Azure DevOps Server |Azure DevOps Server |Azure DevOps Server 2022 |Azure DevOps Server 2020
Windows または Active Directory グループを作成する場合 、特に SQL Server Reporting Services がデプロイに含まれている場合は、Azure DevOps Server でのユーザーの管理がはるかに簡単になります。
Azure DevOps Server デプロイでのユーザー、グループ、アクセス許可
Azure DevOps Server と SQL Server Reporting Services はすべて、グループ、ユーザー、アクセス許可に関する独自の情報を保持します。 これらのプログラム全体のユーザーとアクセス許可の管理を簡単にするために、展開で同様のアクセス要件を持つユーザーのグループを作成し、それらのグループにさまざまなソフトウェア プログラムで適切なアクセス権を付与し、必要に応じてグループにユーザーを追加または削除するだけです。 これは、3 つの個別のプログラムで個々のユーザーまたはユーザー のグループを個別に維持するよりもはるかに簡単です。
サーバーが Active Directory ドメイン内にある場合は、プロジェクト コレクション内のすべてのプロジェクトの開発者とテスト担当者のグループや、コレクション内のプロジェクトを作成および管理できるユーザーのグループなど、ユーザーを管理するための特定の Active Directory グループを作成する方法があります。 同様に、ネットワーク サービス システム アカウントをサービス アカウントとして使用するように構成できないサービスの Active Directory アカウントを作成することもできます。 これを行うには、SQL Server Reporting Services のレポートの読み取りアクセス データ ソース アカウントの Active Directory アカウントを作成します。
重要
Azure DevOps Server で Active Directory グループを使用する場合は、Azure DevOps Server でのユーザー管理専用の特定のグループを作成することを検討してください。 別の目的で作成された以前の既存のグループ (特に Azure DevOps Server に慣れていない他のユーザーによって管理されている場合) を使用すると、他の機能をサポートするためにメンバーシップが変更されたときに予期しないユーザーの結果が発生する可能性があります。
インストール時の既定の選択肢は、Azure DevOps Server と SQL Server のサービス アカウントとしてネットワーク サービス システム アカウントを使用することです。 セキュリティ上の理由やその他の理由 (スケールアウトデプロイなど) のために、特定のアカウントをサービス アカウントとして使用する場合は、使用できます。 SQL Server Reporting Services のデータ ソース 閲覧者アカウントのサービス アカウントとして使用する特定の Active Directory アカウントを作成することもできます。
サーバーが Active Directory ドメインにあるが、Active Directory グループまたはアカウントを作成するためのアクセス許可がない場合、またはドメインではなくワークグループにサーバーをインストールする場合は、ローカル グループを作成して使用して、SQL Server と Azure DevOps Server 全体のユーザーを管理できます。 同様に、サービス アカウントとして使用するローカル アカウントを作成できます。 ただし、ローカル グループとアカウントは、ドメイン グループやアカウントほど堅牢ではないことに注意してください。 たとえば、サーバーに障害が発生した場合は、新しいサーバーでグループとアカウントを最初から再作成する必要があります。 Active Directory グループとアカウントを使用する場合、Azure DevOps Server をホストしているサーバーが失敗した場合でも、グループとアカウントは保持されます。
たとえば、新しい展開のビジネス要件と、プロジェクト マネージャーによるセキュリティ要件を確認した後、展開の大部分のユーザーを管理する 3 つのグループを作成する場合があります。
既定のプロジェクト コレクション内のすべてのプロジェクトに完全に参加する開発者とテスト担当者向けの一般的なグループ。 このグループには、大部分のユーザーが含まれます。 このグループにはTFS_ProjectContributors名前を付けます。
コレクション内のプロジェクトを作成および管理するためのアクセス許可を持つプロジェクト管理者の小さなグループ。 このグループにはTFS_ProjectAdmins名前を付けます。
いずれかのプロジェクトにのみアクセスできる、制限付きの特別な請負業者グループ。 このグループにはTFS_RestrictedAccess名前を付けます。
その後、展開が拡大するにつれて、他のグループを作成することもできます。
Active Directory でグループを作成するには
- ビジネス ニーズに最も適したローカル ドメイン、グローバル、またはユニバーサル グループであるセキュリティ グループを Active Directory に作成します。 たとえば、グループに複数のドメインのユーザーを含める必要がある場合は、ユニバーサル グループの種類がニーズに最も適しています。 詳細については、「 新しいグループの作成 (Active Directory Domain Services)」を参照してください。
サーバー上にローカル グループを作成するには
- ローカル グループを作成し、その目的をすばやく識別する名前を付けます。 既定では、作成するすべてのグループには、そのコンピューターのユーザーの既定のグループと同等のアクセス許可が与えられます。 詳細については、「 ローカル グループの作成」を参照してください。
Active Directory でサービス アカウントとして使用するアカウントを作成するには
- Active Directory でアカウントを作成し、ビジネス要件に従ってパスワード ポリシーを設定し、アカウントが 委任に対して信頼 されていることを確認します。 詳細については、「 新しいユーザー アカウントの作成 (Active Directory Domain Services) 」および「 ユーザー アカウントについて (Active Directory Domain Services)」を参照してください。
サーバー上のサービス アカウントとして使用するローカル アカウントを作成するには
- サービス アカウントとして使用するローカル アカウントを作成し、ビジネスのセキュリティ要件に従ってグループ メンバーシップとその他のプロパティを変更します。 詳細については、「 ローカル ユーザー アカウントの作成」を参照してください。
次の機会にこれを試行します
Q&A(質疑応答)
Q: グループを使用して、Azure DevOps Server のプロジェクトまたは機能へのアクセスを制限できますか。
ある: はいできますよ。 特定のグループを作成して、選択した機能、機能、およびプロジェクトへのアクセスを許可または制限したり、アクセス レベルやその他の目的で管理したりできます。