Sicherheitsnamespace und Berechtigungsreferenz für Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Sicherheitsnamespaces werden verwendet, um Zugriffssteuerungslisten (Access Control Lists, ACLs) in Token zu speichern. Daten, die in Sicherheitsnamespaces gespeichert sind, bestimmen die Zugriffsebene, die die folgenden Entitäten haben, um eine bestimmte Aktion für eine bestimmte Ressource auszuführen.

• Azure DevOps-Benutzer
• Besitzer der Azure DevOps-Organisation
• Mitglied einer Azure DevOps-Sicherheitsgruppe
• Azure DevOps-Dienstkonto
• Azure DevOps-Dienstprinzipal

Jede Ressourcenfamilie, z. B. Arbeitselemente oder Git-Repositorys, wird durch einen eindeutigen Namespace geschützt. Jeder Sicherheitsnamespace enthält null oder mehr ACLs. Jede ACL enthält ein Token, ein Vererbungsflag und einen Satz von null oder mehr Zugriffssteuerungseinträgen (Access Control Entries, ACEs). Jeder ACE enthält einen Identitätsdeskriptor, eine Bitmaske für zulässige Berechtigungen und eine Bitmaske für verweigerte Berechtigungen. Token sind beliebige Zeichenfolgen, die Ressourcen in Azure DevOps darstellen.

Hinweis

Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Die hier aufgeführten sind für Azure DevOps 2019 und höhere Versionen gültig. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, verwenden Sie eines der Befehlszeilentools oder die REST-API. Einige Namespaces sind veraltet, wie im Abschnitt Veraltete und schreibgeschützte Namespaces weiter unten in diesem Artikel aufgeführt.

Tools für die Berechtigungsverwaltung

Die empfohlene Methode zum Verwalten von Berechtigungen erfolgt über das Webportal. Wenn Sie jedoch eine Berechtigung festlegen müssen, die nicht über das Webportal angezeigt wird, oder um präzisere Berechtigungen festzulegen, können Sie eines der Befehlszeilentools oder die REST-API verwenden.

• Für Azure DevOps Server 2020 und Azure DevOps Services können Sie die az devops security permission Befehle verwenden.
• Für lokale Azure DevOps-Instanzen können Sie die TFSSecurity-Befehle verwenden.
• Für Azure DevOps-Git-Repositorys: Tf Git-Berechtigungs-Befehlszeilentool
• TfVC-Berechtigungs-Befehlszeilentool für Team Foundation-Versionskontrolle (TFVC)

Für alle Azure DevOps-Instanzen können Sie die Security-REST-API verwenden.

Sicherheitsnamespaces und deren IDs

In diesem Artikel werden die gültigen Namespaces beschrieben, die zugeordneten Berechtigungen aufgelistet und Links zu weiteren Informationen bereitgestellt. Viele Sicherheitsnamespaces entsprechen Berechtigungen, die Sie über eine Webportalseite für Sicherheit oder Berechtigungen festlegen. Andere Namespaces oder Auswahlberechtigungen werden nicht über das Webportal angezeigt. Sie gewähren standardmäßig Zugriff auf Mitglieder von Sicherheitsgruppen oder Azure DevOps-Dienstprinzipalen. Namespaces wurden basierend auf der Verwaltung über das Webportal in die folgenden Kategorien gruppiert.

• Objektebene
• Projektebene
• Organisation oder Sammlungsebene
• Serverebene (nur lokal)
• Rollenbasiert
• Nur intern

Hierarchie und Token

Ein Sicherheitsnamespace kann entweder hierarchisch oder flach sein. Token in einem hierarchischen Namespace sind in einer Hierarchie vorhanden, deren effektive Berechtigungen von übergeordneten Token auf untergeordnete Token geerbt werden. Token in einem flachen Namespace haben kein Konzept einer Über-/Untergeordneten Beziehung zwischen zwei Token.

Token in einem hierarchischen Namespace haben entweder eine feste Länge für jeden Pfadteil oder eine variable Länge. Wenn die Token Pfadteile variabler Länge aufweisen, wird ein Trennzeichen verwendet, um zu unterscheiden, wo ein Pfadteil endet und ein anderer beginnt.

Bei Sicherheitstoken wird die Groß-/Kleinschreibung nicht beachtet. Tokenbeispiele für verschiedene Namespaces werden in den folgenden Abschnitten bereitgestellt.

