添加或删除用户或组,管理安全组

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

用于管理权限和访问权限的建议方法是将用户分配到安全组。 可以将用户分配到默认安全组或创建自定义组来授予或限制权限。 可以将用户和组添加到多个安全组。 例如,将大多数开发人员添加到 “参与者 ”组。 将同一用户作为成员添加到团队时,会将其添加到团队的系统生成的安全组。

本文介绍如何执行以下任务:

  • 在项目或集合级别创建自定义安全组
  • 向安全组添加或删除用户或组
  • 更改组名称、映像或说明
  • 删除自定义安全组

有关以下相关任务的信息,请参阅相应的文章:

注意

用户从属于的组 () 继承权限。 如果将某个权限设置为 “允许 一个组”,而用户所属的另一个组则为 “拒绝 ”,则其有效权限分配为 “拒绝”。 若要了解有关权限继承的详细信息,请参阅具有权限、访问权限和安全组开始、权限继承和安全组

Azure DevOps如何使用安全组

Azure DevOps出于以下目的使用安全组:

  • 确定分配给组或用户的权限
  • 确定分配给组或用户的访问级别
  • 根据组中的成员身份筛选工作项查询
  • 使用项目级组 @mention 向该组的成员发送电子邮件通知
  • 向工作组成员发送团队通知
  • 将组添加到基于角色的权限
  • 将对象级权限设置为安全组

注意

所有安全组都是组织级实体,即使是那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会根据用户权限受到限制。 但是,可以使用 azure devops CLI 工具或 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 “添加和管理安全组”。

注意

所有安全组都是集合级实体,甚至那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会根据用户权限受到限制。 但是,可以使用 azure devops CLI 工具或 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 “添加和管理安全组”。

注意

所有安全组都是集合级实体,甚至那些仅具有特定项目权限的组。 在 Web 门户中,某些安全组的可见性可能会根据用户权限受到限制。 但是,可以使用 REST API 发现组织中所有组的名称。 若要了解详细信息,请参阅 “添加和管理安全组”。

先决条件

  • 若要在项目级别管理权限或组,你必须是Project管理员组的成员。 如果创建了项目,则会自动添加为此组的成员。
  • 若要在集合或实例级别管理权限或组,你必须是Project集合管理员组的成员。 如果创建了组织或集合,则会自动添加为此组的成员。

注意

添加到Project范围的用户组的用户无法访问大多数组织设置页面,包括权限。 若要了解详细信息,请参阅 “管理组织”,限制项目的用户可见性等

创建自定义安全组

可以从 Project settingsPermissions> 或 Organization settingsPermissions> 页面创建自定义安全组。 如果要在项目或对象级别管理权限,请选择创建项目级组。 如果要在集合级别管理权限,请创建集合级别组。 若要详细了解如何设置这些区域的权限,请参阅 更改项目级权限更改项目集合级权限

注意

若要为Project权限设置页组织权限设置页 v2 启用新的用户界面,请参阅“启用预览功能”。 这两个预览页都提供当前页未使用的组设置页。

创建项目级组

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 若要选择其他项目,请参阅 切换项目、存储库、团队

  2. 选择Project设置,然后选择“权限”。

    Screenshot, open Project settings, Permissions.

  3. 选择 “新建组 ”以打开用于添加组的对话框。

创建项目集合级组

  1. 打开 Web 门户,选择“Azure DevOps”图标,然后选择“组织设置”。

    Open Organization settings

  2. “安全性”下,选择 “权限”,然后选择“ 新建组 ”以打开用于添加组的对话框。

    Create security group at the organization-level

定义新组

  1. 在打开的对话框中,输入组 的名称 。 (可选)添加成员和组的说明。

    例如,我们在此处定义工作跟踪管理员组。

    Security group dialog, Add a security group at the organization-level

    完成后,选择 “创建 ”。

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 若要选择其他项目,请参阅 切换项目、存储库、团队

  2. 选择Project 设置,然后选择“安全性”。

    若要查看完整映像,请选择展开

    Project Settings>Security

  3. “组”下,选择以下选项之一:

    • 读者:若要添加需要对项目具有只读访问权限的用户,请选择。
    • 参与者:添加完全参与此项目或已被授予利益干系人访问权限的用户。
    • Project管理员:添加需要管理项目的用户。 若要了解详细信息,请参阅 更改项目级权限
  4. 接下来,选择“ 成员 ”选项卡。

    在这里,我们选择 “参与者 ”组。

    Security page, Contributors group, Membership page

    默认团队组以及添加到项目的任何其他团队将作为 参与者 组的成员包含在内。 改为将新用户添加为团队成员,用户会自动继承参与者权限。

    提示

    使用组(而不是单个用户)管理用户要容易得多。

  5. 选择 “添加” 以添加用户或用户组。

  6. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择符合要求的匹配 (es) 。

    Add users and group dialog, server version.

    注意

    首次将用户或组添加到Azure DevOps时,无法浏览到该用户或检查友好名称。 添加标识后,只需输入友好名称即可。

    完成后,选择 “保存更改 ”。

  7. (可选) 可以自定义用户对项目中其他功能的权限。 例如,在 区域和迭代共享查询中。

    注意

    具有有限访问权限的用户(如利益干系人)将无法访问选择功能,即使向这些功能授予权限也是如此。 若要了解详细信息,请参阅 “权限和访问权限”。

  1. 打开 Web 门户,选择要在其中添加用户或组的项目。 若要选择其他项目,请参阅 切换项目、存储库、团队

  2. 选择 齿轮图标以打开管理上下文。

    Open Project Settings, horizontal nav

  3. 选择 “安全性 ”,然后在“ ”下选择以下选项之一:

    • 读者:若要添加需要对项目具有只读访问权限的用户,请选择。
    • 参与者:添加完全参与此项目或已被授予利益干系人访问权限的用户。
    • Project管理员:添加需要管理项目的用户。 若要了解详细信息,请参阅 更改项目级权限
  4. 接下来,选择“ 成员 ”选项卡。

    在这里,我们选择“参与者”组。

    Security page, Contributors group, Membership page

    提示

    使用组(而不是单个用户)管理用户要容易得多。

    默认情况下,默认团队组和添加到项目的任何其他团队都包含为 “参与者 ”组的成员。 改为将新用户添加为团队成员,用户会自动继承参与者权限。

  5. 选择 gear icon“添加” 以添加用户或用户组。

  6. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。

    Add users and group dialog

    注意

    首次将用户或组添加到Azure DevOps时,无法浏览到该用户或检查友好名称。 添加标识后,只需输入友好名称即可。

  7. (可选) 可以自定义项目中其他功能的用户权限,例如 区域和迭代共享查询

    注意

    具有有限访问权限的用户(如利益干系人)将无法访问选择功能,即使向这些功能授予权限也是如此。 若要了解详细信息,请参阅 “权限和访问权限”。

将用户或组添加到安全组

随着角色和职责的变化,可能需要更改项目的各个成员的权限级别。 最简单的方法是将用户或用户组添加到默认安全组或自定义安全组。 如果角色发生更改,则可以从组中删除用户。

下面介绍如何将用户添加到内置Project管理员组。 无论要添加哪个组,该方法都是相似的。 如果组织已连接到 Azure Active Directory 或 Active Directory,则可以将这些目录中定义的安全组添加到Azure DevOps安全组。 若要了解详细信息,请参阅将 AD/Azure AD用户或组添加到内置安全组

注意

若要为Project权限设置页组织权限设置页 v2 启用新的用户界面,请参阅“启用预览功能”。 这两个预览页都提供当前页未使用的组设置页。

  1. 打开项目级别或组织级别的 “权限 ”页,如上一部分所述, 创建自定义安全组

  2. 选择要管理其成员的安全组,然后选择“ 成员 ”选项卡,然后选择“ 添加”。

    例如,此处选择“管理员”组、“成员”和“添加”Project。

    Project Settings > Permissions, Add member

  3. 在文本框中输入用户帐户的名称,然后从显示的匹配项中进行选择。 可以在“ 添加用户和/或组 ”框中输入系统识别的多个标识。 系统会自动搜索匹配项。 选择满足你的选择的匹配项。

    Add users and group dialog, preview page.

