Ajouter et gérer les groupes de sécurité

Azure DevOps Services

Les groupes de sécurité sont utilisés pour gérer les autorisations et l’accès, comme décrit dans Prise en main des autorisations, des accès et des groupes de sécurité. Par exemple, les membres du groupe Contributeurs ou du groupe Project Administration istrators reçoivent les autorisations autorisées pour ces groupes.

Azure DevOps est préconfiguré avec des groupes de sécurité par défaut Vous pouvez ajouter et gérer des groupes de sécurité pour votre organisation ou projet avec les commandes az devops security group . Utilisez cette commande pour effectuer les tâches suivantes.

  • Créer un groupe de sécurité
  • Afficher les groupes de sécurité et les détails du groupe de sécurité
  • Mettre à jour ou supprimer un groupe de sécurité
  • Gérer les appartenances aux groupes de sécurité pour les groupes et les utilisateurs

Remarque

Cet article s’applique uniquement à Azure DevOps Services. Pour Azure DevOps Server, vous pouvez gérer des groupes de sécurité à l’aide de la commande TFSSecurity.

Prérequis

  • Pour ajouter et gérer des groupes de sécurité, vous devez être membre du groupe de sécurité collection de projets Administration istrators.
  • Vous devez avoir installé l’extension CLI Azure DevOps comme décrit dans Bien démarrer avec l’interface CLI Azure DevOps.
  • Connectez-vous à Azure DevOps à l’aide de az login.
  • Pour obtenir les exemples de cet article, définissez l’organisation par défaut comme suit : az devops configure --defaults organization=YourOrganizationURL.

Commandes de groupe de sécurité

Commande Description
az devops security group create Créez un groupe de sécurité Azure DevOps.
az devops security group delete Supprimez un groupe de sécurité Azure DevOps.
az devops security group list Répertorier tous les groupes d’un projet ou d’une organisation.
az devops security group show Afficher les détails du groupe.
az devops security group update Mettre à jour le nom et la description d’un groupe de sécurité.
az devops security group membership add Ajoutez un membre à un groupe de sécurité.
az devops security group membership list Répertoriez les appartenances d’un groupe ou d’un utilisateur.
az devops security group membership remove Supprimez un membre d’un groupe de sécurité.

Les paramètres suivants sont facultatifs pour toutes les commandes et ne sont pas répertoriés dans les exemples fournis dans cet article.

  • detect : détecter automatiquement l’organisation. Valeurs acceptées : false, true. La valeur par défaut est true.
  • org : URL de l’organisation Azure DevOps. Vous pouvez configurer l’organisation par défaut à l’aide de az devops configure -d organization=ORG_URL. Obligatoire si la valeur n’est pas configurée par défaut ni récupérée via git config. Exemple : --org https://dev.azure.com/MyOrganizationName/.

Créer un groupe de sécurité

Vous pouvez créer un groupe de sécurité avec la commande az devops security group create .

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Paramètres facultatifs

  • description : Description du nouveau groupe de sécurité.
  • email-id : créez un groupe à l’aide de l’adresse e-mail comme référence à un groupe existant à partir d’un fournisseur Microsoft Entra sauvegardé. Obligatoire si le nom ou l’ID d’origine est manquant.
  • groupes : liste séparée par des virgules de descripteurs référençant des groupes que vous souhaitez joindre au groupe nouvellement créé.
  • nom : nom du nouveau groupe de sécurité. Obligatoire si l’ID d’origine ou l’ID de messagerie est manquant.
  • origin-id : créez un groupe à l’aide de OriginID comme référence à un groupe existant à partir d’un fournisseur Microsoft Entra sauvegardé. Obligatoire si le nom ou l’ID de messagerie est manquant.
  • projet : nom ou ID du projet dans lequel le groupe doit être créé.
  • étendue : Créez un groupe au niveau du projet ou de l’organisation. Les valeurs acceptées sont organisation et projet (par défaut).

Exemple

La commande suivante crée le groupe de sécurité Gestion des comptes dans le projet MyFirstProject et affiche le résultat au format de tableau.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Supprimer un groupe de sécurité

Vous pouvez supprimer un groupe de sécurité avec la commande az devops security group delete .

az devops security group delete --id
                                [--yes]

Paramètres

  • id : obligatoire. Descripteur de groupe de sécurité. Pour obtenir un descripteur, utilisez la commande az devops security group list .
  • oui : facultatif. Ne demande pas de confirmation.