Namespaces und Berechtigungen auf Objektebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Objektebene verwalten. Die meisten der aufgeführten Berechtigungen werden über die Webportalseite für jedes Objekt verwaltet. Berechtigungen werden auf Projektebene festgelegt und auf Objektebene geerbt, sofern sie nicht geändert werden.

---

Namespace

Berechtigungen

Beschreibung

---

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Verwaltet Berechtigungen für Analytics-Ansichten auf Projekt- und Objektebene zum Lesen, Bearbeiten, Löschen und Generieren von Berichten. Sie können diese Berechtigungen für jede Analyseansicht über die Benutzeroberfläche verwalten.

Tokenformat für Berechtigungen auf Projektebene: $/Shared/PROJECT_ID
Beispiel: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID:d34d3680-dfe5-4cc6-a949-7d9c68f73cba

---

Entwickeln

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Verwaltet Buildberechtigungen auf Projekt- und Objektebene.

Tokenformat für Buildberechtigungen auf Projektebene: PROJECT_ID
Wenn Sie Berechtigungen für eine bestimmte Builddefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Builddefinition wie folgt aus:
Tokenformat für bestimmte Buildberechtigungen auf Projektebene: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID:33344d9c-fc72-4d6f-aba5-fa317101a7e9

---

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Verwaltet Berechtigungen auf Objektebene für den Bereichspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten sowie zum Festlegen von Berechtigungen zum Anzeigen oder Bearbeiten von Arbeitselementen in einem Knoten. Sie können diese Berechtigungen verwalten, indem Sie Berechtigungen und Zugriff für die Arbeitsnachverfolgung festlegen, untergeordnete Knoten erstellen, Arbeitselemente unter einem Bereichspfad ändern.

ID:83e28ad4-2d72-4ceb-97b0-c7726d5502c3

---

DashboardsPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Verwaltet Berechtigungen auf Dashboardobjektebene zum Bearbeiten und Löschen von Dashboards und zum Verwalten von Berechtigungen für ein Projektdashboard. Sie können diese Berechtigungen über die Dashboards-Benutzeroberfläche verwalten.

ID:8adf73b7-389a-4276-b638-fe1653f7efc7

---

Git-Repositorys

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Verwaltet Git-Repositoryberechtigungen auf Projekt- und Objektebene. Sie können diese Berechtigungen über die Verwaltungsschnittstelle "Projekteinstellungen", "Repositorys" verwalten.

Die Administer Berechtigung wurde 2017 in mehrere differenziertere Berechtigungen unterteilt und sollte nicht verwendet werden.
Tokenformat für Berechtigungen auf Projektebene: repoV2/PROJECT_ID
Sie müssen Anfügen RepositoryID , um Berechtigungen auf Repositoryebene zu aktualisieren.

Tokenformat für repositoryspezifische Berechtigungen: repoV2/PROJECT_ID/REPO_ID

ID:2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

---

Iteration

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Verwaltet Berechtigungen auf Objektebene auf Iterationspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten und anzeigen von Berechtigungen für untergeordnete Knoten. Informationen zum Verwalten über das Webportal finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Erstellen untergeordneter Knoten.
Tokenformat: 'vstfs:///Classification/Node/Iteration_Identifier/'
Angenommen, Sie haben die folgenden Iterationen für Ihr Team konfiguriert.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Zum Aktualisieren der Berechtigungen für ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1sieht das Sicherheitstoken wie folgt aus:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID:bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

---

MetaTask

Administer
Edit
Delete

Verwaltet Aufgabengruppenberechtigungen zum Bearbeiten und Löschen von Aufgabengruppen und zum Verwalten von Aufgabengruppenberechtigungen. Informationen zum Verwalten über das Webportal finden Sie unter Pipelineberechtigungen und Sicherheitsrollen, Aufgabengruppenberechtigungen.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Tokenformat für Berechtigungen auf metaTask-Ebene: PROJECT_ID/METATASK_ID

Wenn MetaTask über parentTaskId verfügt, sieht das Sicherheitstoken wie folgt aus:
Tokenformat: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID:f6a4de49-dbe2-4704-86dc-f8ec1a294436

---

Plan

View
Edit
Delete
Manage

Verwaltet Berechtigungen für Übermittlungspläne zum Anzeigen, Bearbeiten, Löschen und Verwalten von Übermittlungsplänen. Sie können diese Berechtigungen über das Webportal für jeden Plan verwalten.

