Správa přístupu ke konkrétním funkcím

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

Správa přístupu ke konkrétním funkcím v Azure DevOps je zásadní pro zachování správné rovnováhy otevřenosti a zabezpečení. Bez ohledu na to, jestli chcete udělit nebo omezit přístup k určitým funkcím pro skupinu uživatelů, je důležité pochopit flexibilitu nad rámec standardních oprávnění poskytovaných integrovanými skupinami zabezpečení.

Pokud s oprávněními a skupinami teprve začínáte, podívejte se na téma Úvod do oprávnění, přístupu a skupin zabezpečení. Tento článek popisuje základy stavů oprávnění a jejich dědění.

Tip

Struktura projektu v Azure DevOps hraje klíčovou roli při určování členitosti oprávnění na úrovni objektu, jako jsou úložiště a cesty oblastí. Tato struktura je základem, který můžete doladit řízení přístupu, což vám umožní konkrétně vypsat, které oblasti jsou přístupné nebo omezené. Další informace najdete v tématu O projektech a škálování organizace.

Požadavky

Kategorie	Požadavky
Oprávnění	Člen skupiny správců kolekce projektů . Vlastníci organizace jsou automaticky členy této skupiny.

Použití skupin zabezpečení

Pro zajištění optimální údržby použijte výchozí skupiny zabezpečení nebo vytvořte vlastní skupiny zabezpečení ke správě oprávnění. Nastavení oprávnění pro skupiny Správci projektů a Správci kolekcí projektů nemůžete změnit. Oprávnění ale můžete upravit pro všechny ostatní skupiny.

Správa oprávnění pro několik uživatelů může vypadat jako proveditelná, ale vlastní skupiny zabezpečení poskytují organizovanější přístup. Zjednoduší dohled nad rolemi a souvisejícími oprávněními, zajistí přehlednost a snadnost správy.

Delegování úkolů na konkrétní role

Jako správce nebo vlastník organizace delegujte administrativní úkoly členům týmu, kteří dohlížejí na konkrétní oblasti. Mezi primární předdefinované role patří předdefinovaná oprávnění a přiřazení rolí:

• Čtenáři: Mají k projektu přístup jen pro čtení.
• Přispěvatelé: Můžou přispívat do projektu přidáním nebo úpravou obsahu.
• Správce týmu: Správa nastavení a oprávnění souvisejících s týmem
• Správci projektů: Mají oprávnění správce k projektu.
• Správci kolekcí projektů: Dohlížejí na celou kolekci projektů a mají nejvyšší úroveň oprávnění.

Tyto role použijte k distribuci zodpovědností a zjednodušení správy oblastí projektů.

Další informace najdete v tématu Výchozí oprávnění a přístup aZměna oprávnění na úrovni kolekce projektů.

Pokud chcete úkoly delegovat na jiné členy ve vaší organizaci, zvažte vytvoření vlastní skupiny zabezpečení a udělení oprávnění, jak je uvedeno v následující tabulce.

Role

Úkoly, které se mají provést

Oprávnění nastavit na Povolit

Vedoucí vývoje (Git)

Správa zásad větví

Úprava zásad, vynucené odeslání a správa oprávnění
Viz Nastavení oprávnění větve.

Vedoucí vývojového týmu (Team Foundation Version Control (TFVC))

Správa úložiště a větví

Spravovat popisky, spravovat větve a spravovat oprávnění
Viz Nastavení oprávnění úložiště TFVC.

Softwarový architekt (Git)

Správa úložišť

Vytváření úložišť, nucený push a správa oprávnění
Viz Nastavení oprávnění úložiště Git

Správci týmu

Přidejte cesty oblastí pro svůj tým
Přidání sdílených dotazů pro jejich tým

Vytvořte podřízené uzly, Odstraňte tento uzel, Upravte tento uzel viz Vytvořte podřízené uzly, upravte pracovní položky v cestě oblasti
Přispívání, odstranění, správa oprávnění (pro složku dotazu), viz Nastavení oprávnění dotazu.

Přispěvatelé

Přidání sdílených dotazů do složky dotazu, přispívání do řídicích panelů

Přispívání, odstranění (pro složku dotazu), viz Nastavení oprávnění dotazu
Zobrazit, upravit a spravovat řídicí panely, viz Nastavení oprávnění řídicího panelu.

