添加组织用户和管理访问权限

Azure DevOps Services

了解如何将用户添加到组织并通过直接分配管理用户访问权限。有关添加用户和相关概念的概述，请参阅关于 Azure DevOps 中的组织管理。用户可以包括人类用户、服务帐户和服务主体。

以下类型的用户可以免费加入组织：

获取基本功能（如版本控制、敏捷工具、Java、生成、发布等）的五个用户
获得以下服务的无限用户利益相关者的特点例如，处理积压工作、工作项和查询。不要使用利益干系人访问权限来替代更有限的权限，因为具有 Visual Studio 订阅或 GitHub Enterprise 许可证的用户在登录时会自动从利益干系人升级。有关详细信息，请参阅利益相关者快速参考。
同时获得基本或基本 + 测试计划功能的无限 Visual Studio 订阅者，具体取决于其订阅级别。
无限制的 GitHub Enterprise 用户，使用 GitHub Enterprise 帐户登录时也将获得基本功能。

注意

有关邀请外部用户的信息，请参阅添加外部用户。

先决条件

类别	要求
权限	“项目集合管理员”组的成员。组织所有者自动是此组的成员。或者，如果启用了邀请限制，项目管理员可以添加用户。项目管理员角色无法为新用户选择许可证，也不能从组织中删除用户。
组织	组织。

有关可用于将用户添加到组织的方法的概述，请参阅添加和管理用户访问。

向组织添加用户

管理员可以通过将用户添加到组织来有效地管理用户访问。提供对相应工具扩展的访问权限和服务访问权限级别，并将用户分配到相关组，所有这些均可在单个视图中完成。此简化的流程可确保新用户具有必要的权限和资源，以便立即开始参与。

注意

如果拥有支持 Microsoft Entra ID 的组织，并且需要添加 Microsoft Entra ID 的外部用户，请先添加外部用户。在“告诉我们关于此用户”页面的“用户类型”下，选择“具有现有 Microsoft 帐户的用户”。完成这些步骤后，请按照这些说明将 Microsoft Entra ID 用户添加到 Azure DevOps。

在单个事务中最多可以添加 50 个用户。添加用户时，每个用户都会收到一封包含组织页面链接的通知电子邮件，让他们可轻松访问并开始使用组织的资源。

浏览器
Azure DevOps CLI

若要向其他用户授予对组织的访问权限，请执行以下步骤：

登录组织 (https://dev.azure.com/{yourorganization})。
选择组织设置。
选择用户>添加用户。
输入以下信息。
- 用户：输入用户的电子邮件地址（Microsoft 帐户）或 GitHub 用户名。可以添加多个电子邮件地址，用分号 ; 分隔。接受的电子邮件地址以红色显示。有关 GitHub 身份验证的详细信息，请参阅连接到 GitHub/常见问题解答。若要添加服务主体，请输入应用程序或托管标识的显示名称。
  - 访问级别：对于参与代码库的用户，将访问级别保留为“基本”。有关详细信息，请参阅关于访问级别。
- 添加到项目：选择要添加用户的项目。
- Azure DevOps 组：保留为“项目参与者”，这是参与项目的用户的默认安全组。有关详细信息，请参阅默认权限和访问分配。
注意

除非计划使用 Microsoft Entra ID 来验证用户身份和控制组织访问，否则请添加个人 Microsoft 帐户的电子邮件地址和 GitHub 帐户的 ID。如果用户没有 Microsoft 或 GitHub 帐户，请让用户注册一个 Microsoft 帐户或 GitHub 帐户。
选择“ 添加” 以完成邀请。

添加用户 | 列出用户 | 删除用户 | 更新用户 | 显示用户

添加用户

可以使用 az devops user add 命令将用户添加到组织。若要开始，请参阅 Azure DevOps CLI。

az devops user add –-email-id 
		   --license-type {advanced, earlyAdopter, express, professional, stakeholder}
		   [--send-email-invite {false, true}]
           [--org]

参数

email-id：必需。输入用户组织 Microsoft 帐户的电子邮件地址。
license-type：必需。根据下表中提供的映射输入利益干系人、快速、专业或高级。对于参与代码库的用户，需要快速或更高级别的许可证类型。有关详细信息，请参阅关于访问级别。
send-email-invite：可选。指定是否为新用户发送电子邮件邀请。
org：Azure DevOps 组织 URL。可以使用配置默认组织 az devops configure -d organization=ORG_URL。如果未配置为默认或使用选取 git config，则为必需。示例：--org https://dev.azure.com/MyOrganizationName/。

