Grupos de seguridad, cuentas de servicio y permisos en Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022: Azure DevOps Server 2019 | TFS 2018

En este artículo se proporciona una referencia completa para cada usuario, grupo y permiso integrados. Es una gran cantidad de información que describe cada usuario y grupo de seguridad integrado, así como cada permiso.

Para obtener una referencia rápida a las asignaciones predeterminadas, consulte Permisos y acceso predeterminados. Para obtener información general sobre cómo se administran los permisos y la seguridad, consulte Introducción a los permisos, el acceso y los grupos de seguridad. Además de los grupos de seguridad, también hay roles de seguridad, que proporcionan permisos para las áreas de selección.

Para obtener información sobre cómo agregar usuarios a un grupo o establecer un permiso específico que puede administrar a través del portal web, consulte los siguientes recursos:


Nota

Las imágenes que ve desde el portal web pueden diferir de las imágenes que se ven en este tema. Estas diferencias se derivan de las actualizaciones realizadas en Azure DevOps. Sin embargo, la funcionalidad básica disponible para usted sigue siendo la misma a menos que se mencione explícitamente.

Cuentas de servicio

Hay algunas cuentas de servicio generadas por el sistema para admitir operaciones específicas. Estos incluyen los descritos en la tabla siguiente. Estas cuentas de usuario se agregan en el nivel de organización o recopilación.

Nombre de usuario Descripción
Servicio de grupo de agentes Tiene permiso para escuchar la cola de mensajes para que el grupo específico reciba trabajo. En la mayoría de los casos, no debe tener que administrar miembros de este grupo. El proceso de registro del agente se encarga de ello. La cuenta de servicio que especifique para el agente (normalmente servicio de red) se agrega automáticamente al registrar el agente. Responsable de realizar Azure Boards operaciones de lectura y escritura y actualizar elementos de trabajo cuando se actualizan los objetos de GitHub.
Azure Boards Se agrega cuando Azure Boards está conectado a GitHub. No debe tener que administrar miembros de este grupo. Responsable de administrar la creación de vínculos entre GitHub y Azure Boards.
PipelinesSDK Se ha agregado según sea necesario para admitir los tokens de ámbito del servicio de directivas de canalizaciones. Esta cuenta de usuario es similar a las identidades del servicio de compilación, pero admite el bloqueo de permisos por separado. En la práctica, a los tokens que implican esta identidad se les conceden permisos de solo lectura para los recursos de canalización y la capacidad única de aprobar solicitudes de directiva. Esta cuenta debe tratarse de la misma manera que se tratan las identidades del servicio de compilación.
Nombredeproyecto Servicio de compilación Tiene permisos para ejecutar servicios de compilación para el proyecto. Se trata de un usuario heredado que se usa para las compilaciones XAML. Se agrega al grupo de servicios de seguridad, que se usa para almacenar usuarios a los que se les han concedido permisos, pero no se han agregado a ningún otro grupo de seguridad.
Servicio de compilación de la colección de proyectos Tiene permisos para ejecutar servicios de compilación para la colección. Se agrega al grupo de servicios de seguridad, que se usa para almacenar usuarios a los que se les han concedido permisos, pero no se han agregado a ningún otro grupo de seguridad.

Grupos

Los permisos se pueden conceder directamente a un individuo o a un grupo. El uso de grupos hace que las cosas sea mucho más sencillas. El sistema proporciona varios grupos integrados para ese propósito. Estos grupos y los permisos predeterminados que se asignan se definen en distintos niveles: servidor (solo implementación local), colección de proyectos, proyecto y objetos específicos. También puede crear sus propios grupos y concederles el conjunto específico de permisos adecuados para determinados roles de su organización.

Nota

Todos los grupos de seguridad son entidades de nivel de organización, incluso aquellos grupos que solo tienen permisos para un proyecto específico. Desde el portal web, la visibilidad de algunos grupos de seguridad puede estar limitada en función de los permisos de usuario. Sin embargo, puede detectar los nombres de todos los grupos de una organización mediante la herramienta de la CLI de Azure devops o nuestras API REST. Para más información, consulte Incorporación y administración de grupos de seguridad.

Nota

Todos los grupos de seguridad son entidades de nivel de colección, incluso aquellos grupos que solo tienen permisos para un proyecto específico. Desde el portal web, la visibilidad de algunos grupos de seguridad puede estar limitada en función de los permisos de usuario. Sin embargo, puede detectar los nombres de todos los grupos de una organización mediante la herramienta de la CLI de Azure devops o nuestras API REST. Para más información, consulte Incorporación y administración de grupos de seguridad.

Nota

Todos los grupos de seguridad son entidades de nivel de colección, incluso aquellos grupos que solo tienen permisos para un proyecto específico. Desde el portal web, la visibilidad de algunos grupos de seguridad puede estar limitada en función de los permisos de usuario. Sin embargo, puede detectar los nombres de todos los grupos de una organización mediante las API rest. Para más información, consulte Incorporación y administración de grupos de seguridad.

Grupos de nivel de servidor

Al instalar Azure DevOps Server, el sistema crea grupos predeterminados que tienen permisos de nivel de servidor para toda la implementación. No se pueden quitar ni eliminar los grupos integrados de nivel de servidor.

Captura de pantalla del cuadro de diálogo grupo de Seguridad de Azure DevOps.

Captura de pantalla del cuadro de diálogo grupo de Seguridad de Azure DevOps, versión de TFS-2018.

No se pueden quitar ni eliminar los grupos de nivel de servidor predeterminados.

Nota

El nombre completo de cada uno de estos grupos es [Team Foundation]\{nombre del grupo}. Por lo tanto, el nombre completo del grupo de administradores de nivel de servidor es [Team Foundation]\Administradores de Team Foundation.

Nombre de grupo

Permisos

Pertenencia

Cuentas de servicio de Azure DevOps

Tiene permisos de nivel de servicio para la instancia del servidor.

Contiene la cuenta de servicio que se proporcionó durante la instalación.

Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario. De forma predeterminada, este grupo es miembro de Los administradores de Team Foundation.

Si necesita agregar una cuenta a este grupo después de instalar Azure DevOps Server, puede hacerlo mediante la utilidad TFSSecurity.exe en la subcarpeta Herramientas del directorio de instalación local. El comando para hacerlo es TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Cuentas de servicio de Proxy de Azure DevOps

Tiene permisos de nivel de servicio para el proxy de Team Foundation Server y algunos permisos de nivel de servicio.

Nota

Esta cuenta se crea al instalar el servicio de proxy de Azure DevOps.

Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario.

Usuarios válidos de Azure DevOps

Tiene permiso para ver la información de nivel de instancia del servidor.

Contiene todos los usuarios que se sabe que existen en la instancia del servidor. No se puede modificar la pertenencia de este grupo.

Administradores de Team Foundation

Tiene permisos para realizar todas las operaciones de nivel de servidor.

Grupo Administradores locales (BUILTIN\Administrators) para cualquier servidor que hospede los servicios de aplicación de Azure DevOPs/Team Foundation.

GrupoServer\Team Foundation Service Cuentas y los miembros del grupo \Project Server Integration Service Accounts.

Este grupo debe estar restringido al menor número posible de usuarios que necesitan un control administrativo total sobre las operaciones de nivel de servidor.

Nota

Si la implementación usa Informes, considere la posibilidad de agregar los miembros de este grupo a los grupos Administradores de contenido en Reporting Services.

Nombre de grupo

Permisos

Pertenencia

Administradores de Team Foundation

Tiene permisos para realizar todas las operaciones de nivel de servidor.

Grupo Administradores locales (BUILTIN\Administrators) para cualquier servidor que hospede los servicios de aplicación de Azure DevOPs/Team Foundation.

GrupoServer\Team Foundation Service Cuentas y los miembros del grupo \Project Server Integration Service Accounts.

Este grupo debe estar restringido al menor número posible de usuarios que necesitan un control administrativo total sobre las operaciones de nivel de servidor.

Cuentas de servicio de Proxy de Team Foundation

Tiene permisos de nivel de servicio para el proxy de Team Foundation Server y algunos permisos de nivel de servicio.

Nota

Esta cuenta se crea al instalar el servicio de proxy de TFS.

Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario.

Team Foundation Service Accounts

Tiene permisos de nivel de servicio para la instancia del servidor.

Contiene la cuenta de servicio que se proporcionó durante la instalación.

Este grupo sólo debe contener cuentas de servicio, y no cuentas de usuario o grupos que contengan cuentas de usuario. De forma predeterminada, este grupo es miembro de Los administradores de Team Foundation.

Si necesita agregar una cuenta a este grupo después de instalar Azure DevOps Server, puede hacerlo mediante la utilidad TFSSecurity.exe en la subcarpeta Herramientas del directorio de instalación de TFS. El comando para hacerlo es TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Usuarios válidos de Team Foundation

Tiene permiso para ver la información de nivel de instancia del servidor.

Nota

Si establece el permiso Ver información de nivel de instancia en Denegar o No establecido para este grupo, ningún usuario podrá acceder a la implementación.

Contiene todos los usuarios que se sabe que existen en la instancia del servidor. No se puede modificar la pertenencia de este grupo.

Grupos de nivel de colección

Al crear una organización o colección de proyectos en Azure DevOps, el sistema crea grupos de nivel de colección que tienen permisos en esa colección. No se pueden quitar ni eliminar los grupos de nivel de colección integrados.

Nota

Para habilitar la página de vista previa de la página Configuración de permisos de organizaciones v2 , consulte Habilitar características en versión preliminar. La página de vista previa proporciona una página de configuración de grupo que la página actual no.

Captura de pantalla de los grupos de colecciones de Project, nueva interfaz de usuario.

Captura de pantalla de los grupos de colecciones de Project, versiones locales.

El nombre completo de cada uno de estos grupos es [{nombre de colección}]\{nombre de grupo}. Por lo tanto, el nombre completo del grupo de administradores de la colección predeterminada es [Colección predeterminada]\Administradores de la colección de proyectos.

Nombre de grupo

Permisos

Pertenencia

Project Collection Administrators

Tiene permisos para realizar todas las operaciones de la colección.

Contiene el grupo Administradores locales (BUILTIN\Administrators) para el servidor donde se han instalado los servicios de nivel de aplicación. Además, contiene los miembros del grupoCuentas de servicioCollectionName/. Este grupo debería limitarse al menor número posible de usuarios que necesiten un control administrativo total sobre la colección.

Nota

Si la implementación usa Reporting Services, considere la posibilidad de agregar los miembros de este grupo a los grupos administradores de contenido de Team Foundation en Reporting Services.

Administradores de compilación de la colección de proyectos

Tiene permisos para administrar los recursos de compilación y los permisos de la colección.

Limite este grupo al menor número posible de usuarios que necesiten un control administrativo total sobre los servidores de compilación y los servicios de esta colección.

Cuentas de servicio de compilación de la colección de proyectos

Tiene permisos para ejecutar servicios de compilación para la colección.

