Behandeln von Zugriffs- und Berechtigungsproblemen
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
Aufgrund der umfangreichen Sicherheits- und Berechtigungsstruktur von Azure DevOps können Sie untersuchen, warum ein Benutzer keinen Zugriff auf ein Projekt, einen Dienst oder ein Feature hat, das er erwartet. Hier finden Sie eine Schritt-für-Schritt-Anleitung, um Probleme zu verstehen und zu beheben, die ein Projektmitglied beim Herstellen einer Verbindung mit einem Projekt oder beim Zugreifen auf einen Azure DevOps-Dienst oder ein Feature hat.
Bevor Sie dieses Handbuch verwenden, sollten Sie mit den folgenden Inhalten vertraut sein:
- Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen
- Kurzübersicht zu Standardberechtigungen und Zugriff.
Tipp
Wenn Sie eine Azure DevOps-Sicherheitsgruppe erstellen, bezeichnen Sie sie so, dass leicht zu erkennen ist, ob sie erstellt wurde, um den Zugriff einzuschränken.
Berechtigungen werden auf einer der folgenden Ebenen festgelegt:
- Objektebene
- Projektebene
- Organisations- oder Projektsammlungsebene
- Sicherheitsrolle
- Rolle "Teamadministrator"
Häufige Zugriffs- und Berechtigungsprobleme
Sehen Sie sich die folgenden häufigsten Gründe an, warum ein Projektmitglied nicht auf ein Projekt, einen Dienst oder ein Feature zugreifen kann:
| Problem | Problembehandlungsaktion |
|---|---|
| Ihre Zugriffsebene unterstützt keinen Zugriff auf den Dienst oder das Feature. | Um zu ermitteln, ob dies die Ursache ist, bestimmen Sie die Zugriffsebene und den Abonnementstatus des Benutzers. |
| Ihre Mitgliedschaft in einer Sicherheitsgruppe unterstützt den Zugriff auf ein Feature nicht, oder ihnen wurde explizit die Berechtigung für ein Feature verweigert. | Um zu ermitteln, ob dies die Ursache ist, verfolgen Sie eine Berechtigung nach. |
| Dem Benutzer wurde kürzlich die Berechtigung erteilt, es ist jedoch eine Aktualisierung erforderlich, damit der Client die Änderungen erkennt. | Lassen Sie den Benutzer seine Berechtigungen aktualisieren oder neu auswerten. |
| Der Benutzer versucht, ein Feature auszuüben, das nur einem Teamadministrator für ein bestimmtes Team gewährt wurde, aber ihm wurde diese Rolle nicht zugewiesen. | Informationen zum Hinzufügen zur Rolle finden Sie unter Hinzufügen, Entfernen des Teamadministrators. |
| Der Benutzer hat keine Vorschaufunktion aktiviert. | Lassen Sie den Benutzer die Vorschaufeatures öffnen und den Ein/Aus-Status für das jeweilige Feature ermitteln. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures. |
| Das Projektmitglied wurde einer Sicherheitsgruppe mit eingeschränktem Bereich hinzugefügt, z. B. der Gruppe Project-Scoped Benutzer. | Um zu ermitteln, ob dies die Ursache ist, suchen Sie die Sicherheitsgruppenmitgliedschaften des Benutzers. |
Weniger häufige Zugriffs- und Berechtigungsprobleme
Weniger häufige Gründe für eingeschränkten Zugriff sind, wenn eines der folgenden Ereignisse aufgetreten ist:
| Problem | Problembehandlungsaktion |
|---|---|
| Ein Projektadministrator hat einen Dienst deaktiviert. In diesem Fall hat niemand Zugriff auf den deaktivierten Dienst. | Informationen dazu, ob ein Dienst deaktiviert ist, finden Sie unter Aktivieren oder Deaktivieren eines Azure DevOps-Diensts. |
| Ein Projektsammlungsadministrator hat eine Vorschaufunktion deaktiviert, die es für alle Projektmitglieder in der Organisation deaktiviert. | Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures. |
| Gruppenregeln, die die Zugriffsebene oder Projektmitgliedschaft des Benutzers regeln, beschränken den Zugriff. | Weitere Informationen finden Sie unter Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers. |
| Benutzerdefinierte Regeln wurden für den Workflow eines Arbeitselementtyps definiert. | Weitere Informationen finden Sie unter Regeln, die auf einen Arbeitselementtyp angewendet werden, die den Auswahlvorgang einschränken. |
Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers
Sie können Benutzer oder Benutzergruppen einer der folgenden Zugriffsebenen zuweisen:
- Projektbeteiligter
- Basic
- Basic + Test Plans
- Visual Studio-Abonnement
Weitere Informationen zur Einschränkung der Zugriffsebene in Azure DevOps finden Sie unter Unterstützte Zugriffsebenen.
Um Azure DevOps-Features verwenden zu können, müssen Benutzer einer Sicherheitsgruppe mit den entsprechenden Berechtigungen hinzugefügt werden. Benutzer benötigen außerdem Zugriff auf das Webportal. Einschränkungen bei der Auswahl von Features basieren auf der Zugriffsebene und Sicherheitsgruppe, denen ein Benutzer zugewiesen ist.
Benutzer können den Zugriff aus den folgenden Gründen verlieren:
| Grund für den Verlust des Zugriffs | Problembehandlungsaktion |
|---|---|
| Das Visual Studio-Abonnement des Benutzers ist abgelaufen. | In der Zwischenzeit kann dieser Benutzer als Stakeholder arbeiten, oder Sie können dem Benutzer Den Grundlegenden Zugriff gewähren, bis der Benutzer sein Abonnement verlängert. Nachdem sich der Benutzer angemeldet hat, stellt Azure DevOps den Zugriff automatisch wieder her. |
| Das für die Abrechnung verwendete Azure-Abonnement ist nicht mehr aktiv. | Alle Käufe, die mit diesem Abonnement getätigt werden, sind betroffen, einschließlich Visual Studio-Abonnements. Um dieses Problem zu beheben, besuchen Sie das Azure-Kontoportal. |
| Das für die Abrechnung verwendete Azure-Abonnement wurde aus Ihrer Organisation entfernt. | Weitere Informationen zum Verknüpfen Ihrer Organisation |
Andernfalls verlieren Am ersten Tag des Kalendermonats Benutzer, die sich für die längste Zeit nicht bei Ihrer Organisation angemeldet haben, zuerst den Zugriff. Wenn Ihre Organisation Über Benutzer verfügt, die keinen Zugriff mehr benötigen, entfernen Sie diese aus Ihrer Organisation.
Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Gruppen und im Nachschlagehandbuch zu Berechtigungen.
Ablaufverfolgung einer Berechtigung
Verwenden Sie die Berechtigungsablaufverfolgung, um zu ermitteln, warum die Berechtigungen eines Benutzers den Zugriff auf ein bestimmtes Feature oder eine bestimmte Funktion nicht zulassen. Erfahren Sie, wie ein Benutzer oder Administrator die Vererbung von Berechtigungen untersuchen kann. Um eine Berechtigung über das Webportal nachzuverfolgen, öffnen Sie die Berechtigungs- oder Sicherheitsseite für die entsprechende Ebene. Weitere Informationen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Wenn ein Benutzer Berechtigungsprobleme hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mithilfe unserer Berechtigungsablaufverfolgung untersuchen, wo diese Berechtigungen herkommen. Berechtigungsprobleme können auf verzögerte Änderungen zurückzuführen sein. Es kann bis zu 1 Stunde dauern, bis Microsoft Entra-Gruppenmitgliedschaften oder Berechtigungsänderungen in Azure DevOps weitergegeben werden. Wenn ein Benutzer Probleme hat, die nicht sofort behoben werden, warten Sie einen Tag, um zu prüfen, ob sie behoben werden. Weitere Informationen zur Benutzer- und Zugriffsverwaltung finden Sie unter Verwalten von Benutzern und Zugriff in Azure DevOps.
Wenn ein Benutzer Berechtigungsprobleme hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mithilfe unserer Berechtigungsablaufverfolgung untersuchen, wo diese Berechtigungen herkommen. Berechtigungsprobleme können darauf zurückzuführen sein, dass der Benutzer nicht über die erforderliche Zugriffsebene verfügt.
Benutzer können ihre effektiven Berechtigungen entweder direkt oder über Gruppen erhalten.
Führen Sie die folgenden Schritte aus, damit Administratoren verstehen können, wo genau diese Berechtigungen stammen, und sie bei Bedarf anpassen können.
Wählen Sie Projekteinstellungen>Berechtigungen>Benutzer und dann den Benutzer aus.
Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die zeigt, welche Berechtigungen sie besitzen.
Um nachzuverfolgen, warum ein Benutzer über die aufgeführten Berechtigungen verfügt oder nicht, wählen Sie das Informationssymbol neben der betreffenden Berechtigung aus.
Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erben. Anschließend können Sie die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die den Gruppen, in denen er sich befindet, bereitgestellt werden.
Wählen Sie Projekteinstellungen>Sicherheit aus, und geben Sie dann den Benutzernamen in das Filterfeld ein.
Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die zeigt, welche Berechtigungen sie besitzen.
Verfolgen Sie, warum ein Benutzer über die aufgeführten Berechtigungen verfügt oder nicht. Zeigen Sie mit der Maus auf die Berechtigung, und wählen Sie dann Warum aus.
Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erben. Anschließend können Sie die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die für die Gruppen bereitgestellt werden, in denen er sich befindet.
Weitere Informationen finden Sie unter Gewähren oder Einschränken des Zugriffs auf ausgewählte Features und Funktionen oder Anfordern einer Erhöhung der Berechtigungsstufen.
Aktualisieren oder Neuauswerten von Berechtigungen
Sehen Sie sich das folgende Szenario an, in dem die Berechtigungen möglicherweise aktualisiert oder neu ausgewertet werden müssen.
Problem
Benutzer werden einer Azure DevOps- oder Microsoft Entra-Gruppe hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Aber sie erhalten nicht sofort Zugriff. Benutzer müssen warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, um ihre Berechtigungen zu aktualisieren.
Benutzer werden einer Azure DevOps-Gruppe hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Aber sie erhalten nicht sofort Zugriff. Benutzer müssen warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, um ihre Berechtigungen zu aktualisieren.
Lösung
In den Benutzereinstellungen können Sie auf der Seite Berechtigungen die Option Berechtigungen erneut auswerten auswählen. Diese Funktion wertet Ihre Gruppenmitgliedschaften und Berechtigungen neu aus, und alle kürzlich vorgenommenen Änderungen werden sofort wirksam.
Regeln, die auf einen Arbeitselementtyp angewendet werden, die Auswahlvorgänge einschränken
Bevor Sie einen Prozess anpassen, sollten Sie konfigurieren und anpassen Azure Boards lesen. Dort finden Sie Anleitungen zum Anpassen von Azure Boards an Ihre Geschäftsanforderungen.
Weitere Informationen zu Arbeitselementtypregeln, die für einschränkende Vorgänge gelten, finden Sie unter:
- Anwenden von Regeln auf Workflowzustände (Vererbungsprozess)
- Beispielszenarien für Regeln
- Definieren von Bereichspfaden und Zuweisen zu einem Team
Ausblenden von Organisationseinstellungen für Benutzer
Wenn ein Benutzer darauf beschränkt ist, nur seine Projekte anzuzeigen oder die Organisationseinstellungen anzuzeigen, können die folgenden Informationen den Grund dafür erklären. Um zu verhindern, dass Benutzer auf Organisationseinstellungen zugreifen, können Sie das Feature Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken aktivieren. Weitere Informationen, einschließlich wichtiger sicherheitsrelevanter Aufforderungen, finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Beispiele für eingeschränkte Benutzer sind Projektbeteiligte, Microsoft Entra-Gastbenutzer oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung kann jeder Benutzer oder jede Gruppe, die der Gruppe "Project-Scoped Benutzer" hinzugefügt wurde, nicht mehr auf die Seiten "Organisationseinstellungen" zugreifen, mit Ausnahme von Übersicht und Projekten. Sie sind auf den Zugriff nur auf die Projekte beschränkt, denen sie hinzugefügt wurden.
Beispiele für eingeschränkte Benutzer sind Stakeholder oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung kann jeder Benutzer oder jede Gruppe, die der Gruppe "Project-Scoped Benutzer" hinzugefügt wurde, nicht mehr auf die Seiten "Organisationseinstellungen" zugreifen, mit Ausnahme von Übersicht und Projekten. Sie sind auf den Zugriff nur auf die Projekte beschränkt, denen sie hinzugefügt wurden.
Weitere Informationen zum Ausblenden von Organisationseinstellungen für Benutzer finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Anzeigen, Hinzufügen und Verwalten von Berechtigungen mit der CLI
Mit den az devops security permission Befehlen können Sie Berechtigungen auf einer präziseren Ebene anzeigen, hinzufügen und verwalten. Weitere Informationen finden Sie unter Verwalten von Berechtigungen mit dem Befehlszeilentool.
Gruppierungsregeln mit geringeren Berechtigungen
Gruppenregeltypen werden in der folgenden Reihenfolge eingestuft: Subscriber > Basic + Test Plans > Basic > Stakeholder. Benutzer erhalten immer die beste Zugriffsebene zwischen allen Gruppenregeln, einschließlich des Visual Studio (VS)-Abonnements.
Hinweis
- Änderungen, die an Projektlesern über Gruppenregeln vorgenommen wurden, bleiben nicht erhalten. Wenn Sie Projektleser anpassen müssen, sollten Sie alternative Methoden wie direkte Zuweisung oder benutzerdefinierte Sicherheitsgruppen in Betracht ziehen.
- Es wird empfohlen, die Regeln, die auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" aufgeführt sind, regelmäßig zu überprüfen. Wenn Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft vorgenommen werden, werden diese Änderungen in der nächsten Erneutbewertung der Gruppenregeln angezeigt, die bei Bedarf durchgeführt werden können, wenn eine Gruppenregel geändert wird, oder automatisch alle 24 Stunden. Azure DevOps aktualisiert die Microsoft Entra-Gruppenmitgliedschaft jede Stunde, es kann jedoch bis zu 24 Stunden dauern, bis die Microsoft Entra-ID die dynamische Gruppenmitgliedschaft aktualisiert.
Sehen Sie sich die folgenden Beispiele an, die zeigen, wie die Abonnentenerkennung in Gruppenregeln einschließt.
Beispiel 1: Gruppenregel bietet mir mehr Zugriff
Was geschieht, wenn ich ein VS Pro-Abonnement habe und in einer Gruppenregel bin, die mir Basic + Test Plans gibt?
Erwartet: Ich erhalte Basic + Test Plans, da das, was mir die Gruppenregel bietet, größer ist als mein Abonnement. Die Gruppenregelzuweisung bietet immer den größeren Zugriff, anstatt den Zugriff einzuschränken.
Beispiel 2: Gruppenregel gewährt mir denselben Zugriff
Ich habe ein Visual Studio Test Pro-Abonnement und bin in einer Gruppenregel, die mir Basic + Test Plans gibt. Was geschieht?
Erwartet: Ich werde als Visual Studio Test Pro-Abonnent erkannt, da der Zugriff mit der Gruppenregel identisch ist. Ich zahle bereits für Visual Studio Test Pro, sodass ich nicht mehr bezahlen möchte.
Arbeiten mit GitHub
Informationen zum Bereitstellen von Code in Azure DevOps mit GitHub finden Sie in den folgenden Informationen zur Problembehandlung.
Problem
Sie können den Rest Ihres Teams nicht in die Organisation und das Projekt einbinden, obwohl Sie sie als Organisations- und Projektmitglieder hinzufügen. Sie erhalten E-Mails, aber bei der Anmeldung erhalten sie den Fehler 401.
Lösung
Sie sind wahrscheinlich mit einer falschen Identität bei Azure DevOps angemeldet. Führen Sie die folgenden Schritte aus.
Schließen Sie alle Browser, einschließlich Browsern, in denen Azure DevOps nicht ausgeführt wird.
Öffnen Sie eine private oder inkognito-Browsersitzung.
Rufen Sie die folgende URL auf: https://aka.ms/vssignout.
Es wird eine Meldung mit der Meldung "Abmelden wird ausgeführt" angezeigt. Nachdem Sie sich abgemeldet haben, werden Sie zu dev.azure.microsoft.com umgeleitet.
Melden Sie sich erneut bei Azure DevOps an. Wählen Sie Ihre andere Identität aus.
Andere Bereiche, in denen Berechtigungen angewendet werden können
- Berechtigungen für Bereichspfade
- Arbeitsaufgabentags
- Verschieben von Arbeitselementen aus einem Projekt
- Gelöschte Arbeitselemente
- Kurzanleitung: Standardberechtigungen und Zugriff für Azure Boards
- Benutzerdefinierte Regeln
- Beispielszenarien für benutzerdefinierte Regeln
- Benutzerdefinierte Backlogs und Boards
- Benutzerdefinierte Steuerelemente
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für