Azure DevOps Services
若要控制对Azure DevOps服务中团队的关键资源和关键业务资产的访问,请使用Microsoft服务,例如 Microsoft 365 或 Microsoft Entra ID。 Microsoft Entra ID与组织合作控制访问并验证用户身份。
使用 Microsoft Entra 组组织目录成员,并批量管理组织权限。 将这些组添加到内置组(如项目集合管理员或参与者)或自定义组(如项目管理团队)。 Microsoft Entra组成员从Azure DevOps组继承权限,因此无需单独管理组成员。
有关 Microsoft Entra ID 权益以及如何使用 Microsoft 帐户或 Microsoft Entra ID 控制组织访问权限的详细信息,请参阅提供的链接。
注意
由于Microsoft Graph的功能限制,服务主体不会出现在Azure DevOps上任何Microsoft Entra组成员列表中。 针对任何Microsoft Entra组设置的权限仍适用于添加到组织的组中的任何服务主体,即使这些主体未显示在 Web UI 上也是如此。
小窍门
可以在本文后面了解如何使用 AI 来帮助完成此任务,或查看Azure DevOps MCP Server 中的 Enable AI Assistance以便开始。
先决条件
| 类别 | 要求 |
|---|---|
| 权限 | - 项目集合管理员组的成员。 组织所有者自动是此组的成员。 - 在 Azure 门户 中的 Microsoft Entra 管理员。 |
| 访问级别 | 至少具有基本访问权限。 |
将Microsoft Entra组添加到Azure DevOps组
注意
若要启用预览功能, “组织权限设置”页 v2,请参阅 “启用预览功能”。
登录到你的组织 (
https://dev.azure.com/{yourorganization})。转到 “组织设置”。
选择 “权限”,然后选择要向其添加成员的组。
选择 “成员”,然后选择“ 添加”。
你邀请来宾进入 Microsoft Entra ID 和你的 Microsoft Entra ID 支持的组织,而无需等待他们接受。 此邀请允许将这些来宾添加到组织、授予对项目的访问权限、分配扩展等。
添加用户或组,然后 保存 所做的更改。
Microsoft Entra ID 更改可能需要长达 1 小时才能显示在 Azure DevOps 中,但可以立即 对权限进行重新评估。
为管理员组配置实时访问
如果具有 项目集合管理员 和 项目管理员 访问权限,则可以修改组织或项目的配置。 若要增强这些内置管理员组的安全性,请考虑使用 Microsoft Entra Privileged Identity Management (PIM) 组实现实时访问。 此方法允许你仅在需要时才授予提升的权限,从而减少与永久访问相关的风险。
配置访问权限
注意
使用Microsoft Entra Privileged Identity Management(PIM)组配置实时访问时,请确保具有提升访问权限的任何用户也会保留对组织的标准访问权限。 这样,他们就可以查看所需的页面并根据需要刷新其权限。
使用访问权限
- 激活访问权限。
- 在 Azure DevOps 中刷新权限。
- 执行需要管理员访问权限的操作。
注意
在 PIM 组访问被停用后,用户在 Azure DevOps 中可继续获得提升的访问权限,时间最长为 1 小时。
使用 AI 管理 Microsoft Entra 组访问
如果配置了 Azure DevOps MCP Server,则可以使用 AI 助手使用自然语言提示在Azure DevOps中管理Microsoft Entra组访问权限。 MCP 服务器为 AI 助手提供对Azure DevOps数据的安全访问,使你可以查询组成员身份、检查权限和管理组分配,而无需通过 Web 界面导航。
管理Microsoft Entra组的示例提示
| 任务 | 示例提示 |
|---|---|
| 将 Entra 组映射到项目角色 | Add the <entra-group-name> Microsoft Entra group to the Contributors group in the <project-name> project in <organization-name> |
| 审核嵌套组权限 | Show the effective permissions for the <entra-group-name> group in <project-name>, including any inherited from parent groups |
| 查找具有过多访问权限的组 | List all Microsoft Entra groups in <organization-name> that have Project Collection Administrator or Project Administrator permissions |
| 比较各项目间的组访问权限 | Show me which projects the <entra-group-name> group has access to in <organization-name> and at what permission level |
| 清理过时的组分配 | Find Microsoft Entra groups in <organization-name> that have no active members or whose members haven't signed in for 90 days |
| 设置跨项目团队访问权限 | Add the <entra-group-name> group to the Contributors role in projects <project-1>, <project-2>, and <project-3> in <organization-name> |
小窍门
如果使用Visual Studio Code,代理模式尤其有助于审核多个项目的组成员身份和权限。
- 若要避免使用以前查询中的过时或缓存的数据,请添加到提示
Do not use previously fetched data中。