下表提供了通过用户界面和 AccountLicenseType 参数选择的访问级别的映射。

访问级别 (用户界面)	AccountLicenseType
利益相关者	利益干系人
基本	express
基本 + Test Plans	高级

注意

earlyAdopter AccountLicenseType 是 Microsoft 单独使用的内部值。

示例

以下命令将具有电子邮件地址 contoso@contoso.com 的用户添加到组织。它向用户授予利益干系人级别访问权限，并显示表格格式的结果。

az devops user add --email-id contoso@contoso.com --license-type stakeholder --output table

ID                                    Display Name          Email                 License Type    Access Level    Status

------------------------------------  --------------------  --------------------  --------------  --------------  --------
35b1952b-ca8c-45b5-a60c-d6b0086aa584  contoso@contoso.com   contoso@contoso.com   stakeholder     Stakeholder     pending

还可以将用户添加到项目级别 参与者 组，这是参与项目的人员的默认 Azure DevOps 安全组。有关详细信息，请参阅添加或删除用户或组，管理安全组。

az devops security group membership --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xMTM1NzQ1NzUzLTExNDI0NTQwOTQtMjQ4MjkwODAwNS0xNDU4NjAwODE1LTEtMTY5NTI2NTAyNi00MjM0Mzc1NS0yMTY5ODM4OTczLTI0NDk3NzU5NDE --member-id contoso@contoso.com

可以使用 az devops 安全组 list 命令查看项目中的所有安全组。

有关用户访问的详细信息，请阅读访问级别。

注意

可以将人员添加到项目而不是组织。如果你的组织具有可用访问权限，则会自动为用户分配基本功能；如果没有可用访问权限，则会分配利益干系人功能。有关详细信息，请参阅将用户添加到项目。

当用户不再需要对组织的访问权限时，请将其从组织中删除。

管理用户

在 Web 浏览器中，可以查看和编辑某些用户信息。使用 Azure DevOps CLI，可以查看有关特定用户的详细信息并更新该用户的访问级别。

“用户”视图显示表中每个用户的关键信息。在此视图中，可以：

请参阅和修改分配的服务扩展和访问级别。
多选用户并批量编辑其扩展和访问级别。
通过搜索部分用户名、访问级别或扩展名称进行筛选。
查看每个用户的上次访问日期。此信息有助于识别用户，以删除或降低其访问权限，使其保持在许可证限制范围内。有关详细信息，请参阅权限和访问权限。

浏览器
Azure DevOps CLI

登录组织 (https://dev.azure.com/{yourorganization})。
选择组织设置。
选择用户。
选择用户或用户组。然后，选择“名称”列末尾的“操作...”，打开上下文菜单。

在上下文菜单中，选择以下选项之一：

更改访问级别
管理用户
重新发送邀请
删除直接分配
从组织中删除（删除用户）

保存更改。

添加用户 | 列出用户 | 删除用户 |更新用户 | 显示用户

更新用户

可以使用 az devops user update 命令更新用户的许可证类型。若要开始，请参阅 Azure DevOps CLI 入门。

az devops user update  --license-type {advanced, earlyAdopter, express, professional, stakeholder}
                      --user [--org]

参数

license-type：用户的许可证类型。接受的值包括 advanced、earlyAdopter、express、professional 和 stakeholder。
user：用户的电子邮件地址或 ID。
org：Azure DevOps 组织 URL。可以使用配置默认组织 az devops configure -d organization=ORG_URL。如果未配置为默认或使用选取 git config，则为必需。示例：--org https://dev.azure.com/MyOrganizationName/。

示例

以下命令将电子邮件地址 contoso@contoso.com 的许可证类型从 “基本” 更新为 “利益干系人” ，并显示表格格式的结果。

az devops user update --license-type stakeholder --user contoso@contoso.com --output table

ID                                    Display Name         Email                License Type    Access Level    Status
------------------------------------  -------------------  -------------------  --------------  --------------  --------

35b1952b-ca8c-45b5-a60c-d6b0086aa584  contoso@contoso.com  contoso@contoso.com  stakeholder     Stakeholder     pending

显示用户

可以使用 az devops user show 命令显示组织中用户的详细信息。若要开始，请参阅 Azure DevOps CLI。

az devops user show --user [--org]

参数

user：用户的电子邮件地址或 ID。
org：Azure DevOps 组织 URL。可以使用配置默认组织 az devops configure -d organization=ORG_URL。

如果未配置为默认或使用选取 git config，则为必需。示例：--org https://dev.azure.com/MyOrganizationName/。

示例

以下命令以表格格式返回电子邮件地址 contoso@contoso.com 的用户详细信息。

az devops user show --user contoso@contoso.com --output table

ID                                    Display Name         Email                License Type    Access Level    Status
------------------------------------  -------------------  -------------------  --------------  --------------  --------

35b1952b-ca8c-45b5-a60c-d6b0086aa584  contoso@contoso.com  contoso@contoso.com  stakeholder     Stakeholder     active