Projekt nebo produktový manažer

Přidejte cesty oblasti, cesty iterací a sdílené dotazy
Odstranění a obnovení pracovních položek, přesunutí pracovních položek mimo tento projekt, trvalé odstranění pracovních položek

Pokud chcete upravit informace na úrovni projektu, přečtěte si téma Změna oprávnění na úrovni projektu.

Správce šablon procesů (dědičný procesní model)

Přizpůsobení sledování práce

Správa oprávnění procesu, Vytváření nových projektů, Vytvoření procesu, Odstranit pole z účtu, Odstranit proces, Odstranit projekt, Upravit proces
Viz Změna oprávnění na úrovni kolekce projektů.

Správce šablon procesů (model hostovaného procesu XML)

Přizpůsobení sledování práce

Chcete-li upravit informace na úrovni kolekce, přečtěte si téma Změna oprávnění na úrovni kolekce projektu.

Řízení projektů (místní model procesu XML)

Přizpůsobení sledování práce

Pokud chcete upravit informace na úrovni projektu, přečtěte si téma Změna oprávnění na úrovni projektu.

Správce oprávnění

Správa oprávnění pro projekt, účet nebo kolekci

V případě projektu upravte informace na úrovni projektu.
U účtu nebo kolekce upravte informace na úrovni instance nebo na úrovni kolekce.
Informace o rozsahu těchto oprávnění najdete v průvodci vyhledáváním oprávnění. Pokud chcete požádat o změnu oprávnění, přečtěte si téma Žádost o zvýšení úrovní oprávnění.

Kromě přiřazování oprávnění jednotlivcům můžete spravovat oprávnění pro různé objekty v rámci Azure DevOps. Mezi tyto objekty patří:

• Úložiště Git
• Větve Gitu
• Úložiště TFVC
• Sestavení a vydání kanálů
• Wiki.

Tyto odkazy obsahují podrobné kroky a pokyny pro efektivní nastavení a správu oprávnění pro příslušné oblasti v Azure DevOps.

Omezení viditelnosti uživatelů

Varování

Při používání této funkce Preview zvažte následující omezení:

• Omezené funkce viditelnosti popsané v této části se vztahují pouze na interakce prostřednictvím webového portálu. Pomocí rozhraní REST API nebo azure devops příkazů rozhraní příkazového řádku můžou členové projektu přistupovat k omezeným datům.
• Uživatelé v omezené skupině můžou vybrat jenom uživatele, kteří jsou explicitně přidaní do Azure DevOps, a ne uživatele, kteří mají přístup prostřednictvím členství ve skupině Microsoft Entra.
• Uživatelé typu host, kteří jsou členy omezené skupiny s výchozím přístupem v Microsoft Entra ID, nemohou vyhledávat uživatele pomocí panelu pro výběr osob.

Organizace a projekty

Ve výchozím nastavení můžou uživatelé, které přidáte do organizace, zobrazit všechny informace a nastavení organizace a projektu. Konkrétní uživatele, jako jsou účastníci, uživatelé Microsoft Entra nebo členové konkrétní skupiny zabezpečení, můžete omezit pomocí funkce Omezit viditelnost uživatelů a spolupráci na konkrétní projekty ve verzi Preview pro organizaci. Když tuto funkci zapnete, omezí se každý uživatel nebo skupina, které přidáte do skupiny Project-Scoped Uživatelé, následujícími způsoby:

• Access je omezen pouze na projekty, ke kterým jsou explicitně přidány.
• Seznamy uživatelů, projektů, podrobností o fakturaci, údajů o využití a dalších, které jsou přístupné prostřednictvím nastavení organizace, jsou omezené.
• Sada lidí nebo skupin, které se zobrazují ve výběrech hledání osob a možnost @mention osob je omezená.

Vyhledávání a výběr identity

Pomocí ID Microsoft Entra můžete pomocí výběrů osob vyhledat libovolného uživatele nebo skupinu ve vaší organizaci, ne jenom uživatele ve vašem aktuálním projektu. Výběr osob podporuje následující funkce Azure DevOps:

• Výběr uživatelské identity z pole pro sledování práce, jako například Přiřazeno
• Výběr uživatele nebo skupiny pomocí @mention v diskuzi pracovní položky nebo v poli s formátem textu, diskuzi o žádosti o přijetí změn, potvrzení komentářů nebo komentářů sady změn nebo sad odložených změn
• Výběr uživatele nebo skupiny pomocí @mention ze stránky wikiwebu

Jak je znázorněno na následujícím obrázku, začněte do pole pro výběr osob zadávat jméno uživatele nebo skupiny zabezpečení, dokud nenajdete shodu.

Uživatelé a skupiny, které jsou přidány do skupiny uživatelů s vymezeným projektem, můžou zobrazit a vybrat uživatele a skupiny jenom v projektu, ke kterému jsou připojení pomocí výběru uživatelů.

Zapnutí funkce Preview a přidání uživatelů do skupiny zabezpečení

Pokud chcete zapnout funkci Preview a přidat uživatele a skupiny do skupiny Project-Scoped Users, postupujte takto:

1. Zapněte funkci Omezit viditelnost a spolupráci uživatelů na konkrétní projektyfunkce Preview pro organizaci.

2. Přidejte uživatele do projektu, jak je popsáno v části Přidání uživatelů do projektu nebo týmu. Uživatelé přidaní do týmu se automaticky přidají do projektu a do týmové skupiny.

3. Otevřete Nastavení organizací>Zabezpečení>Oprávnění a zvolte Uživatelé vázaní na projekt. Vyberte kartu Členové.

4. Přidejte všechny uživatele a skupiny, které chcete zahrnout do projektu, ke kterému se přidávají. Další informace najdete v tématu Nastavení oprávnění na úrovni projektu nebo kolekce.

   Skupina Project-Scoped Uživatelé se zobrazí jenom v části Oprávnění>Skupiny, pokud je zapnutá funkce Omezit viditelnost uživatelů a spolupráci na konkrétních projektech v ukázkové funkci.

Všechny skupiny zabezpečení v Azure DevOps jsou entity na úrovni organizace, i když mají oprávnění jenom pro konkrétní projekt. Skupiny zabezpečení spravujete na úrovni organizace.

Na webovém portálu může být viditelnost některých skupin zabezpečení omezená na základě vašich oprávnění. Názvy všech skupin zabezpečení v rámci organizace ale můžete zjistit pomocí nástroje azure devops CLI nebo rozhraní REST API. Další informace najdete v tématu Přidání a správa skupin zabezpečení.

Omezení přístupu k zobrazení nebo úpravám objektů

Azure DevOps je navržený tak, aby všichni autorizovaní uživatelé mohli zobrazit všechny definované objekty v systému. Přístup k prostředkům ale můžete přizpůsobit nastavením stavu oprávnění na Odepřít. Nastavte oprávnění pro členy, kteří patří do vlastní skupiny zabezpečení nebo pro jednotlivé uživatele. Další informace najdete v tématu Žádost o zvýšení úrovní oprávnění.

Oblast, která se má omezit

Oprávnění nastavit na Odepřít

Zobrazení nebo přispívání do úložiště

Zobrazit, Přispívat

Viz Nastavení oprávnění úložiště Git nebo Nastavení oprávnění úložiště TFVC.

Zobrazení, vytvoření nebo úprava pracovních položek v oblastní cestě

Upravit pracovní položky v tomto uzlu, zobrazit pracovní položky v tomto uzlu
Viz Nastavení oprávnění a přístupu pro sledování práce, úprava pracovních položek v cestě oblasti.

Zobrazení nebo aktualizace vybraných build a release pipeline

Úprava kanálu buildu, zobrazení kanálu buildu
Úprava kanálu verzí, Zobrazení kanálu verzí
Nastavte tato oprávnění na úrovni objektu. Podívejte se na Nastavit oprávnění pro sestavení a vydání.

Úprava řídicího panelu

Zobrazení řídicích panelů
Viz Nastavení oprávnění řídicího panelu.

Omezení úprav pracovních položek nebo výběrových polí

Příklady, které ilustrují omezení úprav pracovních položek nebo výběrových polí, najdete v tématu Ukázkové scénáře pravidel.

Další kroky

Odstranění uživatele

Související obsah

• Zobrazit výchozí oprávnění a přístup
• Použít průvodce vyhledáváním oprávnění
• Začínáme s oprávněními, přístupem a skupinami zabezpečení
• Viz oprávnění a skupiny
• Změna oprávnění na úrovni projektu
• Změna oprávnění na úrovni kolekce projektů