Azure DevOps Services |Azure DevOps Server |Azure DevOps Server 2022 |Azure DevOps Server 2020
この記事では、セキュリティ グループを使用してアクセス許可とアクセスを管理する方法について説明します。 既定のグループまたはカスタム グループを使用して、アクセス許可を設定できます。 ユーザーとグループは複数のグループに追加できます。 たとえば、ほとんどの開発者を Contributors グループに追加ししたうえで、 チームに参加した開発者を、チームのグループにも追加できます。
詳細については、次の記事を参照してください。
- 組み込みのセキュリティ グループに Active Directory/Microsoft Entra グループを追加する
- 組織ユーザーの追加とアクセスの管理
- チームまたはプロジェクトへのユーザーまたはグループの追加
- ユーザー アカウントを削除する
- アクセス許可を使用して特定の機能へのアクセスを管理する
- プロジェクト レベルのアクセス許可を変更する
- 組織またはコレクション レベルでアクセス許可を変更する
ユーザーは、所属するグループからアクセス許可を継承します。 あるグループに対してアクセス許可が [許可] に設定され、ユーザーが属する別のグループに対して [拒否] が設定されている場合、その有効なアクセス許可の割り当ては [拒否] になります。 継承の詳細については、「 アクセス許可とセキュリティ グループについて」を参照してください。
Azure DevOps でのセキュリティ グループの使用方法
Azure DevOps では、次の目的でセキュリティ グループが使用されます。
- グループまたはユーザーに割り当てられたアクセス許可を決定する
- グループまたはユーザーに割り当てられたアクセス レベルを決定する
- グループ内のメンバーシップに基づいて作業項目クエリをフィルター処理する
- プロジェクト レベルのグループの
@mentionを使用して、そのグループのメンバーに電子メール通知を送信する - チーム グループのメンバーにチーム通知を送信する
- ロールベースのアクセス許可にグループを追加する
- オブジェクトレベルのアクセス許可をセキュリティ グループに設定する
Note
セキュリティ グループは、特定のプロジェクトに使用されている場合でも、組織レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 組織内のすべてのグループ名を表示するには、Azure DevOps CLI ツールまたは REST API を使用します。 詳しくは、セキュリティ グループの追加と管理に関する記事をご覧ください。
Note
セキュリティ グループは、特定のプロジェクトに使用されている場合でも、コレクション レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 コレクション内のすべてのグループ名を表示するには、Azure DevOps CLI ツールまたは REST API を使用します。 詳しくは、セキュリティ グループの追加と管理に関する記事をご覧ください。
前提条件
| カテゴリ | 要件 |
|---|---|
| アクセス許可 | - プロジェクト レベルでアクセス許可またはグループを管理するには:プロジェクト管理者 セキュリティ グループのメンバー。 - コレクション レベルでアクセス許可またはグループを管理するには: プロジェクト コレクション管理者 グループのメンバー。 組織の所有者は、自動的にこのグループのメンバーになります。 |
Note
Project-Scoped Users グループに追加されたユーザーは、アクセス許可を含むほとんどの 組織設定 ページにアクセスできません。 詳細については、「 ユーザーの可視性を制限する」を参照してください。
カスタム セキュリティ グループを作成する
プロジェクトの権限をプロジェクトレベルまたはオブジェクトレベルで管理する場合は、プロジェクトレベルのグループを作成します。 コレクション レベルでアクセス許可を管理する場合は、コレクション レベルのグループを作成します。 詳細については、「 プロジェクト レベルのアクセス許可の変更 」および「 組織レベルまたはコレクション レベルでのアクセス許可の変更」を参照してください。
プロジェクトレベルのグループを作成する
Azure DevOps Web ポータルを開き、ユーザーまたはグループを追加するプロジェクトを選択します。 別のプロジェクトを選択するには、「プロジェクト、リポジトリ、チームの切り替え」を参照してください。
[プロジェクト設定]>[アクセス許可] を選択します。
![[プロジェクトの設定] の [アクセス許可] セクションのスクリーンショット。](media/permissions/project-settings-permissions.png?view=azure-devops)
[新しいグループ] を選択し、グループを追加するためのダイアログを開きます。
プロジェクト コレクションレベルのグループを作成する
Web ポータルを開き、
Azure DevOps アイコンを選択し、
[組織の設定] を選択します。
[セキュリティ] で、[アクセス許可] を選択し、[新しいグループ] を選択すると、グループを追加するためのダイアログが開きます。
新しいグループを定義する
開いたダイアログで、グループの 名前 を入力します。 必要に応じて、グループのメンバーと説明を追加します。
たとえば、ここでは作業追跡管理者グループを定義します。
