Partage via


Espace de noms de sécurité et référence des autorisations pour Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

Cet article décrit les espaces de noms de sécurité valides, répertorie les autorisations associées et fournit des liens vers plus d’informations. Les espaces de noms de sécurité stockent des listes de contrôle d’accès (ACL) sur des jetons, déterminant le niveau d’accès de différentes entités doivent effectuer des actions spécifiques sur des ressources spécifiques. Ces entités sont les suivantes :

  • Utilisateurs Azure DevOps
  • Propriétaire d’organisation Azure DevOps
  • Membres des groupes de sécurité Azure DevOps
  • Comptes de service Azure DevOps
  • Principaux de service Azure DevOps

Chaque famille de ressources, comme les éléments de travail ou les dépôts Git, est sécurisée via un espace de noms unique. Chaque espace de noms de sécurité contient zéro ou plusieurs listes de contrôle d’accès. Une liste de contrôle d’accès inclut un jeton, un indicateur d’héritage et un ensemble d’entrées de contrôle d’accès égales ou égales à zéro. Chaque ACE se compose d’un descripteur d’identité, d’un masque de bits d’autorisations autorisé et d’un masque de bits d’autorisations refusé. Les jetons sont des chaînes arbitraires représentant des ressources dans Azure DevOps.

Notes

Les espaces de noms et les jetons sont valides pour toutes les versions d’Azure DevOps. Ceux répertoriés ici sont valides pour Azure DevOps 2019 et versions ultérieures. Les espaces de noms peuvent être modifiés au fil du temps. Pour obtenir la dernière liste d’espaces de noms, exercez l’un des outils en ligne de commande ou de l’API REST. Certains espaces de noms ont été dépréciés, comme indiqué dans la section Espaces de noms déconseillés et en lecture seule plus loin dans cet article. Pour plus d’informations, consultez requête d’espaces de noms de sécurité

Outils de gestion des autorisations

La méthode recommandée pour la gestion des autorisations est via le portail web. Toutefois, pour définir des autorisations non disponibles via le portail ou pour gérer des autorisations granulaires, utilisez des outils en ligne de commande ou l’API REST :

  • Pour Azure DevOps Services, utilisez les az devops security permission commandes.
  • Pour Azure DevOps Server, utilisez les commandes TFSSecurity.
  • Pour les référentiels Git Azure DevOps, utilisez l’outil en ligne de commande tf git permission.
  • Pour les référentiels TFVC (Team Foundation Version Control), utilisez l’outil en ligne de commande de l’autorisation TFVC.

Pour toutes les instances Azure DevOps, vous pouvez également utiliser l’API REST de sécurité.

Espaces de noms de sécurité et leurs ID

De nombreux espaces de noms de sécurité correspondent aux autorisations que vous définissez via une page du portail web Sécurité ou Autorisations . D’autres espaces de noms ou autorisations spécifiques ne sont pas visibles via le portail web et accordent par défaut l’accès aux membres de groupes de sécurité ou aux principaux de service Azure DevOps. Ces espaces de noms sont regroupés dans les catégories suivantes en fonction de la façon dont ils sont gérés via le portail web :

  • Niveau objet
  • Niveau projet
  • Au niveau de l’organisation ou de la collection
  • Au niveau du serveur (local uniquement)
  • En fonction d’un rôle
  • Interne uniquement

Hiérarchie et jetons

Un espace de noms de sécurité peut être hiérarchique ou plat. Dans un espace de noms hiérarchique, les jetons existent dans une hiérarchie où les autorisations effectives sont héritées des jetons parents aux jetons enfants. En revanche, les jetons d’un espace de noms plat n’ont pas de concept de relation parent-enfant entre deux jetons.

Les jetons d’un espace de noms hiérarchique ont une longueur fixe pour chaque partie de chemin d’accès, ou une longueur variable. Si les jetons ont des parties de chemin d’accès de longueur variable, un caractère de séparateur est utilisé pour distinguer l’emplacement où une partie de chemin d’accès se termine et où une autre commence.

Les jetons de sécurité ne respectent pas la casse. Les sections suivantes fournissent des exemples de jetons pour différents espaces de noms.

