Azure DevOps Services
了解如何将用户添加到组织并通过直接分配管理用户访问权限。 有关添加用户和相关概念的概述,请参阅 Azure DevOps 中的组织管理简介。 用户可以包括人类用户、服务帐户 和服务主体。
以下类型的用户可以免费加入组织:
- 拥有基础功能的五个用户,例如版本控制、敏捷工具、Java、构建、发布等
- 获得以下服务的无限用户 利益相关者的特点例如,处理积压工作、工作项和查询。 不要将利益干系人访问权限用作更有限权限的替代方式,因为具有Visual Studio订阅或GitHub企业许可证的用户在登录时会自动从利益干系人升级。 有关更多信息,请参阅 利益相关者快速参考指南。
- 拥有无限权限的 Visual Studio 订阅者,他们也会根据其订阅级别获得基本功能或基本 + 测试计划功能。
- 无限制的 GitHub Enterprise 用户当他们使用其 GitHub Enterprise 帐户登录时也获得基本功能。
注意
有关邀请外部用户的信息,请参阅 添加外部用户。
提示
可以在本文后面了解如何使用 AI 来帮助完成此任务,或查看Azure DevOps MCP Server 中的 Enable AI Assistance以便开始。
先决条件
| 类别 | 要求 |
|---|---|
| 权限 | 项目集合管理员组的成员。 组织所有者自动是此组的成员。 或者,如果 启用了邀请限制,项目管理员可以添加用户。 项目管理员角色无法为新用户选择许可证,也不能从组织中删除用户。 |
| 组织 | 组织。 |
有关可用于将用户添加到组织的方法的概述,请参阅添加和管理用户访问。
向组织添加用户
管理员可以通过将用户添加到组织来有效地管理用户访问。 提供对相应工具扩展的访问权限和服务访问权限级别,并将用户分配到相关组,所有这些均可在单个视图中完成。 此简化的流程可确保新用户具有必要的权限和资源,以便立即开始参与。
注意
如果你有一个Microsoft Entra ID支持的组织,并且需要添加外部Microsoft Entra ID的用户,请先添加外部用户。 在“告诉我们关于此用户”页面的“用户类型”下,选择“具有现有 Microsoft 帐户的用户”。 完成这些步骤后,请按照这些说明将Microsoft Entra ID用户添加到Azure DevOps。
在单个事务中最多可以添加 50 个用户。 添加用户时,每个用户都会收到一封包含组织页面链接的通知电子邮件,让他们可轻松访问并开始使用组织的资源。
若要向其他用户授予对组织的访问权限,请执行以下步骤:
登录到你的组织 (
https://dev.azure.com/{yourorganization})。选择
组织设置。
选择用户>添加用户。
输入以下信息。
-
Users:输入电子邮件地址(Microsoft帐户)或用户GitHub用户名。 可以添加多个电子邮件地址,用分号
;分隔。 接受的电子邮件地址以红色显示。 有关GitHub身份验证的详细信息,请参阅 Connect 到 GitHub/FAQ。 若要添加服务主体,请输入应用程序或托管标识的显示名称。- 访问级别:对于参与代码库的用户,将访问级别保留为“基本”。 有关详细信息,请参阅关于访问级别。
- 添加到项目:选择要添加用户的项目。
- Azure DevOps 组: 保留为 项目贡献者,这是为参与项目的用户设置的默认安全组。 有关详细信息,请参阅默认权限和访问分配。
注意
为个人Microsoft帐户添加电子邮件地址,为GitHub帐户添加ID,除非你计划使用Microsoft Entra ID来验证用户身份和控制组织的访问权限。 如果用户没有Microsoft或GitHub帐户,请他们注册 Microsoft 帐户或 GitHub 帐户。
-
Users:输入电子邮件地址(Microsoft帐户)或用户GitHub用户名。 可以添加多个电子邮件地址,用分号
选择“ 添加” 以完成邀请。
有关用户访问的详细信息,请阅读 访问级别。
注意
可以将人员添加到项目而不是组织。 如果你的组织具有可用访问权限,则会自动为用户分配基本功能;如果没有可用访问权限,则会分配利益干系人功能。 有关详细信息,请参阅 将用户添加到项目。
当用户不再需要对组织的访问权限时,请将其从组织 中删除 。
管理用户
在 Web 浏览器中,可以查看和编辑某些用户信息。 使用 Azure DevOps CLI,可以查看有关特定用户的详细信息并更新其访问级别。
“用户”视图显示表中每个用户的关键信息。 在此视图中,可以:
- 请参阅和修改分配的服务扩展和访问级别。
- 多选用户并批量编辑其扩展和访问级别。
- 通过搜索部分用户名、访问级别或扩展名称进行筛选。
- 查看每个用户的上次访问日期。 此信息有助于识别用户,以删除或降低其访问权限,使其保持在许可证限制范围内。 有关详细信息,请参阅 权限和访问权限。
登录到你的组织 (
https://dev.azure.com/{yourorganization})。选择
组织设置。
选择用户。
选择用户或用户组。 然后,选择“名称”列末尾的“操作...”以打开上下文菜单。
在上下文菜单中,选择以下选项之一:
- 更改访问级别
- 管理用户
- 重新发送邀请
- 删除直接分配
-
从组织中删除(删除用户)
- 保存所做更改。
限制用户对组织和项目信息的可见性
若要限制某些用户对组织信息的访问权限,请启用“将用户可见性和协作限制为特定项目“预览功能,然后将用户添加到“项目范围内的用户”组。 添加后,该组中的用户无法访问未显式添加到的项目。
注意
添加到 Project-Scoped 用户组 的用户和组获得对项目和组织信息的有限访问权限。 他们还将通过人员选取器来获得对特定标识的受限访问权限。 有关详细信息,请参阅限制用户对项目的可见性等。
若要将用户添加到新的“项目范围内的用户”组,请执行以下步骤:
登录到你的组织 (
https://dev.azure.com/{Your_Organization})。为组织开启“将用户可见性和协作限制为特定项目”预览功能。 有关详细信息,请参阅 管理预览功能。
提示
仅当启用“将用户可见性和协作限制为特定项目”预览功能后,“项目范围内的用户”组才会显示在>组下。
执行将用户添加到项目或团队中的步骤,将用户或组添加到项目。 将用户添加到团队时,会自动将用户添加到项目组和团队组。
选择
组织设置。
选择安全性>权限>项目范围内的用户。
选择“成员”选项卡。
将要限定范围的所有用户和组添加到将其添加到的项目。
有关详细信息,请参阅 添加或删除用户或组,管理安全组。
警告
使用此预览功能时,请考虑以下限制:
- 本部分所述的有限可见性功能仅适用于通过 Web 门户的交互。 使用 REST API 或
azure devopsCLI 命令,项目成员可以访问受限数据。 - 受限组中的用户只能选择显式添加到Azure DevOps的用户,而不能选择通过Microsoft Entra组成员身份访问的用户。
- 具有默认访问权限的 Microsoft Entra ID 受限组中的来宾用户,无法通过用户选择器搜索用户。
常见问题解答
问:将用户添加到用户中心中的项目时,权限级别为何显示为“自定义”?