Limite este grupo a las cuentas de servicio y los grupos que solo contengan cuentas de servicio. Se trata de un grupo heredado que se usa para las compilaciones XAML. Use el usuario del servicio de compilación de recopilación de proyectos ({su organización}) para administrar los permisos de las compilaciones actuales.

Cuentas de servicio de proxy de la colección de proyectos

Tiene permisos para ejecutar el servicio de proxy para la colección.

Limite este grupo a las cuentas de servicio y los grupos que solo contengan cuentas de servicio.

Cuentas de servicio de la colección de proyectos

Tiene permisos de nivel de servicio para la colección y para Azure DevOps Server.

Contiene la cuenta de servicio que se proporcionó durante la instalación. Este grupo debe contener sólo cuentas de servicio y grupos que contengan únicamente cuentas de servicio. De forma predeterminada, este grupo es miembro del grupo Administradores.

Project Collection Test Service Accounts

Tiene permisos de servicio de prueba para la colección.

Limite este grupo a las cuentas de servicio y los grupos que solo contengan cuentas de servicio.

Project Collection Valid Users

Tiene permisos para acceder a proyectos de equipo y ver información en la colección.

Contiene todos los usuarios y grupos que se han agregado en cualquier lugar de la colección. No puede modificar la pertenencia a este grupo.

usuarios de Project-Scoped

Tiene acceso limitado para ver la configuración de la organización y los proyectos distintos de los proyectos a los que se agregan específicamente. Además, las opciones del selector de personas se limitan a los usuarios y grupos a los que se ha agregado explícitamente el proyecto al que está conectado el usuario.

Agregue usuarios a este grupo cuando desee limitar su visibilidad y acceso a los proyectos a los que los agregue explícitamente. No agregue usuarios a este grupo si también se agregan al grupo Administradores de la colección de proyectos.

Nota

El grupo Usuarios con ámbito de proyecto está disponible con acceso restringido cuando se habilita la característica de vista previa de nivel de organización, Limitar la visibilidad del usuario y la colaboración a proyectos específicos . Para más información, consulte Administrar su organización, Limitar la visibilidad del usuario para proyectos y mucho más.

Grupo de servicios de seguridad

Se usa para almacenar usuarios a los que se les han concedido permisos, pero no se han agregado a ningún otro grupo de seguridad.

No asigne usuarios a este grupo. Si va a quitar usuarios de todos los grupos de seguridad, compruebe si necesita quitarlos de este grupo.

Grupos de nivel del proyecto

Para cada proyecto que cree, el sistema crea los siguientes grupos de nivel de proyecto. A estos grupos se les asignan permisos de nivel de proyecto.

Nota

Para habilitar la página de vista previa de la página Configuración de permisos de proyecto, consulte Habilitar características en versión preliminar.

Grupos y permisos de nivel de proyecto, Azure DevOps actual.

Grupos y permisos de nivel de proyecto, TFS-2018 y versiones anteriores.

Sugerencia

El nombre completo de cada uno de estos grupos es [{nombre del proyecto}]\{nombre de grupo}. Por ejemplo, el grupo de colaboradores de un proyecto denominado "Mi proyecto" es [Mi proyecto]\Colaboradores.

Nombre de grupo

Permisos

Pertenencia

Administradores de compilación

Tiene permisos para administrar recursos de compilación y permisos de compilación para el proyecto. Sus miembros pueden administrar entornos de pruebas, crear ejecuciones de pruebas y administrar compilaciones.

Asigne a los usuarios que definen y administran canalizaciones de compilación.

Colaboradores

Tiene permisos para contribuir completamente a la base de código del proyecto y al seguimiento de elementos de trabajo. Los permisos principales que no tienen son los que administran o administran recursos.

De forma predeterminada, el grupo de equipos creado al crear un proyecto se agrega a este grupo y cualquier usuario que agregue al equipo o proyecto es miembro de este grupo. Además, cualquier equipo que cree para un proyecto se agrega a este grupo.

Lectores

Tiene permisos para ver la información del proyecto, la base de código, los elementos de trabajo y otros artefactos, pero no modificarlos.

Asigne a los miembros de su organización o colección que quiera proporcionar permisos de solo vista a un proyecto. Estos usuarios pueden ver trabajos pendientes, paneles, paneles y mucho más, pero no agregar ni editar nada.

Project Administrators

Tiene permisos para administrar todos los aspectos de los equipos y el proyecto, aunque no pueden crear proyectos de equipo.

Asigne a los usuarios que administran permisos de usuario, crean o editan equipos, modifican la configuración del equipo, definen el área de una ruta de acceso de iteración o personalizan el seguimiento de elementos de trabajo. A los miembros del grupo Administradores de proyectos se les conceden permisos para realizar las siguientes tareas:

  • Agregar y quitar usuarios de la pertenencia al proyecto
  • Agregar y quitar grupos de seguridad personalizados de un proyecto
  • Agregar y administrar todos los equipos de proyecto y las características relacionadas con el equipo
  • Editar ACL de permisos de nivel de proyecto
  • Edite suscripciones de eventos (correo electrónico o SOAP) para equipos o eventos de nivel de proyecto.

Usuarios válidos del proyecto

Tiene permisos para acceder a la información del proyecto y verla.

Contiene todos los usuarios y grupos que se han agregado en cualquier lugar al proyecto. No puede modificar la pertenencia a este grupo.

Nota

Se recomienda no cambiar los permisos predeterminados para este grupo.

Administradores de versiones

Tiene permisos para administrar todas las operaciones de versión.

Asigne a los usuarios que definen y administran canalizaciones de versión.

Nota

El grupo Administrador de versiones se crea al mismo tiempo que se define la primera canalización de versión. No se crea de forma predeterminada cuando se crea el proyecto.

TeamName

Tiene permisos para contribuir completamente a la base de código del proyecto y al seguimiento de elementos de trabajo.

El grupo de equipos predeterminado se crea al crear un proyecto y, de forma predeterminada, se agrega al grupo Colaboradores del proyecto. También se creará un grupo para cada nuevo equipo creado, que se agregará al grupo Colaboradores.

Agregue miembros del equipo a este grupo. Para conceder acceso a la configuración del equipo, agregue un miembro del equipo al rol de administrador del equipo.

Rol de administrador de equipo

Para cada equipo que agregue, puede asignar uno o varios miembros del equipo como administradores. El rol de administrador del equipo no es un grupo con un conjunto de permisos definidos. En su lugar, el rol de administrador del equipo se encarga de administrar los recursos del equipo. Para más información, consulte Administración de equipos y configuración de herramientas de equipo. Para agregar un usuario como administrador de equipo, consulte Agregar un administrador de equipo.

Nota

Los administradores de proyectos pueden administrar todas las áreas administrativas del equipo para todos los equipos.

Permisos

El sistema administra los permisos en distintos niveles(organización, proyecto, objeto, así como permisos basados en roles) y, de forma predeterminada, los asigna a uno o varios grupos integrados. Puede administrar la mayoría de los permisos a través del portal web. Los permisos adicionales se pueden administrar mediante una o varias herramientas de administración de seguridad especificando un permiso de espacio de nombres.

El sistema administra los permisos en distintos niveles (servidor, colección, proyecto, objeto, así como permisos basados en roles) y, de forma predeterminada, los asigna a uno o varios grupos integrados. La mayoría de los permisos se administran a través del portal web. Los permisos adicionales se pueden administrar mediante una o varias herramientas de administración de seguridad especificando un permiso de espacio de nombres.

En las secciones siguientes, se proporciona el permiso de espacio de nombres siguiendo la etiqueta de permiso que se muestra en la interfaz de usuario. Por ejemplo:
Crear definición de etiqueta
Tagging, Create

Para obtener más información, consulte Referencia de permisos y espacio de nombres de seguridad.

Permisos a nivel de servidor

Los permisos de nivel de servidor se administran a través de la consola de administración de Team Foundation o la herramienta de línea de comandos TFSSecurity. A los administradores de Team Foundation se les conceden todos los permisos de nivel de servidor. Otros grupos de nivel de servidor tienen asignaciones de permisos selectas.

Captura de pantalla de permisos de nivel de servidor.

Permiso (UI)
Namespace permission

Descripción


Administración del almacenamiento
Warehouse, Administer

Este permiso solo es válido para Azure DevOps Server 2020 y versiones anteriores configuradas para admitir informes de SQL Server. Puede procesar o cambiar la configuración del almacenamiento de datos o SQL Server Cubo de análisis mediante el servicio web de control de almacenamiento.

Es posible que se necesiten permisos adicionales para procesar o recompilar completamente el almacenamiento de datos y el cubo de análisis.

Creación de una colección de proyectos
CollectionManagement, CreateCollection

Puede crear y administrar colecciones.

Eliminar colección de proyectos
CollectionManagement, DeleteCollection

Puede eliminar una colección de la implementación.

Nota

La eliminación de una colección no eliminará la base de datos de recopilación de SQL Server.

Editar información de nivel de instancia
Server, GenericWrite

Puede editar permisos de nivel de servidor para usuarios y grupos y agregar o quitar grupos de nivel de servidor de la colección.

Nota

Editar información de nivel de instancia incluye la capacidad de realizar estas tareas definidas en todas las colecciones definidas para la instancia:

  • Modificación de la configuración de extensiones y análisis
  • Permite implícitamente al usuario modificar los permisos de control de versiones y la configuración del repositorio.
  • Edición de suscripciones o alertas de eventos para notificaciones globales, eventos de nivel de proyecto y nivel de equipo
  • Editar todos los valores de proyecto y nivel de equipo para los proyectos definidos en las colecciones
  • Crear y modificar listas globales

Para conceder todos estos permisos en un símbolo del sistema, debe usar el tf.exe Permission comando para conceder los AdminConfiguration permisos y AdminConnections además de GENERIC_WRITE.

Realizar solicitudes en nombre de otros
Server, Impersonate

Pueden llevar a cabo operaciones en nombre de otros usuarios o servicios. Asigne este permiso únicamente a cuentas de servicio.

Eventos de desencadenador
Server, TriggerEvent

Puede desencadenar eventos de alerta de nivel de servidor. Asigne solo a cuentas de servicio y miembros del grupo Administradores de Azure DevOps o Team Foundation.

Uso de características completas de Web Access

Puede usar todas las características del portal web local. Este permiso ha quedado en desuso con Azure DevOps Server 2019 y versiones posteriores.

Nota

Si el permiso Usar características de Acceso web completo está establecido en Denegar, el usuario solo verá esas características permitidas para el grupo de partes interesadas (consulte Cambiar los niveles de acceso). Una denegación invalidará cualquier permiso implícito, incluso para las cuentas que son miembros de grupos administrativos, como administradores de Team Foundation.

Visualización de la información de nivel de instancia
Server, GenericRead

Puede ver la pertenencia a grupos de nivel de servidor y los permisos de esos usuarios.

Nota

El permiso Ver información de nivel de instancia también se asigna al grupo Usuarios válidos de Azure DevOps.

