Поделиться через

Добавление групп безопасности и управление ими

Azure DevOps Services

Группы безопасности используются для управления разрешениями и доступом, как описано в разделе Начало работы с разрешениями, доступом и группами безопасности. Например, участникам группы "Участники" или группе "Администраторы проектов" назначаются разрешения, разрешенные для этих групп.

Azure DevOps предварительно настроен с группами безопасности по умолчанию. Вы можете добавлять группы безопасности для организации или проекта и управлять ими с помощью команд az devops security group. Используйте эту команду для выполнения следующих задач.

  • Создание новой группы безопасности
  • Просмотр групп безопасности и сведений о группе безопасности
  • Обновление или удаление группы безопасности
  • Управление членством в группах безопасности для групп и пользователей

Note

Эта статья относится только к Azure DevOps Services. For Azure DevOps Server, you can manage security groups using the TFSSecurity command.

Prerequisites

Category Requirements
Permissions Член группы администраторов коллекции проектов . Владельцы организации автоматически входят в эту группу. Дополнительные сведения о токенах см. в пространстве имен безопасности и справочнике по разрешениям.
Tools расширения Azure DevOps CLI. Войдите с помощью az login.

Команды группы безопасности

Command Description
az devops security group create Создайте группу безопасности Azure DevOps.
az devops security group delete Удалите группу безопасности Azure DevOps.
az devops security group list Список всех групп в проекте или организации.
az devops security group show Отображение сведений о группе.
az devops security group update Обновите имя и описание группы безопасности.
az devops security group membership add Добавьте участника в группу безопасности.
az devops security group membership list Список членства для группы или пользователя.
az devops security group membership remove Удалите участника из группы безопасности.

Следующие параметры являются необязательными для всех команд, а не перечислены в примерах, приведенных в этой статье.

  • detect: Automatically detect organization. Принятые значения: false, true. Значение по умолчанию — true.
  • org: Azure DevOps organization URL. Вы можете настроить организацию по умолчанию с помощью az devops configure -d organization=ORG_URL. Требуется, если не настроено как по умолчанию или выбрано с помощью конфигурации Git. Пример: --org https://dev.azure.com/MyOrganizationName/.

Создание группы безопасности

Вы можете создать группу безопасности с помощью команды az devops security group create.

az devops security group create [--description]
                                [--email-id]
                                [--groups]
                                [--name]
                                [--origin-id]
                                [--project]
                                [--scope {organization, project}]

Optional parameters

  • description: Description of the new security group.
  • email-id: Create new group using the email address as a reference to an existing group from a Microsoft Entra backed provider. Required if name or origin-id is missing.
  • groups: A comma-separated list of descriptors referencing groups you want the newly created group to join.
  • name: Name of the new security group. Required if origin-id or email-id is missing.
  • origin-id: Create new group using the OriginID as a reference to an existing group from a Microsoft Entra backed provider. Required if name or email-id is missing.
  • project: Name or ID of the project in which the group should be created.
  • scope: Create group at project or organization level. Accepted values are organization and project (default).

Example

The following command creates the Account Management security group in the project MyFirstProject and shows the result in table format.

az devops security group create --name "Account Management" --project MyFirstProject --description "Management team focused on creating and maintaining customer services" --output table

Name                                 Description
-----------------------------------  ---------------------------------------------------------------------
[MyFirstProject]\Account Management  Management team focused on creating and maintaining customer services

Удаление группы безопасности

Вы можете удалить группу безопасности с помощью команды az devops security group delete.

az devops security group delete --id
                                [--yes]

Parameters

  • id: Required. Дескриптор группы безопасности. Чтобы получить дескриптор, используйте команду az devops security group list.
  • yes: Optional. Не запрашивайте подтверждение.

Example

Следующая команда удаляет группу безопасности с указанным дескриптором и не запрашивает подтверждение.

az devops security group delete --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x --yes

Перечисление групп безопасности

Вы можете перечислить все группы безопасности в проекте или организации с помощью команды az devops security group list.

az devops security group list [--continuation-token]
                              [--project]
                              [--scope {organization, project}]
                              [--subject-types]

Optional parameters

  • continuation-token: If there are more results that can't be returned in a single page, the result set will contain a continuation token for retrieval of the next set of results.
  • project: List groups for a particular project.
  • scope: List the groups at project or organization level. Accepted values are organization and project (default).
  • subject-types: A comma-separated list of user subject subtypes to reduce the retrieved results. Вы можете предоставить начальную часть дескриптора (до точки) в качестве фильтра, например vssgp,aadgp.

Example

The following command lists the name and descriptor for all security groups in MyFirstProject, and shows the results in table format.

az devops security group list --project MyFirstProject --output table

Name                                     Descriptor
---------------------------------------  --------------------------------------------------------------------------------------------------------------------------------------------------
[MyFirstProject]\Contributors            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTE0MzUxMDc1MzctMzkwMDAzNTkwNS0zMTk5MDU1NDY1LTM4MDE2ODQ3MzM
[MyFirstProject]\Project Valid Users     vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z
[MyFirstProject]\Account Management      vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
[MyFirstProject]\Project Team            vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTM0OTQwNjM0ODktMjg4NDE3MTA4Mi0yMjkxMTIwNTYwLTM3NDc2NDkyNA
[MyFirstProject]\Readers                 vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTQ0MzQzMTA1My0yMTcyODUzNTc2LTI1MjY0NzgwNjMtMzY1NjU0NjczNQ
[MyFirstProject]\Account Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS02NTAxNzIxNjctMzk4MTU5MTEwNC0zMjE1MTIzNjI0LTEyMTMyOTQwNQ
[MyFirstProject]\Project Administrators  vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0x
[MyFirstProject]\Build Administrators    vssgp.Uy0xLTktMTU1MTM3NDI0NS0zMjgyMTE0Mzg4LTcyMDc3NjM2LTI5MzA1OTM5MTEtMTI2ODYyOTM0My0xLTI0MDEzNTE5NjItMzM2NTg2MzA5LTI2Mzg2ODkzMDktMzk5NTQ3OTU3MQ

Отображение сведений о группе безопасности

Вы можете отобразить сведения о группе безопасности с помощью команды az devops security group show.

az devops security group show --id

Parameters

  • id: Required. Дескриптор группы безопасности.