Exemple

La commande suivante supprime le groupe de sécurité avec le descripteur spécifié et n’invite pas à confirmer.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Répertorier les groupes de sécurité

Vous pouvez répertorier tous les groupes de sécurité d’un projet ou d’une organisation avec la commande az devops security group list .

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Paramètres facultatifs

  • continuation-token : s’il existe d’autres résultats qui ne peuvent pas être retournés dans une seule page, le jeu de résultats contient un jeton de continuation pour la récupération du jeu de résultats suivant.
  • projet : répertorier les groupes d’un projet particulier.
  • étendue : répertorier les groupes au niveau du projet ou de l’organisation. Les valeurs acceptées sont organisation et projet (par défaut).
  • types d’objet : liste séparée par des virgules des sous-types d’objet utilisateur pour réduire les résultats récupérés. Vous pouvez donner une partie initiale du descripteur (avant le point) en tant que filtre, par exemple, vssgp,aadgp.

Exemple

La commande suivante répertorie le nom et le descripteur pour tous les groupes de sécurité dans MyFirstProject, et affiche les résultats au format de tableau.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Afficher les détails du groupe de sécurité

Vous pouvez afficher les détails d’un groupe de sécurité avec la commande az devops security group show .

az devops security group show --id

Paramètres

  • id : obligatoire. Descripteur de groupe de sécurité.

Exemple

La commande suivante présente les détails du groupe de sécurité Utilisateurs valides du projet au format de tableau.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Mettre à jour un groupe de sécurité

Vous pouvez mettre à jour le nom et la description d’un groupe de sécurité avec la commande az devops security group update .

az devops security group update --id
                                [--description]
                                [--name]

Paramètres

  • id : obligatoire. Descripteur de groupe de sécurité.
  • description : facultatif. Nouvelle description du groupe de sécurité. Obligatoire si le nom est manquant.
  • name : facultatif. Nouveau nom pour le groupe de sécurité. Obligatoire si la description est manquante.

Exemple

La commande suivante modifie le nom du groupe de sécurité avec le descripteur spécifié et affiche le résultat au format YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Ajouter un membre à un groupe

Vous pouvez ajouter un membre à un groupe de sécurité avec la commande az devops security group membership add .

az devops security group membership add --group-id
                                        --member-id

Paramètres

  • group-id : Obligatoire. Descripteur du groupe auquel le membre doit être ajouté.
  • member-id : Obligatoire. Descripteur du groupe ou de l’adresse e-mail de l’utilisateur à ajouter.

Exemple

La commande suivante ajoute l’utilisateur contoso@contoso.com au groupe de sécurité spécifié et affiche les résultats au format de tableau.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Répertorier les appartenances pour un groupe ou un utilisateur

Vous pouvez répertorier les appartenances à un groupe ou un utilisateur avec la commande az devops security group membership list .

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Paramètres

  • id : obligatoire. Descripteur de groupe de sécurité ou adresse e-mail utilisateur dont les détails d’appartenance sont requis.
  • relation : facultatif. Obtenez des informations sur le membre ou les membres du groupe. Les valeurs acceptées sont membres et membres.

Exemples

La commande suivante répertorie les membres du groupe de sécurité spécifié et affiche les résultats au format de tableau.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Voici un autre exemple qui répertorie les membres de l’équipe EMail pour le projet Fabrikam Fibre.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Supprimer un membre d’un groupe

Vous pouvez supprimer un membre d’un groupe de sécurité avec la commande az devops security group membership remove .

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Paramètres

  • group-id : Obligatoire. Descripteur du groupe dont le membre doit être supprimé.
  • member-id : Obligatoire. Descripteur du groupe ou de l’adresse e-mail de l’utilisateur à supprimer.
  • oui : facultatif. Ne demande pas de confirmation.

Exemple

La commande suivante supprime l’utilisateur contoso@contoso.com du groupe de sécurité spécifié sans demander de confirmation.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes