Erste Schritte mit Berechtigungen und Zugriff

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

In diesem Artikel erfahren Sie, wie Sie Zugriffsstufen und Berechtigungen über Vererbung, Sicherheitsgruppen, Rollen und vieles mehr in Azure DevOps verwalten können. Erste Schritte, indem Sie sich mit den folgenden Schlüsselkonzepten vertraut machen.

• Informationen zu Berechtigungen:

  • Alle Benutzer, die Azure DevOps hinzugefügt haben, werden einer oder mehreren Standardsicherheitsgruppen hinzugefügt.
  • Sicherheitsgruppen werden Berechtigungen zugewiesen, die entweder den Zugriff auf ein Feature oder eine Aufgabe zulassen oder verweigern.
  • Mitglieder einer Sicherheitsgruppe erben die Berechtigungen , die der Gruppe zugewiesen sind.
  • Berechtigungen werden auf verschiedenen Ebenen definiert: Organisation/Sammlung, Projekt oder Objekt.
  • Andere Berechtigungen werden über rollenbasierte Zuordnungen verwaltet, z. B. Teamadministrator, Erweiterungsverwaltung und verschiedene Pipelineressourcenrollen.
  • Administratoren können benutzerdefinierte Sicherheitsgruppen definieren, um Berechtigungen für verschiedene Funktionsbereiche zu verwalten.

• Informationen zu Zugriffsebenen:

  • Allen Benutzern, die Azure DevOps hinzugefügt wurden, wird eine Zugriffsstufe zugewiesen, die den Zugriff auf ausgewählte Webportalfeatures gewährt oder beschränkt.
  • Es gibt drei Standard Zugriffsebenen: Stakeholder, Basic und Basic + Test Plans.
  • Der Zugriff auf Stakeholder bietet kostenlosen Zugriff auf eine unbegrenzte Anzahl von Benutzern für eine begrenzte Anzahl von Features. Weitere Informationen finden Sie unter Kurzreferenz zu Beteiligtenzugriff.

• Informationen zu Vorschaufeatures:
  • Wenn neue Features eingeführt werden, können Benutzer sie über Vorschaufeatures aktivieren oder deaktivieren, um auf sie zuzugreifen.
  • Eine kleine Teilmenge neuer Features wird auf Organisationsebene verwaltet und von Organisationsbesitzer aktiviert oder deaktiviert.

Die meisten Azure DevOps-Benutzer werden beispielsweise der Sicherheitsgruppe "Mitwirkende" hinzugefügt und der Stufe "Einfacher Zugriff" gewährt. Die Gruppe "Mitwirkende" bietet Lese- und Schreibzugriff auf Repositorys , Arbeitsverfolgung, Pipelines und vieles mehr. Der grundlegende Zugriff bietet Zugriff auf alle Features und Aufgaben für die Verwendung von Azure Boards, Azure Repos, Azure Pipelines und Azure Artifacts. Benutzern, die Zugriff auf die Verwaltung von Azure-Testplänen benötigen, müssen Standard- und Testpläne oder erweiterter Zugriff gewährt werden.

Administratoren sollten der Gruppe „Projektsammlungsadministratoren“ oder „Projektadministratoren“ hinzugefügt werden. Administratoren verwalten Sicherheitsgruppen und Berechtigungen aus dem Webportal, hauptsächlich aus Den Project-Einstellungen. Mitwirkende verwalten auch Berechtigungen für Objekte, die sie aus dem Webportal erstellen.

Einen Überblick über die Standardberechtigungen finden Sie in der Schnellübersicht der Standardberechtigungen.

Sicherheitsgruppen und Mitgliedschaft

Beim Erstellen einer Organisation, einer Sammlung oder eines Projekts erstellt Azure DevOps eine Reihe von Standardsicherheitsgruppen, denen automatisch Standardberechtigungen zugewiesen werden. Weitere Sicherheitsgruppen werden mit den folgenden Aktionen definiert:

• Wenn Sie benutzerdefinierte Sicherheitsgruppen auf den folgenden Ebenen erstellen:
  • Projektebene
  • Organisations- oder Sammlungsebene
  • Serverebene (nur lokal)
• Wenn Sie ein Team hinzufügen, wird eine Teamsicherheitsgruppe erstellt.

Sie können keine Sicherheitsgruppe auf Objektebene erstellen, aber Sie können einer Objektebene eine benutzerdefinierte Gruppe zuweisen und dieser Ebene Berechtigungen zuweisen. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Objektebene.

Standardsicherheitsgruppen

Die folgenden Sicherheitsgruppen sind für jedes Projekt und jede Organisation standardmäßig definiert. In der Regel fügen Sie den Gruppen "Leser", "Mitwirkende" oder "Projektadministratoren" Benutzer oder Gruppen hinzu.

Projekt	Organisation oder Sammlung
– Buildadministratoren -Mitwirkenden - Projektadministratoren - Project Valid Users -Leser – Versionsadministratoren - Teamname-Team	- Projektsammlungsadministratoren - Buildadministratoren der Projektsammlung - Project Collection Build Service Accounts - Proxydienstkonten der Project-Sammlung - Project Collection Service Accounts - Project Collection Test Service Accounts - Gültige Benutzer der Projektsammlung - Project-Scoped Users - Sicherheitsdienstgruppe

Eine Beschreibung jeder dieser Gruppen finden Sie unter "Sicherheitsgruppen", "Dienstkonten" und "Berechtigungen". Standardberechtigungszuweisungen an die am häufigsten verwendeten Standardsicherheitsgruppen finden Sie unter "Standardberechtigungen und Zugriff".

Für Benutzer, die mit der Verwaltung von Features auf Projektebene (z. B. Teams, Bereiche und Iterationspfade, Repositorys, Dienst-Hooks und Dienstendpunkte) beauftragt wurden, fügen Sie sie der Gruppe "Projektadministratoren " hinzu. Für Benutzer, die mit der Verwaltung von Features auf Organisation oder Sammlungsebene (z. B. Projekte, Richtlinien, Prozesse, Aufbewahrungsrichtlinien, Agent- und Bereitstellungspools und Erweiterungen) beauftragt wurden, fügen Sie sie der Gruppe "Projektsammlungsadministratoren " hinzu. Weitere Informationen finden Sie unter Einstellungen auf Benutzer-, Team-, Projekt- und Organisationsebene.

Eine Beschreibung der einzelnen Gruppen und jeder Berechtigung finden Sie unter Berechtigungs- und Gruppenreferenz, Gruppen.

Mitgliedschaft, Berechtigungs- und Zugriffsebenenverwaltung

Azure DevOps steuert den Zugriff über diese drei miteinander verbundenen Funktionsbereiche:

• Die Mitgliedschaftsverwaltung unterstützt das Hinzufügen von einzelnen Benutzerkonten und Gruppen zu Standardsicherheitsgruppen. Jede Standardgruppe ist einem Satz von Standardberechtigungen zugeordnet. Alle Benutzer, die jeder Sicherheitsgruppe hinzugefügt wurden, werden der Gruppe "Gültige Benutzer" hinzugefügt. Ein gültiger Benutzer kann eine Verbindung zu einem Projekt, einer Sammlung oder einer Organisation herstellen.

• Die Berechtigungsverwaltung steuert den Zugriff auf bestimmte funktionale Aufgaben auf verschiedenen Ebenen des Systems. Berechtigungen auf Objektebene legen Berechtigungen für eine Datei, einen Ordner, eine Buildpipeline oder eine freigegebene Abfrage fest. Berechtigungseinstellungen entsprechen "Zulassen", "Verweigern", "Geerbt", "Abgelehnt", "System zulassen", "Systemverweigerung" und "Nicht festgelegt". Weitere Informationen finden Sie weiter unten in diesem Artikel unter Berechtigungsvererbung und Sicherheitsgruppen .

• Die Verwaltung auf Zugriffsebene steuert den Zugriff auf Webportalfeatures. Basierend auf dem, was für einen Benutzer erworben wurde, legen Administratoren die Zugriffsebene des Benutzers auf Stakeholder, Basic, Basic + Test oder Visual Studio Enterprise (zuvor Erweitert) fest.

Jeder Funktionsbereich verwendet Sicherheitsgruppen zur Vereinfachung der Verwaltung in der gesamten Bereitstellung. Sie fügen Benutzer und Gruppen über den Webverwaltungskontext hinzu. Berechtigungen werden automatisch basierend auf der Sicherheitsgruppe festgelegt, der Sie Benutzer hinzufügen. Oder Berechtigungen werden basierend auf der Objekt-, Projekt-, Auflistungs- oder Serverebene abgerufen, zu der Sie Gruppen hinzufügen.

Die Sicherheitsgruppenmitgliedschaft kann eine Kombination aus Benutzern, anderen Gruppen und Microsoft Entra-Gruppen sein.

Active Directory- und Microsoft Entra-Sicherheitsgruppen

Sie können Sicherheitsgruppen auffüllen, indem Sie einzelne Benutzer hinzufügen. Um die Verwaltung zu vereinfachen, ist es jedoch einfacher, wenn Sie diese Gruppen mithilfe der Microsoft Entra-ID für Azure DevOps Services und Active Directory (AD) oder Windows-Benutzergruppen für Azure DevOps Server auffüllen. Mit dieser Methode können Sie Gruppenmitgliedschaften und Berechtigungen effizienter auf mehreren Computern verwalten.

Wenn Sie nur eine kleine Gruppe von Benutzern verwalten müssen, können Sie diesen Schritt überspringen. Wenn Sie jedoch sehen, dass Ihre Organisation wachsen kann, sollten Sie Active Directory oder Microsoft Entra ID einrichten. Wenn Sie auch die Bezahlung für zusätzliche Dienste planen, müssen Sie microsoft Entra-ID für die Verwendung mit Azure DevOps einrichten, um die Abrechnung zu unterstützen.

Hinweis

Ohne Microsoft Entra-ID müssen sich alle Azure DevOps-Benutzer mit Microsoft-Konten anmelden, und Sie müssen den Kontozugriff durch einzelne Benutzerkonten verwalten. Auch wenn Sie den Kontozugriff mithilfe von Microsoft-Konten verwalten, müssen Sie ein Azure-Abonnement einrichten, um die Abrechnung zu verwalten.

Informationen zum Einrichten der Microsoft Entra-ID für die Verwendung mit Azure DevOps Services finden Sie unter Verbinden Ihrer Organisation zu Microsoft Entra ID.

Wenn Ihre Organisation mit der Microsoft Entra-ID verbunden ist, gibt es viele Organisationsrichtlinien, die Sie aktivieren oder deaktivieren können, um Ihre Organisation zu schützen. Weitere Informationen finden Sie unter Sicherheit, Authentifizierung und Autorisierung, Sicherheitsrichtlinien.

Informationen zum Verwalten des Organisationszugriffs mit der Microsoft Entra-ID finden Sie in den folgenden Artikeln:

• Benutzende mit Microsoft Entra ID hinzufügen oder löschen
• Problembehandlung beim Zugriff mit der Microsoft Entra-ID

Azure DevOps registriert die Änderungen, die innerhalb einer Stunde nach dieser Änderung in der Microsoft Entra-ID an einer Microsoft Entra-Gruppe vorgenommen werden. Alle Berechtigungen, die über die Gruppenmitgliedschaft geerbt werden, werden aktualisiert. Wenn Sie Ihre Microsoft Entra-Mitgliedschaft aktualisieren und die Berechtigungen in Azure DevOps geerbt haben, melden Sie sich ab und dann wieder an, oder lösen Sie eine Aktualisierung aus, um Ihre Berechtigung erneut zu bewerten.

Gültige Benutzergruppen

Wenn Sie Konten von Benutzern direkt zu einer Sicherheitsgruppe hinzufügen, werden sie automatisch zu einer der gültigen Benutzergruppen hinzugefügt.

• Gültige Benutzer der Project-Auflistung: Alle Mitglieder, die einer Gruppe auf Organisationsebene hinzugefügt wurden.
• Project Valid Users: Alle Mitglieder, die einer Gruppe auf Projektebene hinzugefügt wurden.

Die diesen Gruppen zugewiesenen Standardberechtigungen sind in erster Linie auf Lesezugriff beschränkt, z . B. View build resources, View project-level information, and View collection-level information.

Alle Benutzer, die Sie einem Projekt hinzufügen, können die Objekte in anderen Projekten in einer Auflistung anzeigen. Wenn Sie den Ansichtszugriff einschränken müssen, können Sie Einschränkungen über den Bereichspfadknoten festlegen.

Wenn Sie die Berechtigung "Instanzebene anzeigen" für eine der Gruppen "Gültige Benutzer" entfernen oder verweigern, können keine Mitglieder der Gruppe je nach festgelegter Gruppe auf das Projekt, die Sammlung oder die Bereitstellung zugreifen.

Gruppe "Project-Scoped-Benutzer"

Standardmäßig können Benutzer, die einem organization hinzugefügt werden, alle organization- und Projektinformationen und -einstellungen anzeigen. Zu diesen Einstellungen gehören eine Liste der Benutzer, eine Liste von Projekten, Abrechnungsdetails, Nutzungsdaten und mehr, auf die über Organisationseinstellungen zugegriffen wird.

Wichtig

• Die in diesem Abschnitt beschriebenen Features für eingeschränkte Sichtbarkeit gelten nur für Interaktionen über das Webportal. Mit den REST-APIs oder azure devops CLI-Befehlen können Projektmitglieder auf die eingeschränkten Daten zugreifen.
• Gastbenutzer, die Mitglieder in der eingeschränkten Gruppe mit Standardzugriff in der Microsoft Entra-ID sind, können nicht nach Benutzern mit der Personenauswahl suchen. Wenn das Vorschaufeature für die Organisation deaktiviertist oder Gastbenutzer keine Mitglieder der eingeschränkten Gruppe sind, können Gastbenutzer alle Microsoft Entra-Benutzer wie erwartet durchsuchen.

Um ausgewählte Benutzer wie Projektbeteiligte, Microsoft Entra-Gastbenutzer oder Mitglieder einer bestimmten Sicherheitsgruppe einzuschränken, können Sie die Sichtbarkeit der Benutzer und die Zusammenarbeit auf bestimmte Projekte in der Vorschaufunktion für die Organisation beschränken. Sobald dies aktiviert ist, sind alle Benutzer oder Gruppen, die der Gruppe "Benutzer mit Projektbereich " hinzugefügt wurden, auf den Seiten "Organisationseinstellungen " mit Ausnahme von "Übersicht" und "Projekte" beschränkt und sind nur auf die Projekte beschränkt, denen sie hinzugefügt wurden.

Warnung

Wenn das Feature " Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte in der Vorschau" für die Organisation beschränkt ist, können projektbezogene Benutzer nicht nach Benutzern suchen, die über die Microsoft Entra-Gruppenmitgliedschaft zur Organisation hinzugefügt wurden, anstatt über eine explizite Benutzereinladung. Dies ist ein unerwartetes Verhalten, an dem an einer Lösung gearbeitet wird. Um dieses Problem selbst zu beheben, deaktivieren Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation.

Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.

Hinweis

Sicherheitsgruppen gehören zur Organisationsebene, auch wenn sie nur auf ein bestimmtes Projekt zugreifen. Je nach Benutzerberechtigungen sind einige Gruppen im Webportal möglicherweise ausgeblendet. Sie finden alle Gruppennamen in einer Organisation mit dem Azure devops CLI-Tool oder unseren REST-APIs. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Zugriffsebenen

Zugriffsebenen steuern, welche Features für Benutzer im Webportal sichtbar sind. Der Zugriff hängt von Benutzerlizenzen ab.

Wenn Sie einem Benutzer Zugriff auf agile Portfolioverwaltungs- oder Testfallverwaltungsfeatures gewähren möchten, ändern Sie Zugriffsstufen und keine Berechtigungen.

Das Festlegen der Zugriffsebene für Benutzer oder Gruppen bietet ihnen keinen Zugriff auf ein Projekt oder das Webportal. Nur Benutzer oder Gruppen, die einem Team oder einer Sicherheitsgruppe hinzugefügt wurden, können eine Verbindung mit einem Projekt und dem Webportal herstellen. Stellen Sie sicher, dass Ihre Benutzer sowohl über die Berechtigungen als auch über die erforderliche Zugriffsebene verfügen. Dazu müssen Sie sicherstellen, dass sie dem Projekt oder einem Team hinzugefügt werden.

Berechtigungen

Wie in der folgenden Abbildung dargestellt, können auf Projekt- und Sammlungsebene definierte Sicherheitsgruppen Berechtigungen zugewiesen werden, die auf Objekt-, Projekt- und Organisationsebene zugewiesen sind.

Eine Beschreibung jeder Standardsicherheitsgruppe finden Sie unter "Sicherheitsgruppen", "Dienstkonten" und "Berechtigungen".

Berechtigungsstatus

Eine Berechtigung kann über die folgenden Zuordnungen verfügen. Sie gewähren oder beschränken den Zugriff wie angegeben.

Ein Benutzer oder eine Gruppe verfügt über Berechtigungen zum Ausführen einer Aufgabe:

• Zulassen
• Zulassen (geerbt)
• Zulassen (System)

Der Benutzer oder die Gruppe verfügt nicht über die Berechtigung zum Ausführen einer Aufgabe:

• Deny
• Verweigern (geerbt)
• Verweigern (System)
• Nicht festgelegt

Berechtigungsstatus	Beschreibung
Zulassen	Erteilt Benutzern explizit die Ausführung bestimmter Aufgaben und wird nicht von der Gruppenmitgliedschaft geerbt.
Zulassen (geerbt)	Gewährt Gruppenmitgliedern das Ausführen bestimmter Aufgaben.
Zulassen (System)	Erteilt Berechtigungen, die Vorrang vor Benutzerberechtigungen haben. Nicht bearbeitet und in einer Konfigurationsdatenbank gespeichert, für Benutzer unsichtbar.
Deny	Schränkt Benutzer explizit auf das Ausführen bestimmter Aufgaben ein und wird nicht von der Gruppenmitgliedschaft geerbt. Bei den meisten Gruppen und fast allen Berechtigungen setzt die Einstellung Verweigern die Einstellung Zulassen außer Kraft. Wenn ein Benutzer zu zwei Gruppen gehört und einer davon eine bestimmte Berechtigung auf "Verweigern" festgelegt ist, kann dieser Benutzer keine Aufgaben ausführen, die diese Berechtigung erfordern, auch wenn er zu einer Gruppe gehört, die diese Berechtigung auf "Zulassen" festgelegt hat.
Verweigern (geerbt)	Schränkt gruppenmitglieder die Ausführung bestimmter Aufgaben ein. Setzt eine explizite Zulassung außer Kraft.
Verweigern (System)	Schränkt berechtigungen ein, die Vorrang vor Benutzerberechtigungen haben. Nicht bearbeitet und in einer Konfigurationsdatenbank gespeichert, für Benutzer unsichtbar.
Nicht festgelegt	Verweigert Benutzern implizit die Möglichkeit, Aufgaben auszuführen, die diese Berechtigung erfordern, aber die Mitgliedschaft in einer Gruppe zulässt, die über diese Berechtigung verfügt, vorrang zu haben, auch als Zulassen (geerbt) oder Verweigern (geerbt) bezeichnet.

In einigen Fällen erhalten Mitglieder der Gruppen "Projektsammlungsadministratoren" oder "Team Foundation-Administratoren" möglicherweise immer die Berechtigung, auch wenn sie diese Berechtigung in einer anderen Gruppe verweigert haben. In anderen Fällen, z. B. Löschen von Arbeitsaufgaben oder Pipelines, wird als Mitglied der Gruppe "Projektsammlungsadministratoren" keine "Verweigern"-Berechtigungen umgangen, die an anderer Stelle festgelegt wurden.

Warnung

Wenn Sie eine Berechtigung für eine Gruppe ändern, ändert sie diese Berechtigung für alle Benutzer, die Mitglieder dieser Gruppe sind. Je nach Größe der Gruppe können Sie die Fähigkeit von Hunderten von Benutzern beeinflussen, ihre Aufgaben zu erledigen, indem Sie nur eine Berechtigung ändern. Stellen Sie daher sicher, dass Sie die potenziellen Auswirkungen verstehen, bevor Sie eine Änderung vornehmen.

Berechtigungsvererbung und Sicherheitsgruppen

Einige Berechtigungen werden über eine Hierarchie verwaltet. Innerhalb dieser Hierarchie können Berechtigungen vom übergeordneten Oder außer Kraft gesetzt werden. Sicherheitsgruppen weisen diesen Mitgliedern der Gruppe eine Reihe von Berechtigungen zu. Mitgliedern der Gruppe "Mitwirkende" oder "Projektadministratoren" werden beispielsweise die Berechtigungen zugewiesen, die für diese Gruppen als zulässig festgelegt sind.

Wenn eine Berechtigung für einen Benutzer nicht direkt zulässig oder verweigert wird, kann sie auf folgende Weise geerbt werden.

• Benutzer erben Berechtigungen von den Gruppen, zu denen sie gehören. Wenn ein Benutzer über eine Direkte oder Gruppenmitgliedschaft "Berechtigung zulassen " verfügt, setzt eine direkte oder Gruppenmitgliedschaft die Berechtigung "Verweigern " außer Kraft.

  Mitglieder von Project Collection-Administratoren oder Team Foundation-Administratoren behalten die meisten zulässigen Berechtigungen bei, auch wenn sie zu anderen Gruppen gehören, die diese Berechtigungen verweigern. Berechtigungen für Den Arbeitsaufgabenvorgang sind die Ausnahme für diese Regel.

• Berechtigungen auf Objektebene, die für Knoten einer Hierarchie zugewiesen sind – Bereiche, Iterationen, Versionssteuerungsordner, Arbeitsaufgabenabfrageordner – werden von der Hierarchie geerbt. Das heißt, die Berechtigungen eines Benutzers, die auf area-1 "get inherited" area-1/sub-area-1festgelegt werden, wenn die gleiche Berechtigung nicht explizit zulässig oder verweigert area-1/sub-area-1wird. Wenn eine Berechtigung explizit für ein Objekt festgelegt wird, z area-1/sub-area-1. B., wird der übergeordnete Knoten nicht geerbt, unabhängig davon, ob er verweigert oder zulässig ist. Wenn sie nicht festgelegt ist, werden die Berechtigungen für diesen Knoten vom nächstgelegenen Vorgänger geerbt, der die Berechtigung explizit festgelegt hat. Schließlich überschreibt in der Objekthierarchie die Spezifität die Vererbung. Ein Benutzer, dessen Berechtigungen explizit auf "Area-1" festgelegt sind, aber auch explizit auf "Area-1/sub-area-1" festgelegt sind, empfängt "Allow" für "area-1/sub-area-1".

Um zu verstehen, warum eine Berechtigung geerbt wird, können Sie über eine Berechtigungseinstellung anhalten und dann "Warum" auswählen ? Informationen zum Öffnen einer Sicherheitsseite finden Sie unter "Anzeigen von Berechtigungen".

Hinweis

Informationen zum Aktivieren der Seitenvorschau der Seite "Einstellungen für Project-Berechtigungen" finden Sie unter "Aktivieren von Vorschaufeatures".

Seite „Vorschau“

Ein neues Dialogfeld wird geöffnet, in dem die Vererbungsinformationen für diese Berechtigung angezeigt werden.

Aktuelle Seite

Ein neues Fenster wird geöffnet, in dem die Vererbungsinformationen für diese Berechtigung angezeigt werden.

