Udělení nebo omezení přístupu pomocí oprávnění

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

K prostředkům, které spravujete v Azure DevOps, můžete udělit nebo omezit přístup. Můžete například otevřít nebo uzavřít přístup k vybrané sadě funkcí a pro vybranou sadu uživatelů. I když předdefinované skupiny zabezpečení poskytují standardní sadu přiřazení oprávnění, možná budete potřebovat další požadavky na zabezpečení, které tato přiřazení nesplní.

Pokud se správou oprávnění a skupin začínáte, přečtěte si téma Začínáme s oprávněními, přístupem a skupinami, které obsahuje informace o stavech a dědičnosti oprávnění.

V tomto článku se dozvíte, jak provádět následující úlohy:

• Doporučená metoda pro udělení a omezení oprávnění
• Delegování úkolů přiřazením vybraných oprávnění konkrétním rolím
• Omezení viditelnosti uživatelů na informace o organizaci
• Omezení výběru osob na uživatele a skupiny projektu
• Omezení přístupu k zobrazení nebo úpravám objektů
• Omezení úprav pracovních položek na základě uživatele nebo skupiny

Tip

Vzhledem k tomu, že nastavíte mnoho oprávnění na úrovni objektu, jako jsou úložiště a cesty k oblasti, určuje způsob strukturování projektu oblasti, které můžete otevřít nebo zavřít.

Doporučená metoda pro udělení a omezení oprávnění

Pro účely údržby doporučujeme ke správě oprávnění použít předdefinované skupiny zabezpečení nebo vlastní skupiny zabezpečení.

Nemůžete změnit nastavení oprávnění pro skupinu Project Správa istrators ani skupinu kolekce projektů Správa istrátory, což je záměrně. U všech ostatních skupin ale můžete oprávnění změnit.

Pokud spravujete několikuživatelůch Vlastní skupiny zabezpečení vám ale umožňují lépe sledovat role a oprávnění přiřazená těmto rolím.

Delegování úkolů na konkrétní role

Jako správce nebo vlastník účtu je vhodné delegovat úlohy správy na členy týmu, kteří vedou nebo spravují oblast. Několik hlavních předdefinovaných rolí, které jsou součástí výchozích oprávnění a přiřazení rolí, jsou:

• Čtenáři
• Přispěvatelé
• Týmový Správa istrator (role)
• Správa istrátory projektu
• Správa istrátory kolekce projektů

Souhrn oprávnění pro výše uvedené role naleznete v tématu Výchozí oprávnění a přístup nebo kolekce projektů Správa istrátory naleznete v tématu Změna oprávnění na úrovni kolekce projektů.

Pokud chcete úkoly delegovat na jiné členy ve vaší organizaci, zvažte vytvoření vlastní skupiny zabezpečení a udělení oprávnění, jak je uvedeno v následující tabulce.

Role

Úkoly, které se mají provést

Oprávnění nastavená na Povolit

Vedoucí vývoje (Git)

Správa zásad větví

Úprava zásad, vynucení nabízených oznámení a správy oprávnění
Viz Nastavení oprávnění větve.

Vedoucí vývoje (TFVC)

Správa úložiště a větví

Správa ister labels, Manage branch, and Manage permissions
Viz Nastavení oprávnění úložiště TFVC.

Softwarový architekt (Git)

Správa úložišť

Vytváření úložišť, vynucení nabízených oznámení a správy oprávnění
Viz Nastavení oprávnění úložiště Git

Správci týmu

Přidání cest oblastí pro svůj tým
Přidání sdílenýchdotazůch

Vytvoření podřízených uzlů, odstranění tohoto uzlu, úprava tohoto uzlu viz Vytvoření podřízených uzlů, úprava pracovních položek v cestě k oblasti
Přispívání, odstranění, správa oprávnění (pro složku dotazu), viz Nastavení oprávnění dotazu.

Přispěvatelé

Přidání sdílených dotazů do složky dotazu, přispívání do řídicích panelů

Přispívání, odstranění (pro složku dotazu), viz Nastavení oprávnění dotazu
Zobrazit, upravit a spravovat řídicí panely, viz Nastavení oprávnění řídicího panelu.

Projekt nebo produktový manažer

Přidání cest oblastí, cest iterace a sdílených dotazů
Odstranění a obnovení pracovních položek, přesunutí pracovních položek mimo tento projekt, trvalé odstranění pracovních položek

Úprava informací na úrovni projektu, viz Změna oprávnění na úrovni projektu.

Správce šablon procesů (model procesu dědičnosti)

Přizpůsobení sledování práce

Správa ister process permissions, Create new projects, Create process, Delete field from account, Delete process, Delete project, Edit process
Viz Změna oprávnění na úrovni kolekce projektů.

Správce šablon procesů (model hostovaného procesu XML)

Přizpůsobení sledování práce

Upravit informace na úrovni kolekce, viz Změna oprávnění na úrovni kolekce projektu.

Řízení projektů (místní model procesu XML)

Přizpůsobení sledování práce

Úprava informací na úrovni projektu, viz Změna oprávnění na úrovni projektu.

Správce oprávnění

Správa oprávnění pro projekt, účet nebo kolekci

V případě projektu upravte informace na úrovni projektu.
V případě účtu nebo kolekce upravte informace o úrovni instance (nebo na úrovni kolekce).
Informace o rozsahu těchto oprávnění najdete v průvodci vyhledáváním oprávnění. Pokud chcete požádat o změnu oprávnění, přečtěte si téma Žádost o zvýšení úrovní oprávnění.

