通过

使用 Microsoft Entra 组管理访问

Azure DevOps Services

若要控制对 Azure DevOps Services 中团队的关键资源和关键业务资产的访问,请使用 Microsoft 365 或 Microsoft Entra ID 等Microsoft 服务。 Microsoft Entra ID 与组织合作,以控制访问并验证用户身份。

使用 Microsoft Entra 组来组织目录成员,并为组织批量管理权限。 将这些组添加到内置组(如项目集合管理员或参与者)或自定义组(如项目管理团队)。 Microsoft Entra 组成员从 Azure DevOps 组继承权限,因此你无需单独管理组成员。

有关 Microsoft Entra ID 权益以及如何使用 Microsoft 帐户或 Microsoft Entra ID 控制组织访问的详细信息,请参阅提供的链接。

注意

由于 Microsoft Graph 的功能有限,服务主体不会显示在 Azure DevOps 上的 Microsoft Entra 组成员的任何列表中。 针对任何Microsoft Entra 组设置的权限仍适用于添加到组织的组中的任何服务主体,即使这些主体未显示在 Web UI 上也是如此。

先决条件

类别 要求
权限 - 项目集合管理员组的成员。 组织所有者自动是此组的成员。
- Azure 门户中的 Microsoft Entra 管理员。
访问权限级别 至少具有基本访问权限。

将 Microsoft Entra 组添加到 Azure DevOps 组

注意

若要启用预览功能( 组织权限设置页 v2),请参阅 启用预览功能

  1. 登录组织 (https://dev.azure.com/{yourorganization})。

    为什么要求我在工作或学校帐户与个人帐户之间进行选择?

  2. 转到 “组织设置”。

    显示突出显示的“组织设置”按钮的屏幕截图。

  3. 选择 “权限”,然后选择要向其添加成员的组。

    将成员添加到所选组

  4. 选择“ 成员”,然后选择“ 添加”。

    选择“成员”,然后选择“添加”

    邀请来宾使用 Microsoft Entra ID 并进入你的 Microsoft Entra ID 支持的组织,而无需等待他们接受。 此邀请允许将这些来宾添加到组织、授予对项目的访问权限、分配扩展等。

  5. 添加用户或组,然后 保存 更改。

    保存添加用户或组

Microsoft Entra ID 更改可能需要长达 1 小时才能在 Azure DevOps 中可见,但你可以立即重新评估权限

为管理员组配置实时访问

如果你具有项目集合管理员项目管理员访问权限,则可以修改组织或项目的配置。 若要增强这些内置管理员组的安全性,请考虑使用 Microsoft Entra Privileged Identity Management (PIM) 组实现实时访问。 此方法允许你仅在需要时才授予提升的权限,从而减少与永久访问相关的风险。

配置访问权限

  1. 在 Microsoft Entra ID 中创建可分配角色的组
  2. 将Microsoft Entra 组添加到 Azure DevOps 组中

注意

使用 Microsoft Entra Privileged Identity Management (PIM) 组配置实时访问权限时,请确保任何具有提升访问权限的用户也保留对组织的标准访问权限。 这样,他们就可以查看所需的页面并根据需要刷新其权限。

使用访问权限

  1. 激活访问权限
  2. 在 Azure DevOps 中刷新权限
  3. 执行需要管理员访问权限的操作。

注意

在 PIM 组访问权限被停用后,用户在 Azure DevOps 中最多可具有 1 小时的提升访问权限。

相关内容