透過 Microsoft Entra 常見問題集存取

在這兩個應用程式中，您必須擁有 Azure 服務 管理員 istrator 或 Coadministrator 許可權，才能將 Azure 訂用帳戶連結到 Azure DevOps 中的組織。 此外，在 Azure 入口網站 中，您必須具有 Project Collection 管理員 istrator 或組織擁有者許可權。

請確定您符合下列文章中的必要條件，連線 您的組織到 Microsoft Entra ID。

在 Microsoft Entra ID 中所做的變更最多可能需要 1 小時，才能在 Azure DevOps 中看到。

是。

• 還沒有組織嗎？ 在 Azure DevOps 中建立組織。
• 已經有組織嗎？ 連線 您的組織至 Microsoft Entra ID。

問：為什麼我必須選擇「公司或學校帳戶」和我的「個人帳戶」？

答：當您使用個人 Microsoft 帳戶和公司帳戶或學校帳戶共用的電子郵件位址登入時 jamalhartnett@fabrikam.com，就會發生這種情況。 雖然這兩個身分識別使用相同的登入位址，但它們仍是個別的身分識別。 這兩個身分識別有不同的配置檔、安全性設定和許可權。

• 如果您使用此身分識別來建立組織，或先前使用此身分識別登入，請選取 [公司或學校帳戶 ]。 您的身分識別是由貴組織的目錄在 Microsoft Entra ID 中驗證，可控制貴組織的存取權。

• 如果您使用 Microsoft 帳戶搭配 Azure DevOps，請選取 [個人帳戶 ]。 您的身分識別是由 Microsoft 帳戶的全域目錄所驗證。

是，但在切換之前，請確定 Microsoft Entra ID 符合共用下列專案的需求：

• 工作專案
• code
• resources
• 您的小組和合作夥伴的其他資產

深入瞭解如何控制使用 Microsoft 帳戶與 Microsoft Entra 識別碼的存取，以及如何 在準備好時切換。

問：為什麼我在選取 [個人 Microsoft 帳戶] 或 [公司或學校帳戶] 之後無法登入？

答：當您的登入位址由您的個人 Microsoft 帳戶和公司帳戶或學校帳戶共用，但您選取的身分識別沒有存取權時，即無法登入。 雖然這兩個身分識別使用相同的登入位址，但它們是分開的：它們有不同的配置檔、安全性設定和許可權。

完成下列步驟，從 Azure DevOps 完全註銷。 關閉瀏覽器可能不會完全註銷。 再次登入並選取您的其他身分識別：

1. 關閉所有瀏覽器，包括未執行 Azure DevOps 的瀏覽器。

2. 開啟私人或無痕瀏覽會話。

3. 移至此 URL： https://aka.ms/vssignout。

   您會看到一則訊息，指出「正在註銷」。註銷之後，系統會將您重新導向至 Azure DevOps @dev.azure.microsoft.com 網頁。

   提示

   如果註銷頁面需要超過一分鐘的時間才能註銷，請關閉瀏覽器並繼續。

4. 再次登入 Azure DevOps。 選取您的其他身分識別。

如果您是組織擁有者或 Azure 訂用帳戶帳戶 管理員 istrator，請在帳戶中心檢查您的訂用帳戶狀態，然後嘗試修正您的訂用帳戶。 您的付費設定會還原。 或者，您可以將組織從停用的訂用帳戶取消連結，以 將組織連結至另一個 Azure 訂用帳戶。 當您的訂用帳戶停用時，您的組織會回到免費每月限制，直到您的訂用帳戶已修正為止。

Microsoft Entra 用戶和許可權

如果您在這裡找不到問題的解答，請參閱 使用者和許可權管理常見問題。

您的組織會透過 Microsoft Entra ID 驗證使用者和控制存取。 所有用戶都必須是目錄成員，才能取得存取權。

身為目錄管理員，您可以將 使用者新增至目錄。 如果您不是系統管理員，請與目錄管理員合作以新增使用者。 深入瞭解如何使用 目錄來控制 Azure DevOps Services 的存取權。

您在 Azure DevOps Services 中的工作會與您的 Microsoft Entra 識別碼認證相關聯。 當您的組織連線到您的目錄之後，如果使用者的認證位址出現在連線的目錄中，則繼續順暢地運作。 如果未顯示使用者的位址，您必須 將這些使用者新增至您的目錄。 您的組織可能有將使用者新增至目錄的原則，因此請先深入瞭解。

如果您有至少基本存取權，請移至您的組織設定，然後選取 [Microsoft Entra ID] 索引標籤。您可以 連線 目錄或中斷連線目錄。

是，但從目錄中刪除使用者，會移除使用者存取與該目錄相關聯的所有組織和其他資產。 您必須擁有 Microsoft Entra Global 管理員 istrator 許可權，才能從 Microsoft Entra 目錄中刪除使用者。