Permisos de nivel de organización

Los permisos de nivel de organización se administran a través del contexto de administración del portal web o con los comandos az devops security group . A los administradores de la colección de proyectos se les conceden todos los permisos de nivel de organización. Otros grupos de nivel de organización tienen asignaciones de permisos selectas.

Nota

Para habilitar la página de vista previa de la página Configuración de permisos de proyecto, consulte Habilitar características en versión preliminar.

Captura de pantalla de los permisos y grupos de nivel de organización, Azure DevOps Services.

Importante

Permiso para agregar o quitar grupos de seguridad de nivel de colección o organización, agregar y administrar la pertenencia a grupos de nivel de colección, y editar ACL de permisos de colección y de nivel de proyecto se asigna a todos los miembros del grupo administrador de colecciones de proyectos. No se controla mediante permisos expuestos dentro de la interfaz de usuario.

No se pueden cambiar los permisos para el grupo Administradores de colecciones de proyectos. Además, aunque puede cambiar las asignaciones de permisos para un miembro de este grupo, sus permisos efectivos seguirán siendo conformes a los asignados al grupo de administradores para el que son miembros.

Permiso (UI)

Namespace permission

Descripción

General

Modificación de la configuración de seguimiento
Collection, DIAGNOSTIC_TRACE

Puede cambiar la configuración de seguimiento para recopilar información de diagnóstico más detallada sobre los servicios web de Azure DevOps.

Crear nuevos proyectos
(anteriormente, Crear nuevos proyectos de equipo)
Collection, CREATE_PROJECTS

Puede agregar un proyecto a una organización o colección de proyectos. Es posible que se requieran permisos adicionales en función de la implementación local.

Eliminar proyecto de equipo
Project, DELETE

Puede eliminar un proyecto. Al eliminar un proyecto, se eliminan todos los datos asociados al proyecto. No se puede deshacer la eliminación de un proyecto excepto al restaurar la colección en un punto antes de eliminar el proyecto.

Editar información de nivel de instancia
Collection, GENERIC_WRITE

Puede establecer la organización y la configuración de nivel de proyecto.

Nota

Editar información de nivel de instancia incluye la capacidad de realizar estas tareas para todos los proyectos definidos en una organización o colección:

  • Modificación de la configuración de información general de la organización, extensiones y configuración de Azure Active Directory
  • Modificación de los permisos de control de versiones y la configuración del repositorio
  • Edición de suscripciones o alertas de eventos para notificaciones globales, eventos de nivel de proyecto y nivel de equipo
  • Edite todos los valores de proyecto y nivel de equipo para los proyectos definidos en las colecciones.

Visualización de la información de nivel de instancia
Collection, GENERIC_READ

Puede ver los permisos de nivel de organización para un usuario o grupo.

Cuenta de servicio

Realizar solicitudes en nombre de otros
Server, Impersonate

Pueden llevar a cabo operaciones en nombre de otros usuarios o servicios. Asigne este permiso solo a las cuentas de servicio.

Eventos de desencadenador
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Pueden activar eventos de alertas de proyectos dentro de la colección. Asigne este permiso únicamente a cuentas de servicio.

Visualización de la información de sincronización del sistema Collection, SYNCHRONIZE_READ

Pueden llamar a las interfaces de programación de aplicaciones de sincronización. Asigne este permiso únicamente a cuentas de servicio.

Boards

Administración de permisos de proceso
Process, AdministerProcessPermissions

Puede modificar los permisos para personalizar el seguimiento del trabajo mediante la creación y personalización de procesos heredados.

Crear proceso
Process, Create

Puede crear un proceso heredado que se usa para personalizar el seguimiento de trabajo y Azure Boards. Los usuarios a los que se concede acceso básico y de parte interesada tienen este permiso de forma predeterminada.

Eliminar campo de la organización
Collection, DELETE_FIELD

Eliminar proceso
Process, Delete

Puede eliminar un proceso heredado que se usa para personalizar el seguimiento del trabajo y Azure Boards.

Proceso de edición
Process, Edit

Repos

Solo se aplica al control de versiones de Team Foundation (TFVC)

Administrar cambios aplazados
VersionControlPrivileges, AdminWorkspaces

Administración de áreas de trabajo
Workspaces, Administer

Creación de un área de trabajo
VersionControlPrivileges, CreateWorkspace

Pueden crear un área de trabajo de control de versiones. El permiso Crear un área de trabajo se concede a todos los usuarios como parte de su pertenencia dentro del grupo Usuarios válidos de la colección de proyectos.

Canalizaciones

Administración de permisos de recursos de compilación
BuildAdministration, AdministerBuildResourcePermissions

Puede modificar los permisos de los recursos de compilación en el nivel de organización o colección de proyectos. Esto incluye:

Nota

Además de este permiso, Azure DevOps proporciona permisos basados en roles que rigen la seguridad de los grupos de agentes. Otros valores de configuración de nivel de objeto invalidarán los establecidos en la organización o en el nivel de proyecto.

Administración de recursos de compilación
BuildAdministration, ManageBuildResources

Pueden administrar los equipos de compilación, agentes de compilación y controladores de compilación.

Administración de directivas de canalización
BuildAdministration, ManagePipelinePolicies

Puede administrar la configuración de canalización establecida a través de la configuración de la organización, canalizaciones, configuración.

Uso de recursos de compilación
BuildAdministration, UseBuildResources

Pueden reservar y asignar agentes de compilación. Asigne este permiso únicamente a cuentas de servicio para servicios de compilación.

Visualización de recursos de compilación
BuildAdministration, ViewBuildResources

Puede ver, pero no usar, controladores de compilación y agentes de compilación configurados para una organización o colección de proyectos.

Test Plans

Administración de controladores de prueba
Collection, MANAGE_TEST_CONTROLLERS

Pueden registrar y eliminar del registro controladores de pruebas.

Auditoría

Eliminar flujos de auditoría
AuditLog, Delete_Streams

Puede eliminar un flujo de auditoría. Las secuencias de auditoría están en versión preliminar. Para más información, consulte Creación de streaming de auditoría.

Administrar flujos de auditoría
AuditLog, Manage_Streams

Puede agregar una secuencia de auditoría. Las secuencias de auditoría están en versión preliminar. Para más información, consulte Creación de streaming de auditoría.

Visualización del registro de auditoría
AuditLog, Read

Puede ver y exportar registros de auditoría. Los registros de auditoría están en versión preliminar. Para más información, consulte Acceso, exportación y filtrado de registros de auditoría.

Directivas

Administración de directivas empresariales
Collection, MANAGE_ENTERPRISE_POLICIES

Puede habilitar y deshabilitar las directivas de conexión de aplicaciones como se describe en Cambio de directivas de conexión de aplicaciones.

Permisos de nivel de colección

Los permisos de nivel de colección se administran mediante el contexto de administración del portal web o la herramienta de línea de comandos TFSSecurity. A los administradores de recopilación de proyectos se les conceden todos los permisos de nivel de colección. Otros grupos de nivel de colección tienen asignaciones de permisos selectas.

Los permisos disponibles para Azure DevOps Server 2019 y versiones posteriores varían según el modelo de proceso configurado para la colección. Para obtener información general sobre los modelos de proceso, consulte Personalización del seguimiento del trabajo.

Modelo de proceso heredado

Modelo de proceso XML local

Captura de pantalla de los permisos de nivel de colección, en el entorno local, modelo de proceso heredado.

Captura de pantalla de permisos de nivel de colección, modelo de proceso XML local y local.

Permisos y grupos de nivel de recopilación

Importante

El permiso para agregar o quitar grupos de seguridad de nivel de organización o colección, agregar y administrar la pertenencia a grupos de nivel de colección, y editar las ACL de permisos de nivel de proyecto y recopilación se asigna a todos los miembros del grupo administrador de la colecciónde proyectos. No se controla mediante permisos que aparecen dentro de la interfaz de usuario.

No se pueden cambiar los permisos para el grupo Administradores de la colección de proyectos. Además, aunque puede cambiar las asignaciones de permisos para un miembro de este grupo, sus permisos efectivos seguirán siendo conformes a los asignados al grupo de administradores para el que son miembros.

Permiso (UI)

Namespace permission

Descripción


Administrar permisos de recursos de compilación
BuildAdministration, AdministerBuildResourcePermissions

Puede modificar los permisos de las canalizaciones de compilación en el nivel de colección del proyecto. Esto incluye los siguientes artefactos:

Administración de permisos de proceso
Process, AdministerProcessPermissions

Puede modificar los permisos para personalizar el seguimiento del trabajo mediante la creación y personalización de procesos heredados. Requiere que la colección se configure para admitir el modelo de proceso heredado. Consulte también:

Administrar cambios aplazados
VersionControlPrivileges, AdminWorkspaces

Puede eliminar conjuntos de estantes creados por otros usuarios. Se aplica cuando se usa TFVC como control de código fuente.

Administrar áreas de trabajo
Workspaces, Administer

Puede crear y eliminar áreas de trabajo para otros usuarios. Se aplica cuando se usa TFVC como control de código fuente.

Modificación de la configuración de seguimiento
Collection, DIAGNOSTIC_TRACE

Puede cambiar la configuración de seguimiento para recopilar información de diagnóstico más detallada sobre los servicios web de Azure DevOps.

Creación de un área de trabajo
VersionControlPrivileges, CreateWorkspace

Pueden crear un área de trabajo de control de versiones. Se aplica cuando se usa TFVC como control de código fuente. Este permiso se concede a todos los usuarios como parte de su pertenencia dentro del grupo Usuarios válidos de la colección de proyectos.

Crear nuevos proyectos
(anteriormente Crear nuevos proyectos de equipo)
Collection, CREATE_PROJECTS

Puede agregar proyectos a una colección de proyectos. Es posible que se requieran permisos adicionales en función de la implementación local.

Crear proceso
Process, Create

Puede crear un proceso heredado que se usa para personalizar el seguimiento del trabajo y Azure Boards. Requiere que la colección se configure para admitir el modelo de proceso heredado.

Eliminar campo de la organización
(anteriormente Eliminar campo de la cuenta)
Collection, DELETE_FIELD

Puede eliminar un campo personalizado que se agregó a un proceso. En el caso de las implementaciones locales, es necesario configurar la colección para admitir el modelo de proceso heredado.

Puede eliminar un proceso heredado que se usa para personalizar el seguimiento del trabajo y Azure Boards. Requiere que la colección se configure para admitir el modelo de proceso heredado.

Eliminar proyecto de equipo
Project, DELETE

Puede eliminar un proyecto.

Nota

Al eliminar un proyecto se eliminan todos los datos asociados al proyecto. No se puede deshacer la eliminación de un proyecto, excepto al restaurar la colección en un punto antes de que se eliminara el proyecto.

Puede establecer la organización y la configuración de nivel de proyecto.

Nota

Editar información de nivel de colección incluye la capacidad de realizar estas tareas para todos los proyectos definidos en una organización o colección:

  • Modificación de extensiones y configuración de Analytics
  • Modificación de los permisos de control de versiones y la configuración del repositorio
  • Edición de suscripciones o alertas de eventos para notificaciones globales, eventos de nivel de proyecto y nivel de equipo
  • Edite todos los valores de proyecto y nivel de equipo para los proyectos definidos en las colecciones.

Proceso de edición
Process, Edit

Puede editar un proceso heredado personalizado. Requiere que la colección se configure para admitir el modelo de proceso heredado.

Realizar solicitudes en nombre de otros
Server, Impersonate

Pueden llevar a cabo operaciones en nombre de otros usuarios o servicios. Asigne este permiso solo a las cuentas de servicio locales.

Administrar recursos de compilación
BuildAdministration, ManageBuildResources

Pueden administrar los equipos de compilación, agentes de compilación y controladores de compilación.

Administración de directivas empresariales
Collection, MANAGE_ENTERPRISE_POLICIES

Puede habilitar y deshabilitar directivas de conexión de aplicaciones como se describe en Cambio de directivas de conexión de aplicaciones.

Nota

Este permiso solo es válido para Azure DevOps Services. Aunque puede aparecer para Azure DevOps Server local, no se aplica a los servidores locales.

Administrar plantilla de procesos
Collection, MANAGE_TEMPLATE

Puede descargar, crear, editar y cargar plantillas de proceso. Una plantilla de proceso define los bloques de creación del sistema de seguimiento de elementos de trabajo, así como otros subsistemas a los que accede a través de Azure Boards. Requiere que la colección se configure para admitir el modelo de proceso XML on=local.

Administración de controladores de prueba
Collection, MANAGE_TEST_CONTROLLERS

Pueden registrar y eliminar del registro controladores de pruebas.

Desencadenar eventos
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Pueden activar eventos de alertas de proyectos dentro de la colección. Asigne este permiso únicamente a cuentas de servicio. Los usuarios con este permiso no pueden quitar grupos de nivel de colección integrados, como administradores de colecciones de proyectos.

Usar recursos de compilación
BuildAdministration, UseBuildResources

Pueden reservar y asignar agentes de compilación. Asigne este permiso únicamente a cuentas de servicio para servicios de compilación.

Ver recursos de compilación
BuildAdministration, ViewBuildResources

Puede ver, pero no usar, controladores de compilación y agentes de compilación configurados para una organización o colección de proyectos.

Ver información de nivel de instancia
o Ver información de nivel de colección
Collection, GENERIC_READ

Puede ver los permisos de nivel de colección para un usuario o grupo.

Ver información de sincronización del sistema
Collection, SYNCHRONIZE_READ

Pueden llamar a las interfaces de programación de aplicaciones de sincronización. Asigne este permiso únicamente a cuentas de servicio.

Permisos de nivel de proyecto

Los permisos de nivel de proyecto se administran a través del contexto de administración del portal web o con los comandos az devops security group . A los administradores de proyectos se les conceden todos los permisos de nivel de proyecto. Otros grupos de nivel de proyecto tienen asignaciones de permisos selectas.

Nota

Para habilitar la página de vista previa de la página Configuración de permisos de proyecto , consulte Habilitar características en versión preliminar.

Captura de pantalla del cuadro de diálogo Permisos de nivel de proyecto, Azure DevOps Services página de vista previa.

Importante

El permiso para agregar o quitar grupos de seguridad de nivel de proyecto y agregar y administrar la pertenencia a grupos de nivel de proyecto se asigna a todos los miembros del grupo Administradores de proyectos. No se controla mediante permisos expuestos dentro de la interfaz de usuario.

No puede cambiar los permisos para el grupo Administradores de proyectos . Además, aunque puede cambiar las asignaciones de permisos para un miembro de este grupo, sus permisos efectivos seguirán siendo conformes a los asignados al grupo de administradores para el que son miembros.

Permiso (UI)

Namespace permission

Descripción

General

Eliminar proyecto de equipo
Project, DELETE

Puede eliminar un proyecto de una organización o colección de proyectos.

Nota

Incluso si establece este permiso en Denegar, es posible que los usuarios concedan permiso en el nivel de proyecto puedan eliminar el proyecto para el que tienen permiso. Para asegurarse de que un usuario no puede eliminar un proyecto, asegúrese de establecer el proyecto eliminar equipo en el nivel de proyecto en Denegar también.

Editar información de nivel de proyecto
Project, MANAGE_PROPERTIES

Puede realizar las siguientes tareas para el proyecto seleccionado definido en una organización o colección.

Nota

El permiso para agregar o quitar grupos de seguridad de nivel de proyecto y agregar y administrar la pertenencia a grupos de nivel de proyecto se asigna a todos los miembros del grupo Administradores de proyectos. No se controla mediante permisos expuestos dentro de la interfaz de usuario.


Administrar propiedades del proyecto
Project, MANAGE_SYSTEM_PROPERTIES

Puede proporcionar o editar metadatos para un proyecto. Por ejemplo, un usuario puede proporcionar información de alto nivel sobre el contenido de un proyecto. El cambio de metadatos se admite a través de la API REST Establecer propiedades del proyecto.

Cambiar nombre del proyecto
Project, RENAME

Suprimir las notificaciones de las actualizaciones de elementos de trabajo
Project, SUPPRESS_NOTIFICATIONS

Los usuarios con este permiso pueden actualizar elementos de trabajo sin generar notificaciones. Esto resulta útil al realizar migraciones de actualizaciones masivas mediante herramientas y desea omitir la generación de notificaciones.

Considere la posibilidad de conceder este permiso a las cuentas de servicio o a los usuarios a los que se les ha concedido el permiso Omitir reglas en las actualizaciones de elementos de trabajo . Puede establecer el suppressNotifications parámetro true en al actualizar el trabajo mediante elementos de trabajo: actualizar la API REST.

Actualizar visibilidad del proyecto
Project, UPDATE_VISIBILITY

Puede cambiar la visibilidad del proyecto de privada a pública o pública a privada. Solo se aplica a Azure DevOps Services.

Ver información de nivel de proyecto
Project, GENERIC_READ

Puede ver información de nivel de proyecto, incluida la pertenencia a grupos de información de seguridad y los permisos. Si establece este permiso en Denegar para un usuario, no podrá ver el proyecto ni iniciar sesión en el proyecto.

Boards

Omitir reglas en las actualizaciones de elementos de trabajo
Project, BYPASS_RULES

Los usuarios con este permiso pueden guardar un elemento de trabajo que omita las reglas, como copiar, restricciones o reglas condicionales, definidas para el tipo de elemento de trabajo. Los escenarios en los que esto resulta útil son migraciones en las que no desea actualizar los campos by/date en la importación, o cuando desea omitir la validación de un elemento de trabajo.

Las reglas se pueden omitir de dos maneras. La primera es a través de la API REST Elementos de trabajo: actualice y establezca el bypassRules parámetro en true. El segundo es a través del modelo de objetos de cliente, inicializando en modo bypassrules (inicializar WorkItemStore con WorkItemStoreFlags.BypassRules).

Cambio del proceso de proyecto
Project, CHANGE_PROCESS

Cuando se combina con el permiso "Editar información de nivel de proyecto", permite a los usuarios cambiar el proceso de herencia de un proyecto. Para más información, consulte Creación y administración de procesos heredados.

Crear definición de etiqueta
Tagging, Create

Puede agregar etiquetas a un elemento de trabajo. De forma predeterminada, todos los miembros del grupo Colaboradores tienen este permiso. Además, puede establecer permisos de etiquetado adicionales mediante herramientas de administración de seguridad. Consulte Referencia de permisos y espacio de nombres de seguridad.

Nota

Todos los usuarios a los que se ha concedido acceso de parte interesada para un proyecto privado solo pueden agregar etiquetas existentes. Incluso si el permiso Crear definición de etiqueta está establecido en Permitir, las partes interesadas no pueden agregar etiquetas. Esto forma parte de la configuración de acceso de las partes interesadas. Azure DevOps Services a los usuarios a los que se concede acceso de parte interesada para un proyecto público se les concede este permiso de forma predeterminada. Para más información, consulte Referencia rápida sobre el acceso de las partes interesadas.
Aunque el permiso Crear definición de etiqueta aparece en la configuración de seguridad en el nivel de proyecto, los permisos de etiquetado son realmente permisos de nivel de colección que se limitan al nivel de proyecto cuando aparecen en la interfaz de usuario. Para establecer el ámbito de los permisos de etiquetado en un solo proyecto al usar el comando TFSSecurity , debe proporcionar el GUID para el proyecto como parte de la sintaxis del comando. De lo contrario, el cambio se aplicará a toda la colección. Tenga esto en cuenta cuando cambie o configure estos permisos.

Eliminar y restaurar elementos de trabajo

o Eliminar elementos de trabajo en este proyecto
Project, WORK_ITEM_DELETE

Puede marcar los elementos de trabajo en el proyecto como eliminados. Azure DevOps Services a los usuarios a los que se concede acceso de parte interesada para un proyecto público se les concede este permiso de forma predeterminada.

Mover elementos de trabajo fuera de este proyecto
Project, WORK_ITEM_MOVE

Eliminar permanentemente elementos de trabajo en este proyecto
Project, WORK_ITEM_PERMANENTLY_DELETE

Análisis

Además de los AnalyticsView permisos de espacio de nombres enumerados en esta sección, puede establecer permisos de nivel de objeto en cada vista.

Eliminación de la vista de Análisis compartido
AnalyticsViews, Delete

Puede eliminar vistas de Analytics que se han guardado en el área Compartido.

Edición de la vista de análisis compartido
AnalyticsViews, Edit

Puede crear y modificar vistas de Análisis compartidas.

Visualización de análisis
AnalyticsViews, Read

Puede acceder a los datos disponibles desde el servicio Analytics. Para más información, consulte Permisos necesarios para acceder al servicio Analytics.

Test Plans

Creación de ejecuciones de prueba
Project, PUBLISH_TEST_RESULTS

Pueden agregar y eliminar resultados de pruebas y agregar o modificar ejecuciones de pruebas. Para más información, consulte Controlar cuánto tiempo se conservan los resultados de las pruebas y Ejecutar pruebas manuales.

Eliminación de ejecuciones de prueba
Project, DELETE_TEST_RESULTS

Administración de configuraciones de prueba
Project, MANAGE_TEST_CONFIGURATIONS

Puede crear y eliminar configuraciones de prueba.

Administración de entornos de prueba
Project, MANAGE_TEST_ENVIRONMENTS

Puede crear y eliminar entornos de prueba.

Visualización de ejecuciones de pruebas
Project, VIEW_TEST_RESULTS

Puede ver los planes de prueba en la ruta de acceso del área del proyecto.

Los permisos de nivel de proyecto se administran mediante el contexto de administración del portal web o la herramienta de línea de comandos TFSSecurity. A los administradores de proyectos se les conceden todos los permisos de nivel de proyecto. Otros grupos de nivel de proyecto tienen asignaciones de permisos selectas.

Nota

Se conceden varios permisos a los miembros del grupo Administradores de proyectos y no aparecen dentro de la interfaz de usuario.

Permisos de nivel de proyecto, modelo de proceso heredado local

Captura de pantalla del cuadro de diálogo Permisos de nivel de proyecto, TFS-2018.

Permiso (UI)

Namespace permission

Descripción


Omitir reglas en las actualizaciones de elementos de trabajo
Project, BYPASS_RULES

Los usuarios con este permiso pueden guardar un elemento de trabajo que omita las reglas, como las reglas de copia, restricción o condicional, definidas para el tipo de elemento de trabajo. Los escenarios en los que esto resulta útil son migraciones en las que no desea actualizar los campos by o date en la importación, o cuando desea omitir la validación de un elemento de trabajo.
Las reglas se pueden omitir de dos maneras. La primera es a través de elementos de trabajo: actualice la API REST y establezca el bypassRules parámetro en true. El segundo es a través del modelo de objetos de cliente, inicializando en modo de reglas de omisión (inicializar WorkItemStore con WorkItemStoreFlags.BypassRules).


Proceso de cambio del proyecto
Project, CHANGE_PROCESS

Cuando se combina con el permiso "Editar información de nivel de proyecto", permite a los usuarios cambiar el proceso de herencia de un proyecto. Para más información, consulte Creación y administración de procesos heredados.


Crear definición de etiqueta
Tagging, Create

Puede agregar etiquetas a un elemento de trabajo. De forma predeterminada, todos los miembros del grupo Colaboradores tienen este permiso. Además, puede establecer permisos de etiquetado adicionales mediante herramientas de administración de seguridad. Consulte Referencia de permisos y espacio de nombres de seguridad.

Nota

Todos los usuarios a los que se ha concedido acceso a las partes interesadas solo pueden agregar etiquetas existentes. Incluso si el permiso Crear definición de etiqueta está establecido en Permitir, las partes interesadas no pueden agregar etiquetas. Esto forma parte de la configuración de acceso de las partes interesadas. Para más información, consulte Referencia rápida sobre el acceso de las partes interesadas. Aunque el permiso Crear definición de etiqueta aparece en la configuración de seguridad en el nivel de proyecto, los permisos de etiquetado son realmente permisos de nivel de colección que se limitan al nivel de proyecto cuando aparecen en la interfaz de usuario. Para establecer el ámbito de los permisos de etiquetado en un solo proyecto al usar el comando TFSSecurity , debe proporcionar el GUID para el proyecto como parte de la sintaxis del comando. De lo contrario, el cambio se aplicará a toda la colección. Tenga esto en cuenta cuando cambie o configure estos permisos.


Crear ejecuciones de pruebas
Project, PUBLISH_TEST_RESULTS

Pueden agregar y eliminar resultados de pruebas y agregar o modificar ejecuciones de pruebas. Para más información, consulte Controlar cuánto tiempo se conservan los resultados de las pruebas y Ejecutar pruebas manuales.

Eliminar y restaurar elementos de trabajo

o Eliminar elementos de trabajo en este proyecto
Project, WORK_ITEM_DELETE

Puede marcar los elementos de trabajo en el proyecto como eliminados. El grupo Colaboradores tiene elementos de trabajo Eliminar y restaurar en el nivel de proyecto establecido en Permitir de forma predeterminada.


Eliminación de la vista de Análisis compartido
AnalyticsViews, Delete

Puede eliminar vistas de Analytics que se han guardado en el área Compartido.


Eliminar proyecto
Project, DELETE

Puede eliminar un proyecto de una organización o colección de proyectos.


Eliminar ejecuciones de pruebas
Project, DELETE_TEST_RESULTS

Puede eliminar una ejecución de prueba.


Editar información de nivel de proyecto Project, MANAGE_PROPERTIES

Puede realizar las siguientes tareas para el proyecto seleccionado definido en una organización o colección.

Nota

El permiso para agregar o quitar grupos de seguridad de nivel de proyecto y agregar y administrar la pertenencia a grupos de nivel de proyecto se asigna a todos los miembros del grupo Administradores de proyectos. No se controla mediante permisos que aparecen dentro de la interfaz de usuario.


Edición de la vista de análisis compartido
AnalyticsViews, Edit

Puede crear y modificar vistas de Análisis compartidas.


Administrar las propiedades del proyecto
Project, MANAGE_SYSTEM_PROPERTIES

Puede proporcionar o editar metadatos para un proyecto. Por ejemplo, un usuario puede proporcionar información de alto nivel sobre el contenido de un proyecto. El cambio de metadatos se admite a través de la API REST Establecer propiedades del proyecto.


Administrar configuraciones de prueba
Project, MANAGE_TEST_CONFIGURATIONS

Puede crear y eliminar configuraciones de prueba.


Administrar entornos de prueba
Project, MANAGE_TEST_ENVIRONMENTS

Puede crear y eliminar entornos de prueba.


Mover elementos de trabajo fuera de este proyecto
Project, WORK_ITEM_MOVE


Eliminar permanentemente elementos de trabajo en este proyecto Project, WORK_ITEM_PERMANENTLY_DELETE

Cambiar el nombre del proyecto "Project, RENAME"


Suprimir las notificaciones de las actualizaciones de elementos de trabajo Project, SUPPRESS_NOTIFICATIONS

Los usuarios con este permiso pueden actualizar elementos de trabajo sin generar notificaciones. Esto resulta útil al realizar migraciones de actualizaciones masivas por herramientas y desea omitir la generación de notificaciones.

Considere la posibilidad de conceder este permiso a las cuentas de servicio o a los usuarios a los que se les han concedido las reglas de omisión en el permiso de actualizaciones de elementos de trabajo. Puede establecer el suppressNotifications parámetro en true al actualizar el trabajo a través de elementos de trabajo: actualizar la API DE REST.

Actualización de la visibilidad del proyecto "Project, UPDATE_VISIBILITY"

Puede cambiar la visibilidad del proyecto de privado a público o público a privado. Solo se aplica a Azure DevOps Services.

Visualización del análisis "AnalyticsViews, Read"

Puede acceder a los datos disponibles desde el servicio Analytics. Para más información, consulte Permisos necesarios para acceder al servicio Analytics.


Ver información de nivel de proyecto
Project, GENERIC_READ

Puede ver los permisos y la pertenencia a grupos de nivel de proyecto.


Ver series de pruebas
Project, VIEW_TEST_RESULTS

Puede ver los planes de prueba en la ruta de acceso del área del proyecto.

Vistas de Análisis (nivel de objeto)

Con las vistas de Analytics compartidas, puede conceder permisos específicos para ver, editar o eliminar una vista que cree. La seguridad de las vistas de Analytics se administra desde el portal web.

Cuadro de diálogo de seguridad de vista de Análisis compartido, cambie los permisos de un usuario.

Administrar el cuadro de diálogo de seguridad de vista de Análisis compartido, cambiar los permisos de un usuario, Azure DevOps Server.

Los permisos siguientes se definen para cada vista de Analytics compartida. A todos los usuarios válidos se les conceden automáticamente todos los permisos para administrar las vistas de Analytics. Considere la posibilidad de conceder permisos de selección a vistas compartidas específicas a otros miembros del equipo o grupo de seguridad que cree. Consulte también ¿Qué son las vistas de Analytics? Se admiten permisos de espacio de nombres adicionales, tal y como se define en Referencia de permisos y espacio de nombres de seguridad.

Permiso (UI)

Namespace permission

Descripción

Eliminación de vistas de Análisis compartidos
AnalyticsViews, Delete

Puede eliminar la vista de Análisis compartido.

Edición de vistas de Análisis compartidos AnalyticsViews, Edit

Puede cambiar los parámetros de la vista de Análisis compartido.

Visualización de vistas de Análisis compartidos AnalyticsViews, Read

Puede ver y usar la vista de Análisis compartido desde Power BI Desktop.

Paneles (nivel de objeto)

Los permisos para los paneles de equipo y proyecto se pueden establecer individualmente. Los permisos predeterminados para un equipo se pueden establecer para un proyecto. La seguridad de los paneles se administra desde el portal web. Se admiten permisos de espacio de nombres adicionales, tal y como se define en Referencia de permisos y espacio de nombres de seguridad.

Permisos del panel del proyecto

Captura de pantalla del cuadro de diálogo Permisos del panel del proyecto

De forma predeterminada, el creador del panel del proyecto es el propietario del panel y se le conceden todos los permisos para ese panel.

Permiso
Namespace permission
Descripción
Eliminación de un panel
DashboardsPrivileges, Delete
Puede eliminar el panel del proyecto.
Editar panel
DashboardsPrivileges, Edit
Puede agregar widgets a y cambiar el diseño del panel del proyecto.
Administrar permisos
DashboardsPrivileges, ManagePermissions
Puede administrar permisos para el panel del proyecto.

Los permisos para los paneles de equipo se pueden establecer individualmente. Los permisos predeterminados para un equipo se pueden establecer para un proyecto. La seguridad de los paneles se administra desde el portal web.

Permisos predeterminados del panel de equipo

Captura de pantalla del cuadro de diálogo Permisos del panel de equipo.

De forma predeterminada, a los administradores del equipo se les conceden todos los permisos para sus paneles de equipo, incluida la administración de permisos de panel predeterminados y individuales.

Permiso
Namespace permission
Descripción
Crear paneles
DashboardsPrivileges, MaterializeDashboards
Puede crear un panel de equipo.
Eliminar paneles
DashboardsPrivileges, Delete
Puede eliminar un panel de equipo.
Edición de paneles
DashboardsPrivileges, Edit
Puede agregar widgets a un panel de equipo y cambiarlo.

Permisos de panel de equipo individuales

Captura de pantalla del cuadro de diálogo de permisos de panel de equipo individual.

Los administradores del equipo pueden cambiar los permisos de los paneles de equipo individuales cambiando los dos permisos siguientes.

Permiso
Namespace permission
Descripción
Eliminación de un panel
DashboardsPrivileges, Delete
Puede eliminar el panel de equipo específico.
Editar panel
DashboardsPrivileges, Edit
Puede agregar widgets a y cambiar el diseño del panel de equipo específico.

Canalización o compilación (nivel de objeto)

Los permisos de canalización se administran para cada canalización definida en el portal web o mediante la herramienta de línea de comandos TFSSecurity. A los administradores de proyectos se les conceden todos los permisos de canalización y a los administradores de compilación se les asigna la mayoría de estos permisos. Puede establecer permisos de canalización para todas las canalizaciones definidas para un proyecto o para cada definición de canalización.

Captura de pantalla del cuadro de diálogo de seguridad de nivel de objeto de canalización, nube.

Captura de pantalla del cuadro de diálogo Permisos de nivel de objeto de canalización.

Captura de pantalla del cuadro de diálogo Compilar permisos de nivel de objeto, Azure DevOps Server 2019 y versiones locales anteriores.

Los permisos de Compilación siguen un modelo jerárquico. Los valores predeterminados de todos los permisos se pueden establecer en el nivel de proyecto y se pueden invalidar en una definición de compilación individual.

Para establecer los permisos en el nivel de proyecto para todas las definiciones de compilación de un proyecto, elija Seguridad en la barra de acciones de la página principal del concentrador Compilaciones.

Para establecer o invalidar los permisos de una definición de compilación específica, elija Seguridad en el menú contextual de la definición de compilación.

Los permisos siguientes se definen en Compilación. Todos ellos se pueden establecer en ambos niveles.

Permiso (UI)

Namespace permission

Descripción

Administración de permisos de compilación
Build, AdministerBuildPermissions

Pueden administrar los permisos de compilación de otros usuarios.

Eliminación de la definición de compilación
Build, DeleteBuildDefinition

Pueden eliminar definiciones de compilación de este proyecto.

Eliminación de compilaciones
Build, DeleteBuilds

Pueden eliminar una compilación completada. Las compilaciones que se eliminan se conservan en la pestaña Eliminado durante un período de tiempo antes de que se destruyan.

Destruir compilaciones
Build, DestroyBuilds

Pueden eliminar de forma permanente una compilación completada.

Editar canalización
de compilación Editar definición de compilación
Build, EditBuildDefinition

Editar canalización de compilación Puede guardar los cambios en una canalización de compilación, incluidas las variables de configuración, los desencadenadores, los repositorios y la directiva de retención. Disponible con Azure DevOps Services, Azure DevOps Server 2019 1.1 y versiones posteriores. Reemplaza a Editar definición de compilación.
Edición de la definición de compilación Puede crear y modificar definiciones de compilación para este proyecto.

Nota

La herencia se desactiva para una definición de compilación cuando desea controlar los permisos de definiciones de compilación específicas.

Cuando la herencia es Activado, la definición de compilación respeta los permisos de compilación definidos en el nivel de proyecto o en un grupo o usuario. Por ejemplo, un grupo personalizado Administradores de compilación tiene permisos establecidos para poner en cola manualmente una compilación del proyecto Fabrikam. Cualquier definición de compilación que tenga activada la herencia para el proyecto Fabrikam permitirá a los miembros del grupo Administradores de compilación poner en cola una compilación manualmente.

Sin embargo, al desactivar la herencia para el proyecto Fabrikam, puede establecer permisos que solo permitan a los administradores de proyectos poner en cola manualmente una compilación para una definición de compilación específica. Esto me permitiría establecer permisos para esta definición de compilación específicamente.

Editar calidad de compilación
Build, EditBuildQuality

Puede agregar información sobre la calidad de la compilación a través de Team Explorer o el portal web.

Administrar calidades de compilación
Build, ManageBuildQualities

Pueden agregar o eliminar calidades de compilación. Solo se aplica a las compilaciones XAML.

Administrar cola de compilación
Build, ManageBuildQueue

Pueden cancelar, volver a clasificar por orden de prioridad o posponer las compilaciones en cola. Solo se aplica a las compilaciones XAML.

Invalidación de la validación de la comprobación por compilación
Build, OverrideBuildCheckInValidation

Puede confirmar un conjunto de cambios de TFVC que afecte a una definición de compilación controlada sin desencadenar que el sistema se aproteja y compile primero sus cambios.

Nota

Asigne el permiso ** Invalidar la validación de la comprobación mediante compilación** solo a las cuentas de servicio para los servicios de compilación y a los administradores de compilación responsables de la calidad del código. Se aplica a las compilaciones de check-in validadas de TFVC. Esto no se aplica a las compilaciones de pr. Para obtener más información, vea Proteger en una carpeta controlada por un proceso de compilación de registro de entrada controlado.

Compilaciones de cola
Build, QueueBuilds

Puede colocar una compilación en la cola a través de la interfaz de Team Foundation Build o en un símbolo del sistema. También pueden detener las compilaciones que han puesto en cola.

Conservar indefinidamente
Build, RetainIndefinitely

Puede alternar la marca retain indefinidamente en una compilación. Esta característica marca una compilación para que el sistema no la elimine automáticamente en función de ninguna directiva de retención aplicable.

Detener compilaciones
Build, StopBuilds

Pueden detener cualquier compilación en curso, incluidas las compilaciones en cola y las iniciadas por otro usuario.

Actualización de la información de compilación
Build, UpdateBuildInformation

Pueden agregar nodos de información de compilación al sistema e información sobre la calidad de una compilación. Asigne este permiso únicamente a cuentas de servicio.

Visualización de la definición de compilación
Build, ViewBuildDefinition

Puede ver las definiciones de compilación que se han creado para el proyecto.

Visualización de compilaciones
Build, ViewBuilds

Puede ver las compilaciones en cola y completadas de este proyecto.

Repositorio de Git (nivel de objeto)

Puede administrar la seguridad de cada repositorio orama de Git desde el portal web, la herramienta de línea de comandos de TF o mediante la herramienta de línea de comandos TFSSecurity. A los administradores de proyectos se les concede la mayoría de estos permisos (que solo aparecen para un proyecto que se ha configurado con un repositorio de Git). Puede administrar estos permisos para todos los repositorios de Git o para un repositorio de Git específico.

Cuadro de diálogo Permisos del repositorio de Git

Cuadro de diálogo De permisos del repositorio de Git, TFS

Nota

Establezca permisos en todos los repositorios de Git realizando cambios en la entrada de repositorios de Git de nivel superior. Los repositorios individuales heredan los permisos de la entrada de repositorios de Git de nivel superior. Las ramas heredan permisos de las asignaciones realizadas en el nivel de repositorio. De forma predeterminada, los grupos lectores de nivel de proyecto solo tienen permisos de lectura.

Para administrar permisos de rama y repositorio de Git, consulte Establecimiento de permisos de rama.

Permiso (UI)

Namespace permission

Descripción

Omitir directivas al completar las solicitudes de incorporación de cambios
GitRepositories, PullRequestBypassPolicy

Puede optar por invalidar las directivas de rama mediante la comprobación de Invalidar directivas de rama y habilitar la combinación al completar una solicitud de incorporación de cambios.

Nota

Omitir directivas al completar las solicitudes de incorporación de cambios y Omitir directivas al insertar reemplazar la aplicación de directivas exentas. Se aplica a Azure DevOps Server 2019 y versiones posteriores.

Omitir directivas al insertar

Puede insertar en una rama que tenga habilitadas las directivas de rama. Cuando un usuario con este permiso realiza una inserción que invalidaría la directiva de rama, la inserción omite automáticamente la directiva de rama sin ningún paso de participación ni advertencia.

Nota

Omitir directivas al completar las solicitudes de incorporación de cambios y Omitir directivas al insertar reemplazar la aplicación de directivas exentas. Se aplica a Azure DevOps Server 2019 y versiones posteriores.

Contribuir
GitRepositories, GenericContribute

En el nivel de repositorio, puede insertar sus cambios en las ramas existentes del repositorio y puede completar las solicitudes de incorporación de cambios. Los usuarios que carecen de este permiso, pero que tienen el permiso Crear rama , pueden insertar cambios en nuevas ramas. No invalida las restricciones vigentes de las directivas de rama.

En el nivel de rama, puede insertar sus cambios en la rama y bloquear la rama. El bloqueo de una rama impide que otros usuarios agreguen nuevas confirmaciones a la rama e impida que otros usuarios cambien el historial de confirmaciones existente.

Contribuir a las solicitudes de incorporación de cambios
GitRepositories, PullRequestContribute

Puede crear, comentar y votar sobre las solicitudes de incorporación de cambios.

Creación de una rama
GitRepositories, CreateBranch

Puede crear y publicar ramas en el repositorio. La falta de este permiso no limita a los usuarios a crear ramas en su repositorio local; simplemente impide que publiquen ramas locales en el servidor.

Nota

Cuando un usuario crea una nueva rama en el servidor, tiene los permisos Colaborar, Editar directivas, Forzar inserción, Administrar permisos y Quitar los permisos de bloqueo de otros para esa rama de forma predeterminada. Esto significa que los usuarios pueden agregar nuevas confirmaciones al repositorio a través de su rama.

Creación de un repositorio
GitRepositories, CreateRepository

Puede crear nuevos repositorios. Este permiso solo está disponible en el cuadro de diálogo Seguridad del objeto de repositorios de Git de nivel superior.

Crear etiqueta
GitRepositories, CreateTag

Puede insertar etiquetas en el repositorio.

Eliminación del repositorio GitRepositories, DeleteRepository

Puede eliminar el repositorio. En el nivel de repositorios de Git de nivel superior, puede eliminar cualquier repositorio.

Editar directivas
GitRepositories, EditPolicies

Puede editar directivas para el repositorio y sus ramas.

Exención de la aplicación de directivas
GitRepositories, PolicyExempt

Se aplica a TFS 2018 Update 2. Puede omitir las directivas de rama y realizar las dos acciones siguientes:

  • Invalidar las directivas de rama y completar las solicitudes de incorporación de cambios que no satisfacen la directiva de rama
  • Insertar directamente en ramas que tienen establecidas directivas de rama

Nota

En Azure DevOps, se reemplaza por los dos permisos siguientes: Omitir directivas al completar las solicitudes de incorporación de cambios y Omitir directivasal insertar.

Forzar inserción (historial de reescritura, eliminar ramas y etiquetas)
GitRepositories, ForcePush

Puede forzar una actualización a una rama, eliminar una rama y modificar el historial de confirmaciones de una rama. Puede eliminar etiquetas y notas.

Administrar notas
GitRepositories, ManageNote

Puede insertar y editar notas de Git.

Administración de permisos
GitRepositories, ManagePermissions

Puede establecer permisos para el repositorio.

Leer GitRepositories, GenericRead

Puede clonar, capturar, extraer y explorar el contenido del repositorio.

Quitar bloqueos de otros usuarios
GitRepositories, RemoveOthersLocks

Puede quitar bloqueos de rama establecidos por otros usuarios. El bloqueo de una rama impide que otros usuarios agreguen nuevas confirmaciones a la rama e impida que otros usuarios cambien el historial de confirmaciones existente.

Cambiar el nombre del repositorio
GitRepositories, RenameRepository

Puede cambiar el nombre del repositorio. Cuando se establece en la entrada de repositorios git de nivel superior, puede cambiar el nombre de cualquier repositorio.

TFVC (nivel de objeto)

Puede administrar la seguridad de cada rama de TFVC desde el portal web o mediante la herramienta de línea de comandos TFSSecurity. A los administradores de proyectos se les concede la mayoría de estos permisos que solo aparecen para un proyecto que se ha configurado para usar Control de versiones de Team Foundation como sistema de control de código fuente. Con los permisos de control de versiones, la denegación explícita tiene prioridad sobre los permisos del grupo de administradores.

Estos permisos solo aparecen para que una configuración del proyecto use Control de versiones de Team Foundation como sistema de control de código fuente.

Cuadro de diálogo permisos de TFVC

En los permisos de control de versiones, denegar explícito tiene prioridad sobre los permisos del grupo de administradores.