Espaces de noms et autorisations au niveau de l’objet

Le tableau suivant décrit les espaces de noms qui gèrent les autorisations au niveau de l’objet. La plupart de ces autorisations sont gérées via la page du portail web pour chaque objet. Les autorisations sont définies au niveau du projet et héritées au niveau de l’objet, sauf si elles ont été modifiées explicitement.


Espace de noms

autorisations

Description


AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Gère les autorisations d’affichage analytique au niveau du projet et de l’objet pour lire, modifier, supprimer et générer des rapports. Vous pouvez gérer ces autorisations pour chaque vue d’analyse à partir de l’interface utilisateur.

Format de jeton pour les autorisations au niveau du projet : $/Shared/PROJECT_ID
Exemple : $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID : d34d3680-dfe5-4cc6-a949-7d9c68f73cba


Build

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Gère les autorisations de génération au niveau du projet et de l’objet.

Format de jeton pour les autorisations de génération au niveau du projet : PROJECT_ID
Si vous devez mettre à jour les autorisations pour un ID de définition de build particulier, par exemple, 12, le jeton de sécurité pour cette définition de build ressemble à l’exemple suivant :
Format de jeton pour les autorisations de génération spécifiques au niveau du projet : PROJECT_ID/12
Exemple : xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID : 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Gère les autorisations au niveau de l’objet de chemin d’accès de zone pour créer, modifier et supprimer des nœuds enfants, et définir des autorisations pour afficher ou modifier des éléments de travail dans un nœud. Pour plus d’informations, consultez Définir les autorisations et l’accès pour le suivi du travail, Créer des nœuds enfants, modifier des éléments de travail sous un chemin d’accès de zone.
Exemple de format de jeton : POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID : 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


Tableaux de bordPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Gère les autorisations au niveau de l’objet du tableau de bord pour modifier et supprimer des tableaux de bord et gérer les autorisations d’un tableau de bord de projet. Vous pouvez gérer ces autorisations via l’interface utilisateur des tableaux de bord.

ID : 8adf73b7-389a-4276-b638-fe1653f7efc7


Référentiels Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Gère les autorisations de dépôt Git au niveau du projet et de l’objet. Vous pouvez gérer ces autorisations à l’aide de l’interface d’administration Paramètres du projet, Dépôts.

L’autorisation Administer a été divisée en plusieurs autorisations plus granulaires en 2017 et ne doit pas être utilisée.
Format de jeton pour les autorisations au niveau du projet : repoV2/PROJECT_ID
Vous devez ajouter RepositoryID pour mettre à jour les autorisations au niveau du référentiel.

Format de jeton pour les autorisations spécifiques au dépôt : repoV2/PROJECT_ID/REPO_ID

Le format de jeton pour les autorisations au niveau de la branche est décrit dans les jetons de dépôt Git pour le service de sécurité.

ID : 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


Itération

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Gère les autorisations au niveau de l’objet du chemin d’itération pour créer, modifier et supprimer des nœuds enfants et afficher les autorisations de nœud enfant. Pour gérer via le portail web, consultez Définir les autorisations et l’accès pour le suivi du travail, Créer des nœuds enfants.
Format de jeton : 'vstfs:///Classification/Node/Iteration_Identifier/'
Supposons que vous ayez configuré les itérations suivantes pour votre équipe.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Pour mettre à jour les autorisations pour ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1, le jeton de sécurité ressemble à l’exemple suivant :
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID : bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

Gère les autorisations de groupe de tâches pour modifier et supprimer des groupes de tâches, et administrer les autorisations de groupe de tâches. Pour gérer via le portail web, consultez Autorisations de pipeline et rôles de sécurité, Autorisations de groupe de tâches.

Format de jeton pour les autorisations au niveau du projet : PROJECT_ID
Format de jeton pour les autorisations de niveau métaTask : PROJECT_ID/METATASK_ID

Si MetaTask a parentTaskId, le jeton de sécurité ressemble à l’exemple suivant :
Format du jeton : PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID : f6a4de49-dbe2-4704-86dc-f8ec1a294436


Plan

View
Edit
Delete
Manage

Gère les autorisations pour les plans de livraison pour afficher, modifier, supprimer et gérer les plans de remise. Vous pouvez gérer ces autorisations via le portail web pour chaque plan.