您可能是 Microsoft Entra 識別符中的來賓 ，可備份您的 Azure DevOps 組織，而不是 成員。 Microsoft Entra 來賓無法以 Azure DevOps 所需的方式搜尋 Microsoft Entra ID。 例如，Microsoft Entra 來賓無法使用 Azure DevOps 入口網站來搜尋或選取尚未新增至 Azure DevOps 組織的使用者。 了解如何將 Microsoft Entra 來賓轉換為成員。

使用新的公司或學校帳戶將這些使用者新增至目錄，然後重新指派存取層級，並將其讀取至任何專案。 如果他們有現有的公司或學校帳戶，則可以改用這些帳戶。 工作不會遺失，且會保留其目前的登入位址。 用戶可以移轉他們想要保留的工作，但工作歷程記錄除外。 如需詳細資訊，請參閱 如何新增組織使用者。

還原使用者，而不是建立新的使用者。 如果您建立新的使用者，即使使用相同的電子郵件位址，此使用者也不會與先前的身分識別相關聯。

請從下列兩個選項中選取：

• 讓 Microsoft Entra 系統管理員從目錄中移除您的帳戶，然後重新新增帳戶，讓您成為成員，而不是來賓。 如需詳細資訊，請參閱 Microsoft Entra B2B 使用者是否可以新增為成員而非來賓？。
• 使用 Microsoft Graph PowerShell 變更 Microsoft Entra 來賓的 UserType。 我們不建議您 使用此進階程式，但可讓使用者從 Azure DevOps 組織查詢 Microsoft Entra 識別符。

使用 Microsoft Graph PowerShell 將 UserType 從來賓轉換為成員

先決條件

進行 UserType 變更的用戶必須具有下列專案：

• Microsoft Entra ID 中的公司/學校帳戶 （WSA）/原生使用者。 您無法使用 Microsoft 帳戶變更 UserType。
• 全域管理員許可權

處理

1. 以組織的目錄全域管理員身分登入 Azure 入口網站。
2. 移至可備份 Azure DevOps 組織的租使用者。
3. 開啟 管理員 型 Windows PowerShell 提示字元，以使用 Microsoft Graph PowerShell。
4. 執行 Install-Module -Name Microsoft.Graph -Scope CurrentUser。 Microsoft Graph 會從 PowerShell 資源庫 下載。
5. 安裝完成之後，請執行 Connect-MgGraph -Scopes "User.ReadWrite.All"。 系統會提示您登入 Microsoft Entra ID。 請務必使用符合先前提及準則的標識符，並同意許可權。
6. 執行 Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType，其中 <display_name 是使用者的顯示名稱，如 Azure 入口網站> 所示。 我們想要將 userType 變更為 Member。
7. 執行 Update-MgUser -UserId string -UserType Member，其中 string 是上一個命令所傳回的Id值。 用戶會設定為成員狀態。
8. 再次執行 Get-MgUser -Filter "DisplayName eq '<display name'" -property DisplayName, ID, UserPrincipalName, UserType | Select DisplayName, ID, UserPrincipalName, UserType 以確認 UserType 已變更。 您也可以在 Azure 入口網站 的 Microsoft Entra ID 區段中進行驗證。

雖然不是常態，但我們在 Azure DevOps 內反映這項變更需要數小時甚至幾天的時間。 如果它無法立即修正您的 Azure DevOps 問題，請給予它一些時間並持續嘗試。

由於這些群組是在 Azure 中建立和管理的，因此您無法直接指派 Azure DevOps 許可權，或將這些群組的安全版本控制路徑指派給這些群組。 如果您嘗試直接指派許可權，就會收到錯誤。

您可以將 Microsoft Entra 群組新增至具有所需許可權的 Azure DevOps 群組。 或者，您可以改為將這些許可權指派給群組。 Microsoft Entra 群組成員會繼承您新增許可權的群組。

否，因為這些群組會在 Azure 中建立和管理。 Azure DevOps 不會儲存或同步處理 Microsoft Entra 群組的成員狀態。 若要管理 Microsoft Entra 群組，請使用 Azure 入口網站、Microsoft Identity Manager（MIM）或貴組織支援的群組管理工具。

Azure DevOps UI 會使用方括弧 []指出成員資格範圍。 例如，請考慮此許可權設定頁面：

這些用戶必須先登入您的組織，才能出現在 [使用者] 中。

當這些群組成員第一次登入您的組織時，Azure DevOps 會自動為其指派存取層級。 如果他們有 Visual Studio 訂用帳戶，Azure DevOps 會為其指派各自的存取層級。 否則，Azure DevOps 會依下列順序指派下一個「最佳可用」 存取層級：基本項目關係人。

