Freigeben über


Behandeln von Zugriffs- und Berechtigungsproblemen

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Aufgrund der umfangreichen Sicherheits- und Berechtigungsstruktur von Azure DevOps müssen Sie möglicherweise untersuchen, warum ein Benutzer keinen Zugriff auf ein Projekt, einen Dienst oder ein Feature hat, das er erwartet. Hier finden Sie schrittweise Anleitungen zum Verstehen und Beheben von Problemen, die ein Benutzer beim Herstellen einer Verbindung mit einem Projekt oder beim Zugriff auf einen Azure DevOps-Dienst oder -Feature auftreten kann.

Bevor Sie dieses Handbuch verwenden, sollten Sie sich mit den folgenden Inhalten vertraut machen:

Tipp

Wenn Sie eine Azure DevOps-Sicherheitsgruppe erstellen, bezeichnen Sie sie eindeutig, um anzugeben, ob der Zugriff eingeschränkt werden soll.

Sie können Berechtigungen auf den folgenden Ebenen festlegen:

  • Objektebene
  • Projektebene
  • Organisation oder Projektsammlungsebene
  • Sicherheitsrolle
  • Rolle "Teamadministrator"

Häufige Zugriffs- und Berechtigungsprobleme

Sehen Sie sich die häufigsten Gründe an, warum ein Projektmitglied nicht auf ein Projekt, einen Dienst oder ein Feature zugreifen kann:

Abgang Problembehandlungsaktion
Ihre Zugriffsebene unterstützt keinen Zugriff auf den Dienst oder das Feature. Um zu ermitteln, ob dies die Ursache ist, bestimmen Sie die Zugriffsebene und den Abonnementstatus des Benutzers.
Ihre Mitgliedschaft in einer Sicherheitsgruppe unterstützt keinen Zugriff auf ein Feature, oder sie wurden explizit die Berechtigung für ein Feature verweigert. Um zu ermitteln, ob dies die Ursache ist, verfolgen Sie eine Berechtigung nach.
Dem Benutzer wurde kürzlich die Berechtigung erteilt, der Client benötigt jedoch eine Aktualisierung, um die Änderungen zu erkennen. Lassen Sie den Benutzer seine Berechtigungen aktualisieren oder neu auswerten.
Der Benutzer versucht, ein Feature nur einem Teamadministrator für ein bestimmtes Team zuzuweisen, wird dieser Rolle jedoch nicht gewährt. Informationen zum Hinzufügen zur Rolle finden Sie unter Hinzufügen, Entfernen des Teamadministrators.
Der Benutzer hat kein Vorschaufeature aktiviert. Lassen Sie den Benutzer die Vorschaufeatures öffnen und den Ein/Aus-Status für das jeweilige Feature ermitteln. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.
Das Projektmitglied wurde einer eingeschränkten Sicherheitsgruppe hinzugefügt, z. B. der Gruppe "Project-Bereichsbezogene Benutzer". Um zu ermitteln, ob dies die Ursache ist, suchen Sie die Sicherheitsgruppenmitgliedschaften des Benutzers.

Weniger häufige Zugriffs- und Berechtigungsprobleme

Weniger häufige Gründe für eingeschränkten Zugriff sind, wenn eines der folgenden Ereignisse aufgetreten ist:

Abgang Problembehandlungsaktion
Ein Projektadministrator hat einen Dienst deaktiviert. In diesem Fall hat niemand Zugriff auf den deaktivierten Dienst. Informationen dazu, ob ein Dienst deaktiviert ist, finden Sie unter Aktivieren oder Deaktivieren eines Azure DevOps-Diensts.
Ein Projektsammlungsadministrator hat eine Vorschaufunktion deaktiviert, die es für alle Projektmitglieder in der Organisation deaktiviert. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.
Gruppenregeln, die die Zugriffsebene oder Projektmitgliedschaft des Benutzers regeln, beschränken den Zugriff. Weitere Informationen finden Sie unter Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers.
Benutzerdefinierte Regeln wurden für den Workflow eines Arbeitsaufgabentyps definiert. Weitere Informationen finden Sie unter Regeln, die auf einen Arbeitselementtyp angewendet werden, die den Auswahlvorgang einschränken.

Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers

Sie können Benutzer oder Benutzergruppen einer der folgenden Zugriffsebenen zuweisen:

  • Projektbeteiligter
  • Basic
  • Basic + Test Plans
  • Visual Studio-Abonnement

Weitere Informationen zum Einschränken von Zugriffsebenen in Azure DevOps finden Sie unter "Unterstützte Zugriffsebenen".

Um Azure DevOps-Features zu verwenden, müssen Benutzer einer Sicherheitsgruppe mit den entsprechenden Berechtigungen hinzugefügt werden und Zugriff auf das Webportal haben. Featurebeschränkungen basieren auf der Zugriffsebene und der Sicherheitsgruppe des Benutzers.

Benutzer können den Zugriff aus den folgenden Gründen verlieren:

Grund für den Verlust des Zugriffs Problembehandlungsaktion
Das Visual Studio-Abonnement des Benutzers ist abgelaufen. In der Zwischenzeit kann dieser Benutzer als Stakeholder arbeiten, oder Sie können dem Benutzer Den Grundlegenden Zugriff gewähren, bis der Benutzer sein Abonnement verlängert. Nachdem sich der Benutzer angemeldet hat, stellt Azure DevOps den Zugriff automatisch wieder her.
Das für die Abrechnung verwendete Azure-Abonnement ist nicht mehr aktiv. Alle Käufe, die mit diesem Abonnement getätigt werden, sind betroffen, einschließlich Visual Studio-Abonnements. Um dieses Problem zu beheben, besuchen Sie das Azure-Kontoportal.
Das für die Abrechnung verwendete Azure-Abonnement wurde aus Ihrer Organisation entfernt. Weitere Informationen zum Verknüpfen Ihrer Organisation

Andernfalls verlieren Benutzer, die sich am ersten Tag des Kalendermonats nicht für die längste Zeit bei Ihrer Organisation angemeldet haben, den Zugriff zuerst. Wenn Ihre Organisation Über Benutzer verfügt, die keinen Zugriff mehr benötigen, entfernen Sie diese aus Ihrer Organisation.

Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Gruppen und im Nachschlagehandbuch zu Berechtigungen.

Ablaufverfolgung einer Berechtigung

Verwenden Sie die Berechtigungsablaufverfolgung, um zu ermitteln, warum die Berechtigungen eines Benutzers den Zugriff auf ein bestimmtes Feature oder eine bestimmte Funktion nicht zulassen. Erfahren Sie, wie ein Benutzer oder Administrator die Vererbung von Berechtigungen untersuchen kann. Um eine Berechtigung über das Webportal nachzuverfolgen, öffnen Sie die Berechtigungs- oder Sicherheitsseite für die entsprechende Ebene. Weitere Informationen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.

Wenn ein Benutzer Probleme mit Berechtigungen hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, verwenden Sie die Ablaufverfolgung, um zu untersuchen, wo diese Berechtigungen stammen. Berechtigungsprobleme können auf verzögerte Änderungen zurückzuführen sein. Es kann bis zu 1 Stunde dauern, bis Microsoft Entra-Gruppenmitgliedschaften oder Berechtigungsänderungen in Azure DevOps weitergegeben werden. Wenn ein Benutzer Probleme hat, die nicht sofort behoben werden, warten Sie einen Tag, um zu prüfen, ob sie behoben werden. Weitere Informationen zur Benutzer- und Zugriffsverwaltung finden Sie unter Verwalten von Benutzern und Zugriff in Azure DevOps.

Wenn ein Benutzer Berechtigungsprobleme hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mithilfe unserer Berechtigungsablaufverfolgung untersuchen, wo diese Berechtigungen herkommen. Berechtigungsprobleme können darauf zurückzuführen sein, dass der Benutzer nicht über die erforderliche Zugriffsebene verfügt.

Benutzer können ihre effektiven Berechtigungen entweder direkt oder über Gruppen erhalten.

Führen Sie die folgenden Schritte aus, damit Administratoren verstehen können, wo genau diese Berechtigungen stammen, und sie bei Bedarf anpassen können.

