Gewähren oder Einschränken des Zugriffs mithilfe von Berechtigungen

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Sie können den Zugriff auf Ressourcen gewähren oder einschränken, die Sie in Azure DevOps verwalten. Möglicherweise möchten Sie den Zugriff auf einen ausgewählten Satz von Features und für eine ausgewählte Gruppe von Benutzern öffnen oder schließen. Während die integrierten Sicherheitsgruppen einen Standardsatz von Berechtigungszuweisungen bereitstellen, benötigen Sie möglicherweise mehr Sicherheitsanforderungen, die von diesen Zuweisungen nicht erfüllt werden.

Wenn Sie noch nicht mit der Verwaltung von Berechtigungen und Gruppen vertraut sind, lesen Sie Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen, um mehr über Berechtigungszustände und Vererbung zu erfahren.

In diesem Artikel erfahren Sie, wie Sie die folgenden Aufgaben ausführen:

• Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
• Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
• Einschränken der Benutzersichtbarkeit auf Organisationsinformationen
• Beschränken der Personenauswahl auf Projektbenutzer und -gruppen
• Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
• Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe

Tipp

Da Sie viele Berechtigungen auf Objektebene festlegen, z. B. Repositorys und Bereichspfade, bestimmt die Struktur des Projekts die Bereiche, die Sie öffnen oder schließen können.

Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen

Zu Wartungszwecken wird empfohlen, entweder die integrierten Sicherheitsgruppen oder benutzerdefinierte Sicherheitsgruppen zum Verwalten von Berechtigungen zu verwenden.

Sie können die Berechtigungseinstellungen für die Gruppe "Projektadministratoren" oder die Gruppe "Projektsammlungsadministratoren" nicht ändern. Für alle anderen Gruppen können Sie jedoch die Berechtigungen ändern.

Wenn Sie einige Benutzer verwalten, finden Sie das Ändern einzelner Berechtigungen möglicherweise als gültige Option. Mit benutzerdefinierten Sicherheitsgruppen können Sie jedoch Rollen und Berechtigungen, die diesen Rollen zugewiesen sind, besser nachverfolgen.

Delegieren von Aufgaben an bestimmte Rollen

Als Administrator oder Kontobesitzer ist es ratsam, administrative Aufgaben an die Teammitglieder zu delegieren, die einen Bereich leiten oder verwalten. Einige der wichtigsten integrierten Rollen, die über Standardberechtigungen und Rollenzuweisungen verfügen, sind:

• Leser
• Beitragende
• Teamadministrator (Rolle)
• Projektadministratoren
• Projektauflistungsadministratoren

Eine Zusammenfassung der Berechtigungen für die oben genannten Rollen finden Sie unter Standardberechtigungen und Zugriff oder unter Ändern von Berechtigungen auf Projektsammlungsebene.

Um Aufgaben an andere Mitglieder in Ihrer Organisation zu delegieren, erwägen Sie, eine benutzerdefinierte Sicherheitsgruppe zu erstellen und dann Berechtigungen zu erteilen, wie in der folgenden Tabelle angegeben.

Rolle

Auszuführende Aufgaben

Berechtigungen, die auf Zulassen festgelegt werden sollen

Entwicklungsleiter (Git)

Verwalten von Branchrichtlinien

Bearbeiten von Richtlinien, Pushen erzwingen und Berechtigungen verwalten
Weitere Informationen finden Sie unter Festlegen von Branchberechtigungen.

Entwicklungsleiter (TFVC)

Verwalten von Repositorys und Branches

Verwalten von Bezeichnungen, Verwalten von Branch und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von TFVC-Repositoryberechtigungen.

Softwarearchitekt (Git)

Verwalten von Repositorys

Erstellen von Repositorys, Erzwingen von Push und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.

Teamadministratoren

Hinzufügen von Bereichspfaden für ihr Team
Hinzufügen freigegebener Abfragen für ihr Team

Erstellen untergeordneter Knoten, Löschen dieses Knotens, Bearbeiten dieses Knotens Siehe Erstellen untergeordneter Knoten, Ändern von Arbeitselementen unter einem Bereichspfad
Mitwirken, Löschen, Verwalten von Berechtigungen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.

Beitragende

Hinzufügen freigegebener Abfragen unter einem Abfrageordner, Mitwirken zu Dashboards

Mitwirken, Löschen (für einen Abfrageordner), siehe Festlegen von Abfrageberechtigungen
Anzeigen, Bearbeiten und Verwalten von Dashboards finden Sie unter Festlegen von Dashboardberechtigungen.

Projekt- oder Produktmanager

Hinzufügen von Bereichspfaden, Iterationspfaden und freigegebenen Abfragen
Löschen und Wiederherstellen von Arbeitselementen, Verschieben von Arbeitselementen aus diesem Projekt, Dauerhaftes Löschen von Arbeitselementen

Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.

Prozessvorlagen-Manager (Vererbungsprozessmodell)

Anpassung der Arbeitsnachverfolgung

Verwalten von Prozessberechtigungen, Erstellen neuer Projekte, Prozess erstellen, Feld aus Konto löschen, Löschprozess, Projekt löschen, Prozess bearbeiten
Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Sammlungsebene des Projekts.

Prozessvorlagen-Manager (gehostetes XML-Prozessmodell)

Anpassung der Arbeitsnachverfolgung

Bearbeiten von Informationen auf Sammlungsebene finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.

Projektverwaltung (lokales XML-Prozessmodell)

Anpassung der Arbeitsnachverfolgung

Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.

Berechtigungs-Manager

Verwalten von Berechtigungen für ein Projekt, konto oder eine Sammlung

Bearbeiten von Informationen auf Projektebene für ein Projekt
Bearbeiten von Informationen auf Instanzebene (oder Sammlungsebene) für ein Konto oder eine Sammlung
Informationen zum Umfang dieser Berechtigungen finden Sie unter Leitfaden zur Berechtigungssuche. Informationen zum Anfordern einer Änderung der Berechtigungen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.

Sie können auch Berechtigungen zum Verwalten von Berechtigungen für die folgenden Objekte erteilen:

• Festlegen von Git-Repositoryberechtigungen
• Verwalten von Git-Branchberechtigungen
• Festlegen von TFVC-Repositoryberechtigungen
• Verwalten von Build- und Releaseberechtigungen
• Verwalten von Wiki-Berechtigungen

Einschränken der Benutzersichtbarkeit auf Organisations- und Projektinformationen

Wichtig

• Die in diesem Abschnitt beschriebenen Features für eingeschränkte Sichtbarkeit gelten nur für Interaktionen über das Webportal. Mit den REST-APIs oder azure devops CLI-Befehlen können Projektmitglieder auf die eingeschränkten Daten zugreifen.
• Gastbenutzer, die Mitglieder in der eingeschränkten Gruppe mit Standardzugriff in der Microsoft Entra-ID sind, können nicht nach Benutzern mit der Personenauswahl suchen. Wenn das Vorschaufeature für die Organisation deaktiviertist oder Gastbenutzer keine Mitglieder der eingeschränkten Gruppe sind, können Gastbenutzer alle Microsoft Entra-Benutzer wie erwartet durchsuchen.

Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Um den Zugriff nur auf die Projekte zu beschränken, denen Sie Benutzer hinzufügen, können Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation aktivieren. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.

Wenn dieses Feature aktiviert ist, können Benutzer, die der Gruppe Project-Scoped Users hinzugefügt wurden, die meisten Organisationseinstellungen nicht anzeigen und nur eine Verbindung mit den Projekten herstellen, denen sie hinzugefügt wurden.

Warnung

Wenn das Feature " Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte in der Vorschau" für die Organisation beschränkt ist, können projektbezogene Benutzer nicht nach Benutzern suchen, die über die Microsoft Entra-Gruppenmitgliedschaft zur Organisation hinzugefügt wurden, anstatt über eine explizite Benutzereinladung. Dies ist ein unerwartetes Verhalten, an dem an einer Lösung gearbeitet wird. Um dieses Problem selbst zu beheben, deaktivieren Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte beschränken für die Organisation.

Beschränken der Personenauswahl auf Projektbenutzer und -gruppen

Organisationen, die ihre Benutzer und Gruppen mithilfe der Microsoft Entra-ID verwalten, unterstützen Personenauswahlen das Durchsuchen aller Benutzer und Gruppen, die microsoft Entra-ID hinzugefügt wurden, nicht nur die Benutzer oder Gruppen, die einem Projekt hinzugefügt wurden. Personen Auswahler unterstützen die folgenden Azure DevOps-Funktionen:

• Auswahl einer Benutzeridentität aus einem Arbeitsverfolgungsidentitätsfeld, z. B . Zugewiesen an
• Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention in einer Arbeitselementdiskodiumsdiskussion oder einem Rich-Text-Feld, einer Pull Request-Diskussion, Commitkommentaren oder Changeset- oder Regaletkommentaren
• Auswahl eines Benutzers oder einer Gruppe mit @mention aus einer Wikiseite

Wie in der folgenden Abbildung gezeigt, beginnen Sie einfach mit der Eingabe in ein Personenauswahlfeld, bis Sie eine Übereinstimmung mit einem Benutzernamen oder einer Sicherheitsgruppe finden.

Benutzer und Gruppen, die der Gruppe Project-Scoped Users hinzugefügt werden, können nur Benutzer und Gruppen in dem Projekt anzeigen und auswählen, mit denen sie verbunden sind. Informationen zum Bereich der Personenauswahl für alle Projektmitglieder finden Sie unter Verwalten Ihrer Organisation, Einschränken der Identitätssuche und -auswahl.

Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten

Azure DevOps ist so konzipiert, dass alle gültigen Benutzer alle im System definierten Objekte anzeigen können. Sie können den Zugriff auf Ressourcen einschränken, indem Sie den Berechtigungsstatus auf Verweigern festlegen. Sie können Berechtigungen für Mitglieder festlegen, die zu einer benutzerdefinierten Sicherheitsgruppe gehören, oder für einen einzelnen Benutzer. Weitere Informationen zum Festlegen dieser Berechtigungstypen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.

Bereich, der eingeschränkt werden soll

Berechtigungen, die auf Verweigern festgelegt werden sollen

Anzeigen oder Mitwirken zu einem Repository

Anzeigen, Mitwirken
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen oder Festlegen von TFVC-Repositoryberechtigungen.

Anzeigen, Erstellen oder Ändern von Arbeitselementen innerhalb eines Bereichspfads

Bearbeiten von Arbeitselementen in diesem Knoten, Anzeigen von Arbeitselementen in diesem Knoten
Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Ändern von Arbeitselementen unter einem Bereichspfad.

Anzeigen oder Aktualisieren ausgewählter Build- und Releasepipelines

Buildpipeline bearbeiten, Buildpipeline anzeigen
Releasepipeline bearbeiten, Releasepipeline anzeigen
Sie legen diese Berechtigungen auf Objektebene fest. Weitere Informationen finden Sie unter Festlegen von Build- und Freigabeberechtigungen.

Bearbeiten eines Dashboards

Dashboards anzeigen
Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen.

Einschränken der Änderung von Arbeitselementen oder Auswählen von Feldern

Beispiele, die veranschaulichen, wie Änderungen von Arbeitselementen eingeschränkt oder Felder ausgewählt werden, finden Sie unter Beispielregelszenarien.

Nächste Schritte

Entfernen von Benutzerkonten

Verwandte Artikel

• Behandeln von Problemen mit Berechtigungen
• Regeln und Regelauswetrung
• Standardberechtigungen und -zugriff
• Leitfaden für die Suche nach Berechtigungen
• Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen
• Referenz zu Berechtigungen und Gruppen
• Ändern von Berechtigungen auf Projektebene
• Ändern von Berechtigungen auf Projektsammlungsebene