Události
Vytváření inteligentních aplikací
17. 3. 21 - 21. 3. 10
Připojte se k řadě meetupů a vytvořte škálovatelná řešení AI založená na skutečných případech použití s kolegy vývojáři a odborníky.
ZaregistrovatSpráva přístupu ke konkrétním funkcím
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Správa přístupu ke konkrétním funkcím v Azure DevOps může být zásadní pro zachování správné rovnováhy otevřenosti a zabezpečení. Bez ohledu na to, jestli chcete udělit nebo omezit přístup k určitým funkcím pro skupinu uživatelů, je potřeba pochopit flexibilitu nad rámec standardních oprávnění poskytovaných integrovanými skupinami zabezpečení.
Pokud s oprávněními a skupinami teprve začínáte, podívejte se na téma Úvod do oprávnění, přístupu a skupin zabezpečení. Tento článek popisuje základy stavů oprávnění a jejich dědění.
Tip
Struktura projektu v Azure DevOps hraje klíčovou roli při určování členitosti oprávnění na úrovni objektu, jako jsou úložiště a cesty oblastí. Tato struktura je základem, který umožňuje doladit řízení přístupu, což vám umožní konkrétně vypsat, které oblasti jsou přístupné nebo omezené. Další informace najdete v tématu O projektech a škálování organizace.
| Kategorie | Požadavky |
|---|---|
| Oprávnění | Člen skupiny správců kolekce projektů . Vlastníci organizace jsou automaticky členy této skupiny. |
Pro optimální údržbu doporučujeme použít výchozí skupiny zabezpečení nebo vytvořit vlastní skupiny zabezpečení ke správě oprávnění. Nastavení oprávnění pro skupiny správců projektu a správců kolekce projektů jsou pevně dané a nelze je změnit. Máte ale možnost upravovat oprávnění pro všechny ostatní skupiny.
Správa oprávnění pro několik uživatelů může vypadat jako proveditelná, ale vlastní skupiny zabezpečení poskytují organizovanější přístup. Zjednoduší dohled nad rolemi a souvisejícími oprávněními, zajistí přehlednost a usnadnění návrhu správy a nebude možné je změnit. Máte ale možnost upravovat oprávnění pro všechny ostatní skupiny.
Jako správce nebo vlastník organizace delegování administrativních úkolů členům týmu, kteří dohlížejí na konkrétní oblasti, je strategický přístup. Mezi primární předdefinované role vybavené předdefinovanými oprávněními a přiřazeními rolí patří:
- Čtenáři: Mají k projektu přístup jen pro čtení.
- Přispěvatelé: Můžou přispívat do projektu přidáním nebo úpravou obsahu.
- Správce týmu: Správa nastavení a oprávnění souvisejících s týmem
- Správci projektů: Mají oprávnění správce k projektu.
- Správci kolekcí projektů: Dohlížejí na celou kolekci projektů a mají nejvyšší úroveň oprávnění.
Tyto role usnadňují distribuci odpovědností a zjednodušují řízení oblastí projektů.
Další informace naleznete v tématu Výchozí oprávnění a přístup a změnit oprávnění na úrovni kolekce projektů.
Pokud chcete úkoly delegovat na jiné členy ve vaší organizaci, zvažte vytvoření vlastní skupiny zabezpečení a udělení oprávnění, jak je uvedeno v následující tabulce.
Role
Úkoly, které se mají provést
Oprávnění nastavená na Povolit
Vedoucí vývoje (Git)
Správa zásad větví
Úprava zásad, vynucení nabízených oznámení a správy oprávnění
Viz Nastavení oprávnění větve.
Vedoucí vývojového týmu (Team Foundation Version Control (TFVC))
Správa úložiště a větví
Správa popisků, správa větví a oprávnění Spravovat
Viz Nastavení oprávnění úložiště TFVC.
Softwarový architekt (Git)
Správa úložišť
Vytváření úložišť, vynucení nabízených oznámení a správy oprávnění
Viz Nastavení oprávnění úložiště Git
Správci týmu
Přidání cest oblastí pro svůj tým
Přidání sdílenýchdotazůch
Vytvoření podřízených uzlů, odstranění tohoto uzlu, úprava tohoto uzlu viz Vytvoření podřízených uzlů, úprava pracovních položek v cestě k oblasti
Přispívání, odstranění, správa oprávnění (pro složku dotazu), viz Nastavení oprávnění dotazu.
