule-managing_group-based-licensing

问:如果我删除Azure DevOps或Azure AD组规则,是否会删除我的Azure DevOps或Azure AD组?

答:否。 不会删除组。

问:“从所有项目级别组中删除 <group> ”选项有何用途?

答:此选项从任何项目级默认组(例如Project读者Project参与者)中删除Azure DevOps或Azure AD组。

问:如果用户在多个组中,什么是最终访问级别?

答:按以下顺序对组规则类型进行排名:订阅服务器 > Basic + Test Plans>基本>利益干系人。 用户始终在所有组规则(包括Visual Studio订阅)之间获得最佳访问级别。

请参阅以下示例,其中显示了订阅者检测因素如何纳入组规则。

示例 1:组规则为我提供更多访问权限

如果我有一个Visual Studio Pro订阅,并且我在一个组规则中,该规则为我提供基本 + Test Plans - 会发生什么情况?

预期:我获得基本 + Test Plans,因为组规则给我的内容大于我的订阅。

示例 2:组规则为我提供相同的访问权限

我有一个Visual Studio测试Pro订阅,我位于一个组规则中,该规则提供基本 + Test Plans - 会发生什么情况?

预期:我被检测为Visual Studio测试Pro订阅者,因为访问与组规则相同,并且我已经为Visual Studio测试Pro付费,所以我不想再次付款。

将成员添加到项目

问:为什么无法向项目添加更多成员?

答:你的组织是免费的,前五个用户具有基本访问权限。 可以免费添加无限制利益干系人和Visual Studio订阅者。 分配所有五个具有基本访问权限的免费用户后,可以继续添加利益干系人和Visual Studio订阅者。

若要添加具有基本访问权限的六个或多个用户,需要在 Azure 中设置计费。 然后,可以 支付更多需要基本访问权限的用户,返回到组织, 添加这些用户,并为其分配基本访问权限。 设置计费后,每月支付额外的用户访问费用。 可以随时取消。

如果需要更多Visual Studio订阅,请了解如何购买订阅

问:为什么某些用户无法登录?

答:此问题可能是因为用户必须使用 Microsoft 帐户登录,除非组织使用 Azure Active Directory (Azure AD) 控制访问权限。 如果组织已连接到Azure AD,则用户必须是目录成员才能获取访问权限。

如果你是Azure AD管理员,则可以将用户添加到目录中。 如果你不是Azure AD管理员,请与目录管理员协作添加它们。 了解如何使用 Azure AD控制组织访问权限

问:为什么某些用户无法访问某些功能?

答:由于 不同原因,可能会丢失访问权限。

问:如何实现从我的组织中删除用户?

答:了解如何在组织中所有项目中 删除用户 。 如果为更多用户付费,但不再需要其组织访问权限,则必须减少付费用户以避免费用。

问:即使我是Azure AD全局管理员,为什么无法从连接的Azure AD找到成员?

答:你可能是Azure AD实例中的来宾,可以备份Azure DevOps。 默认情况下,Azure AD来宾无法在Azure AD中搜索。 这就是为什么你在连接的Azure AD中找不到要添加到组织的用户的原因。

首先,检查你是Azure AD来宾:

  1. 转到组织的设置部分。 查看下Azure Active Directory部分。 记下支持组织的租户。

  2. 登录到新的Azure 门户,portal.azure.com。 在步骤 1 中检查租户中的用户配置文件。 检查如下所示 的用户类型 值:

    Check user type in the Azure portal

如果你是Azure AD来宾,请执行以下步骤之一:

  • 让另一个Azure DevOps管理员(不是Azure AD来宾)为你管理Azure DevOps中的用户。 Azure DevOps内的Project集合管理员组的成员可以管理用户。
  • 让Azure AD管理员从连接的Azure AD中删除你并阅读了你。 管理员需要成为Azure AD成员而不是来宾。 请参阅是否可以将 Azure AD B2B 用户添加为成员而不是来宾?
  • 使用 Azure AD PowerShell 更改Azure AD来宾的用户类型。 我们不建议使用以下过程,但它的工作原理,并允许用户从之后Azure DevOps查询Azure AD。
  1. 下载并安装 Azure AD PowerShell 模块

    PS Install-Module -Name AzureAD
    
  2. 打开 PowerShell 并运行以下 cmdlet。

    a. 连接到 Azure AD:

    PS Connect-AzureAD
    

    b. 查找用户的 objectId

    PS Get-AzureADuser -SearchString "YourUPN"
    

    c. 检查此用户的 usertype 属性,以查看他们是否是来宾或成员:

    PS Get-AzureADUser -objectId This is the result of the previous command
    

    d. 将 usertype成员 更改为 来宾

    PS Set-AzureADUser -objectId <replacethe object ID for the result of the command to search> -UserType Member
    

问:为什么在用户中心添加或删除用户后,用户不会在Azure DevOps中及时显示或消失?

答:如果遇到延迟查找新用户或从Azure DevOps (中删除用户(例如,在添加或删除用户后) 下拉列表和组)中,请提交有关开发者社区的问题报告,以便我们可以调查。

问:为什么必须选择“工作或学校帐户”和“个人帐户”?

答:使用电子邮件地址 ((例如, jamalhartnett@fabrikam.com 由个人 Microsoft 帐户和工作帐户或学校帐户共享) )登录时,会发生此情况。 尽管这两个标识使用相同的登录地址,但它们仍然是单独的标识。 这两个标识具有不同的配置文件、安全设置和权限。

  • 如果使用此标识创建组织,或者以前使用此标识登录,请选择 “工作”或“学校帐户 ”。 标识由组织的目录在Azure AD进行身份验证,该目录控制对组织的访问。

  • 如果将 Microsoft 帐户用于Azure DevOps,请选择“个人帐户”。 标识由 Microsoft 帐户的全局目录进行身份验证。

问:为什么在选择“个人 Microsoft 帐户”或“工作或学校帐户”后无法登录?

答:如果登录地址由个人 Microsoft 帐户和工作帐户或学校帐户共享,但所选标识没有访问权限,则无法登录。 尽管这两个标识使用相同的登录地址,但它们是分开的:它们具有不同的配置文件、安全设置和权限。

通过完成以下步骤从 Azure DevOps完全注销。 关闭浏览器可能无法完全注销。 再次登录并选择其他标识:

  1. 关闭所有浏览器,包括未运行Azure DevOps的浏览器。

  2. 打开专用或隐身浏览会话。

  3. 转到此 URL: https://aka.ms/vssignout

    你会看到一条消息,上面写着“正在注销”。注销后,会重定向到Azure DevOps@dev.azure.microsoft.com网页。

    提示

    如果注销页面需要一个多分钟才能注销,请关闭浏览器并继续。

  4. 再次登录Azure DevOps。 选择其他标识。

问:如何实现获取对Azure DevOps的帮助或支持?

答:有以下支持选项: