kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

Azure DevOpsのプロジェクトに所属しないユーザーが検索されなくなります

Sprint 182が公開されました。翻訳は別途公開しますが、今までセキュリティ上の都合でorganizationを分割せざるを得なかった問題が解消されているので、紹介します。

今までのAzure DevOpsではorganizationに含まれるユーザーは全て検索対象になっていました。これで何が困るかといえば、AというプロジェクトとBというプロジェクトで利害関係の異なっているとまでは言わないですが、社外のゲストユーザーを入れていた場合です。

偶然メールアドレスのローカルパートや氏名で一致した場合、みられちゃ困る他社のメンバーまで見えてしまうことになります。今までこういう時はorganizationを分割せざるを得なかったのですが、複数organizationがあると自分の作業も分割されてしまうし、何よりセキュリティレベルに異なったものを設定してしまうことになります。

Azure Artifactsも異なるOrganizationで課金が多重にかかるのも地味に辛いですね。そこでSprint 182ではProject-Scoped Usersという組み込みセキュリティグループが作られました。OrganizationのPermissionsにあります。

f:id:kkamegawa:20210206192924p:plain

ここに入っている人は既定で自分のグループ以外のユーザーが検索、タグ付けなどで出て来なくなります。とはいえ、何かしないといけないわけではなくて、Project-Scoped UsersにはProject Collection Valid Usersグループが入っています。そして、チームプロジェクト毎にProject Valid Usersというグループが作られています。

各プロジェクトにアクセスする場合、Project Valid Usersに追加されるはずなので、実は特に何をしなくても、プロジェクトガイのメンバーがサジェストされることがなくなるはずです。

社内開発でAzure DevOpsを使おうとする場合、無関係のパートナーさんが出てきては困るということもあったと思うので、これでより便利になりますね。

よって、今後organizationを分割する場合というのはこのくらいでしょうか。

  • 将来的にorganizationの所有者が変わる(発注を発注を受けて仕事する)場合
  • 開発者から地理的に近い場所に設置したい場合
  • そもそも接続するAzure ADが違う場合
  • セキュリティレベルが異なる場合(OrganizationのPolicy設定)