![組織レベルでセキュリティ グループを追加するための [セキュリティ グループ] ダイアログ ボックスのスクリーンショット。](media/project-collection/create-new-group-at-org-level.png?view=azure-devops)
操作が完了したら、[作成] を選択します。
Azure DevOps Web ポータルを開き、ユーザーまたはグループを追加するプロジェクトを選択します。 別のプロジェクトを選択するには、「プロジェクト、リポジトリ、チームの切り替え」を参照してください。
[プロジェクトの設定]> の [セキュリティ] を選択します。
画像全体を表示するには、 を選択して展開します。
![[プロジェクト設定] の [セキュリティ] ページのスクリーンショット。](media/view-permissions/open-security-project-level-vert.png?view=azure-devops)
[グループ] で、次のいずれかのオプションを選択します。
- 閲覧者: プロジェクトへの読み取り専用アクセスを必要とするユーザーを追加します。
- 共同作成者: このプロジェクトに完全に貢献しているユーザー、または利害関係者アクセス権を付与されたユーザーを追加します。
- [プロジェクト管理者]: プロジェクトの管理が必要なユーザーを追加する場合に選択します。 詳細については、 プロジェクトレベルのアクセス許可の変更に関する記事を参照してください。
[メンバー] タブを選択します。
ここでは、共同作成者グループを選択します。
既定のチーム グループと、プロジェクトに追加する他のチームは、共同作成者グループのメンバーとして含まれます。 代わりにユーザーをチームのメンバーとして追加すると、そのユーザーには自動的に [共同制作者] のアクセス許可が付与されます。
ヒント
ユーザーの管理は、個々のユーザーごとではなく、グループを使用した方がはるかに簡単です。
[追加] を選択して、ユーザーまたはユーザー グループを追加します。テキスト ボックスにユーザー アカウントの名前を入力します。 テキスト ボックスには、複数の ID をコンマで区切って入力できます。 システムにより一致の検索が自動的に行われます。 要件を満たす選択肢を選びます。
![[ユーザーとグループの追加] ダイアログ、サーバーのバージョンを示すスクリーンショット。](media/project-level-permissions-add-a-user.png?view=azure-devops)
Azure DevOps にユーザーまたはグループを初めて追加するときに、そのユーザーまたはグループを参照したり、フレンドリ名を確認したりすることはできません。 ID が追加されたら、後はフレンドリ名を入力するだけです。
完了したら、[変更の保存] を選択します。
(省略可能) プロジェクト内の他の機能について、ユーザーのアクセス許可をカスタマイズできます。 たとえば、エリアとイテレーションや 、共有クエリなどです。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、その機能に対するアクセス許可が付与されている場合でも、一部の機能にアクセスできません。 詳細については、「アクセス許可とアクセス」を参照してください。
![[プロジェクト設定] の [セキュリティ] ページのスクリーンショット。](media/view-permissions/open-security-project-level-vert.png?view=azure-devops#lightbox)
セキュリティ グループにユーザーまたはグループを追加する
ロールと責任が変わると、プロジェクトの個々のメンバーについて、アクセス許可レベルを変更する必要が生じることがあります。 これを行う最も簡単な方法は、ユーザーまたはユーザーのグループを既定のセキュリティ グループまたはカスタム セキュリティ グループに追加することです。 ロールが変更された場合は、グループからユーザーを削除できます。
次の手順では、組み込みの プロジェクト管理者 グループにユーザーを追加する方法を示します。 この方法は、どのグループを追加する場合でも、ほぼ同じです。 組織が Microsoft Entra ID または Active Directory に接続されている場合は、それらのディレクトリで定義されているセキュリティ グループを Azure DevOps セキュリティ グループに追加できます。 詳細については、「 Active Directory/Microsoft Entra ユーザーまたはグループを組み込みのセキュリティ グループに追加する」を参照してください。
10,000 を超えるユーザーまたはグループを Azure DevOps セキュリティ グループに追加する必要がある場合は、ユーザーを直接追加するのではなく、ユーザーを含む Azure Directory/Microsoft Entra グループを追加することをお勧めします。
前のセクション「カスタム セキュリティ グループの作成」の説明に従って、プロジェクトレベルまたは組織レベルの [アクセス許可] ページを開きます。
メンバーを管理するセキュリティ グループを選択し、[メンバー] タブを選択して、[追加] を選択します。
たとえば、ここではプロジェクト管理者 グループ、[メンバー]、[追加] の順に選択します。
![[プロジェクトの設定]、[アクセス許可]、[メンバーの追加] を示すスクリーンショット。](media/project-collection/project-admin-members-add.png?view=azure-devops)
テキスト ボックスにユーザー アカウントの名前を入力し、表示された一致候補から選択します。 [ユーザーおよび/またはグループの追加] ボックスには、システムで認識される複数の識別情報を入力できます。 システムにより一致の検索が自動的に行われます。 希望に一致する項目を選択します。