  1. Wählen Sie Projekteinstellungen>Berechtigungen>Benutzer und dann den Benutzer aus.

    Screenshot des Filterfelds, geben Sie den Benutzernamen ein.

    Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die zeigt, welche Berechtigungen sie besitzen.

  2. Um nachzuverfolgen, warum ein Benutzer über die aufgeführten Berechtigungen verfügt oder nicht, wählen Sie das Informationssymbol neben der betreffenden Berechtigung aus.

Screenshot: Auswählen des Informationssymbols neben der betreffenden Berechtigung

Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erben. Anschließend können Sie die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die den Gruppen, in denen er sich befindet, bereitgestellt werden.

  1. Wählen Sie Projekteinstellungen>Sicherheit aus, und geben Sie dann den Benutzernamen in das Filterfeld ein.

    Screenshot: Eingeben des Benutzernamens in das Filterfeld Azure DevOps Server 2019

    Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die zeigt, welche Berechtigungen sie besitzen.

  2. Verfolgen Sie, warum ein Benutzer über die aufgeführten Berechtigungen verfügt oder nicht. Zeigen Sie mit der Maus auf die Berechtigung, und wählen Sie dann Warum aus.

    Screenshot von

Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erben. Anschließend können Sie die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die für die Gruppen bereitgestellt werden, in denen er sich befindet.

Screenshot der Ablaufverfolgung mit geerbten Berechtigungen Azure DevOps Server 2019.

Weitere Informationen finden Sie unter Verwalten des Zugriffs auf bestimmte Features und Funktionen oder Anfordern einer Erhöhung der Berechtigungsstufen.

Aktualisieren oder Neuauswerten von Berechtigungen

Sehen Sie sich das folgende Szenario an, in dem möglicherweise das Aktualisieren oder ErneuteValuieren von Berechtigungen erforderlich ist.

Problem

Benutzer werden einer Azure DevOps- oder Microsoft Entra-Gruppe hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Aber sie erhalten nicht sofort Zugriff. Benutzer müssen warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, um ihre Berechtigungen zu aktualisieren.

Benutzer werden einer Azure DevOps-Gruppe hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Aber sie erhalten nicht sofort Zugriff. Benutzer müssen warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, um ihre Berechtigungen zu aktualisieren.

Lösung

Wechseln Sie zu "Berechtigungen für Benutzereinstellungen>>erneut auswerten". Diese Funktion wertet Ihre Gruppenmitgliedschaften und Berechtigungen neu aus, und alle kürzlich vorgenommenen Änderungen werden sofort wirksam.

Screenshot des Steuerelements

Regeln, die auf einen Arbeitselementtyp angewendet werden, die Auswahlvorgänge einschränken

Bevor Sie einen Prozess anpassen, sollten Sie konfigurieren und anpassen Azure Boards lesen. Dort finden Sie Anleitungen zum Anpassen von Azure Boards an Ihre Geschäftsanforderungen.

Weitere Informationen zu Arbeitselementtypregeln, die für einschränkende Vorgänge gelten, finden Sie unter:

Ausblenden von Organisationseinstellungen für Benutzer

Wenn ein Benutzer nur seine Projekte sehen kann oder nicht auf Organisationseinstellungen zugreifen kann, können die folgenden Informationen erläutern, warum. Wenn Sie den Zugriff von Benutzern auf Organisationseinstellungen einschränken möchten, aktivieren Sie die Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte in der Vorschaufunktion. Weitere Informationen, einschließlich wichtiger sicherheitsrelevanter Hinweise, finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.

Beispiele für eingeschränkte Benutzer sind Projektbeteiligte, Microsoft Entra-Gastbenutzer oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung ist jeder Benutzer oder jede Gruppe, die der Gruppe "Benutzer mit Projektbereich" hinzugefügt wurde, auf den Seiten " Organisationseinstellungen " beschränkt, mit Ausnahme von "Übersicht" und "Projekte". Sie können nur auf die Projekte zugreifen, denen sie hinzugefügt werden.

