Devops 组织安全组何时继承到 Devops 项目？

Question

当我在 Devops 中进入我的项目时，在pipelines->Manage Security 下，我可以看到几个组织安全组，主要是项目集合“插入角色”。

我想知道安全组何时从组织继承到项目？

因为我确实按照 Microsoft 的建议在组织级别创建了一个新的管理员安全组，没有服务帐户访问级别。但是当我进入我的项目时，我看不到我的新小组可以访问我的管道。

那么组织级别的新小组如何获得对项目的访问权限？

如果只是他们确实获得了访问权限，但没有显示，那么为什么项目集合组显示而不显示其他内容？

如果只是默认集合组获得访问权限，那么新安全组的意义何在？

我设置允许的详细权限列表是：

当然。正如我所说，它启用了所有功能，除了服务帐户的东西。允许的所有内容的详细列表是：

• 更改跟踪设置
• 创建新项目
• 删除团队项目
• 编辑实例级信息
• 查看实例级信息
• 管理进程权限
• 创建流程
• 从组织中删除字段
• 删除进程
• 编辑流程
• 管理搁置的更改
• 管理工作区
• 创建工作区
• 管理构建资源权限
• 管理构建资源
• 管理管道政策
• 使用构建资源
• 查看构建资源
• 管理测试控制器
• 删除审核流
• 管理审核流
• 查看审核日志
• 管理企业政策

同样，我想要的只是一个没有服务帐户访问权限的管理员帐户。

Answer 1

因此，当您在 Azure DevOps 中的组织级别创建权限组时，确实没有任何自动继承的权限。默认情况下，您必须手动将组织级别的组分配给项目组以委派访问权限，或创建一个组规则来自动分配对项目的访问权限。

就您而言，听起来组规则将是最佳选择。使用一个将使您能够自动将项目访问权限委派给组内的用户。但是，使用它们有一些限制。

要创建组规则：

1. 转到您的组织设置页面
2. 前往用户页面
3. 点击组规则标签
4. 点击添加组规则
5. 选择所有项目
6. 在 Azure DevOps Groups 字段中选择 Project Administrator（该组与您要应用到用户的设置很接近）

7. 点击保存

我上面提到过这种方法有局限性。主要限制是，在自动委派访问权限时，您只能从开箱即用的安全组中进行选择。如果您想限制示例能够使用的 项目管理员 组中包含的权限，您需要采取进一步措施，您必须手动将自定义组织级别组添加到将这些权限设置为拒绝

的项目级组

但是，在您上面的权限列表中，您已经包含了所有项目级别的权限，所以我相信这种方法应该适合您。

以下是微软关于使用组规则的文档：

• https://docs.microsoft.com/en-us/azure/devops/organizations/accounts/assign-access-levels-by-group-membership?view=azure-devops&tabs=preview-page