ID:bed337f8-e5f3-4fb9-80da-81e17d06e7a8

---

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Verwaltet Freigabedefinitionsberechtigungen auf Projekt- und Objektebene.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Wenn Sie Berechtigungen für eine bestimmte Releasedefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Releasedefinition wie folgt aus:

Tokenformat für bestimmte Releasedefinitionsberechtigungen: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Wenn sich die Releasedefinitions-ID in einem Ordner befindet, sehen die Sicherheitstoken wie folgt aus:
Tokenformat: PROJECT_ID/{folderName}/12
Für Phasen sehen Token wie folgt aus: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID:c788c23e-1b46-4162-8f5e-d7585343b5de

---

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Verwaltet Berechtigungen für Arbeitselementabfragen und Abfrageordner. Informationen zum Verwalten dieser Berechtigungen über das Webportal finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Festlegen von Berechtigungen für Abfragen oder Abfrageordner.

ID:71356614-aad7-4757-8f2c-0fb3bff6f680

---

Namespaces und Berechtigungen auf Projektebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Projektebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Verwaltungskontext des Webportals verwaltet. Projektadministratoren werden alle Berechtigungen auf Projektebene erteilt. Andere Gruppen auf Projektebene verfügen über Auswahlberechtigungszuweisungen.

---

Namespace

Berechtigungen

Beschreibung

---

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Verwaltet Berechtigungen auf Projektebene.
Die AGILETOOLS_BACKLOG Berechtigung verwaltet den Zugriff auf Azure Boards Backlogs. Dies ist eine interne Berechtigungseinstellung, die nicht geändert werden sollte.

Stammtokenformat: $PROJECT
Token zum Sichern von Berechtigungen für jedes Projekt in Ihrer Organisation.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Angenommen, Sie verfügen über ein Projekt mit dem Namen Test Project 1.
Sie können die Projekt-ID für dieses Projekt mithilfe des az devops project show Befehls abrufen.
az devops project show --project "Test Project 1"
Der Befehl gibt eine Projekt-ID zurück, z. B xxxxxxxx-a1de-4bc8-b751-188eea17c3ba. .
Daher lautet das Token, für Test Project 1 das projektbezogene Berechtigungen gesichert werden sollen:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'

ID:52d39943-cb85-4d7f-8fa8-c6baac873819

---

Kennzeichnung (Tagging)

Enumerate
Create
Update
Delete

Verwaltet Berechtigungen zum Erstellen, Löschen, Aufzählen und Verwenden von Arbeitselementtags. Sie können die Berechtigung Tagdefinition erstellen über die Verwaltungsschnittstelle "Project settings" (Berechtigungen) verwalten.

Tokenformat für Berechtigungen auf Projektebene: /PROJECT_ID
Beispiel: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID:bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

---

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Verwaltet Berechtigungen für ein Team Foundation-Versionskontrolle-Repository (TFVC). Es gibt nur ein TFVC-Repository für ein Projekt. Sie können diese Berechtigungen über die Verwaltungsschnittstelle "Projekteinstellungen", "Repositorys" verwalten.

ID:a39371cf-0841-4c16-bbd3-276e341bc052

---

Namespaces und Berechtigungen auf Organisationsebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Organisationsebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Organisationseinstellungskontext des Webportals verwaltet. Dem Organisationsbesitzer und den Mitgliedern der Gruppe "Projektsammlungsadministratoren " werden die meisten dieser Berechtigungen erteilt. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Der Projektsammlungsebene.

---

Namespace

Berechtigungen

Beschreibung

---

AuditLog

Read
Write
Manage_Streams
Delete_Streams

Verwaltet Überwachungsberechtigungen zum Lesen oder Schreiben in das Überwachungsprotokoll und zum Verwalten oder Löschen von Überwachungsdatenströmen.

Tokenformat: /AllPermissions
ID:a6cc6381-a1ca-4b36-b3c1-4e65211e82b6

---

BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

Verwaltet den Zugriff zum Anzeigen, Verwalten, Verwenden oder Verwalten von Berechtigungen für Buildressourcen.

ID:302acaca-b667-436d-a946-87133492041c

---

Sammlung

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Verwaltet Berechtigungen auf Organisations- oder Sammlungsebene.

