Поделиться через

Добавление групп безопасности и управление ими

  • Статья

Azure DevOps Services

Группы безопасности используются для управления разрешениями и доступом, как описано в разделе Начало работы с разрешениями, доступом и группами безопасности. Например, участникам группы "Участники" или группе "Администраторы проектов" назначаются разрешения, разрешенные для этих групп.

Azure DevOps предварительно настроен с группами безопасности по умолчанию. Вы можете добавлять группы безопасности для организации или проекта и управлять ими с помощью команд az devops security group. Используйте эту команду для выполнения следующих задач.

  • Создание новой группы безопасности
  • Просмотр групп безопасности и сведений о группе безопасности
  • Обновление или удаление группы безопасности
  • Управление членством в группах безопасности для групп и пользователей

Заметка

Эта статья относится только к Azure DevOps Services. Для Azure DevOps Server можно управлять группами безопасности с помощью команды TFSSecurity.

Необходимые условия

Команды группы безопасности

Команда Описание
az devops security group create Создайте группу безопасности Azure DevOps.
az devops security group delete Удалите группу безопасности Azure DevOps.
az devops security group list Список всех групп в проекте или организации.
az devops security group show Отображение сведений о группе.
az devops security group update Обновите имя и описание группы безопасности.
az devops security group membership add Добавьте участника в группу безопасности.
az devops security group membership list Список членства для группы или пользователя.
az devops security group membership remove Удалите участника из группы безопасности.

Следующие параметры являются необязательными для всех команд, а не перечислены в примерах, приведенных в этой статье.

  • обнаруживать: автоматически обнаруживать организацию. Принятые значения: false, true. Значение по умолчанию — true.
  • организации: URL-адрес организации Azure DevOps. Вы можете настроить организацию по умолчанию с помощью az devops configure -d organization=ORG_URL. Требуется, если не настроено как по умолчанию или выбрано с помощью конфигурации Git. Пример: --org https://dev.azure.com/MyOrganizationName/.

Создание группы безопасности

Вы можете создать группу безопасности с помощью команды az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Необязательные параметры

  • описание: описание новой группы безопасности.
  • идентификатор электронной почты: создайте новую группу с помощью адреса электронной почты в качестве ссылки на существующую группу из поддерживаемого поставщика Microsoft Entra. Требуется, если имя или идентификатор источника отсутствует.
  • группы: список разделенных запятыми дескрипторов, ссылающихся на группы, которые нужно присоединить только что созданной группе.
  • имя: имя новой группы безопасности. Требуется, если идентификатор источника или идентификатор электронной почты отсутствует.
  • идентификатор источника: создайте новую группу с помощью OriginID в качестве ссылки на существующую группу из поддерживаемого поставщика Microsoft Entra. Требуется, если имя или идентификатор электронной почты отсутствует.
  • проекта: имя или идентификатор проекта, в котором должна быть создана группа.
  • области: создание группы на уровне проекта или организации. Допустимые значения: организации и проект (по умолчанию).

Пример

Следующая команда создает группу безопасности управления учетными записями в проекте MyFirstProject и отображает результат в формате таблицы.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Удаление группы безопасности

Вы можете удалить группу безопасности с помощью команды az devops security group delete.

az devops security group delete --id
                                [--yes]

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности. Чтобы получить дескриптор, используйте команду az devops security group list.
  • да: необязательно. Не запрашивайте подтверждение.

Пример

Следующая команда удаляет группу безопасности с указанным дескриптором и не запрашивает подтверждение.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Перечисление групп безопасности

Вы можете перечислить все группы безопасности в проекте или организации с помощью команды az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Необязательные параметры

  • маркер продолжения. Если на одной странице не может быть возвращено больше результатов, результирующий набор будет содержать маркер продолжения для получения следующего набора результатов.
  • проект: список групп для определенного проекта.
  • области: список групп на уровне проекта или организации. Допустимые значения: организации и проект (по умолчанию).
  • типы субъектов: список подтипов субъекта пользователя с разделим запятыми, чтобы уменьшить полученные результаты. Вы можете предоставить начальную часть дескриптора (до точки) в качестве фильтра, например vssgp,aadgp.

Пример

Следующая команда содержит имена и дескриптор для всех групп безопасности в MyFirstProjectи отображает результаты в формате таблицы.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Отображение сведений о группе безопасности

Вы можете отобразить сведения о группе безопасности с помощью команды az devops security group show.

az devops security group show --id

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности.

Пример

Следующая команда содержит сведения о группе безопасности "Допустимые пользователи проекта" в формате таблицы.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Обновление группы безопасности

Имя и описание группы безопасности можно обновить с помощью команды az devops security update.

az devops security group update --id
                                [--description]
                                [--name]

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности.
  • описание: необязательно. Новое описание группы безопасности. Требуется, если имя отсутствует.
  • имя: необязательно. Новое имя группы безопасности. Требуется, если описание отсутствует.

Пример

Следующая команда изменяет имя группы безопасности с указанным дескриптором и показывает результат в формате YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Добавление участника в группу

Вы можете добавить участника в группу безопасности с помощью команды az devops security membership add.

az devops security group membership add --group-id
                                        --member-id

Параметры

  • идентификатор группы: обязательный. Дескриптор группы, к которой должен быть добавлен член.
  • идентификатор участника: обязательный. Дескриптор группы или адреса электронной почты пользователя, добавляемого.

Пример

Следующая команда добавляет пользователю contoso@contoso.com в указанную группу безопасности и отображает результаты в формате таблицы.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Перечисление членства для группы или пользователя

Вы можете перечислить членство для группы или пользователя с помощью команды az devops security membership list.

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Параметры

  • идентификатор: обязательный. Дескриптор группы безопасности или адрес электронной почты пользователя, сведения о членстве которого необходимы.
  • связи: необязательно. Получение члена или участников для группы. Допустимые значения : член и членов.

Примеры

Следующая команда содержит список членов указанной группы безопасности и показывает результаты в формате таблицы.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Ниже приведен еще один пример, в который перечислены члены команды EMail для проекта Fabrikam Fibre.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Удаление члена из группы

Вы можете удалить члена из группы безопасности с помощью команды az devops security group remove.

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Параметры

  • идентификатор группы: обязательный. Дескриптор группы, из которой необходимо удалить член.
  • идентификатор участника: обязательный. Дескриптор группы или адреса электронной почты пользователя, который необходимо удалить.
  • да: необязательно. Не запрашивайте подтверждение.

Пример

Следующая команда удаляет пользователя contoso@contoso.com из указанной группы безопасности без запроса на подтверждение.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes