Zugriffsverwaltung mithilfe von Berechtigungen
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
Verwalten des Zugriffs auf bestimmte Ressourcen in Azure DevOps. Möglicherweise möchten Sie den Zugriff auf einen ausgewählten Satz von Features öffnen oder schließen und für einen ausgewählten Satz von Benutzern. Während die integrierten Sicherheitsgruppen einen Standardsatz von Berechtigungszuweisungen bereitstellen, benötigen Sie möglicherweise mehr Sicherheitsanforderungen, die von diesen Zuordnungen nicht erfüllt werden.
Wenn Sie noch nicht mit der Verwaltung von Berechtigungen und Gruppen vertraut sind, lesen Sie Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen, um mehr über Berechtigungszustände und Vererbung zu erfahren.
In diesem Artikel erfahren Sie, wie Sie die folgenden Aufgaben ausführen:
- Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
- Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
- Einschränken der Benutzersichtbarkeit auf Organisationsinformationen
- Beschränken der Personenauswahl auf Projektbenutzer und -gruppen
- Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
- Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe
- Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
- Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
- Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
- Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe
Tipp
Da Sie viele Berechtigungen auf Objektebene festlegen, z. B. Repositorys und Bereichspfade, bestimmt die Struktur des Projekts die Bereiche, die Sie öffnen oder schließen können.
Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
Zu Wartungszwecken wird empfohlen, entweder die integrierten Sicherheitsgruppen oder benutzerdefinierte Sicherheitsgruppen zum Verwalten von Berechtigungen zu verwenden.
Sie können die Berechtigungseinstellungen für die Gruppe "Projektadministratoren" oder die Gruppe "Projektsammlungsadministratoren" nicht ändern. Für alle anderen Gruppen können Sie jedoch die Berechtigungen ändern.
Wenn Sie einige Benutzer verwalten, können Sie feststellen, dass einzelne Berechtigungen eine gültige Option sind. Mit benutzerdefinierten Sicherheitsgruppen können Sie jedoch Rollen und Berechtigungen, die diesen Rollen zugewiesen sind, besser nachverfolgen.
Delegieren von Aufgaben an bestimmte Rollen
Als Administrator oder Kontobesitzer ist es ratsam, administrative Aufgaben an die Teammitglieder zu delegieren, die einen Bereich leiten oder verwalten. Einige der wichtigsten integrierten Rollen, die über Standardberechtigungen und Rollenzuweisungen verfügen, sind:
- Leser
- Beitragende
- Teamadministrator (Rolle)
- Projektadministratoren
- Projektauflistungsadministratoren
Eine Zusammenfassung der Berechtigungen für die oben genannten Rollen finden Sie unter Standardberechtigungen und Zugriff oder unter Ändern von Berechtigungen auf Projektsammlungsebene.
Um Aufgaben an andere Mitglieder in Ihrer Organisation zu delegieren, erwägen Sie, eine benutzerdefinierte Sicherheitsgruppe zu erstellen und dann Berechtigungen zu erteilen, wie in der folgenden Tabelle angegeben.
Rolle
Auszuführende Aufgaben
Berechtigungen, die auf Zulassen festgelegt werden sollen
Entwicklungsleiter (Git)
Verwalten von Branchrichtlinien
Bearbeiten von Richtlinien, Pushen erzwingen und Berechtigungen verwalten
Weitere Informationen finden Sie unter Festlegen von Branchberechtigungen.
Entwicklungsleiter (TFVC)
Verwalten von Repositorys und Branches
Verwalten von Bezeichnungen, Verwalten von Branch und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von TFVC-Repositoryberechtigungen.
Softwarearchitekt (Git)
Verwalten von Repositorys
Erstellen von Repositorys, Erzwingen von Push und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.
Teamadministratoren
Hinzufügen von Bereichspfaden für ihr Team
Hinzufügen freigegebener Abfragen für ihr Team
Erstellen untergeordneter Knoten, Löschen dieses Knotens, Bearbeiten dieses Knotens Siehe Erstellen untergeordneter Knoten, Ändern von Arbeitselementen unter einem Bereichspfad
Mitwirken, Löschen, Verwalten von Berechtigungen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.
Beitragende
Hinzufügen freigegebener Abfragen unter einem Abfrageordner, Mitwirken zu Dashboards
Mitwirken, Löschen (für einen Abfrageordner), siehe Festlegen von Abfrageberechtigungen
Anzeigen, Bearbeiten und Verwalten von Dashboards finden Sie unter Festlegen von Dashboardberechtigungen.
Projekt- oder Produktmanager
Hinzufügen von Bereichspfaden, Iterationspfaden und freigegebenen Abfragen
Löschen und Wiederherstellen von Arbeitselementen, Verschieben von Arbeitselementen aus diesem Projekt, Dauerhaftes Löschen von Arbeitselementen
Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.
Prozessvorlagen-Manager (Vererbungsprozessmodell)
Anpassung der Arbeitsnachverfolgung
Verwalten von Prozessberechtigungen, Erstellen neuer Projekte, Prozess erstellen, Feld aus Konto löschen, Löschprozess, Projekt löschen, Prozess bearbeiten
Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Sammlungsebene des Projekts.
Prozessvorlagen-Manager (gehostetes XML-Prozessmodell)
Anpassung der Arbeitsnachverfolgung
Bearbeiten von Informationen auf Sammlungsebene finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.
Projektverwaltung (lokales XML-Prozessmodell)
Anpassung der Arbeitsnachverfolgung
Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.
Berechtigungs-Manager
Verwalten von Berechtigungen für ein Projekt, konto oder eine Sammlung
Bearbeiten von Informationen auf Projektebene für ein Projekt
Bearbeiten von Informationen auf Instanzebene (oder Sammlungsebene) für ein Konto oder eine Sammlung
Informationen zum Umfang dieser Berechtigungen finden Sie unter Leitfaden zur Berechtigungssuche. Informationen zum Anfordern einer Änderung der Berechtigungen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Sie können auch Berechtigungen zum Verwalten von Berechtigungen für die folgenden Objekte erteilen:
Einschränken der Benutzersichtbarkeit auf Organisations- und Projektinformationen
Wichtig
- Die in diesem Abschnitt beschriebenen Features für eingeschränkte Sichtbarkeit gelten nur für Interaktionen über das Webportal. Mit den REST-APIs oder
azure devopsCLI-Befehlen können Projektmitglieder auf die eingeschränkten Daten zugreifen. - Gastbenutzer, die Mitglieder in der eingeschränkten Gruppe mit Standardzugriff in der Microsoft Entra-ID sind, können nicht nach Benutzern mit der Personenauswahl suchen. Wenn das Vorschaufeature für die Organisation deaktiviertist oder Gastbenutzer keine Mitglieder der eingeschränkten Gruppe sind, können Gastbenutzer alle Microsoft Entra-Benutzer wie erwartet durchsuchen.
Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Um den Zugriff nur auf die Projekte zu beschränken, denen Sie Benutzer hinzufügen, können Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation aktivieren. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.
Wenn dieses Feature aktiviert ist, können Benutzer, die der Gruppe "Benutzer mit Projektbereich " hinzugefügt wurden, die meisten Organisationseinstellungen nicht anzeigen und nur eine Verbindung mit diesen Projekten herstellen, denen sie hinzugefügt werden.
Warnung
Wenn das Feature " Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte in der Vorschau" für die Organisation beschränkt ist, können projektbezogene Benutzer nicht nach Benutzern suchen, die über die Microsoft Entra-Gruppenmitgliedschaft zur Organisation hinzugefügt wurden, anstatt über eine explizite Benutzereinladung. Dies ist ein unerwartetes Verhalten, an dem an einer Lösung gearbeitet wird. Um dieses Problem selbst zu beheben, deaktivieren Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation.
Beschränken der Personenauswahl auf Projektbenutzer und -gruppen
Organisationen, die ihre Benutzer und Gruppen mithilfe der Microsoft Entra-ID verwalten, ermöglichen personenauswahlen das Durchsuchen aller Benutzer und Gruppen in microsoft Entra ID, nicht beschränkt auf ein bestimmtes Projekt.
Personen Auswahler unterstützen die folgenden Azure DevOps-Funktionen:
- Auswahl einer Benutzeridentität aus einem Arbeitsverfolgungsidentitätsfeld, z. B . Zugewiesen an
- Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention in einer Arbeitselementdiskodiumsdiskussion oder einem Rich-Text-Feld, einer Pull Request-Diskussion, Commitkommentaren oder Changeset- oder Regaletkommentaren
- Auswahl eines Benutzers oder einer Gruppe mit @mention aus einer Wikiseite
Wie in der folgenden Abbildung gezeigt, beginnen Sie einfach mit der Eingabe in ein Personenauswahlfeld, bis Sie eine Übereinstimmung mit einem Benutzernamen oder einer Sicherheitsgruppe finden.
Benutzer und Gruppen, die der Gruppe Project-Scoped Users hinzugefügt werden, können nur Benutzer und Gruppen in dem Projekt anzeigen und auswählen, mit denen sie verbunden sind. Informationen zum Bereich der Personenauswahl für alle Projektmitglieder finden Sie unter Verwalten Ihrer Organisation, Einschränken der Identitätssuche und -auswahl.
Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
Azure DevOps ist so konzipiert, dass alle gültigen Benutzer alle im System definierten Objekte anzeigen können. Sie können den Zugriff auf Ressourcen einschränken, indem Sie den Berechtigungsstatus auf Verweigern festlegen. Sie können Berechtigungen für Mitglieder festlegen, die zu einer benutzerdefinierten Sicherheitsgruppe gehören, oder für einen einzelnen Benutzer. Weitere Informationen zum Festlegen dieser Berechtigungstypen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Bereich, der eingeschränkt werden soll
Berechtigungen, die auf Verweigern festgelegt werden sollen
Anzeigen oder Mitwirken zu einem Repository
Anzeigen, Mitwirken
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen oder Festlegen von TFVC-Repositoryberechtigungen.
Anzeigen, Erstellen oder Ändern von Arbeitselementen innerhalb eines Bereichspfads
Bearbeiten von Arbeitselementen in diesem Knoten, Anzeigen von Arbeitselementen in diesem Knoten
Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Ändern von Arbeitselementen unter einem Bereichspfad.
Anzeigen oder Aktualisieren ausgewählter Build- und Releasepipelines
Buildpipeline bearbeiten, Buildpipeline anzeigen
Releasepipeline bearbeiten, Releasepipeline anzeigen
Sie legen diese Berechtigungen auf Objektebene fest. Weitere Informationen finden Sie unter Festlegen von Build- und Freigabeberechtigungen.
Bearbeiten eines Dashboards
Dashboards anzeigen
Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen.
Einschränken der Änderung von Arbeitselementen oder Auswählen von Feldern
Beispiele, die veranschaulichen, wie Änderungen von Arbeitselementen eingeschränkt oder Felder ausgewählt werden, finden Sie unter Beispielregelszenarien.
Nächste Schritte
Verwandte Artikel
- Behandeln von Problemen mit Berechtigungen
- Regeln und Regelauswetrung
- Standardberechtigungen und -zugriff
- Leitfaden für die Suche nach Berechtigungen
- Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen
- Referenz zu Berechtigungen und Gruppen
- Ändern von Berechtigungen auf Projektebene
- Ändern von Berechtigungen auf Projektsammlungsebene
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für