ID:3e65f728-f8bc-4ecd-8764-7e378b19bfa7

---

Prozess

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

Verwaltet Berechtigungen zum Erstellen, Löschen und Verwalten von Prozessen.
ID:2dab47f9-bd70-49ed-9bd5-8eb051e59c02

---

Arbeitsbereiche

Read
Use
Checkin
Administer

Verwaltet Berechtigungen für die Verwaltung von änderungen, Arbeitsbereichen und die Möglichkeit, einen Arbeitsbereich auf Organisations- oder Sammlungsebene zu erstellen. Der Workspaces-Namespace gilt für das TFVC-Repository.

Stammtokenformat: /
Tokenformat für einen bestimmten Arbeitsbereich: /{workspace_name};{owner_id}

ID:93bafc04-9075-403a-9367-b7164eac6b5c

---

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Verwaltet Berechtigungen für Team Foundation-Versionskontrolle-Repository (TFVC).

ID:66312704-deb5-43f9-b51c-ab4ff5e351c3

---

Rollenbasierte Namespaces und Berechtigungen

In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die zum Verwalten der rollenbasierten Sicherheit verwendet werden. Sie können Rollenzuweisungen über das Webportal für Pipelineressourcen verwalten, wie in der Beschreibung Pipelineberechtigungen und Sicherheitsrollen beschrieben.

---

Namespace

Berechtigungen

Beschreibung

---

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Verwaltet Berechtigungen für den Zugriff auf Agentpoolressourcen. Standardmäßig werden die folgenden Rollen und Berechtigungen auf Projektebene zugewiesen und für jeden erstellten Agentpool geerbt:

• Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe Gültige Benutzer des Projekts
• Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen Buildadministratoren, Projektadministratoren und Releaseadministratoren.
• Benutzerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
• Erstellerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
  
  ID:101eae8c-1709-47f9-b228-0e476c35b3ba

---

Umgebung

View
Manage
ManageHistory
Administer
Use
Create

Verwaltet Berechtigungen zum Erstellen und Verwalten von Umgebungen. Standardmäßig werden die folgenden Berechtigungen zugewiesen:

• Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe Gültige Benutzer des Projekts
• Erstellerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
• Erstellerrolle (View, Useund Create Berechtigungen) für alle Mitglieder der Gruppe "Projektadministratoren"
• Administratorrolle (alle Berechtigungen) für den Benutzer, der eine bestimmte Umgebung erstellt hat.
  
  ID:83d4c2e6-e57d-4d6e-892b-b87222b7ad20

---

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Die Rolle "Manager " ist die einzige Rolle, die zum Verwalten der Sicherheit von Marketplace-Erweiterungen verwendet wird. Mitglieder der Manager-Rolle können Erweiterungen installieren und auf Anforderungen für die Installation von Erweiterungen reagieren. Die anderen Berechtigungen werden Mitgliedern von Standardsicherheitsgruppen und Dienstprinzipalen automatisch zugewiesen. Informationen zum Hinzufügen von Benutzern zur Rolle "Manager" finden Sie unter Verwalten von Erweiterungsberechtigungen.

ID:5d6d7b80-3c63-4ab0-b699-b6a5910f8029

---

Bibliothek

View
Administer
Create
ViewSecrets
Use
Owner

Verwaltet Berechtigungen zum Erstellen und Verwalten von Bibliothekselementen, einschließlich sicherer Dateien und Variablengruppen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von denen des Knotens Bibliothek geerbt. Standardmäßig werden die folgenden Berechtigungen zugewiesen:

• Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe "Gültige Project-Benutzer" und des Kontos "Project Collection Build Service"
• Erstellerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Gruppe Mitwirkende
• Erstellerrolle (View, Use, Createund Owner ) für das Mitglied, das das Bibliothekselement erstellt hat
• Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen Buildadministratoren, Projektadministratoren und Releaseadministratoren.
  Weitere Informationen finden Sie unter Sicherheitsrollen für Bibliotheksressourcen.
  
  ID:b7e84409-6553-448a-bbb2-af228e07cbeb

---

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Verwaltet Berechtigungen zum Erstellen und Verwalten von Dienstverbindungen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von den auf Projektebene definierten Elementen geerbt. Standardmäßig werden die folgenden Rollen zugewiesen:

• Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe "Gültige Project-Benutzer" und des Kontos "Project Collection Build Service"
• Erstellerrolle (View, Useund Create Berechtigungen) für Mitglieder der Dienstensicherheitsgruppe "Endpunktersteller".
• Administratorrolle (alle Berechtigungen) für Mitglieder der Dienstensicherheitsgruppe "Endpunktadministratoren".
  Rollen werden über Dienstverbindungssicherheitsrollen zugewiesen.
  