Example

Следующая команда содержит сведения о группе безопасности "Допустимые пользователи проекта" в формате таблицы.

az devops security group show --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMC0wLTAtMC0z --output table

Name                                  Description
------------------------------------  ------------------------------------------------------
[MyFirstProject]\Project Valid Users  Members of this group have access to the team project.

Обновление группы безопасности

Имя и описание группы безопасности можно обновить с помощью команды az devops security update.

az devops security group update --id
                                [--description]
                                [--name]

Parameters

  • id: Required. Дескриптор группы безопасности.
  • description: Optional. Новое описание группы безопасности. Required if name is missing.
  • name: Optional. Новое имя группы безопасности. Required if description is missing.

Example

Следующая команда изменяет имя группы безопасности с указанным дескриптором и показывает результат в формате YAML.

az devops security group update --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw --name "Management Team" --output yaml

description: Management team focused on creating and maintaining customer services
descriptor: vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw
displayName: Management Team
domain: vstfs:///Classification/TeamProject/5417a1c3-4b04-44d1-aead-50774b9dbf5f
isCrossProject: null
isDeleted: null
isGlobalScope: null
isRestrictedVisible: null
legacyDescriptor: null
localScopeId: null
mailAddress: null
origin: vsts
originId: 8fe47a49-bfab-4356-9a85-90c5e62110be
principalName: '[MyFirstProject]\Management Team'
scopeId: null
scopeName: null
scopeType: null
securingHostId: null
specialType: null
subjectKind: group
url: https://vssps.dev.azure.com/fabrikam/_apis/Graph/Groups/vssgp.Uy0xLTktMTU1MTM3NDI0NS0xODI5NDgwMzA1LTEzNjM2MTczNTEtMjI0NzE1OTUyMC03ODEzNDk2MjItMS0zNDU1MDI4NTE4LTI5Nzg5OTAxNTYtMjI4OTU2NzYyOS0xOTM2NDU3NTYw

Добавление участника в группу

Вы можете добавить участника в группу безопасности с помощью команды az devops security membership add.

az devops security group membership add --group-id
                                        --member-id

Parameters

  • group-id: Required. Дескриптор группы, к которой должен быть добавлен член.
  • member-id: Required. Дескриптор группы или адреса электронной почты пользователя, добавляемого.

Example

Следующая команда добавляет пользователю contoso@contoso.com в указанную группу безопасности и отображает результаты в формате таблицы.

az devops security group membership add --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --output table

Name                                 Type    Email
-----------------------------------  ------  -------------------
[MyFirstProject]\Account Management  group
contoso@contoso.com                  user    contoso@contoso.com

Перечисление членства для группы или пользователя

Вы можете перечислить членство для группы или пользователя с помощью команды az devops security membership list.

az devops security group membership list --id
                                         [--relationship {memberof, members}]

Parameters

  • id: Required. Дескриптор группы безопасности или адрес электронной почты пользователя, сведения о членстве которого необходимы.
  • relationship: Optional. Get member of or members information for the group. The accepted values are memberof and members.

Examples

Следующая команда содержит список членов указанной группы безопасности и показывает результаты в формате таблицы.

az devops security group membership list --id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --output table

Name                 Type    Email                Descriptor
-------------------  ------  -------------------  ----------------------------------------------------
contoso@contoso.com  user    contoso@contoso.com  msa.NDMzMmNjOWYtYzY4Zi03YTNlLTk2ZTktYmYwM2U4NjgxOTRh

Ниже приведен еще один пример, в который перечислены члены команды EMail для проекта Fabrikam Fibre.

az devops security group membership list --id "[Fabrikam Fiber]\Email" --output table
Name               Type    Email                       Descriptor
-----------------  ------  --------------------------  ----------------------------------------------------
Christie Church    user    fabrikamfiber1@hotmail.com  msa.OThjODMzM2ItMmI4Ny03YTkwLThmZGItYWQwYmQ1YWE4MzJk
Raisa Pokrovskaya  user    fabrikamfiber5@hotmail.com  msa.ZmUwYjk5NmYtZTAyNS03NzBkLTgxNmYtMzk1NDQwYzViMzgw

Удаление члена из группы

Вы можете удалить члена из группы безопасности с помощью команды az devops security group remove.

az devops security group membership remove --group-id
                                           --member-id
                                           [--yes]

Parameters

  • group-id: Required. Дескриптор группы, из которой необходимо удалить член.
  • member-id: Required. Дескриптор группы или адреса электронной почты пользователя, который необходимо удалить.
  • yes: Optional. Не запрашивайте подтверждение.

Example

Следующая команда удаляет пользователя contoso@contoso.com из указанной группы безопасности без запроса на подтверждение.

az devops security group membership remove --group-id vssgp.Uy0xLTktMTU1MTM3NDI0NS0yMjc3MTY5NTAtOTkzNjA1MTg2LTI1ODQxNTkyOTktMjYzMDUyNzA2OC0xLTQxNDY0Mzc4MzktMzgxMDM2MDM5MS0yNjE0MjU5MzI3LTI5MjI2MTc3OTA --member-id contoso@contoso.com --yes

Related content

  • Last updated on