    注意

    具有有限访问权限的用户(如利益干系人)将无法访问选择功能,即使向这些功能授予权限也是如此。 若要了解详细信息,请参阅 “权限和访问权限”。

  4. 选择 “保存”

  1. 打开项目级别或组织级别的 “权限 ”页,如上一部分中所述 ,创建自定义安全组

  2. 选择要管理其成员的安全组,然后选择“ 成员 ”选项卡,然后选择“ 添加”。

    例如,此处选择“管理员”组、“成员”和“添加”Project。

    Project Settings>Security, Add member

  3. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择符合你选择的匹配 () 。

    Add users and group dialog, on-premises.

    注意

    具有有限访问权限的用户(如利益干系人)将无法访问选择功能,即使已授予这些功能的权限。 若要了解详细信息,请参阅 权限和访问权限

  4. 选择“保存更改”。 选择 刷新图标以查看添加内容。

  1. 打开项目级别或组织级别的 “权限 ”页,如上一部分中所述 ,创建自定义安全组

  2. 选择要管理其成员的安全组,然后选择“ 成员 ”选项卡,然后选择“ 添加”。

    例如,此处选择“管理员”组、“成员”和“添加”Project。

    Project Settings>Security, Add member

  3. 在文本框中输入用户帐户的名称。 可以在文本框中输入多个标识,用逗号分隔。 系统会自动搜索匹配项。 选择符合你选择的匹配 () 。

    Add users and group dialog, TFS 2018 and earlier versions.

    注意

    具有有限访问权限的用户(如利益干系人)将无法访问选择功能,即使已授予这些功能的权限。 若要了解详细信息,请参阅 权限和访问权限

  4. 选择“保存更改”。 选择 刷新图标以查看添加内容。

更改用户或组的权限

若要更改用户或组的权限,需要打开用户或组的安全对话框。 由于权限在不同级别定义,因此请查看以下文章,打开要更改的权限对话框:

从安全组中删除用户或组

从所选组的“ 成员 ”选项卡中添加或删除用户。

  1. 对于要删除的用户或组,请选择“ 更多”选项,然后选择 “删除”。

    Screenshot of Remove a user, cloud version.

  2. 选择 “删除” 以确认删除组成员。

    Remove user confirmation dialog, cloud version.

  • 若要从组中删除用户,请选择要删除的用户名旁边的 “删除 ”。

    Remove user confirmation dialog, on-premises versions.

管理组设置

注意

若要为Project权限设置页组织权限设置页面 v2 启用新的用户界面,请参阅“启用预览”功能。 这两个预览页都提供当前页未提供的组设置页。

  1. 按照本文前面所述打开项目级别或组织级别的 “权限 ”页, 创建自定义安全组

  2. 选择“设置”选项卡。可以通过组设置页更改组说明、添加组图像或删除组。

“Project设置>权限组织设置>权限”页中,选择要管理的组,然后选择设置

例如,此处打开工作跟踪管理员组的设置。

Screenshot of Open group settings, preview page.

可以修改组名称、组说明、上传图像或删除组。


可以更改组名称、说明、添加组映像或删除组。

  1. “Project 设置” >>安全“或”组织>“>设置”安全“页中,选择要管理的组

  2. “编辑 ”菜单选择 “编辑配置文件 ”或 “删除”。

    例如,此处打开“利益干系人访问”组的 “编辑”配置文件

    Open Edit group profile, on-premises versions.

    . . . 并更改说明。 请注意,还可以更改组的名称。

    Edit group dialog profile description, on-premises versions.

  3. 选择 “保存” 保存所做的更改。

本地部署

有关本地部署,请参阅以下其他文章:

如果本地部署与 SQL Server 报表集成,则需要单独管理这些产品的成员身份及其网站。 请参阅授予在 TFS 中查看或创建SQL Server报表的权限

后续步骤