![[ユーザーとグループの追加] ダイアログ、プレビュー ページを示すスクリーンショット。](media/project-collection/add-member-project-admin.png?view=azure-devops)
Note
利害関係者などの制限付きアクセス権を持つユーザーは、その機能に対するアクセス許可が付与されている場合でも、一部の機能にアクセスできません。 詳細については、「アクセス許可とアクセス」を参照してください。
保存を選択します。
前のセクション「カスタム セキュリティ グループの作成」の説明に従って、プロジェクトレベルまたは組織レベルの [アクセス許可] ページを開きます。
メンバーを管理するセキュリティ グループを選択し、[メンバー] タブを選択して、[追加] を選択します。
たとえば、ここではプロジェクト管理者 グループ、[メンバー]、[追加] の順に選択します。
![[プロジェクトの設定]、[セキュリティ]、[メンバーの追加] ページのスクリーンショット。](media/project-level-permissions-add-member.png?view=azure-devops)
テキスト ボックスにユーザー アカウントの名前を入力します。 テキスト ボックスには、複数の ID をコンマで区切って入力できます。 システムにより一致の検索が自動的に行われます。 あなたの条件に合う一致を選択します。
Note
利害関係者などの制限付きアクセス権を持つユーザーは、その機能に対するアクセス許可が付与されている場合でも、一部の機能にアクセスできません。 詳細については、「アクセス許可とアクセス」を参照してください。
[変更の保存] を選択します。
更新アイコンを選択すると、追加が表示されます。
ユーザーまたはグループのアクセス許可の変更
アクセス許可はさまざまなレベルで定義されているため、次の記事を確認して、変更するアクセス許可のダイアログを開きます。
セキュリティ グループからユーザーまたはグループを削除する
削除するユーザーまたはグループの場合は、縦
省略記号を選択し、[削除] を選択 します。
[削除] を選択して、グループ メンバーの削除を確定します。
![[ユーザーの削除] の確認ダイアログ、クラウド バージョンのスクリーンショット。](media/project-collection/delete-member-confirm-dialog.png?view=azure-devops)
グループからユーザーを削除するには、削除するユーザーの名前の横にある [削除] を選択します。
![[ユーザー確認の削除] ダイアログのスクリーンショット。オンプレミスのバージョン。](media/project-collection/remove-admin-member-server.png?view=azure-devops)
グループ設定の管理
この記事の「カスタム セキュリティ グループを作成する」の説明に従って、プロジェクトレベルまたは組織レベルの [アクセス許可] ページを開きます。
[設定] タブを選択します。グループの[設定] ページから、グループの説明を変更したり、グループ画像を追加したり、グループを削除したりすることができます。
[プロジェクトの設定]>[アクセス許可] または[グループ化の設定]>[アクセス許可] ページで、管理するグループを選択し、[設定] を選択します。
たとえば、ここでは作業追跡管理者グループの [設定] を開きます。
![[グループ設定を開く]、[プレビュー] ページのスクリーンショット。](media/project-collection/group-settings.png?view=azure-devops)
グループ名、グループの説明の変更、イメージのアップロード、またはグループの削除を行うことができます。
グループ名、説明、グループ イメージの追加、またはグループの削除を行うことができます。
[ Project > Settings > Security or Organization]\(セキュリティまたは 組織 \) ページで、管理するグループを選択します
[編集] メニューから [プロファイルの選択] または [削除] を選択します。
たとえば、ここで、利害関係者アクセスグループの [プロファイルの編集] を開いてみましょう。
![[Open Edit group profile, on-premises versions]\(グループ プロファイルの編集を開く\) のスクリーンショット。オンプレミスのバージョン。](media/project-collection/edit-group-profile-delete-project-level-current.png?view=azure-devops)
説明を変更します。 グループの名前を変更することもできます。
![[グループの編集] ダイアログ プロファイルの説明 (オンプレミスバージョン) のスクリーンショット。](media/project-collection/edit-project-level-group-current.png?view=azure-devops)
[保存]を選択して、変更を保存します。
オンプレミス展開
オンプレミスのデプロイについては、次の他の記事を参照してください。
オンプレミス デプロイが SQL Server レポートと統合されている場合、各製品の Web サイトとは別にメンバーシップを管理する必要があります。 詳細については、「 Azure DevOps Server で SQL Server レポートを表示または作成するためのアクセス許可を付与する」を参照してください。