  ID:49b48001-ca20-4adc-8111-5b60c903a50c

---

Interne Namespaces und Berechtigungen

In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die nicht über das Webportal angezeigt werden. Sie werden hauptsächlich verwendet, um Mitgliedern von Standardsicherheitsgruppen oder internen Ressourcen Zugriff zu gewähren. Es wird dringend empfohlen, diese Berechtigungseinstellungen in keiner Weise zu ändern.

---

Namespace

Berechtigungen

Beschreibung

---

AccountAdminSecurity

Read
Create
Modify

Verwaltet Berechtigungen zum Lesen oder Ändern des Organisationskontobesitzers. Diese Berechtigungen werden dem Organisationsbesitzer und mitgliedern der Gruppe "Project Collection Administrator" zugewiesen.

ID:11238e09-49f2-40c7-94d0-8f0307204ce4

---

Analyse

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Verwaltet Berechtigungen zum Lesen, Verwalten von Berechtigungen und Ausführen von Abfragen für den Analytics-Dienst.

Tokenformat für Berechtigungen auf Projektebene: $/PROJECT_ID
Beispiel: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID:58450c49-b02d-465a-ab12-59ae512d6531

---

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Legt Berechtigungen zum Lesen, Löschen, Erstellen und Verwalten der Sicherheit des Datenspeichers fest. Diese Berechtigungen werden mehreren Azure DevOps-Dienstprinzipalen zugewiesen.

ID:19F9F97D-7CB7-45F7-8160-DD308A6BD48E

---

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Verwaltet Berechtigungen und Den Zugriff auf Kanban-Boards.

ID:251e12d9-bea3-43a8-bfdb-901b98c0125e

---

BoardsExternalIntegration

Read
Write

Verwaltet Lese-/Schreibberechtigungen für externe Integrationen mit Azure Boards.

ID:5ab15bc8-4ea1-d0f3-8344-cab8fe976877

---

Chat

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Verwaltet Berechtigungen für in Azure DevOps integrierte Chatdienste, z. B. Slack und Microsoft Teams. Weitere Informationen finden Sie unter Azure Boards mit Slack, Azure Boards mit Microsoft Teams, Azure Pipelines mit Slack, Azure Pipelines mit Microsoft Teams, Azure Repos mit Slack und Azure Repos mit Microsoft Teams.

ID:bc295513-b1a2-4663-8d1a-7017fd760d18

---

Diskussionsthreads

Administer
GenericRead
GenericContribute
Moderate

Verwaltet Berechtigungen zum Anzeigen, Verwalten, Moderieren und Mitwirken an der Einrichtung von Codeüberprüfungsdiskussionen für Azure Pipelines.

ID:0d140cae-8ac1-4f48-b6d1-c93ce0301a12

---

EventPublish

Read
Write

Gewährt Lese- und Schreibzugriff für den Benachrichtigungshandler.

ID:7cd317f2-adc6-4b6c-8d99-6074faeaf173

---

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Gewährt Lese- und Schreibzugriff für Benachrichtigungsabonnenten.

ID:2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

---

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Verwaltet Memberberechtigungen zum Anzeigen, Bearbeiten und Kündigen von Benachrichtigungen oder zum Erstellen eines SOAP-Abonnements.

ID:58b176e7-3411-457a-89d0-c6d0ccb3c52b

Identity

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Verwaltet Berechtigungen zum Lesen, Schreiben und Löschen von Benutzerkontoidentitätsinformationen; Verwalten der Gruppenmitgliedschaft und Erstellen und Wiederherstellen von Identitätsbereichen Die ManageMembership Berechtigung wird automatisch Mitgliedern der Gruppen "Projektadministratoren" und "Projektsammlungsadministratoren" erteilt.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
So ändern Sie Berechtigungen auf Gruppenebene für die Gruppenherkunfts-ID [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID:5a27515b-ccd7-42c9-84f1-54c998f03866

---

Lizenzierung

Read
Create
Modify
Delete
Assign
Revoke

Verwaltet die Möglichkeit zum Anzeigen, Hinzufügen, Ändern und Entfernen von Lizenzebenen. Diese Berechtigungen werden mitgliedern der Gruppen "Projektsammlungsadministratoren" automatisch erteilt.