Beispiele für eingeschränkte Benutzer sind Stakeholder oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung kann jeder Benutzer oder jede Gruppe, die der Gruppe "Project-Scoped Benutzer" hinzugefügt wurde, nicht mehr auf die Seiten "Organisationseinstellungen" zugreifen, mit Ausnahme von Übersicht und Projekten. Sie können nur auf die Projekte zugreifen, denen sie hinzugefügt werden.

Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.

Anzeigen, Hinzufügen und Verwalten von Berechtigungen mit der CLI

Mit den az devops security permission Befehlen können Sie Berechtigungen auf granularer Ebene anzeigen, hinzufügen und verwalten. Weitere Informationen finden Sie unter Verwalten von Berechtigungen mit dem Befehlszeilentool.

Gruppierungsregeln mit geringeren Berechtigungen

Gruppenregeltypen werden in der folgenden Reihenfolge bewertet: Subscriber > Basic + Test Plans > Basic > Stakeholder. Benutzer erhalten immer die höchste Zugriffsebene, die für sie in allen Gruppenregeln verfügbar ist, einschließlich aller Visual Studio(VS)-Abonnements.

Hinweis

  • Änderungen, die an Projektlesern über Gruppenregeln vorgenommen wurden, bleiben nicht erhalten. Um Projektleser anzupassen, sollten Sie alternative Methoden wie direkte Zuweisung oder benutzerdefinierte Sicherheitsgruppen in Betracht ziehen.
  • Überprüfen Sie regelmäßig die regeln, die auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" aufgeführt sind. Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft werden in der nächsten Erneutbewertung der Gruppenregeln angezeigt, die bei Bedarf erfolgen können, wenn eine Gruppenregel geändert wird, oder automatisch alle 24 Stunden. Azure DevOps aktualisiert die Microsoft Entra-Gruppenmitgliedschaft jede Stunde, es kann jedoch bis zu 24 Stunden dauern, bis die Microsoft Entra-ID die dynamische Gruppenmitgliedschaft aktualisiert.

Sehen Sie sich die folgenden Beispiele an, die zeigen, wie die Abonnentenerkennung in Gruppenregeln einschließt.

Beispiel 1: Gruppenregel bietet mir mehr Zugriff

Was geschieht, wenn ich ein VS Pro-Abonnement habe und in einer Gruppenregel bin, die mir Basic + Test Plans gibt?

Erwartet: Ich erhalte Basic + Test Plans, da das, was mir die Gruppenregel bietet, größer ist als mein Abonnement. Die Gruppenregelzuweisung bietet immer den größeren Zugriff, anstatt den Zugriff einzuschränken.

Beispiel 2: Gruppenregel gewährt mir denselben Zugriff

Ich habe ein Visual Studio Test Pro-Abonnement und bin in einer Gruppenregel, die mir Basic + Test Plans gibt. Was geschieht?

Erwartet: Ich werde als Visual Studio Test Pro-Abonnent erkannt, da der Zugriff mit der Gruppenregel identisch ist. Ich zahle bereits für Visual Studio Test Pro, sodass ich nicht mehr bezahlen möchte.

Arbeiten mit GitHub

Informationen zur Problembehandlung finden Sie unter den folgenden Informationen zur Problembehandlung für die Bereitstellung von Code in Azure DevOps mit GitHub.

Problem

Sie können den Rest Ihres Teams nicht in die Organisation und das Projekt bringen, obwohl Sie sie als Mitglieder hinzufügen. Sie erhalten E-Mails, aber beim Anmelden erhalten sie eine Fehlermeldung von 401.

Lösung

Möglicherweise sind Sie mit einer falschen Identität bei Azure DevOps angemeldet. Führen Sie die folgenden Schritte aus:

  1. Schließen Sie alle Browser, einschließlich Browsern, in denen Azure DevOps nicht ausgeführt wird.

  2. Öffnen Sie eine private oder inkognito-Browsersitzung.

  3. Rufen Sie die folgende URL auf: https://aka.ms/vssignout.

    Eine Meldung zeigt "Abmelden in Bearbeitung" an. Nachdem Sie sich abgemeldet haben, werden Sie zu dev.azure.microsoft.com.

  4. Melden Sie sich erneut bei Azure DevOps an, und wählen Sie eine andere Identität aus.

Andere Bereiche, in denen Berechtigungen angewendet werden können