限制用户对组织和项目信息的可见性

若要限制某些用户对组织信息的访问权限，请启用“将用户可见性和协作限制为特定项目“预览功能，然后将用户添加到“项目范围内的用户”组。添加后，该组中的用户无法访问未显式添加到的项目。

注意

添加到 Project-Scoped 用户组 的用户和组获得对项目和组织信息的有限访问权限。他们还将通过人员选取器来获得对特定标识的受限访问权限。有关详细信息，请参阅限制用户对项目的可见性等。

若要将用户添加到新的“项目范围内的用户”组，请执行以下步骤：

登录组织 (https://dev.azure.com/{Your_Organization})。
为组织开启“将用户可见性和协作限制为特定项目”预览功能。有关详细信息，请参阅管理预览功能。

提示

仅当启用“将用户可见性和协作限制为特定项目”预览功能后，“项目范围内的用户”组才会显示在>组下。
执行将用户添加到项目或团队中的步骤，将用户或组添加到项目。将用户添加到团队时，会自动将用户添加到项目组和团队组。
选择组织设置。
选择安全性>权限>项目范围内的用户。
选择“成员”选项卡。
将要限定范围的所有用户和组添加到将其添加到的项目。

有关详细信息，请参阅添加或删除用户或组，管理安全组。

警告

使用此预览功能时，请考虑以下限制：

本部分所述的有限可见性功能仅适用于通过 Web 门户的交互。使用 REST API 或 azure devops CLI 命令，项目成员可以访问受限数据。
属于受限组的用户只能选择被显式添加到 Azure DevOps 的用户，而非通过 Microsoft Entra 组成员身份获得访问权限的用户。
作为 Microsoft Entra ID 中具有默认访问权限的受限组成员的来宾用户无法使用人员选取器搜索用户。

常见问题解答

问：将用户添加到用户中心中的项目时，权限级别为何显示为“自定义”？

一个： 根据设计，可通过用户中心访问的权限设置旨在提供在添加用户权限后设置用户权限的快速方法。然而，这些设置不会覆盖通过组成员身份或在其他区域的直接分配所设置的自定义权限。

例如，如果用户被指定为项目中的标准参与者，但还被授予特定权限，例如该项目中存储库的“允许强制推送”，则用户中心会将其权限级别显示为“自定义”。因此，用户中心所做的任何更改不会将权限显示恢复为“参与者”或任何其他标准角色。

因此，如果在用户中心中看到“自定义”，则表示分配给用户的其他权限不会反映在标准角色设置中。若要修改这些权限，请转到分配这些自定义权限的特定项目设置或组成员身份。

问：可以添加哪些电子邮件地址？

答：

如果组织连接到 Microsoft Entra ID，则只能添加目录内部的电子邮件地址。
- 除非使用组织的目录通过 Microsoft Entra ID 对用户进行身份验证并控制访问权限，否则添加具有“个人”Microsoft 帐户的用户的电子邮件地址。
如果组织已连接到目录，则所有用户必须是目录成员。他们必须使用目录管理的工作或学校帐户登录到 Azure DevOps。如果它们不是成员，则需要将其添加到目录。

屏幕截图显示添加成员的登录地址或显示名称。

将成员添加到项目后，每个成员都会收到一封邀请电子邮件，其中包含指向组织的链接。他们可以使用此链接登录和访问项目。首次成员登录来个性化体验时，系统可能会要求他们提供更多详细信息。

问：如果用户没有获得或丢失邀请电子邮件，该怎么办？

答：

对于连接到 Microsoft Entra ID 的组织：如果要从 Microsoft Entra ID 外部邀请用户，则必须使用其电子邮件。从组织中删除用户会删除其访问权限和许可证。但是，分配给它们的任何项目都将保持不变。如果用户存在于 Microsoft Entra 租户中，则始终可以邀请用户返回组织。从 Microsoft Entra ID 中删除后，无法向其分配任何新项目（工作项、拉取请求等）。将保留已分配给用户的项目的历史记录。
对于具有 Microsoft 帐户的组织：可以将邀请电子邮件中包含的项目页面链接发送给新团队成员。从组织中删除用户会删除其访问权限和许可证。不能再向这些用户分配任何新项目（工作项、拉取请求等）。但是，之前分配给它们的任何项目都将保持不变。

问：为什么我不能再添加任何成员？

答：请参阅问：为什么我不能再向项目添加任何成员？。

问：访问权限与权限有何不同？

答：访问级别根据用户的订阅确定用户对特定 Web 门户功能的访问权限。权限控制用户执行特定操作的能力，这些操作受安全组成员身份或者分配给用户或组的特定访问控制级别 (ACL) 管辖。

后续步骤

设置帐单

反馈

此页面是否有帮助？

Last updated on 2025-11-10