如果您沒有足夠的存取層級可供所有 Microsoft Entra 群組成員使用，則登入的成員會取得專案關係人存取權。

需要使用 Microsoft Entra Privileged Identity Management （PIM） 群組進行 Just-In-Time 存取。 如需詳細資訊，請參閱 系統管理員群組的 Just-In-Time 存取。

[安全性] 索引標籤只會在 Microsoft Entra 群組成員登入您的組織之後顯示，併為其指派存取層級。

若要查看所有 Microsoft Entra 群組成員，請使用貴組織支援的 Azure 入口網站、MIM 或群組管理工具。

小組成員小工具只會顯示先前登入您組織的使用者。

[小組容量] 窗格只會顯示先前登入您組織的使用者。 若要設定容量，請手動將使用者新增至您的小組。

Azure DevOps 不會自動從這些使用者回收存取層級。 若要手動移除其存取權，請移至 [ 使用者]。

您可以將工作專案指派給任何具有組織許可權的 Microsoft Entra 成員。 此動作也會將該成員新增至您的組織。 當您以這種方式新增使用者時，其會自動顯示為 [使用者]，並具有最佳的可用存取層級。 使用者也會出現在安全性設定中。

否，我們不支持查詢 Microsoft Entra 群組。

否，但您可能對程式 自定義方案感興趣。

將使用者新增至目錄

將組織使用者新增至您的 Microsoft Entra 識別碼。

在連線過程中，我們會根據其UPN，將現有的用戶對應至 Microsoft Entra 租用戶的成員，這通常稱為登入位址。 如果我們偵測到多個具有相同 UPN 的用戶，我們不知道如何對應這些使用者。 如果使用者變更 UPN 以符合組織中已經存在的 UPN，就會發生此案例。

如果您遇到此錯誤，請檢閱您的使用者清單是否有任何重複專案。 如果您發現任何重複專案，請移除您不需要的使用者。 如果您找不到任何重複專案， 請連絡支持人員。

否。 雖然您可以將新的工作帳戶新增至您的組織，但它們會被視為新使用者。 如果您想要存取所有工作，包括其歷程記錄，您必須使用與組織連線到 Microsoft Entra ID 之前所使用的相同登入位址。 將您的 Microsoft 帳戶新增為成員至您的 Microsoft Entra ID。

您必須是成員，或具有這些目錄中的讀取許可權。 否則，您可以透過 Microsoft Entra 系統管理員使用 B2B 共同作業來新增它們。 您也可以使用其 Microsoft 帳戶，或在目錄中為其建立新的工作帳戶來新增它們。

您可以將用戶對應至尚未成為組織作用中成員的不同身分識別，或將現有使用者新增至您的 Microsoft Entra ID。 如果您仍然需要對應至現有的 Azure DevOps 組織成員， 請連絡支持人員。

如果您使用 Microsoft 帳戶來啟用 包含 Azure DevOps 的 MSDN 訂 用帳戶作為權益的 Visual Studio，您可以新增公司或學校帳戶。 Microsoft Entra ID 必須管理帳戶。 瞭解如何 使用 MSDN 訂用帳戶將公司或學校帳戶連結至 Visual Studio。

是，但僅適用於透過 Microsoft 365新增為來賓或由 Microsoft Entra 系統管理員使用 B2B 共同作業新增的外部使用者。 這些外部使用者是在連線目錄外部管理。 若要深入瞭解，請連絡您的 Microsoft Entra 系統管理員。 下列設定不會影響 直接新增至組織目錄的使用者。

開始之前，請確定您至少有基本存取權，而不是項目關係人。

完成新增外部使用者的必要條件，將外部來賓存取權開啟。

移至您的專案集合或專案。 在上方列中，選取 [設定]，然後選取 [安全性]。

尋找 Microsoft Entra 群組，並將其從您的組織中刪除。

用戶可以屬於貴組織，無論是個人還是 Azure DevOps 群組中的 Microsoft Entra 群組成員。 當使用者是這些 Microsoft Entra 群組的成員時，這些使用者仍然可以存取您的組織。

若要封鎖使用者的所有存取權，請從組織中的 Microsoft Entra 群組中移除這些存取，或從您的組織移除這些群組。 我們目前無法完全封鎖存取，或對這類用戶進行例外狀況。

已停用或從目錄移除的使用者，無法再透過任何機制存取您的組織，包括透過 PAT 或 SSH。

連線 至、中斷連線或變更 Microsoft Entra 連線

• 將您的組織連接到 Microsoft Entra ID
• 中斷組織與目錄的連線
• 變更連線至 Azure DevOps 的目錄
• 取得 Microsoft Entra ID 所支援的組織清單
• 使用租用戶原則限制組織建立

