Gewähren oder Einschränken des Zugriffs mithilfe von Berechtigungen

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019 | TFS 2018

Sie können den Zugriff auf Ressourcen gewähren oder einschränken, die Sie in Azure DevOps verwalten. Möglicherweise möchten Sie den Zugriff auf eine ausgewählte Gruppe von Features und für eine ausgewählte Gruppe von Benutzern öffnen oder schließen. Während die integrierten Sicherheitsgruppen einen Standardsatz von Berechtigungszuweisungen bereitstellen, benötigen Sie möglicherweise zusätzliche Sicherheitsanforderungen, die von diesen Zuweisungen nicht erfüllt werden.

Wenn Sie noch nicht mit der Verwaltung von Berechtigungen und Gruppen vertraut sind, lesen Sie Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen,um mehr über Berechtigungsstatus und Vererbung zu erfahren.

In diesem Artikel erfahren Sie, wie Sie die folgenden Aufgaben ausführen:

  • Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
  • Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
  • Einschränken der Sichtbarkeit auf Organisationsinformationen
  • Beschränken der Personenauswahl auf Projektbenutzer und -gruppen
  • Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
  • Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe
  • Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
  • Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
  • Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
  • Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe

Tipp

Da Sie viele Berechtigungen auf Objektebene festlegen, z. B. Repositorys und Bereichspfade, bestimmt die Struktur des Projekts die Bereiche, die Sie öffnen oder schließen können.

Zu Wartungszwecken wird empfohlen, zum Verwalten von Berechtigungen entweder die integrierten Sicherheitsgruppen oder benutzerdefinierte Sicherheitsgruppen zu verwenden.

Sie können die Berechtigungseinstellungen für die Gruppe "Projektadministratoren" oder die Gruppe "Projektsammlungsadministratoren" nicht ändern, was beabsichtigt ist. Für alle anderen Gruppen können Sie die Berechtigungen jedoch ändern.

Wenn Sie eine kleine Anzahl von Benutzern verwalten, ist das Ändern einzelner Berechtigungen möglicherweise eine gültige Option. Mit benutzerdefinierten Sicherheitsgruppen können Sie jedoch Rollen und Berechtigungen, die diesen Rollen zugewiesen sind, besser nachverfolgen.

Delegieren von Aufgaben an bestimmte Rollen

Als Administrator oder Kontobesitzer ist es eine gute Idee, administrative Aufgaben an die Teammitglieder zu delegieren, die einen Bereich leiten oder verwalten. Einige der wichtigsten integrierten Rollen mit Standardberechtigungen und Rollenzuweisungen sind:

  • Leser
  • Beitragende
  • Teamadministrator (Rolle)
  • Projektadministratoren
  • Projektauflistungsadministratoren

Eine Zusammenfassung der Berechtigungen für die oben genannten Rollen finden Sie unter Standardberechtigungen und Zugriff oder für die Projektsammlungsadministratoren unter Ändern von Berechtigungen auf Projektsammlungsebene.

Wenn Sie Aufgaben an andere Mitglieder in Ihrer Organisation delegieren möchten, sollten Sie eine benutzerdefinierte Sicherheitsgruppe erstellen und dann berechtigungen erteilen, wie in der folgenden Tabelle angegeben.

Rolle

Auszuführende Aufgaben

Berechtigungen, die auf Zulassen festgelegt werden sollen

Entwicklungsleiter (Git)

Verwalten von Branchrichtlinien

Bearbeiten von Richtlinien, Push erzwingen und Berechtigungen verwalten
Weitere Informationen finden Sie unter Festlegen von Branchberechtigungen.

Entwicklungsleiter (TFVC)

Verwalten von Repositorys und Branches

Verwalten von Bezeichnungen, Branch verwalten und Berechtigungen verwalten
Weitere Informationen finden Sie unter Festlegen von TFVC-Repositoryberechtigungen.

Softwarearchitekt (Git)

Verwalten von Repositorys

Erstellen von Repositorys, Pushen und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.

Teamadministratoren

Hinzufügen von Bereichspfaden für das Team
Hinzufügen freigegebener Abfragen für das Team

Erstellen untergeordneter Knoten, Löschen dieses Knotens, Bearbeiten dieses Knotens Siehe Erstellen untergeordneter Knoten, Ändern von Arbeitselementen unter einem Bereichspfad
Mitwirken, Löschen, Verwalten von Berechtigungen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.

Beitragende

Hinzufügen freigegebener Abfragen unter einem Abfrageordner, Mitwirken an Dashboards

Mitwirken, Löschen (für einen Abfrageordner), siehe Festlegen von Abfrageberechtigungen
Anzeigen, Bearbeiten und Verwalten von Dashboards, siehe Festlegen von Dashboardberechtigungen.

Projekt- oder Produktmanager

Hinzufügen von Bereichspfaden, Iterationspfaden und freigegebenen Abfragen
Löschen und Wiederherstellen von Arbeitselementen, Verschieben von Arbeitselementen aus diesem Projekt, Dauerhaftes Löschen von Arbeitselementen

Informationen auf Projektebene bearbeiten, siehe Ändern von Berechtigungen auf Projektebene.

Prozessvorlagen-Manager (Vererbungsprozessmodell)

Anpassung der Arbeitsnachverfolgung

Verwalten von Prozessberechtigungen, Erstellen neuer Projekte, Prozess erstellen, Feld aus Konto löschen, Löschprozess, Projekt löschen, Prozess bearbeiten
Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.

Prozessvorlagen-Manager (Gehostetes XML-Prozessmodell)

Anpassung der Arbeitsnachverfolgung

Bearbeiten von Informationen auf Sammlungsebene, siehe Ändern von Berechtigungen auf Sammlungsebene des Projekts.

Projektmanagement (lokales XML-Prozessmodell)

Anpassung der Arbeitsnachverfolgung

Informationen auf Projektebene bearbeiten, siehe Ändern von Berechtigungen auf Projektebene.

Berechtigungs-Manager

Verwalten von Berechtigungen für ein Projekt, ein Konto oder eine Sammlung

Bearbeiten von Informationen auf Projektebene für ein Projekt
Bearbeiten von Informationen auf Instanzebene (oder Sammlungsebene) für ein Konto oder eine Sammlung
Informationen zum Umfang dieser Berechtigungen finden Sie im Leitfaden zur Berechtigungssuche. Informationen zum Anfordern einer Änderung der Berechtigungen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.

Sie können auch Berechtigungen zum Verwalten von Berechtigungen für die folgenden Objekte erteilen:

Einschränken der Sichtbarkeit auf Organisations- und Projektinformationen

Standardmäßig können Benutzer, die einer Organisation hinzugefügt werden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Um den Zugriff auf die Projekte zu beschränken, denen Sie Benutzer hinzufügen, können Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken für die Organisation aktivieren. Informationen zum Aktivieren dieses Features finden Sie unter Verwalten oder Aktivieren von Features.

Wenn dieses Feature aktiviert ist, können Benutzer, die der Gruppe Projektbezogene Benutzer hinzugefügt wurden, die meisten Organisationseinstellungen nicht anzeigen und nur eine Verbindung mit den Projekten herstellen, denen sie hinzugefügt wurden.

Beschränken der Personenauswahl auf Projektbenutzer und -gruppen

Für Organisationen, die ihre Benutzer und Gruppen mithilfe von Azure Active Directory (Azure AD) verwalten, bieten Personenauswahlen Unterstützung für die Suche nach allen Benutzern und Gruppen, die zu Azure AD hinzugefügt wurden, nicht nur für diejenigen, die einem Projekt hinzugefügt wurden. Die Personenauswahl unterstützt die folgenden Azure DevOps-Funktionen:

  • Auswahl einer Benutzeridentität aus einem Arbeitsverfolgungsidentitätsfeld, z. B . Zugewiesen an
  • Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention in einer Arbeitselementdisk oder einem Rich-Text-Feld, einer Pull Request-Diskussion, Commitkommentaren oder Changeset- oder Shelvesetkommentaren
  • Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention aus einer Wiki-Seite

Wie in der folgenden Abbildung gezeigt, beginnen Sie einfach mit der Eingabe in ein Personenauswahlfeld, bis Sie eine Übereinstimmung mit einem Benutzernamen oder einer Sicherheitsgruppe gefunden haben.

Screenshot der Personenauswahl

Benutzer und Gruppen, die der Gruppe Project-Scoped Users hinzugefügt werden, können nur Benutzer und Gruppen in dem Projekt anzeigen und auswählen, mit denen sie verbunden sind. Informationen zum Bereich der Personenauswahl für alle Projektmitglieder finden Sie unter Verwalten Ihrer Organisation, Einschränken der Identitätssuche und -auswahl.

Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten

Azure DevOps ist so konzipiert, dass alle gültigen Benutzer alle im System definierten Objekte anzeigen können. Sie können den Zugriff auf Ressourcen einschränken, indem Sie den Berechtigungsstatus auf Verweigern festlegen. Sie können Berechtigungen für Mitglieder festlegen, die zu einer benutzerdefinierten Sicherheitsgruppe gehören, oder für einen einzelnen Benutzer. Weitere Informationen zum Festlegen dieser Berechtigungstypen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.

Bereich, der eingeschränkt werden soll

Berechtigungen, die auf Verweigern festgelegt werden sollen

Anzeigen oder Mitwirken zu einem Repository

Anzeigen, Erstellen oder Ändern von Arbeitselementen innerhalb eines Bereichspfads

Bearbeiten von Arbeitselementen in diesem Knoten, Anzeigen von Arbeitselementen in diesem Knoten
Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Ändern von Arbeitselementen unter einem Bereichspfad.

Anzeigen oder Aktualisieren ausgewählter Build- und Releasepipelines

Buildpipeline bearbeiten, Buildpipeline anzeigen
Releasepipeline bearbeiten, Releasepipeline anzeigen
Sie legen diese Berechtigungen auf Objektebene fest. Weitere Informationen finden Sie unter Festlegen von Build- und Freigabeberechtigungen.

Bearbeiten eines Dashboards

Dashboards anzeigen
Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen.

Einschränken der Änderung von Arbeitselementen oder Auswählen von Feldern

Beispiele, die veranschaulichen, wie Änderungen von Arbeitselementen eingeschränkt oder Felder ausgewählt werden, finden Sie unter Beispielregelszenarien.

Nächste Schritte