ID:453e2db3-2e81-474f-874d-3bf51027f2ee

---

PermissionLevel

Read
Create
Update
Delete

Verwaltet die Möglichkeit, Berechtigungsberichte zu erstellen und herunterzuladen.

ID:25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

---

OrganizationLevelData

Project-Scoped Users

Wendet eine Verweigerungsberechtigung auf Systemebene auf den Namespace an, der die Project-Scoped-Benutzergruppe unterstützt. Mitglieder der Gruppe haben nur eingeschränkte Sichtbarkeit für Daten auf Organisationsebene. Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
ID:F0003BCE-5F45-4F93-A25D-90FC33FE3AA9

---

PipelineCachePrivileges

Read
Write

Verwaltet Berechtigungen zum Lesen und Schreiben von Pipelinecacheeinträgen. Diese Berechtigungen werden nur internen Azure DevOps-Dienstprinzipien zugewiesen.
ID:62a7ad6b-8b8d-426b-ba10-76a7090e94d5

---

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Verwaltet den Zugriff auf Release Management Benutzeroberflächenelemente.

ID:7c7d32f7-0e86-4cd6-892e-b35dbba870bd

---

SearchSecurity

ReadMembers ReadAnonymous

Dieser Sicherheitsnamespace wird verwendet, um zu ermitteln, ob ein Benutzer gültig oder anonym/öffentlich ist.

ID:ca535e7e-67ce-457f-93fe-6e53aa4e4160

---

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Verwaltet Berechtigungen zum Anzeigen, Bearbeiten und Löschen von Service Hook-Abonnements und zum Veröffentlichen von Service-Hook-Ereignissen. Diese Berechtigungen werden automatisch Mitgliedern der Gruppe "Projektsammlungsadministratoren" zugewiesen. DeleteSubscriptions wird nicht mehr verwendet; EditSubscriptions kann Diensthooks löschen.

ID:cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

---

UtilizationPermissions

QueryUsageSummary

Verwaltet Berechtigungen für die Abfragenutzung. Standardmäßig wird allen Mitgliedern der Gruppen "Projektsammlungsadministratoren" und Benutzern, denen Der Zugriff auf Beteiligte gewährt wurde, die Berechtigung zum Abfragen der Nutzungszusammenfassung für alle Personen erteilt. Weitere Informationen finden Sie unter Ratenlimits.

Tokenformat: /
ID:83abde3a-4593-424e-b45f-9898af99034d

---

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Verwaltet Berechtigungen für die Verwaltung von Arbeitsnachverfolgung und Zerstörung von Anlagen.
ID:445d2788-c5fb-4132-bbef-09c4045ad93f

---

WorkItemTrackingProvision

Administer
ManageLinkTypes

Verwaltet Berechtigungen zum Ändern von Arbeitsprozessen und zum Verwalten von Linktypen. Der WorkItemTrackingProvision-Namespace ist ein älterer Sicherheitsnamespace, der hauptsächlich für TFS-2018 und frühere Versionen verwendet wird. Der Process-Namespace ersetzt diesen Namespace zum Verwalten von Prozessen in Azure DevOps Server 2019 und höheren Versionen.

Stammtokenformat: /$
Tokenformat für ein bestimmtes Projekt: $/PROJECT_ID

ID:5a6cd233-6615-414d-9393-48dbb252bd23

---

Veraltete und schreibgeschützte Namespaces

Die folgenden Namespaces sind entweder veraltet oder schreibgeschützt. Sie sollten sie nicht verwenden.

• CrossProjectWidgetView
• DataProvider
• Favorites
• Graph
• Identity2
• IdentityPicker
• Job
• Location
• ProjectAnalysisLanguageMetrics
• Proxy
• Publish
• Registry
• Security

• ServicingOrchestration
• SettingEntries
• Social
• StrongBox
• TeamLabSecurity
• TestManagement
• VersionControlItems2
• ViewActivityPaneSecurity
• WebPlatform
• WorkItemsHub
• WorkItemTracking
• WorkItemTrackingConfiguration

---

Verwandte Artikel

• Informationen zu Sicherheit, Authentifizierung und Autorisierung
• Rest-API für Sicherheitsnamespaces
• TFSSecurity
• Sicherheitsglossar
• Git-Repositorytoken für den Sicherheitsdienst