Permiso (UI)

Namespace permission

Descripción

Administrar etiquetas
VersionControlItems, LabelOther

Pueden editar o eliminar etiquetas que haya creado otro usuario.

Sincronización
VersionControlItems, Checkin

Puede proteger los elementos y revisar los comentarios confirmados del conjunto de cambios. Los cambios pendientes se confirman en la protección.

Nota

Considere la posibilidad de agregar estos permisos a los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto; cualquier usuario que pueda proteger y des proteger los cambios, realizar un cambio pendiente en los elementos de una carpeta o revisar los comentarios del conjunto de cambios confirmados.

Proteger los cambios de otros usuarios
VersionControlItems, CheckinOther

Pueden proteger los cambios realizados por otros usuarios. Los cambios pendientes se confirman en la protección.

Lápiz de un cambio en un área de trabajo de servidor
VersionControlItems, PendChange

Pueden desproteger y realizar un cambio pendiente en los elementos en una carpeta. Entre los ejemplos de cambios pendientes se incluyen agregar, editar, cambiar de nombre, eliminar, recuperar, bifurcar y combinar un archivo. Los cambios pendientes deben estar protegidos, por lo que los usuarios también necesitarán el permiso check-in para compartir sus cambios con el equipo.

Nota

Considere la posibilidad de agregar estos permisos a los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto; cualquier usuario que pueda proteger y des proteger los cambios, realizar un cambio pendiente en los elementos de una carpeta o revisar los comentarios del conjunto de cambios confirmados.

Etiqueta
VersionControlItems, Label

Pueden etiquetar elementos.

Cerradura
VersionControlItems, Lock

Pueden bloquear y desbloquear carpetas y archivos. Se puede bloquear o desbloquear una carpeta o archivo para denegar o restaurar los privilegios de un usuario. Los privilegios incluyen la desprotección de un elemento para su edición en un área de trabajo diferente o la protección de los cambios pendientes de un elemento en un área de trabajo diferente. Para obtener más información, consulte Comando Lock.

Administrar bifurcación
VersionControlItems, ManageBranch

Puede convertir cualquier carpeta de esa ruta de acceso en una rama y también realizar las siguientes acciones en una rama: edite sus propiedades, reparente y conviértela en una carpeta. Los usuarios que tienen este permiso solo pueden crear una bifurcación de esta bifurcación si también tienen el permiso Combinar para la ruta de acceso de destino. Los usuarios no pueden crear bifurcaciones a partir de una bifurcación para la que no tienen el permiso Administrar bifurcación.

Administración de permisos
VersionControlItems, AdminProjectRights

Pueden administrar los permisos de otros usuarios para las carpetas y archivos bajo control de versiones.

Nota

Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto y que deban ser capaces de crear bifurcaciones privadas, a menos que las prácticas de desarrollo del proyecto sean más restrictivas.

Combinar
VersionControlItems, AdminProjectRights

Pueden combinar cambios en esta ruta.

Nota

Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que contribuyan al desarrollo del proyecto y que deban ser capaces de combinar archivos de código fuente, a menos que las prácticas de desarrollo del proyecto sean más restrictivas.

Leer
VersionControlItems, Read

Pueden leer el contenido de un archivo o carpeta. Si un usuario tiene permisos Leer en una carpeta, puede ver el contenido de la carpeta y las propiedades de los archivos que contiene, aunque no tenga permiso para abrir esos archivos.

Revisar los cambios de otros usuarios
VersionControlItems, ReviseOther

Pueden editar los comentarios de los archivos protegidos, aunque otro usuario haya protegido el archivo.

Nota

Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que sean responsables de supervisar o controlar el proyecto, y que pueden o deben editar comentarios de archivos protegidos, incluso si el archivo lo protegió otro usuario.

Deshacer los cambios de otros usuarios
VersionControlItems, UndoOther

Pueden deshacer un cambio pendiente realizado por otro usuario.

Nota

Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que sean responsables de supervisar o controlar el proyecto, y que pueden o deben editar comentarios de archivos protegidos, incluso si el archivo lo protegió otro usuario.

Desbloquear los cambios de otros usuarios
VersionControlItems, UnlockOther

Pueden desbloquear los archivos bloqueados por otros usuarios.

Nota

Considere agregar este permiso a todos los usuarios o grupos agregados manualmente que sean responsables de supervisar o controlar el proyecto, y que pueden o deben editar comentarios de archivos protegidos, incluso si el archivo lo protegió otro usuario.

Ruta de acceso del área (nivel de objeto)

Los permisos de ruta de acceso de área conceden o restringen el acceso a las ramas de la jerarquía de áreas y a los elementos de trabajo de esas áreas. Puede administrar la seguridad de cada ruta de acceso de área desde el portal web o mediante la herramienta de línea de comandos TFSSecurity. Los permisos de área conceden o restringen el acceso para crear y administrar rutas de acceso de área, así como crear y modificar elementos de trabajo definidos en rutas de acceso de área.

A los miembros del grupo Administradores de proyectos se les conceden automáticamente permisos para administrar rutas de acceso de área para un proyecto. Considere la posibilidad de conceder permisos a administradores de equipo o clientes potenciales para crear, editar o eliminar nodos de área.

Nota

Varios equipos pueden contribuir a un proyecto. Cuando ese es el caso, puede configurar equipos asociados a un área. Los permisos para los elementos de trabajo del equipo se asignan mediante la asignación de permisos al área. Hay otras opciones de configuración de equipo que configuran las herramientas de planeación ágiles del equipo.

Cuadro de diálogo Permisos de ruta de acceso de área

Permiso (UI)

Namespace permission

Descripción

Creación de nodos secundarios
CSS, CREATE_CHILDREN

Pueden crear nodos de áreas. Los usuarios que tienen este permiso y el permiso Editar este nodo pueden mover o reordenar cualquier nodo de área secundaria. Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de área.

Eliminar este nodo
CSS, CREATE_CHILDREN

Los usuarios que tienen este permiso y el permiso Editar este nodo para otro nodo pueden eliminar nodos de área y reclasificar los elementos de trabajo existentes del nodo eliminado. Si el nodo eliminado tiene nodos secundarios, también se eliminarán.

Nota

Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de área.

Edición de este nodo
CSS, CREATE_CHILDREN

Pueden establecer permisos para este nodo y cambiar el nombre de nodos de área.

Nota

Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de área.

Editar elementos de trabajo en este nodo
CSS, WORK_ITEM_WRITE

Pueden editar elementos de trabajo en este nodo de área.

Nota

Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que editar elementos de trabajo bajo el nodo de área.

Administración de planes de prueba
CSS, MANAGE_TEST_PLANS

Pueden modificar las propiedades de los planes de pruebas, como la configuración de compilación y prueba.

Nota

Considere la posibilidad de agregar este permiso a los usuarios o grupos agregados manualmente que necesiten administrar planes de prueba o conjuntos de pruebas en este nodo de área.

Administración de conjuntos de pruebas
CSS, MANAGE_TEST_SUITES

Puede crear y eliminar conjuntos de pruebas, agregar y quitar casos de prueba de conjuntos de pruebas, cambiar configuraciones de prueba asociadas a conjuntos de pruebas y modificar la jerarquía del conjunto de aplicaciones (mover un conjunto de pruebas).

Nota

Considere la posibilidad de agregar este permiso a los usuarios o grupos agregados manualmente que necesiten administrar planes de prueba o conjuntos de pruebas en este nodo de área.

Visualización de permisos para este nodo

Puede ver la configuración de seguridad de un nodo de ruta de acceso de área.

Ver elementos de trabajo en este nodo CSS, GENERIC_READ

Pueden ver, pero no cambiar, los elementos de trabajo de este nodo de área.

Nota

Si establece ver los elementos de trabajo de este nodo enDenegar, el usuario no podrá ver ningún elemento de trabajo en este nodo de área. Una denegación invalidará cualquier permiso implícito, incluso para los usuarios que son miembros de un grupo administrativo.

Ruta de acceso de iteración (nivel de objeto)

Los permisos de ruta de acceso de iteración conceden o restringen el acceso para crear y administrar rutas de acceso de iteración, también denominadas sprints.

Puede administrar la seguridad de cada ruta de acceso de iteración desde el portal web o mediante la herramienta de línea de comandos TFSSecurity.

A los miembros del grupo Administradores de proyectos se les conceden automáticamente estos permisos para cada iteración definida para un proyecto. Considere la posibilidad de conceder permisos a los administradores del equipo, a los maestros de Scrum o a los responsables de equipo para crear, editar o eliminar nodos de iteración.

Cuadro de diálogo De permisos de ruta de acceso de iteración

Permiso (UI)

Namespace permission

Descripción

Creación de nodos secundarios
Iteration, CREATE_CHILDREN

Pueden crear nodos de iteración. Los usuarios que tengan este permiso y el permiso Editar este nodo pueden mover o reordenar los nodos de iteración secundarios.

Nota

Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de iteración.

Eliminar este nodo
Iteration, DELETE

Los usuarios que tienen este permiso y el permiso Editar este nodo para otro nodo pueden eliminar nodos de iteración y volver a clasificar los elementos de trabajo existentes del nodo eliminado. Si el nodo eliminado tiene nodos secundarios, también se eliminarán.

Nota

Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de iteración.

Edición de este nodo
Iteration, GENERIC_WRITE

Pueden establecer permisos para este nodo y cambiar el nombre de nodos de iteración.

Nota

Considere agregar este permiso a cualquier usuario o grupo agregado manualmente que puede que tenga que eliminar, agregar o cambiar el nombre de nodos de iteración.

Ver permisos para este nodo
Iteration, GENERIC_READ

Pueden ver la configuración de seguridad de este nodo.

Nota

Los miembros de la colección de proyectos Usuarios válidos, Usuarios válidos del proyecto o cualquier usuario o grupo que tenga información de nivel de colección Ver o Ver información de nivel de proyecto pueden ver los permisos de cualquier nodo de iteración.

Consulta de elemento de trabajo y carpeta de consulta (nivel de objeto)

Los permisos de consulta y carpeta de consulta se administran a través del portal web. A los administradores de proyectos se les conceden todos estos permisos. A los colaboradores solo se les conceden permisos de lectura. Considere el conceder los permisos Contribuir a los usuarios o grupos que necesiten tener la capacidad de crear y compartir consultas de elementos de trabajo del proyecto.

Cuadro de diálogo Permisos de carpeta de consulta

Considere la posibilidad de conceder los permisos De colaboración a usuarios o grupos que requieren la capacidad de crear y compartir consultas de elementos de trabajo para el proyecto. Para más información, consulte Establecimiento de permisos en consultas.

Nota

Para crear gráficos de consulta , necesita acceso básico.

Permiso (UI)

Namespace permission

Descripción

Contribuir
WorkItemQueryFolders, Contribute

Puede ver y modificar la carpeta de consulta o guardar las consultas dentro de la carpeta.

Delete
WorkItemQueryFolders, Delete

Pueden eliminar una consulta o carpeta de consultas y su contenido.

