通过

使用组规则分配访问级别

Azure DevOps Services

Azure DevOps 为 Microsoft Entra 组和 Azure DevOps 组提供基于组的访问级别,允许您通过为整个用户组分配访问级别来有效地管理权限。 本文将介绍如何添加组规则,以便为用户组分配访问级别。

分配组规则以同时管理访问级别和项目成员资格。 当用户属于具有不同访问级别的多个规则或Microsoft Entra 组时,他们会收到最高级别。

例: 如果用户属于两个 Microsoft Entra 组——一个分配相关者权限,另一个分配基本权限——则用户会获得基本访问权限。

当用户离开 Microsoft Entra 组时,Azure DevOps 会根据组定义的规则调整其访问级别。 如果组是用户唯一的访问来源,Azure DevOps 会自动将其从组织中删除。 如果用户属于其他组,则会重新评估其访问级别和权限。

注意

  • Azure DevOps 将组规则授予的资源应用于配置组的所有成员。 但是,访问权限和权限仅在用户首次登录到组织后生效。
  • 定期查看“用户”页的“组规则”选项卡上列出的规则。 对 Microsoft Entra ID 组成员身份的更改将在下一个组规则重新评估期间显示,该重新评估发生在:
    • 手动触发后按需求执行
    • 自动在您修改组规则时
    • 每 24 小时自动一次。 Azure DevOps 每小时更新Microsoft Entra 组成员身份,但Microsoft Entra ID 可能需要长达 24 小时才能更新 动态组成员身份
  • 组许可规则当前不适用于服务主体和托管标识。 若要将访问级别分配给服务主体或托管标识,请直接分配它,而不是通过组成员身份进行分配。 有关详细信息,请参阅在 Azure DevOps 中使用服务主体和托管标识

先决条件

类别 要求
权限 “项目集合管理员”组的成员。 组织所有者自动是此组的成员。
Microsoft Entra 支持你的组织的 Microsoft Entra ID 的成员。 有关详细信息,请参阅 Microsoft Entra 常见问题解答中的访问说明。Microsoft Entra 来宾无法以 Azure DevOps 所要求的方式搜索 Microsoft Entra ID。

添加组规则

  1. 登录组织 (https://dev.azure.com/{Your_Organization})。

  2. 选择齿轮图标“组织设置”。

  3. 选择用户>群组规则>添加群组规则。 此视图显示所有创建的组规则。

    显示所选的“添加组规则”按钮的屏幕截图。

    仅当您是“项目集合管理员”组的成员时,才会显示组规则

  4. 完成要为其创建规则的组的对话框。 包括组的访问级别和组的任何可选项目访问权限。 选择“添加”

    显示“添加组规则”对话框的屏幕截图。

    将显示一条通知,其中显示了规则的状态和结果。 如果分配失败,请选择 “查看状态 ”以查看详细信息。

    显示“组规则已完成”的屏幕截图。

重要

  • 在用户首次尝试登录之前,不会显示在“所有用户”中。

访问级别更改

  • 当用户登录时,如果规则分配的级别高于当前级别,组规则会自动调整其访问级别。 例如:如果组规则分配了 Basic,则具有利益干系人访问权限的用户会升级到 Basic。
  • 如果用户的访问级别已高于组规则提供的访问权限级别,则其访问权限保持不变。 例如:当组规则分配利益干系人时,用户手动分配的基本访问权限不会降级。

管理组成员

Microsoft Entra ID 组的组规则管理 Azure 门户中的成员身份。 Azure DevOps 组的组规则在 “组规则” 屏幕上管理成员身份。

  1. 选择组规则>>管理成员屏幕截图显示了用于管理成员的突出显示的组规则。

  2. 添加成员,然后选择“ 添加”。

    添加组员的屏幕截图。

验证组规则

验证资源是否适用于每个组和单个用户:

  1. 选择“所有用户”。

  2. 突出显示用户。

  3. 选择 “摘要”。

    显示验证组规则用户摘要的屏幕截图。

删除直接分配

当用户具有直接分配和组规则授予更高的访问级别时,Azure DevOps 会自动将用户升级到更高级别。 若要通过组规则以独占方式管理访问级别,请删除所有直接分配。

  1. 登录组织 (https://dev.azure.com/{Your_Organization})。

  2. 选择齿轮图标“组织设置”。

    显示突出显示的“组织设置”按钮的屏幕截图。

  3. 选择用户

    显示所选“用户”选项卡的屏幕截图。

  4. 选择具有仅按组管理的资源的所有用户。

    显示用于迁移的所选组规则的屏幕截图。

  5. 若要确认是否要删除直接分配,请选择“ 删除”。

    确认删除的屏幕截图。

    如果用户不是任何组的成员,则该用户不受影响。

常见问题解答

问:Visual Studio 订阅如何使用组规则?

答:Visual Studio 订阅服务器始终通过 Visual Studio 管理门户直接分配,在 Azure DevOps 中优先于直接分配或通过组规则分配的访问级别。 从“用户中心”查看这些用户时,许可证来源总是显示为“直接”。 唯一的例外是分配了基本 + 测试计划的 Visual Studio Professional 订阅者。 由于“基本 + 测试计划”在 Azure DevOps 中提供更多访问权限,因此它优先于 Visual Studio Professional 订阅。 无法将组规则配置为分配 Visual Studio 订阅访问权限,因为 Visual Studio 会直接通过其门户分配该许可证。

问:GitHub Enterprise 许可证如何使用组规则?

A:

  • Azure DevOps 检查用户登录时是否具有 GitHub Enterprise 许可证。 可能需要长达 24 小时才能将其访问级别更新到 GitHub Enterprise。 具有 GitHub Enterprise 的用户会自动收到 GitHub Enterprise 访问级别,该级别等于基本访问权限。
  • 如果 GitHub Enterprise 用户需要访问测试计划,请直接或通过组规则分配基本 + 测试计划许可证。
  • 无法配置组规则来分配 GitHub Enterprise 访问权限,因为 GitHub 会直接通过其门户分配该许可证。
  • 当用户不再具有有效的 GitHub Enterprise 许可证时:
    • 如果你的组织配置组规则:用户会收到其组成员身份指定的访问权限。
    • 如果你的组织未配置组规则:用户会收到组织的默认访问级别。

相关内容

  • Last updated on