Назначение уровней доступа с помощью правил группы

Azure DevOps Services

Azure DevOps предоставляет уровни доступа на основе групп Microsoft Entra и групп Azure DevOps, что позволяет эффективно управлять разрешениями, назначая уровни доступа всем группам пользователей. В этой статье объясняется, как добавить правило группы для назначения уровня доступа группе пользователей. Ресурсы Azure DevOps назначаются всем членам группы.

Назначьте правило группы для управления уровнями доступа и членством в проекте. Если пользователю назначено несколько правил или групп Microsoft Entra с разными уровнями доступа, они получают самый высокий уровень доступа среди них. Например, если Джон назначен двум группам Microsoft Entra с различными правилами группы — один, указывающий доступ заинтересованных лиц и другой базовый доступ, Джон получает базовый доступ.

Когда пользователь покидает группу Microsoft Entra, Azure DevOps настраивает уровень доступа в соответствии с определенными правилами группы. Если группа была единственным источником доступа пользователя, Azure DevOps автоматически удаляет их из организации. Если пользователь принадлежит другим группам, их уровень доступа и разрешения переоценены.

Примечание.

  • Изменения, внесенные в средства чтения проектов с помощью правил группы, не сохраняются. Чтобы настроить средства чтения проектов, рассмотрите альтернативные методы, такие как прямое назначение или пользовательские группы безопасности.
  • Регулярно просматривайте правила, перечисленные на вкладке "Правила группы" на странице "Пользователи". Изменения членства в группе идентификаторов Microsoft Entra будут отображаться в следующей повторной оценке правил группы, которые можно выполнять по запросу, при изменении правила группы или автоматически каждые 24 часа. Azure DevOps обновляет членство в группе Microsoft Entra каждый час, но для обновления динамического членства в группах может потребоваться до 24 часов.

Необходимые компоненты

Разрешения. Быть членом группы администраторов коллекции проектов. Владельцы организации автоматически входят в эту группу.

Добавление правила группы

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

    Снимок экрана: выделенная кнопка

  3. Выберите разрешения и убедитесь, что вы являетесь членом группы "Администраторы коллекции проектов".

    Снимок экрана: члены группы администраторов коллекции проектов.

  4. Выберите "Пользователи" и выберите "Правила группы". В этом представлении показаны все созданные правила группы. Выберите " Добавить правило группы".

    Снимок экрана: кнопка

    Правила группы отображаются только в том случае, если вы являетесь членом группы администраторов коллекции проектов .

  5. Заполните диалоговое окно для группы, для которой требуется создать правило. Включите уровень доступа для группы и любой дополнительный доступ к проекту для группы. Выберите Добавить.

    Снимок экрана: диалоговое окно

    Отображается уведомление, показывающее состояние и результат правила. Если назначение не удалось завершить, выберите состояние "Вид", чтобы просмотреть сведения.

    Снимок экрана: завершено правило группы.

Внимание

  • Правила групп применяются только к пользователям без прямых назначений и к пользователям, добавленным в группу. Удалите прямые назначения, чтобы правила группы применялись к этим пользователям.
  • Пользователи не отображаются во всех пользователях , пока они не попытаются войти в систему в первый раз.

Управление членами группы

  1. Выберите ">>Управление элементами группы". Снимок экрана: выделенное правило группы для управления участниками.

    Сохраняйте существующую автоматизацию для управления уровнями доступа пользователей, работающими как есть (например, скрипты PowerShell). Цель заключается в том, чтобы обеспечить точное отражение тех же ресурсов, применяемых автоматизацией для этих пользователей.

  2. Добавьте участников и нажмите кнопку "Добавить".

    Снимок экрана: добавление члена группы.

    При назначении того же уровня доступа пользователю они используют только один уровень доступа, независимо от того, выполняется ли назначение напрямую или через группу.

Проверка правила группы

Убедитесь, что ресурсы применяются к каждой группе и отдельному пользователю. Выберите всех пользователей, выделите пользователя и нажмите кнопку "Сводка".

Снимок экрана: проверка сводки пользователей для правила группы.

Удаление прямых назначений

Чтобы управлять ресурсами пользователя исключительно через членство в группах, удалите любые прямые назначения. Ресурсы, назначенные пользователю по отдельности, остаются назначенными независимо от изменений членства в группах пользователя.

  1. Войдите в свою организацию (https://dev.azure.com/{yourorganization}).

  2. Выберите Значок шестеренки параметры организации.

    Снимок экрана: выделенная кнопка

  3. Выберите Пользователи.

    Снимок экрана: выбранная вкладка

  4. Выберите всех пользователей с ресурсами для управления только по группам.

    Снимок экрана: выбранные правила группы для миграции.

  5. Чтобы подтвердить удаление прямых назначений, нажмите кнопку "Удалить".

    Снимок экрана: подтверждение удаления.

    Прямые назначения удаляются от пользователей. Если пользователь не является членом каких-либо групп, это не влияет на пользователя.

Вопросы и ответы

Вопрос. Как Подписки Visual Studio работать с правилами группы?

Ответ. Подписчики Visual Studio всегда назначаются напрямую через портал администрирования Visual Studio и имеют приоритет в Azure DevOps над уровнями доступа, назначенными напрямую или с помощью правил группы. При просмотре этих пользователей из Центра пользователей источник лицензий всегда отображается как Direct. Единственным исключением являются подписчики Visual Studio Professional, которым назначены базовые и тестовые планы. Так как базовые и тестовые планы предоставляют больше доступа в Azure DevOps, он имеет приоритет над подпиской Visual Studio Professional.