Bewährte Methoden für die Berechtigungen

Gehen Sie wie folgt vor:

• Verwenden Sie Microsoft Entra-ID, Active Directory oder Windows-Sicherheitsgruppen, wenn Sie viele Benutzer verwalten.
• Wenn Sie ein Team hinzufügen, überlegen Sie, welche Berechtigungen Sie Teamleitern, Scrum-Mastern und anderen Teammitgliedern zuweisen möchten. Erwägen Sie, wer Bereichspfade, Iterationspfade und Abfragen erstellt und ändert.
• Wenn Sie viele Teams hinzufügen, sollten Sie eine benutzerdefinierte Gruppe für Teamadministratoren erstellen, in der Sie eine Teilmenge der Berechtigungen zuweisen können, die Project-Administratoren zur Verfügung stehen.
• Erwägen Sie, den Arbeitsaufgabenabfrageordnern die Berechtigung "Mitwirken " für Benutzer oder Gruppen zu gewähren, die das Erstellen und Freigeben von Arbeitsaufgabenabfragen für das Projekt erfordern.

Vermeiden Sie Folgendes:

• Fügen Sie keine Benutzer zu mehreren Sicherheitsgruppen hinzu, die unterschiedliche Berechtigungsstufen enthalten. In bestimmten Fällen kann die Berechtigungsstufe Verweigern die Berechtigungsstufe Zulassen außer Kraft setzen.
• Ändern Sie die Standardzuweisungen, die an den Gruppen "Gültige Benutzer" vorgenommen wurden, nicht. Wenn Sie die Berechtigung Instanzebeneninformationen anzeigen für eine der Gruppen gültiger Benutzer*innen entfernen oder auf Verweigern festlegen, können Benutzer*innen der Gruppe nicht auf das Projekt, die Sammlung oder die Bereitstellung zugreifen, je nach zugeordneter Gruppe.
• Weisen Sie Benutzerkonten keine Berechtigungen zu, die als „Nur Dienstkonten zuweisen“ gekennzeichnet sind.

Rollenbasierte Berechtigungen

Mit rollenbasierten Berechtigungen weisen Sie einer Rolle Benutzerkonten oder Sicherheitsgruppen zu, wobei jeder Rolle mindestens eine Berechtigung zugewiesen wurde. Hier sind die primären Rollen und Links zu weiteren Informationen.

• Sicherheitsrollen für Artefakt- oder Paketfeeds: Rollen unterstützen verschiedene Berechtigungsstufen zum Bearbeiten und Verwalten von Paketfeeds.
• Marketplace-Erweiterungs-Manager-Rolle: Mitglieder der Manager-Rolle können Erweiterungen installieren und auf Anforderungen reagieren, für die Erweiterungen installiert werden sollen.
• Pipelinesicherheitsrollen: Es werden mehrere Rollen zum Verwalten von Bibliotheksressourcen, Projekt- und Pipelineressourcen auf Sammlungsebene verwendet.
• Teamadministratorrollen-Teamadministratoren können alle Teamtools verwalten.

Mitglieder der Gruppen "Projektadministratoren" oder "Projektsammlungsadministratoren" können alle Teamtools für alle Teams verwalten.

Previewfunktionen

Featurekennzeichnungen steuern den Zugriff auf ausgewählte, neue Features. In regelmäßigen Abständen führt Azure DevOps neue Features ein, indem sie hinter einem Featureflagge platziert werden. Project-Mitglieder und Organisationsbesitzer können Vorschaufeatures aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Verwalten oder Aktivieren von Features.

Nächste Schritte

Standardberechtigungen und -zugriff

Verwandte Artikel

• Behandeln von Zugriffs- und Berechtigungsproblemen
• Informationen zu Sicherheit, Authentifizierung und Autorisierung
• Was ist Microsoft Entra ID?
• Erste Schritte mit Microsoft Entra ID
• Referenz zu Berechtigungen und Gruppen
• Sicherheits- und Berechtigungsverwaltungstools
• Hinzufügen von Benutzern zu einer Organisation
• Hinzufügen und Verwalten von Sicherheitsgruppen
• Verwalten von Token, Namespaces, Berechtigungen
• Funktionsweise der Abrechnung
• Einrichten der Abrechnung für Benutzer, Pipelines und cloudbasierte Auslastungstests in Azure DevOps