您可以下載 Microsoft Entra 租使用者所支援組織的完整清單。 如需詳細資訊，請參閱 取得 Microsoft Entra ID 所支援的組織清單。

是。 如果您找不到從 Microsoft 365 建立的 Microsoft Entra ID，請參閱 為什麼我看不到想要連線的目錄？。

您可能不會看到下列任何情況的目錄：

• 您無法辨識為 管理目錄連線的組織擁有者 。

• 與 Microsoft Entra 組織系統管理員交談，並要求他們讓您成為組織的成員。 您可能不是組織的一部分。

當組織擁有者建立組織時，或之後的某個時間，您的組織已連線到目錄。 當您使用公司或學校帳戶建立組織時，您的組織會自動連線到管理該公司或學校帳戶的目錄。 是，您可以 切換目錄。 您可能必須移轉某些使用者。

是。 如需詳細資訊，請參閱 切換至另一個 Microsoft Entra ID。

當您從某個 Microsoft Entra 租使用者切換到另一個租使用者時，基礎身分識別也會變更，以及使用者在其舊身分識別中擁有的任何 PAT 令牌或 SSH 密鑰都停止運作。 上傳至組織的任何作用中 SSH 金鑰都不會在租使用者切換程式的一部分刪除，這可能會阻止使用者在切換之後上傳新的密鑰。 我們建議使用者先刪除其所有的 SSH 金鑰，再切換其 Active Directory 租用戶。 我們已在待辦專案中工作，以在租使用者交換器程式期間自動刪除 SSH 金鑰，而當您在租使用者切換之後遭到封鎖而無法上傳新密鑰，建議您連絡支持人員以刪除這些舊的 SSH 金鑰。

自 2020 年 3 月 2 日起，Azure DevOps 不再支援替代認證驗證。 如果您仍在使用替代認證，強烈建議您切換至更安全的驗證方法（例如，個人存取令牌或 SSH）。 深入了解。

• 在您的 Azure DevOps [組織設定] 中，選取 [Microsoft Entra ID]，然後選取 [解析]。

  

• 比對身分識別。 完成後，請選取 [下一步]。

  

• 然後再試一次。

• 您可能是 Microsoft Entra 識別碼中的來賓。 要求身為 Microsoft Entra ID 成員的組織系統管理員執行對應。 或者，要求 Microsoft Entra ID 的系統管理員將您轉換成成員。

  

• 如果錯誤訊息包含網域中的使用者，但您未在目錄中看到使用者，則使用者可能會離開您的公司。 移至組織使用者設定，以從您的組織移除使用者。

您可能是 Microsoft Entra ID 中的來賓，而且沒有邀請使用者的正確許可權。 移至 Microsoft Entra ID 中的 [外部共同作業設定 ]，並將 [來賓可以邀請] 切換為 [是]。 重新整理 Microsoft Entra ID，然後再試一次。

Visual Studio 訂用帳戶管理員通常會將訂用帳戶指派給使用者的公司電子郵件位址，讓使用者可以接收歡迎電子郵件和通知。 如果身分識別和訂用帳戶電子郵件位址相符，用戶可以存取訂用帳戶的優點。 當您從 Microsoft 轉換至 Microsoft Entra 身分識別時，用戶的優點仍會與其新的 Microsoft Entra 身分識別搭配運作。 但是，電子郵件地址必須相符。 如果電子郵件位址不相符，您的訂用帳戶管理員必須 重新指派訂用帳戶。 否則，用戶必須將 替代身分識別新增至其Visual Studio訂用帳戶。

清除瀏覽器快取，並刪除工作階段的任何 Cookie。 關閉瀏覽器，然後重新開啟。

清除瀏覽器快取，並刪除工作階段的任何 Cookie。 關閉瀏覽器，然後重新開啟。

是，當使用者的標識碼從其個人電子郵件對應到工作電子郵件時，系統會以新的標識碼更新系統中的所有專案。

您仍然可以連線到 Microsoft Entra ID，但在連線之後嘗試解決對應問題。 如果您仍然需要協助， 請連絡支持人員。

選取粗體文字，以查看哪些使用者受到影響。

目前，您仍然可以連線，但有助於解決連線中斷連線的使用者後聯機無法超過 100 的對應和邀請功能。 請連絡支持人員。

如果您使用 v1.15.0 之前的 GCM 版本，則必須清除租使用者快取。 清除租使用者快取就像刪除 %LocalAppData%\GitCredentialManager\tenant.cache 每部計算機上傳回登入錯誤一樣簡單。 GCM 會在後續登入嘗試時，自動重新建立並填入快取檔案。

問：如何? 取得 Azure DevOps 的說明或支援？

答：您有下列支援選項：

• 在 開發人員社群 上回報 Azure DevOps 的問題。
• 提供 開發人員社群 的建議
• 取得 Stack Overflow 的建議
• 檢視 MSDN 上 Azure DevOps 論壇的封存

相關文章

• 設定和自定義組織常見問題
• 用戶和許可權管理常見問題
• 設定 Visual Studio 常見問題