我有一个与AAD租户绑定的Azure DevOps组织,看来项目管理员(而非Collection Admin)组中的用户有可能通过该项目将AAD的新用户添加到组织中不在组织中,绕过添加到组织。
是否可以通过编程方式或通过UI来防止此行为?即使审核日志捕获了这一点,但允许Project Admins组中的某人将AAD中的任何人添加到该项目中然后可以访问该组织也是不完全安全的。
答案 0 :(得分:0)
在此documen中,要向项目添加用户,您必须是Project Administrators或Project Collection Administrators组的成员。
根据设计,项目管理员具有该项目的最高权限,并且当然可以将用户添加到该项目中。但是添加到该项目的用户只能访问该特定项目。由于用户已添加到项目中,因此他也将是组织的用户,并在用户列表中列出。但是他的许可仅限于该项目。
如果您不希望项目管理员中的用户从AAD添加新用户。您应该从“项目管理员”组中删除该用户。