在VSTS(Visual Studio团队服务)中,当我们邀请用户成为后备AzureAD的来宾时。这意味着用户无法执行涉及AzureAD的任务。即使他是VSTS项目的管理员,他也不能邀请新成员加入该项目,因为他没有邀请任何人加入支持AzureAD的权限。
我们可以创建例如一项政策,该政策赋予拥有我们公司电子邮件域的所有用户“来宾邀请者”角色。这样一来,我们公司的所有人员都可以将新用户添加到他们的项目中,但是如果他们邀请了客户,则该客户将无法邀请更多人。
一种更好的方法是将所有用户从来宾用户更改为会员。
答案 0 :(得分:0)
对我来说,这听起来像是解决方法,因为VSTS应该链接到您的组织 Active Directory。但是,我无法理解您对现有项目和用户的担心(即使还有migration guide)。
您可以将基于属性的规则用于动态组,以将具有特定域/邮件的所有用户添加到特定组。然后,您可以将VSTS的必要权限(VSTS项目集合管理员或帐户所有者权限)和AAD(我这里不需要的最低特权)分配给该组。
注意::如果需要添加Azure AD外部的用户,则必须先将其添加到Azure AD。
请参阅:Create attribute-based rules for dynamic group membership in Azure Active Directory