オンプレミスの Azure DevOps で使用するグループを設定する

Azure DevOps Server 2022 | Azure DevOps Server 2020 | Azure DevOps Server 2019

Azure DevOps Serverのユーザーの管理は、Windows または Active Directory グループを作成する場合 (特に、展開にSQL Server Reporting Servicesが含まれている場合)、はるかに簡単です。

Azure DevOps Server展開でのユーザー、グループ、アクセス許可

Azure DevOps ServerとSQL Server Reporting Servicesは、グループ、ユーザー、アクセス許可に関する独自の情報を保持します。 これらのプログラム間でのユーザーと権限の管理をより単純にするには、配置での類似のアクセス権を持つユーザー グループを作成し、これらのグループに別のソフトウェア プログラムに対する適切なアクセス権を付与し、必要に応じて、グループからユーザーを追加または削除することができます。 これは、3 種類の別々のプログラムで個々のユーザーまたはユーザー グループを別々に管理するよりはるかに簡単です。

サーバーが Active Directory ドメインにある場合、1 つのオプションは、プロジェクト コレクション内のすべてのプロジェクトの開発者とテスト担当者のグループや、コレクション内のプロジェクトを作成して管理できるユーザーのグループなど、ユーザーを管理するための特定の Active Directory グループを作成することです。 同様に、サービス アカウントとして Network Service システム アカウントを使用するように構成することができないサービスの Active Directory アカウントを作成できます。 これを行うには、SQL Server Reporting Servicesのレポートの読み取りアクセス データ ソース アカウントの Active Directory アカウントを作成します。

重要

Azure DevOps Serverで Active Directory グループを使用する場合は、Azure DevOps Serverでのユーザー管理専用の目的を持つ特定のグループを作成することを検討してください。 別の目的で作成された以前の既存のグループを使用すると、特にAzure DevOps Serverに慣れていない他のユーザーによって管理されている場合、メンバーシップが他の機能をサポートするように変更されたときに予期しないユーザーの結果が発生する可能性があります。

インストール時の既定の選択肢は、ネットワーク サービス システム アカウントをAzure DevOps ServerとSQL Serverのサービス アカウントとして使用することです。 セキュリティ目的や、スケールアウトされた配置などのその他の理由で特定のアカウントをサービス アカウントとして使用する必要がある場合は、それもできます。 また、SQL Server Reporting Servicesのデータ ソース閲覧者アカウントのサービス アカウントとして使用する特定の Active Directory アカウントを作成することもできます。

サーバーが Active Directory ドメイン内にあり、Active Directory グループまたはアカウントを作成するためのアクセス許可がない場合、またはドメインではなくワークグループにサーバーをインストールする場合は、ローカル グループを作成して使用して、SQL Server全体およびAzure DevOps Serverユーザーを管理できます。 同様に、サービス アカウントとして使用するローカル アカウントを作成することができます。 ただし、ローカル グループとローカル アカウントは、ドメイン グループとドメイン アカウントほど信頼性が高くないことに注意してください。 たとえば、サーバーが故障した場合には、新しいサーバー上でグループとアカウントを最初から作成し直す必要があります。 Active Directory グループとアカウントを使用する場合、Azure DevOps Serverをホストしているサーバーが失敗した場合でも、グループとアカウントは保持されます。

たとえば、新しい配置のビジネス要件およびセキュリティ要件をプロジェクト マネージャーと確認した後、配置のユーザーの大部分を管理する 3 つのグループの作成を決定したとします。

  • 既定のプロジェクト コレクション内のすべてのプロジェクトに完全に参加する開発者とテスト担当者向けの一般的なグループ。 このグループには、ユーザーの大部分が含まれます。 このグループには TFS_ProjectContributors という名前を付けます。

  • コレクション内でプロジェクトを作成して管理する権限を持つ、プロジェクト管理者の小さなグループ。 このグループには TFS_ProjectAdmins という名前を付けます。

  • プロジェクトの 1 つにしかアクセスできない、請負の特別な、制限されたグループ。 このグループには TFS_RestrictedAccess という名前を付けます。

後で配置を展開するときに、その他のグループを作成する場合もあります。

Active Directory でグループを作成するには

  • Active Directory のローカル ドメイン グループ、グローバル グループ、または汎用グループとして、ビジネス ニーズに合わせてセキュリティ グループを作成します。 たとえば、グループに複数のドメインからのユーザーを含める必要がある場合、汎用グループ タイプがニーズに最適です。 詳細については、「新しいグループの作成 (Active Directory Domain Services)」を参照してください。

サーバーのローカル グループを作成するには

  • ローカル グループを作成し、容易に識別できる名前を付けます。 既定では、作成したグループには、そのコンピューターのユーザーの既定のグループと同等の権限が付与されます。 詳細については、「 ローカル グループを作成する」を参照してください。

Active Directory でサービス アカウントとして使用するアカウントを作成するには

サーバーでサービス アカウントとして使用するローカル アカウントを作成するには

  • サービス アカウントとして使用するローカル アカウントを作成し、ビジネスのセキュリティ要件に基づいてグループ メンバーシップとその他のプロパティを変更します。 詳細については、「 ローカル ユーザー アカウントを作成する」を参照してください。

次の操作:

Q & A

Q: グループを使用して、Azure DevOps Serverのプロジェクトまたは機能へのアクセスを制限できますか?

A: はい、できます。 特定のグループを作成して、選択した機能、機能、プロジェクトへのアクセスを許可または制限したり、アクセス レベルやその他の目的で管理したりできます。