Přispěvatelé
Přidání sdílených dotazů do složky dotazu, přispívání do řídicích panelů
Přispívání, odstranění (pro složku dotazu), viz Nastavení oprávnění dotazu
Zobrazit, upravit a spravovat řídicí panely, viz Nastavení oprávnění řídicího panelu.
Projekt nebo produktový manažer
Přidání cest oblastí, cest iterace a sdílených dotazů
Odstranění a obnovení pracovních položek, přesunutí pracovních položek mimo tento projekt, trvalé odstranění pracovních položek
Úprava informací na úrovni projektu, viz Změna oprávnění na úrovni projektu.
Správce šablon procesů (model procesu dědičnosti)
Přizpůsobení sledování práce
Správa oprávnění procesu, Vytváření nových projektů, Vytvoření procesu, Odstranit pole z účtu, Odstranit proces, Odstranit projekt, Upravit proces
Viz Změna oprávnění na úrovni kolekce projektů.
Správce šablon procesů (model hostovaného procesu XML)
Přizpůsobení sledování práce
Upravit informace na úrovni kolekce, viz Změna oprávnění na úrovni kolekce projektu.
Řízení projektů (místní model procesu XML)
Přizpůsobení sledování práce
Úprava informací na úrovni projektu, viz Změna oprávnění na úrovni projektu.
Správce oprávnění
Správa oprávnění pro projekt, účet nebo kolekci
V případě projektu upravte informace na úrovni projektu.
V případě účtu nebo kolekce upravte informace o úrovni instance (nebo na úrovni kolekce).
Informace o rozsahu těchto oprávnění najdete v průvodci vyhledáváním oprávnění. Pokud chcete požádat o změnu oprávnění, přečtěte si téma Žádost o zvýšení úrovní oprávnění.
Kromě přiřazování oprávnění jednotlivcům můžete spravovat oprávnění pro různé objekty v rámci Azure DevOps. Mezi tyto objekty patří:
Tyto odkazy obsahují podrobné kroky a pokyny pro efektivní nastavení a správu oprávnění pro příslušné oblasti v Azure DevOps.
Upozornění
Při používání této funkce Preview zvažte následující omezení:
- Omezené funkce viditelnosti popsané v této části se vztahují pouze na interakce prostřednictvím webového portálu. Pomocí rozhraní REST API nebo
azure devopspříkazů rozhraní příkazového řádku můžou členové projektu přistupovat k omezeným datům. - Uživatelé v omezené skupině můžou vybrat jenom uživatele, kteří jsou explicitně přidaní do Azure DevOps, a ne uživatele, kteří mají přístup prostřednictvím členství ve skupině Microsoft Entra.
- Uživatelé typu host, kteří jsou členy omezené skupiny s výchozím přístupem v Microsoft Entra ID, nemůžou vyhledávat uživatele s výběrem osob.
Ve výchozím nastavení můžou uživatelé přidaní do organizace zobrazit všechny informace a nastavení organizace a projektu. Konkrétní uživatele, jako jsou účastníci, uživatelé Microsoft Entra nebo členové konkrétní skupiny zabezpečení, můžete omezit pomocí funkce náhledu Omezit viditelnost a spolupráci uživatelů na určité projekty pro organizaci. Jakmile se funkce zapne, každý uživatel nebo skupina, kteří jsou přidáni do skupiny Project-Scoped Uživatelé, budou omezeni následujícími způsoby:
- Access je omezen pouze na projekty, ke kterým jsou explicitně přidány.
- Seznamy uživatelů, projektů, podrobností o fakturaci, údajů o využití a dalších, které jsou přístupné prostřednictvím nastavení organizace, jsou omezené.
- Sada lidí nebo skupin, které se zobrazují ve výběrech hledání osob a možnost @mention osob je omezená.
S ID Microsoft Entra můžete pomocí výběrů osob vyhledat libovolného uživatele nebo skupinu ve vaší organizaci, ne jenom uživatele v aktuálním projektu. Výběr osob podporuje následující funkce Azure DevOps:
- Výběr identity uživatele z pole identity sledování práce, jako je například Přiřazeno
- Výběr uživatele nebo skupiny pomocí @mention v diskuzi pracovní položky nebo v poli s formátem textu, diskuzi o žádosti o přijetí změn, potvrzení komentářů nebo komentářů sady změn nebo sad odložených změn
- Výběr uživatele nebo skupiny pomocí @mention ze stránky wikiwebu
Jak je znázorněno na následujícím obrázku, začněte do pole pro výběr osob zadávat jméno uživatele nebo skupiny zabezpečení, dokud nenajdete shodu.
