kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

Azure DevOps オンラインセミナーを開催しました&資料や質問

TFSUGとしてのオンラインセミナーを開催しました。内容はIgnite The Tourでやったことほぼそのままです。東京開催のときは特にお部屋が満室で入れなかった方も多かったようなので、今回オンライン開催にしてみました。

「こんなニッチなテーマ、2-30人くらいくればいいだろう」と思っていたのですが、ふたを開けてみれば150人以上も登録いただき、130人くらい参加されていたようです。ありがとうございます。

Teamsで会議参加者一覧をエクスポートする機能が最近追加されたはずですが、使うの忘れてました…。当日不要なウィンドウが出ていたので動画編集で消しています。資料の一部が欠けていますが、SlideShareから見てください。Teamsの録画は参加者の一覧まで見えてしまうので、同じく動画編集で削っています。

質問から

AADのグループは、ネストも参照できますか?

できるはずです。

後から追加したOrganizationに既に作ったProjectを移行することはできるのでしょうか

レポジトリはできるのですが、Projectそのまま簡単な操作では移行できなかったはずです。移行をサポートするツールはサードパーティーや融資から提供されています。

marketplace.visualstudio.com

外部の Git リポジトリ側で、Azure Pipelines の IP アドレスを許可したいのですが、Pipelines の IP アドレスは固定されているのでしょうか。

残念ながらPipelineのIPは「Azureデータセンター」というざっくりしたくくりしかわかりません。しばやんが書いたこういう方法で調べることはできますが、固定はできません。

blog.shibayan.jp

今もそうだと思いますが、自分のOrganizationがwest usだからそこだけ選べばいいかというと、実はそうではありません。何度か経験したことありますが、Azure PipelinesのDCが性能低下すると、ほかの(Azureでいうペアリージョン)にオフロードされてパイプラインが動いたことがあります。

ここ2年くらいは見たことがないのですが、特定のAzureリージョンだけと思っているとたぶん失敗します。

どうしても固定したい場合、現状ではself-hosted agentを立てる以外方法はないようです。

Visual Studio Professionalのサブスクリプションを保持している場合、権限的にTest Plansは使用できませんか?EnterpriseならTest Plansは使用できました。

Test Plans使うにはEnterpriseか、Azureサブスクリプションでの月額課金での購入が必要になります。

docs.microsoft.com

開発プロセスがイテレーティブでない場合のBoardsの使い方

Azure Boardsは原則イテレーション(Sprint)を前提とした設計になっています。例えば保守向けのタスクであったとしても、一週間単位などでスプリントを設定してください。

O365を契約する前に契約していたMSDNアカウントを、O365契約後に会社アカウント(組織アカウント)がMicrosoftアカウントになった後に、移す方法

これは購入方法にもよりますが、できるはずです。MSDNを更新するときに組織アカウントにする手続きができるはずです(私はやってもらいました)。

MSアカウントで作っていたリソースを組織アカウントに移行できるかどうかはAzure ADにMSアカウントをゲスト追加許可するかどうかという管理ポリシー次第なんですが、許されない場合はAzure DevOpsやAzureのリソースは破棄して作り直しということになります。

Azure Reposで接続元IPアドレスを監視したいのですが可能でしょうか?

接続元IPアドレスを管理したいわけではないそうですが、現状の監査には接続のロギングみたいなことはないはずです。できるとすればAzure AD P2を使ってサインインを監視するしかないでしょう。

Authenticatorアプリ認証以外での多要素認証を求められる事例

スマートフォンを全員に配布していないような組織では証明書使っている場合があります。

プライベートなプロジェクト(特に Azure Repos)に対して、ステークホルダーは何名でも追加できますか?

ステークホルダーユーザーはAzure Reposに対するアクセス権限はありませんが、追加可能なユーザーは無制限です。

実運用の中でサービス連携するしないの観点などがあればぜひ教えてほしいです。

GitHubをレポジトリに使っているからAzure Reposをオフにすれば迷わないよ、という説明を受けての質問です。

これはもうすでに今まで培ったインフラがあるかどうかと好みでわかれるとは思います。ただ、BoardsとTest Plansはよそにない特色があると思いますので、特に複数のレポジトリを使って開発するような大規模環境には向いています。

アカウントの棚卸しのベストプラクティス

  • プロジェクト終了時
  • 定期的(通常は人事異動時)

でしょうか。

DevOpsとしての組織Organizationの割り振りは、‬普通のAzure‬ ADの組織割り(会社で言う部署)とは違う感じですか

部署は消滅することが多いので、会社の部門依存のorganizationというのは練習とか完全に部門に閉じた使用ではいいのですが、リリースするプロジェクトを作る単位、セキュリティを分割しなければならない範囲で考えたほうがいいと思います。

O365のAzure ADに追加するとDevOpsのユーザー検索でほかのユーザーも出てしまいます。

はい、そうなります。これがあるので、社内利用であればいいのですが、Azure ADゲスト追加した人も検索できてしまうのでよろしくない、という場合があります。原則としてAzure ADグループを作っておいて、そちらのグループを使用可能ユーザーとして追加する方法がおすすめです。

Azure Devopsのロールをセキュリティグループに当てることはできますか。

可能です。

Taskを作ったり、Pull requestsを始めたり、マージしたり、ってのをTeams連携して、チームに新たな会話を投稿したりとか、できましたっけ...

devblogs.microsoft.com

Pipelinesは基本承認と通知ですね。

docs.microsoft.com

Boardsの場合もPRの作成ではなく、通知が主ですね。

docs.microsoft.com

Basicプランだけなら安いと思っていたけど、実際はP1いるのでさらに倍と気づくのはよくあることでしょうか?

はい、よくあることのようです…。

今後のdevopsとgithubの関係はどのようになって行きそうですか? 共存?融合?

どうなんでしょうね。今GitHubとAzure DevOpsのチームは統合されて一つ(といっても大枠、ということなのでしょうが)で開発しているそうですが。

参考:codezine.jp

Azure Pipelines の「Artifacts」という用語と Azure Artifacts は完全に同一のものを指すのでしょうか

これは混同しがちですね。Pipelinesで作られたものをartifactsといっていますが、nuget/mavenなどのパッケージ管理もサービスとしてArtifactsといっています。サービスとしてはあくまでも別ですね。

メンバーの管理ですが、プロジェクト管理者グループのメンバー以外で可能でしょうか?

プロジェクトのTeam内であれば、Teamで入れたり出したりできます。Projectへの追加はProject Administratorのお仕事になります。実際はPower Automateとかで自動的にできるようになってるといいですね。

当日の資料


Azure DevOps セキュリティ設定解説