Azure DevOps Services |Azure DevOps Server |Azure DevOps Server 2022 |Azure DevOps Server 2020
この記事では、 Project Collection Administrators グループのメンバーとして、組織レベルで設定されたアクセス許可を管理する方法について説明します。 1 つの組織は、リソースを共有する複数のプロジェクトのコンテナーです。 詳細については、「組織構造を計画する」を参照してください。
この記事では、 プロジェクト コレクション管理者 グループのメンバーとして、プロジェクト コレクション レベルで設定されたアクセス許可を管理する方法について説明します。 プロジェクト コレクションは、リソースを共有する複数のプロジェクトのコンテナーです。 詳細については、「プロジェクトと組織のスケーリングについて」を参照してください。
組織レベルまたはコレクション レベルのアクセス許可
次の表に、組織レベルまたはコレクション レベルで割り当てられたアクセス許可を示します。 プロジェクト コレクション管理者グループのメンバーには、他のユーザーに代わる要求の実行を除くすべてのアクセス許可が付与されます。 詳細については、「アクセス許可とグループのリファレンス、グループ」を参照してください。
全般
- トレース設定の変更
- 新しいプロジェクトの作成
- チーム プロジェクトの削除
- インスタンス レベルの情報の編集
- インスタンス レベルの情報の表示
サービス アカウント:
- 他のユーザーに代わる要求の実行
- イベントのトリガー
- システム同期情報の表示
ボード
- プロセスのアクセス許可の管理
- プロセスの作成
- 組織またはアカウントからのフィールドの削除
- プロセスの削除
- プロセスの編集
リポ (TFVC)
- シェルブされた変更の管理
- ワークスペースの管理
- ワークスペースの作成
パイプライン
- ビルド リソースのアクセス許可の管理
- ビルド リソースの管理
- パイプライン ポリシーの管理
- ビルド リソースの使用
- ビルド リソースの表示
テスト 計画
- テスト コントローラーの管理
監査
- 監査ストリームの削除
- 監査ストリームの管理
- 監査ログの表示
ポリシー
- エンタープライズ ポリシーの管理
Note
プロジェクト コレクション管理者は、 組織レベルまたはコレクション レベルのセキュリティ グループとグループ メンバーシップを管理し、アクセス許可の制御リスト (ACL) を編集できます。 このアクセス許可は、Azure DevOps ユーザー インターフェイスを介して制御されません。
前提条件
| カテゴリ | 要件 |
|---|---|
| アクセス許可 | プロジェクト コレクション管理者 グループのメンバー。 組織またはコレクションの作成者は、自動的にこのグループのメンバーになります。 |
| ディレクトリ サービス | Azure DevOps に追加される前に、Microsoft Entra ID または Active Directory で定義されているセキュリティ グループ。 詳細については、「 組み込みのセキュリティ グループに Active Directory/Microsoft Entra グループを追加する」を参照してください。 |
Note
利害関係者アクセス権を持つユーザーは、それらの機能に対するアクセス許可を持っていても、特定の機能にアクセスできません。 詳細については、「利害関係者アクセスクイック リファレンス」を参照してください。
Note
プロジェクト スコープのユーザー グループのメンバーは、ほとんどの組織の設定やアクセス許可にアクセスできません。 詳細については、「 ユーザーの可視性を制限する」を参照してください。
セキュリティ グループ
コレクションにセキュリティ グループを追加する操作は、プロジェクトに追加する場合とほぼ同じです。 カスタム セキュリティ グループを追加するには、最初 に Microsoft Entra ID または Active Directory で定義 してから、Azure DevOps に グループを作成 します。
詳細については、「セキュリティ グループを使用してユーザーとグループを管理する」および「アクセス許可とセキュリティ グループについて」を参照してください。
Note
セキュリティ グループは、特定のプロジェクトに使用されている場合でも、組織レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 組織内のすべてのグループ名を表示するには、Azure DevOps CLI ツールまたは REST API を使用します。 詳しくは、セキュリティ グループの追加と管理に関する記事をご覧ください。
Note
セキュリティ グループは、特定のプロジェクトに使用されている場合でも、コレクション レベルで管理されます。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 コレクション内のすべてのグループ名を表示するには、Azure DevOps CLI ツールまたは REST API を使用します。 詳しくは、セキュリティ グループの追加と管理に関する記事をご覧ください。
プロジェクト コレクション管理者グループのメンバー
次のプロセスでは、ユーザーを Project Collection Administrators グループ、またはその他の組織レベルまたはコレクション レベルのグループに追加します。
ユーザー インターフェイスとプロセスは、[ 組織のアクセス許可の設定] ページ v2 プレビュー ページ が有効になっているかどうかによって異なります。 この機能を有効にするには、「 プレビュー機能を有効にする」を参照してください。
![[組織の設定] と [アクセス許可] の選択を示すスクリーンショット。](media/project-collection/open-settings-permissions-preview.png?view=azure-devops)
![[メンバーの追加] を示すスクリーンショット。](media/project-collection/project-admin-members-add.png?view=azure-devops)
![[ユーザーとグループの追加] ダイアログを示すスクリーンショット。](media/project-collection/add-member-project-admin.png?view=azure-devops)
![[プロジェクトの設定]、[セキュリティ]、[メンバーの追加] の選択のスクリーンショット。](media/project-collection/admin-members-add.png?view=azure-devops)
![[ユーザーとグループの追加] ダイアログ、現在のページを示すスクリーンショット。](media/project-collection/add-user.png?view=azure-devops)