Uživatelé a skupiny, které jsou přidány do skupiny Uživatelé s vymezeným projektem, můžou zobrazit a vybrat uživatele a skupiny jenom v projektu, ke kterému jsou připojení z výběru osob.
Následujícím postupem zapnete funkci Preview a přidáte uživatele a skupinu do skupiny Project-Scoped Uživatelé:
Zapněte funkci Omezit viditelnost a spolupráci uživatelů na konkrétní projektyfunkce Preview pro organizaci.
Přidejte uživatele do projektu, jak je popsáno v části Přidání uživatelů do projektu nebo týmu. Uživatelé přidaní do týmu se automaticky přidají do projektu a do týmové skupiny.
Otevřete Nastavení>a zvolte > s oborem projektu. Vyberte kartu Členové.
Přidejte všechny uživatele a skupiny, které chcete nastavit na obor projektu, do kterého se přidají. Další informace najdete v tématu Nastavení oprávnění na úrovni projektu nebo kolekce.
Uživatelská skupina Project-Scoped se zobrazí jenom v Oprávnění>Skupiny, když je zapnutá náhledová funkce Omezit viditelnost a spolupráci uživatelů na konkrétní projekty.
Všechny skupiny zabezpečení v Azure DevOps se považují za entity na úrovni organizace, i když mají oprávnění jenom pro konkrétní projekt. To znamená, že skupiny zabezpečení se spravují na úrovni organizace.
Z webového portálu může být viditelnost některých skupin zabezpečení omezená na základě oprávnění uživatele. Názvy všech skupin zabezpečení v rámci organizace ale můžete zjistit pomocí nástroje azure devops CLI nebo rozhraní REST API. Další informace najdete v tématu Přidání a správa skupin zabezpečení.
Azure DevOps je navržený tak, aby všem autorizovaným uživatelům umožňoval zobrazit všechny definované objekty v systému. Přístup k prostředkům ale můžete přizpůsobit nastavením stavu oprávnění na Odepřít. Můžete nastavit oprávnění pro členy, kteří patří do vlastní skupiny zabezpečení nebo pro jednotlivé uživatele. Další informace najdete v tématu Žádost o zvýšení úrovní oprávnění.
Oblast, která se má omezit
Oprávnění k nastavení na Odepřít
Zobrazení nebo přispívání do úložiště
Zobrazit, Přispívat
Viz Nastavení oprávnění úložiště Git nebo Nastavení oprávnění úložiště TFVC.
Zobrazení, vytvoření nebo úprava pracovních položek v cestě oblasti
Upravit pracovní položky v tomto uzlu, zobrazit pracovní položky v tomto uzlu
Viz Nastavení oprávnění a přístupu pro sledování práce, Úprava pracovních položek v cestě oblasti.
Zobrazení nebo aktualizace výběrových kanálů buildu a verze
Úprava kanálu buildu, zobrazení kanálu buildu
Úprava kanálu verze, zobrazení kanálu verze
Tato oprávnění nastavíte na úrovni objektu. Viz Nastavení oprávnění k sestavení a vydání.
Úprava řídicího panelu
Zobrazení řídicích panelů
Viz Nastavení oprávnění řídicího panelu.
Příklady, které ilustrují omezení úprav pracovních položek nebo výběrových polí, najdete v tématu Ukázkové scénáře pravidel.
Další materiály
Školení
Certifikace
Předvedení základů zabezpečení dat, správy životního cyklu, zabezpečení informací a dodržování předpisů za účelem ochrany nasazení Microsoftu 365
Dokumentace
-
Změna oprávnění na úrovni projektu nebo členství ve skupině - Azure DevOps
Úvodní příručka ke změně oprávnění na úrovni projektu nebo členství ve skupinách v Azure DevOps
-
Přidání, odebrání správce týmu - Azure DevOps
Přidejte dalšího uživatele do role správce týmu v Azure DevOps.
-
O oprávněních a skupinách zabezpečení - Azure DevOps
Seznamte se s oprávněními a úrovněmi přístupu v Azure DevOps prostřednictvím dědičnosti, skupin zabezpečení, rolí a dalších.