Administración de permisos
WorkItemQueryFolders, ManagePermissions

Pueden administrar los permisos de esta consulta o de la carpeta de consultas.

Leer
WorkItemQueryFolders, Read

Pueden ver y utilizar la consulta o las consultas de una carpeta, pero no modificar el contenido de la consulta ni de la carpeta de consultas.

Planes de entrega (nivel de objeto)

Los permisos del plan se administran a través del portal web. Los permisos se administran para cada plan a través de su cuadro de diálogo Seguridad. A los administradores de proyectos se les conceden todos los permisos para crear, editar y administrar planes. A los usuarios válidos se les conceden permisos de vista (solo lectura).

Permiso (UI)

Namespace permission

Descripción

Delete
Plan, Delete

Puede eliminar el plan seleccionado.

Editar
Plan, Edit

Puede editar la configuración y las opciones definidas para el plan seleccionado.

Administrar
Plan, Manage

Puede administrar los permisos para el plan seleccionado.

Vista
Plan, View

Puede ver las listas de planes, abrir e interactuar con un plan, pero no puede modificar la configuración o las opciones del plan.

Proceso (nivel de objeto)

Puede administrar los permisos de cada proceso heredado que cree a través del portal web. Los permisos se administran para cada proceso a través de su cuadro de diálogo Seguridad. A los administradores de la colección de proyectos se les conceden todos los permisos para crear, editar y administrar procesos. A los usuarios válidos se les conceden permisos de vista (solo lectura).

Permiso (UI)

Namespace permission

Descripción

Administración de permisos de proceso
Process, AdministerProcessPermissions

Puede establecer o cambiar los permisos de un proceso heredado.

Eliminar proceso
Process, Delete

Puede eliminar el proceso heredado.

Editar proceso
Process, Edit

Puede crear un proceso heredado a partir de un proceso del sistema, o copiar o modificar un proceso heredado.

Etiquetas de elemento de trabajo

Puede administrar los permisos de etiquetado mediante el permiso de seguridad az devops o las herramientas de línea de comandos tfSSecurity . Los colaboradores pueden agregar etiquetas a los elementos de trabajo y usarlos para filtrar rápidamente una vista de resultados de consultas, paneles o trabajos pendientes.

Puede administrar los permisos de etiquetado mediante la herramienta de línea de comandos TFSSecurity. Los colaboradores pueden agregar etiquetas a los elementos de trabajo y usarlos para filtrar rápidamente una vista de resultados de consultas, paneles o trabajos pendientes.

Permiso (UI)

Namespace permission

Descripción


Crear definición de etiqueta
Tagging, Create

Pueden crear nuevas etiquetas y aplicarlas a elementos de trabajo. Los usuarios sin este permiso solo pueden seleccionar entre el conjunto existente de etiquetas para el proyecto.

Nota

De forma predeterminada, a los colaboradores se les asigna el permiso Crear definición de etiqueta . Aunque el permiso Crear definición de etiqueta aparece en la configuración de seguridad en el nivel de proyecto, los permisos de etiquetado son realmente permisos de nivel de colección que se limitan al nivel de proyecto cuando aparecen en la interfaz de usuario. Para establecer el ámbito de los permisos de etiquetado en un único proyecto al usar una herramienta de línea de comandos, debe proporcionar el GUID para el proyecto como parte de la sintaxis de comandos. De lo contrario, el cambio se aplicará a toda la colección. Tenga esto en cuenta cuando cambie o configure estos permisos.

Eliminar definición de etiqueta
Tagging, Delete

Pueden eliminar una etiqueta de la lista de etiquetas disponibles para ese proyecto.

Nota

Este permiso no aparece en la interfaz de usuario. Solo se puede establecer mediante una herramienta de línea de comandos. Tampoco hay ninguna interfaz de usuario para eliminar explícitamente una etiqueta. En su lugar, cuando una etiqueta no se ha usado durante 3 días, el sistema la elimina automáticamente.

Enumerar definición de etiqueta
Tagging, Enumerate

Puede ver una lista de etiquetas disponibles para el elemento de trabajo dentro del proyecto. Los usuarios sin este permiso no tendrán una lista de etiquetas disponible para elegir en el formulario de elemento de trabajo ni en el editor de consultas.

Nota

Este permiso no aparece en la interfaz de usuario. Solo se puede establecer mediante una herramienta de línea de comandos. La información de nivel de proyecto Ver implícitamente permite a los usuarios ver las etiquetas existentes.

Actualizar definición de etiqueta
Tagging, Update

Pueden cambiar el nombre de una etiqueta utilizando la API REST.

Nota

Este permiso no aparece en la interfaz de usuario. Solo se puede establecer mediante una herramienta de línea de comandos.

Versión (nivel de objeto)

Los permisos se administran para cada versión definida en el portal web. A los administradores de proyectos y a los administradores de versiones se les conceden todos los permisos de administración de versiones. Estos permisos se pueden conceder o denegar en un modelo jerárquico en el nivel de proyecto, para una canalización de versión específica o para un entorno específico en una canalización de versión. Dentro de esta jerarquía, los permisos se pueden heredar del elemento primario o invalidado.

Libera permisos de nivel de objeto.

Nota

El grupo del administrador de versiones de nivel de proyecto se crea al mismo tiempo que se define la primera canalización de versión.

Además, puede asignar aprobadores a pasos específicos dentro de una canalización de versión para asegurarse de que las aplicaciones que se implementan cumplen los estándares de calidad.

Los permisos siguientes se definen en Release Management. La columna de ámbito explica si el permiso se puede establecer en el proyecto, la canalización de versión o el nivel de entorno.

Permiso

Descripción

Ámbitos

Administrar permisos de versión

Puede cambiar cualquiera de los demás permisos que se enumeran aquí.

Project, Release pipeline, Environment

Creación de versiones

Puede crear nuevas versiones.

Proyecto, canalización de versión

Eliminación de la canalización de versión

Puede eliminar canalizaciones de versión.

Proyecto, canalización de versión

Eliminación del entorno de versión

Puede eliminar entornos en canalizaciones de versión.

Project, Release pipeline, Environment

Eliminación de versiones

Puede eliminar versiones de una canalización.

Proyecto, canalización de versión

Editar canalización de versión

Puede agregar y editar una canalización de versión, incluidas las variables de configuración, los desencadenadores, los artefactos y la directiva de retención, así como la configuración dentro de un entorno de la canalización de versión. Para realizar cambios en un entorno específico en una canalización de versión, el usuario también necesita el permiso Editar entorno de versión .

Proyecto, canalización de versión

Editar entorno de versión

Puede editar entornos en canalizaciones de versión. Para guardar los cambios en la canalización de versión, el usuario también necesita el permiso Editar canalización de versión . Este permiso también controla si un usuario puede editar la configuración dentro del entorno de una instancia de versión específica. El usuario también necesita el permiso Administrar versiones para guardar la versión modificada.

Project, Release pipeline, Environment

Administración de implementaciones

Puede iniciar una implementación directa de una versión en un entorno. Este permiso solo es para implementaciones directas que se inician manualmente seleccionando la acción Implementar en una versión. Si la condición en un entorno se establece en cualquier tipo de implementación automática, el sistema inicia automáticamente la implementación sin comprobar el permiso del usuario que creó la versión.

Project, Release pipeline, Environment

Administrar aprobadores de versión

Puede agregar o editar aprobadores para entornos en canalizaciones de versión. Este permiso también controla si un usuario puede editar los aprobadores dentro del entorno de una instancia de versión específica.

Project, Release pipeline, Environment

Administrar versiones

Puede editar una configuración de versión, como fases, aprobadores y variables. Para editar la configuración de un entorno específico en una instancia de versión, el usuario también necesita el permiso Editar entorno de versión .

Proyecto, canalización de versión

Visualización de la canalización de versión

Puede ver las canalizaciones de versión.

Proyecto, canalización de versión

Ver versiones

Puede ver las versiones que pertenecen a las canalizaciones de versión.

Proyecto, canalización de versión

Los valores predeterminados para todos estos permisos se establecen para colecciones de proyectos de equipo y grupos de proyectos. Por ejemplo, los administradores de la colección de proyectos, los administradores de proyectos y los administradores de versiones tienen todos los permisos anteriores de forma predeterminada. A los colaboradores se les conceden todos los permisos, excepto Administrar permisos de versión. Los lectores, de forma predeterminada, se deniegan todos los permisos, excepto Ver canalización de versión y Ver versiones.

Permisos de grupo de tareas (compilación y versión)

Los permisos de los grupos de tareas se administran desde el centro de compilación y versión del portal web. A los administradores de proyectos, de compilación y de versión se les conceden todos los permisos. Los permisos de grupo de tareas siguen un modelo jerárquico. Los valores predeterminados de todos los permisos se pueden establecer en el nivel de proyecto y se pueden invalidar en una definición de grupo de tareas individual.

Los grupos de tareas se usan para encapsular una secuencia de tareas ya definidas en una compilación o una definición de versión en una sola tarea reutilizable. Defina y administre grupos de tareas en la pestaña Grupos de tareas del centro de compilación y versión.

Permiso Descripción
Administrar permisos de grupo de tareas Puede agregar y quitar usuarios o grupos a la seguridad del grupo de tareas.
Eliminar grupo de tareas Puede eliminar un grupo de tareas.
Editar grupo de tareas Puede crear, modificar o eliminar un grupo de tareas.

Notificaciones o alertas

No hay permisos de interfaz de usuario asociados con la administración de notificaciones por correo electrónico o alertas. En su lugar, puede administrarlos mediante az devops security permission o TFSSecurity command-line tools.

No hay permisos de interfaz de usuario asociados con la administración de notificaciones por correo electrónico o alertas. En su lugar, puede administrarlos mediante la herramienta de línea de comandos TFSSecurity .

  • De forma predeterminada, los miembros del grupo Colaboradores de nivel de proyecto pueden suscribirse a alertas por sí mismos.
  • Los miembros del grupo Administradores de la colección de proyectos o los usuarios que tienen la información de nivel de colección Editar pueden establecer alertas en esa colección para otros usuarios o para un equipo.
  • Los miembros del grupo Administradores de proyectos o los usuarios que tienen la información de edición de nivel de proyecto pueden establecer alertas en ese proyecto para otros usuarios o para un equipo.

Puede administrar los permisos de alerta mediante TFSSecurity.

Acción de TFSSecurity

Espacio de nombres de TFSSecurity

Descripción

Administradores de colecciones de proyectos &
Cuentas de servicio de la colección de proyectos

CREATE_SOAP_SUBSCRIPTION

EventSubscription

Pueden crear una suscripción al servicio web basado en SOAP.

✔️

GENERIC_READ

EventSubscription

Puede ver los eventos de suscripción definidos para un proyecto.

✔️

GENERIC_WRITE

EventSubscription

Pueden crear alertas para otros usuarios o para un equipo.

✔️

UNSUBSCRIBE

EventSubscription

Pueden cancelar la suscripción de una suscripción de evento.

✔️