一个: 根据设计,可通过用户中心访问的权限设置旨在提供在添加用户权限后设置用户权限的快速方法。 然而,这些设置不会覆盖通过组成员身份或在其他区域的直接分配所设置的自定义权限。
例如,如果用户被指定为项目中的标准参与者,但还被授予特定权限,例如该项目中存储库的“允许强制推送”,则用户中心会将其权限级别显示为“自定义”。 因此,用户中心所做的任何更改不会将权限显示恢复为“参与者”或任何其他标准角色。
因此,如果在用户中心中看到“自定义”,则表示分配给用户的其他权限不会反映在标准角色设置中。 若要修改这些权限,请转到分配这些自定义权限的特定项目设置或组成员身份。
问:可以添加哪些电子邮件地址?
答:
- 如果组织已连接到Microsoft Entra ID,则只能添加目录中内部的电子邮件地址。
- 添加用户的电子邮件地址,这些用户具有“个人”Microsoft帐户,除非您通过组织的目录使用Microsoft Entra ID进行身份验证并控制访问。
- 如果组织已连接到目录,则所有用户必须是目录成员。 他们必须使用您的目录管理的工作账户或学校账户登录到 Azure DevOps。 如果它们不是成员,则需要 将其添加到目录。
将成员添加到项目后,每个成员都会收到一封邀请电子邮件,其中包含指向组织的链接。 他们可以使用此链接登录和访问项目。 首次成员登录来个性化体验时,系统可能会要求他们提供更多详细信息。
问:如果用户没有获得或丢失邀请电子邮件,该怎么办?
答:
对于连接到 Microsoft Entra ID 的组织:如果你从 Microsoft Entra ID 外部邀请用户,他们必须使用自己的电子邮件。 从组织中删除用户会删除其访问权限和许可证。 但是,分配给它们的任何项目都将保持不变。 如果用户存在于Microsoft Entra租户中,则始终可以邀请用户重新加入组织。 从Microsoft Entra ID中删除它们后,无法向其分配任何新项目(工作项、拉取请求等)。 将保留已分配给用户的项目的历史记录。
对于具有 Microsoft 帐户的组织:可以将邀请电子邮件中包含的项目页面链接发送给新团队成员。 从组织中删除用户会删除其访问权限和许可证。 不能再向这些用户分配任何新项目(工作项、拉取请求等)。 但是,之前分配给它们的任何项目都将保持不变。
问:为什么我不能再添加任何成员?
答:请参阅问:为什么我不能再向项目添加任何成员?。
问: 访问权限 与 权限有何不同?
答:访问级别根据用户的订阅确定用户对特定 Web 门户功能的访问权限。 权限控制用户执行特定操作的能力,这些操作通过用户或组的安全组成员身份或特定访问控制级别(ACL)的分配来约束。
使用 AI 添加和管理组织用户
如果配置了 Azure DevOps MCP Server,则可以使用 AI 助手将用户添加到组织,并使用自然语言提示管理其访问权限。 MCP 服务器为 AI 助手提供对Azure DevOps数据的安全访问,使你可以列出用户、检查访问级别和管理用户分配,而无需浏览 Web 界面。
用于管理组织用户的提示示例
| 任务 | 示例提示 |
|---|---|
| 加入新团队成员 | Add <user-email> to the <project-name> project in <organization-name> with Basic access and add them to the <team-name> team |
| 查找没有项目访问权限的用户 | List users in <organization-name> who have Basic access but aren't members of any project |
| 审核 Visual Studio 订阅者 | Show me all Visual Studio Enterprise subscribers in <organization-name> and which projects they belong to |
| 确定利益干系人候选人 | Find users in <organization-name> with Basic access who only have activity in work items and could use Stakeholder access instead |
| 比较跨项目的访问 | For <user-email> in <organization-name>, show which projects they belong to and what permissions they have in each |
| 查看最近添加的用户 | Show me all users added to <organization-name> in the last 30 days and their current access levels |
提示
如果使用 Visual Studio Code,代理模式尤其有助于查看用户访问级别和管理批量用户作。
- 若要避免使用以前查询中的过时或缓存的数据,请添加到提示
Do not use previously fetched data中。