Můžete také udělit oprávnění ke správě oprávnění pro následující objekty:

• Nastavení oprávnění úložiště Git
• Správa oprávnění ke větvi Gitu
• Nastavení oprávnění úložiště TFVC
• oprávnění k sestavení a vydání Správa ister
• Spravovat oprávnění wikiwebu

Omezení viditelnosti uživatelů na informace o organizaci a projektu

Důležité

• Omezené funkce viditelnosti popsané v této části se vztahují pouze na interakce prostřednictvím webového portálu. Pomocí rozhraní REST API nebo azure devops příkazů rozhraní příkazového řádku můžou členové projektu přistupovat k omezeným datům.
• Uživatelé typu host, kteří jsou členy omezené skupiny s výchozím přístupem v Microsoft Entra ID, nemůžou vyhledávat uživatele s výběrem osob. Když je funkce Preview pro organizaci vypnutá nebo když uživatelé typu host nejsou členy omezené skupiny, můžou uživatelé typu host prohledávat všechny uživatele Microsoft Entra podle očekávání.

Ve výchozím nastavení můžou uživatelé přidaní do organizace zobrazit všechny informace a nastavení organizace a projektu. Pokud chcete omezit přístup jenom na projekty, do kterých přidáváte uživatele, můžete povolit funkci Omezit viditelnost a spolupráci uživatelů na konkrétní projekty ve verzi Preview pro organizaci. Další informace najdete v tématu Správa funkcí ve verzi Preview.

Když je tato funkce povolená, uživatelé přidaní do skupiny Uživatelé s oborem projektu nemůžou zobrazit většinu nastavení organizace a můžou se připojit jenom k těm projektům, ke kterým byli přidáni.

Upozorňující

Pokud je pro organizaci povolená funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview, nemůžou uživatelé v oboru projektu vyhledávat uživatele, kteří byli do organizace přidáni prostřednictvím členství ve skupině Microsoft Entra, a ne prostřednictvím explicitní pozvánky uživatele. Jedná se o neočekávané chování a pracuje se na řešení. Pokud chcete tento problém vyřešit sami, zakažte funkci Omezit viditelnost a spolupráci uživatelů na konkrétní projekty ve verzi Preview pro organizaci.

Omezení výběru osob na uživatele a skupiny projektu

U organizací, které spravují své uživatele a skupiny pomocí ID Microsoft Entra, podporují výběry uživatelů vyhledávání všech uživatelů a skupin přidaných do Microsoft Entra ID, nejen těch uživatelů nebo skupin přidaných do projektu. Lidé výběry podporují následující funkce Azure DevOps:

• Výběr identity uživatele z pole identity sledování práce, jako je například Přiřazeno
• Výběr uživatele nebo skupiny pomocí @mention v diskuzi pracovní položky nebo v poli s formátem textu, diskuzi o žádosti o přijetí změn, potvrzení komentářů nebo komentářů sady změn nebo sad odložených změn
• Výběr uživatele nebo skupiny pomocí @mention ze stránky wikiwebu

Jak je znázorněno na následujícím obrázku, jednoduše začnete psát do pole pro výběr osob, dokud nenajdete shodu s uživatelským jménem nebo skupinou zabezpečení.

Uživatelé a skupiny, které jsou přidány do skupiny Uživatelé s vymezeným projektem, můžou zobrazit a vybrat uživatele a skupiny jenom v projektu, ke kterému jsou připojení z výběru osob. Pokud chcete omezit výběr osob pro všechny členy projektu, přečtěte si téma Správa organizace, Omezení vyhledávání identit a výběr.

Omezení přístupu k zobrazení nebo úpravám objektů

Azure DevOps je navržený tak, aby všem platným uživatelům umožnil zobrazit všechny objekty definované v systému. Přístup k prostředkům můžete omezit nastavením stavu oprávnění na Odepřít. Můžete nastavit oprávnění pro členy, kteří patří do vlastní skupiny zabezpečení nebo pro jednotlivé uživatele. Další informace o tom, jak nastavit tyto typy oprávnění, najdete v tématu Žádost o zvýšení úrovní oprávnění.

Oblast, která se má omezit

Oprávnění k nastavení na Odepřít

Zobrazení nebo přispívání do úložiště

Zobrazit, Přispívat
Viz Nastavení oprávnění úložiště Git nebo Nastavení oprávnění úložiště TFVC.

Zobrazení, vytvoření nebo úprava pracovních položek v cestě oblasti

Upravit pracovní položky v tomto uzlu, zobrazit pracovní položky v tomto uzlu
Viz Nastavení oprávnění a přístupu pro sledování práce, Úprava pracovních položek v cestě oblasti.

Zobrazení nebo aktualizace výběrových kanálů buildu a verze

Úprava kanálu buildu, zobrazení kanálu buildu
Úprava kanálu verze, zobrazení kanálu verze
Tato oprávnění nastavíte na úrovni objektu. Viz Nastavení oprávnění k sestavení a vydání.

Úprava řídicího panelu

Zobrazení řídicích panelů
Viz Nastavení oprávnění řídicího panelu.

Omezení úprav pracovních položek nebo výběrových polí

Příklady, které ilustrují omezení úprav pracovních položek nebo výběrových polí, najdete v tématu Ukázkové scénáře pravidel.

Další kroky

Odebrání uživatelských účtů

Související články

• Řešení potíží s oprávněními
• Pravidla a vyhodnocení pravidel
• Výchozí oprávnění a přístup
• Průvodce vyhledáváním oprávnění
• Začínáme s oprávněními, přístupem a skupinami zabezpečení
• Referenční informace o oprávněních a skupinách
• Změna oprávnění na úrovni projektu
• Změna oprávnění na úrovni kolekce projektů