Tilldela åtkomstnivåer med gruppregler

  • Artikel

Azure DevOps Services

Azure DevOps tillhandahåller gruppbaserade åtkomstnivåer för Microsoft Entra-grupper och Azure DevOps-grupper, så att du kan hantera behörigheter effektivt genom att tilldela åtkomstnivåer till hela användargrupper. Den här artikeln beskriver hur du lägger till en gruppregel för att tilldela en åtkomstnivå till en grupp användare. Azure DevOps-resurser tilldelas till alla medlemmar i en grupp.

Tilldela en gruppregel för att hantera både åtkomstnivåer och projektmedlemskap. När en användare tilldelas flera regler eller Microsoft Entra-grupper med olika åtkomstnivåer får de den högsta åtkomstnivån bland dem. Om John till exempel har tilldelats två Microsoft Entra-grupper med olika gruppregler – en som anger intressentåtkomst och den andra grundläggande åtkomsten – får John grundläggande åtkomst.

När en användare lämnar en Microsoft Entra-grupp justerar Azure DevOps sin åtkomstnivå enligt gruppens definierade regler. Om gruppen var användarens enda åtkomstkälla tar Azure DevOps automatiskt bort dem från organisationen. Om användaren tillhör andra grupper utvärderas deras åtkomstnivå och behörigheter på nytt.

Kommentar

  • Ändringar som görs i projektläsare via gruppregler bevaras inte. Om du vill justera projektläsare bör du överväga alternativa metoder som direkttilldelning eller anpassade säkerhetsgrupper.
  • Granska regelbundet reglerna på fliken "Gruppregler" på sidan "Användare". Ändringar av Microsoft Entra ID-gruppmedlemskap visas i nästa omvärdering av gruppreglerna, som kan göras på begäran, när en gruppregel ändras eller automatiskt var 24:e timme. Azure DevOps uppdaterar Microsoft Entra-gruppmedlemskap varje timme, men det kan ta upp till 24 timmar för Microsoft Entra-ID att uppdatera dynamiskt gruppmedlemskap.

Förutsättningar

Behörigheter: Vara medlem i gruppen Projektsamlingsadministratörer. Organisationsägare är automatiskt medlemmar i den här gruppen.

Lägg till gruppregel

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

    Skärmbild som visar den markerade knappen Organisationsinställningar.

  3. Välj Behörigheter och kontrollera sedan att du är medlem i gruppen Administratörer för projektsamling.

    Skärmbild som visar gruppmedlemmar för projektsamlingsadministratörer.

  4. Välj Användare och sedan Gruppregler. I den här vyn visas alla dina skapade gruppregler. Välj Lägg till en gruppregel.

    Skärmbild som visar knappen Lägg till en gruppregel.

    Gruppregler visas bara om du är medlem i gruppen Administratörer för projektsamling.

  5. Slutför dialogrutan för den grupp som du vill skapa en regel för. Inkludera en åtkomstnivå för gruppen och valfri projektåtkomst för gruppen. Markera Lägga till.

    Skärmbild som visar dialogrutan Lägg till en gruppregel.

    Ett meddelande visas som visar status och resultat för regeln. Om tilldelningen inte kunde slutföras väljer du Visa status för att se informationen.

    Skärmbild som visar att gruppregeln har slutförts.

Viktigt!

  • Gruppregler gäller endast för användare utan direkta tilldelningar och för användare som läggs till i gruppen framöver. Ta bort direkttilldelningar så att gruppreglerna gäller för dessa användare.
  • Användare visas inte i Alla användare förrän de försöker logga in för första gången.

Hantera gruppmedlemmar

  1. Välj Gruppregler>>Hantera medlemmar. Skärmbild som visar markerad gruppregel för hantering av medlemmar.

    Behåll den befintliga automatiseringen för att hantera användaråtkomstnivåer som den är (till exempel PowerShell-skript). Målet är att säkerställa att samma resurser som tillämpas av automatiseringen återspeglas korrekt för dessa användare.

  2. Lägg till medlemmar och välj sedan Lägg till.

    Skärmbild av att lägga till en gruppmedlem.

    När du tilldelar samma åtkomstnivå till en användare förbrukar de bara en åtkomstnivå, oavsett om tilldelningen görs direkt eller via en grupp.

Verifiera gruppregel

Kontrollera att resurserna tillämpas på varje grupp och enskild användare. Välj Alla användare, markera en användare och välj sedan Sammanfattning.

Skärmbild som visar verifiering av användarsammanfattning för gruppregel.

Ta bort direkta tilldelningar

Om du vill hantera en användares resurser enbart via deras gruppmedlemskap tar du bort eventuella direkta tilldelningar. Resurser som tilldelats en användare förblir tilldelade individuellt, oavsett ändringar i användarens gruppmedlemskap.

  1. Logga in på organisationen (https://dev.azure.com/{yourorganization}).

  2. Välj kugghjulsikon Organisationsinställningar.

    Skärmbild som visar den markerade knappen Organisationsinställningar.

  3. Välj Användare.

    Skärmbild som visar fliken Användare.

  4. Välj alla användare med resurser för hantering endast efter grupper.

    Skärmbild som visar valda gruppregler för migrering.

  5. Bekräfta att du vill ta bort direkttilldelningarna genom att välja Ta bort.

    Skärmbild av bekräftelse för att ta bort.

    Direkttilldelningar tas bort från användarna. Om en användare inte är medlem i några grupper påverkas inte användaren.

Vanliga frågor och svar

F: Hur fungerar Visual Studio-prenumerationer med gruppregler?

S: Visual Studio-prenumeranter tilldelas alltid direkt via Visual Studio-administratörsportalen och har företräde i Azure DevOps framför åtkomstnivåer som tilldelas direkt eller via gruppregler. När du visar dessa användare från användarhubben visas alltid licenskällan som Direkt. Det enda undantaget är Visual Studio Professional-prenumeranter som har tilldelats Basic + Test Plans. Eftersom Basic + Test Plans ger mer åtkomst i Azure DevOps har det företräde framför en Visual Studio Professional-prenumeration.