Web ポータルを開き、ユーザーまたはグループを追加するコレクションを選択します。
[コレクションの設定]>、[セキュリティ] の順に選択します。
[プロジェクト コレクション管理者>メンバー>追加] を選択します。
[ユーザーまたはグループ] テキスト ボックスに、単一または複数の ユーザー アカウント名または カスタム セキュリティ グループ名を入力します。 システムにより一致の検索が自動的に行われます。
適切な結果を選択し、[ 変更の保存] を選択します。
![オンプレミスの [ユーザーとグループの追加] ダイアログのスクリーンショット。](media/project-level-permissions-add-a-user.png?view=azure-devops)
グループのアクセス許可を変更する
プロジェクト コレクション管理者グループを除き、任意の組織またはコレクション レベルのグループのアクセス許可を変更できます。 プロジェクト コレクション管理者グループのアクセス許可の設定をデザインで変更することはできません。
ユーザー インターフェイスとプロセスは、[ 組織のアクセス許可の設定] ページ v2 プレビュー ページ が有効になっているかどうかによって異なります。 この機能を有効にするには、「 プレビュー機能を有効にする」を参照してください。
Azure DevOps 組織の左側のナビゲーション メニューで、コレクション設定>Security を選択します。
アクセス許可を変更するグループを選択します。
各アクセス許可の横にある設定を切り替えて、新しい設定を選択します。 次の例では、 利害関係者限定 グループのいくつかのアクセス許可を変更します。
![選択したグループの [コレクションレベルのアクセス許可] のスクリーンショット (現在のページ)。](media/change-project-collection-level/change-project-collection-level-permission-for-groups-current-page.png?view=azure-devops)
すべての変更を行った後、[ 変更の保存] を選択します。
ユーザーのアクセス許可を変更する
特定のユーザーのコレクションレベルのアクセス許可を変更できます。 詳細については、「 アクセス許可の状態」を参照してください。
ユーザー インターフェイスとプロセスは、[ 組織のアクセス許可の設定] ページ v2 プレビュー ページ が有効になっているかどうかによって異なります。 この機能を有効にするには、「 プレビュー機能を有効にする」を参照してください。
![[ユーザー] タブのスクリーンショット。ユーザーを選択します。](media/change-project-collection-level/choose-users-select-user.png?view=azure-devops)
![選択したユーザーとその [アクセス許可] のスクリーンショット。](media/change-project-collection-level/change-project-level-permission-for-user.png?view=azure-devops)
Azure DevOps 組織の左側のナビゲーション メニューで、コレクション設定>Security を選択します。
[ ユーザーとグループのフィルター] テキスト ボックスで、アクセス許可を変更するユーザーの名前を検索して選択します。
1 つ以上のアクセス許可の割り当てを変更します。 次の例では、ユーザー fabrikamfiber1@hotmail.comのアクセス許可をいくつか変更します。
![選択したユーザーの [プロジェクト レベルの情報を編集]アクセス許可レベルを変更するスクリーンショット。](media/change-project-collection-level/change-project-level-permission-for-user-current-page.png?view=azure-devops)
[変更の保存] を選択します。
オンプレミス展開
オンプレミスのデプロイの詳細については、次の記事を参照してください。
オンプレミス デプロイが SQL Server レポートと統合されている場合は、これらの製品のメンバーシップを各 Web サイトとは別に管理します。 詳細については、SQL Server レポートの表示または作成のアクセス許可を付与する」を参照してください。
よく寄せられる質問
プロジェクト コレクション管理者ロールに他のユーザーを追加する必要がある場合
これは異なりますが、ほとんどの組織では、 プロジェクト コレクション管理者 が Team Foundation Administrators グループによって作成されたコレクションを管理します。 プロジェクト コレクション管理者はコレクション を作成しませんが、チーム プロジェクトの作成、グループへのユーザーの追加、コレクション設定の変更などのタスクを処理します。
すべてのコンポーネントと依存関係にわたってプロジェクト コレクションを管理するための最適なアクセス許可は何ですか?
プロジェクト コレクション管理者には、 次のアクセス許可が必要です。
- Team Foundation Server の場合: Project Collection Administrators グループのメンバー、または必要な コレクション レベルのアクセス許可 を [許可] に設定します。
- SharePoint 製品の場合: コレクションにサイト コレクション リソースが含まれている場合は、 サイト コレクション管理者 グループのメンバー。
- Reporting Services の場合: コレクションにレポート リソースが含まれている場合は 、Team Foundation コンテンツ マネージャー グループのメンバー。
管理者ですが、プロジェクト コレクション管理者を追加する権限がありません。 必要なアクセス許可は何ですか?
次のアクセス許可が必要です。
- プロジェクト コレクション管理者 メンバーシップ、または Server-Level 情報の表示 および Server-Level 情報の編集 アクセス許可が 許可 に設定されている。
- SharePoint 製品の場合、 サイト コレクション管理者 または ファーム管理者グループの メンバーシップ。
- Reporting Services の場合、 コンテンツ マネージャー または Team Foundation コンテンツ マネージャー グループの メンバーシップ。
重要
プロジェクト コレクションを作成し、その他の管理タスクを実行するには、ユーザーに管理アクセス許可が必要です。 Team Foundation バックグラウンド ジョブ エージェントのサービス アカウントにも、特定のアクセス許可が必要です。 詳細については、「Team Foundation Server におけるサービス アカウントと依存関係」および「Team Foundation バックグラウンド ジョブ エージェント」を参照してください。