Attribuer des niveaux d’accès avec des règles de groupe

Azure DevOps Services

Azure DevOps fournit des niveaux d’accès basés sur des groupes Microsoft Entra et des groupes Azure DevOps, ce qui vous permet de gérer efficacement les autorisations en attribuant des niveaux d’accès à des groupes entiers d’utilisateurs. Cet article explique comment ajouter une règle de groupe pour affecter un niveau d’accès à un groupe d’utilisateurs. Les ressources Azure DevOps sont affectées à tous les membres d’un groupe.

Affectez une règle de groupe pour gérer les niveaux d’accès et les appartenances au projet. Lorsqu’un utilisateur est affecté à plusieurs règles ou groupes Microsoft Entra avec différents niveaux d’accès, il reçoit le niveau d’accès le plus élevé parmi eux. Par exemple, si John est affecté à deux groupes Microsoft Entra avec des règles de groupe différentes ( l’un spécifiant l’accès des parties prenantes et l’autre accès de base), John reçoit l’accès de base.

Lorsqu’un utilisateur quitte un groupe Microsoft Entra, Azure DevOps ajuste son niveau d’accès en fonction des règles définies par le groupe. Si le groupe était la seule source d’accès de l’utilisateur, Azure DevOps les supprime automatiquement de l’organisation. Si l’utilisateur appartient à d’autres groupes, son niveau d’accès et ses autorisations sont réévalués.

Remarque

  • Les modifications apportées aux lecteurs de projet par le biais de règles de groupe ne sont pas conservées. Pour ajuster les lecteurs de projet, envisagez d’autres méthodes telles que l’affectation directe ou les groupes de sécurité personnalisés.
  • Passez régulièrement en revue les règles répertoriées sous l’onglet « Règles de groupe » de la page « Utilisateurs ». Les modifications apportées à l’appartenance au groupe Microsoft Entra ID apparaissent dans la prochaine nouvelle évaluation des règles de groupe, qui peuvent être effectuées à la demande, lorsqu’une règle de groupe est modifiée ou automatiquement toutes les 24 heures. Azure DevOps met à jour l’appartenance au groupe Microsoft Entra toutes les heures, mais cela peut prendre jusqu’à 24 heures pour que l’ID Microsoft Entra met à jour l’appartenance à un groupe dynamique.

Prérequis

Autorisations : être membre du groupe Administrateurs de collection de projets. Les propriétaires d’organisation sont automatiquement membres de ce groupe.

Ajouter une règle de groupe

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant le bouton Paramètres de l’organisation en surbrillance.

  3. Sélectionnez Autorisations, puis vérifiez que vous êtes membre du groupe Administrateurs de collection de projets.

    Capture d’écran montrant les membres du groupe Administrateurs de regroupement de projets.

  4. Sélectionnez Utilisateurs, puis Règles de groupe. Cette vue affiche toutes les règles de groupe que vous avez créées. Sélectionnez Ajouter une règle de groupe.

    Capture d’écran montrant le bouton Ajouter une règle de groupe sélectionné.

    Les règles de groupe s’affichent uniquement si vous êtes membre du groupe Administrateurs de collection de projets.

  5. Terminez la boîte de dialogue du groupe pour lequel vous souhaitez créer une règle. Incluez un niveau d’accès pour le groupe et tout accès au projet facultatif pour le groupe. Sélectionnez Ajouter.

    Capture d’écran montrant la boîte de dialogue Ajouter une règle de groupe.

    Une notification s’affiche, indiquant l’état et le résultat de la règle. Si l’affectation n’a pas pu être terminée, sélectionnez Afficher l’état pour afficher les détails.

    Capture d’écran montrant la règle de groupe terminée.

Important

  • Les règles de groupe s’appliquent uniquement aux utilisateurs sans affectations directes et aux utilisateurs ajoutés au groupe à l’avenir. Supprimez les affectations directes afin que les règles de groupe s’appliquent à ces utilisateurs.
  • Les utilisateurs n’apparaissent pas dans tous les utilisateurs tant qu’ils n’ont pas tenté de se connecter pour la première fois.

Gérer les membres du groupe

  1. Sélectionnez Règles de groupe>>Gérer les membres. Capture d’écran montrant la règle de groupe mise en surbrillance pour la gestion des membres.

    Conservez l’automatisation existante pour la gestion des niveaux d’accès utilisateur en cours d’exécution en l’état (par exemple, des scripts PowerShell). L’objectif est de s’assurer que les mêmes ressources appliquées par l’automatisation sont correctement reflétées pour ces utilisateurs.

  2. Ajoutez des membres, puis sélectionnez Ajouter.

    Capture d’écran de l’ajout d’un membre de groupe.

    Lorsque vous attribuez le même niveau d’accès à un utilisateur, ils consomment un seul niveau d’accès, que l’affectation soit effectuée directement ou via un groupe.

Vérifier la règle de groupe

Vérifiez que les ressources sont appliquées à chaque groupe et utilisateur individuel. Sélectionnez Tous les utilisateurs, mettez en surbrillance un utilisateur, puis sélectionnez Résumé.

Capture d’écran montrant la vérification du résumé de l’utilisateur pour la règle de groupe.

Supprimer les affectations directes

Pour gérer uniquement les ressources d’un utilisateur via ses appartenances à un groupe, supprimez toutes les affectations directes. Les ressources affectées à un utilisateur restent affectées individuellement, quelles que soient les modifications apportées aux appartenances aux groupes de l’utilisateur.

  1. Connectez-vous à votre organisation (https://dev.azure.com/{yourorganization}).

  2. Sélectionnez l’icône d’engrenage Paramètres de l’organisation.

    Capture d’écran montrant le bouton Paramètres de l’organisation en surbrillance.

  3. Sélectionnez Utilisateurs.

    Capture d’écran montrant l’onglet Utilisateurs sélectionné.

  4. Sélectionnez tous les utilisateurs disposant de ressources pour la gestion par groupes uniquement.

    Capture d’écran montrant les règles de groupe sélectionnées pour la migration.

  5. Pour confirmer que vous souhaitez supprimer les affectations directes, sélectionnez Supprimer.

    Capture d’écran de la confirmation de la suppression.

    Les affectations directes sont supprimées des utilisateurs. Si un utilisateur n’est membre d’aucun groupe, l’utilisateur n’est pas affecté.

FAQ

Q : Comment Abonnements Visual Studio utiliser des règles de groupe ?

R : Les abonnés Visual Studio sont toujours directement affectés via le portail d’administration Visual Studio et sont prioritaires dans Azure DevOps sur les niveaux d’accès attribués directement ou via des règles de groupe. Lorsque vous affichez ces utilisateurs à partir du Hub Utilisateurs, la source de licence s’affiche toujours en tant que direct. La seule exception est les abonnés Visual Studio Professional qui ont reçu des plans de base + test. Étant donné que les plans de base + test fournissent un accès plus grand dans Azure DevOps, il est prioritaire sur un abonnement Visual Studio Professional.