ID : bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Gère les autorisations de définition de mise en production au niveau du projet et de l’objet.

Format de jeton pour les autorisations au niveau du projet : PROJECT_ID
Exemple : xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Si vous devez mettre à jour les autorisations pour un ID de définition de mise en production particulier, par exemple, 12, le jeton de sécurité pour cette définition de mise en production se présente comme suit :

Format de jeton pour les autorisations de définition de mise en production spécifiques : PROJECT_ID/12
Exemple : xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Si l’ID de définition de mise en production réside dans un dossier, les jetons de sécurité se présentent comme suit :
Format de jeton : PROJECT_ID/{folderName}/12
Pour les phases, les jetons se présentent comme suit : PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID : c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Gère les autorisations pour les requêtes d’élément de travail et les dossiers de requête. Pour gérer ces autorisations via le portail web, consultez Définir des autorisations sur des requêtes ou des dossiers de requêtes. Exemple de format de jeton : POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID : 71356614-aad7-4757-8f2c-0fb3bff6f680


Espaces de noms et autorisations au niveau du projet

Le tableau suivant décrit les espaces de noms qui gèrent les autorisations au niveau du projet. La plupart des autorisations répertoriées sont gérées via le contexte d’administration du portail web. Les administrateurs de projet reçoivent toutes les autorisations au niveau du projet, tandis que d’autres groupes au niveau du projet ont des attributions d’autorisations spécifiques.


Espace de noms

autorisations

Description


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Gère les autorisations au niveau du projet.
L’autorisation AGILETOOLS_BACKLOG gère l’accès aux backlogs Azure Boards. Ce paramètre est un paramètre d’autorisation interne et ne doit pas être modifié.

Format de jeton racine : $PROJECT
Jeton pour sécuriser les autorisations pour chaque projet de votre organisation.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Supposons que vous ayez un projet nommé Test Project 1.
Vous pouvez obtenir l’ID de projet pour ce projet à l’aide de la az devops project show commande .
az devops project show --project "Test Project 1"
La commande retourne un project-id, par exemple, xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
Par conséquent, le jeton pour Test Project 1 lequel sécuriser les autorisations liées au projet est :
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID : 52d39943-cb85-4d7f-8fa8-c6baac873819


Marquage

Enumerate
Create
Update
Delete

Gère les autorisations de création, de suppression, d’énumération et d’utilisation des balises d’élément de travail. Vous pouvez gérer l’autorisation Créer une définition de balise via l’interface administrative des autorisations.

Format de jeton pour les autorisations au niveau du projet : /PROJECT_ID
Exemple : /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID : bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Gère les autorisations d’un dépôt Team Foundation Version Control (TFVC). Il n’existe qu’un seul dépôt TFVC pour un projet. Vous pouvez gérer ces autorisations via l’interface administrative des dépôts.

ID : a39371cf-0841-4c16-bbd3-276e341bc052


Espaces de noms et autorisations au niveau de l’organisation

Le tableau suivant décrit les espaces de noms qui gèrent les autorisations au niveau de l’organisation. La plupart des autorisations répertoriées sont gérées via le contexte des paramètres de l’organisation du portail web. La plupart de ces autorisations sont accordées au propriétaire de l’organisation et aux membres du groupe Administrateurs de collection de projets. Pour plus d’informations, consultez Modifier les autorisations au niveau de la collection de projets.

Espaces de noms et autorisations au niveau de la collection

Le tableau suivant décrit les espaces de noms qui gèrent les autorisations au niveau de l’organisation. La plupart des autorisations répertoriées sont gérées via le contexte des paramètres de collection du portail web. La plupart de ces autorisations sont accordées aux membres du groupe Administrateurs de collection de projets. Pour plus d’informations, consultez Modifier les autorisations au niveau de la collection de projets.


Espace de noms

autorisations

Description


AuditLog

Read
Write
Manage_Streams
Delete_Streams

Gère les autorisations d’audit pour lire ou écrire dans le journal d’audit et gérer ou supprimer des flux d’audit.

Format de jeton : /AllPermissions
ID : a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


Collection

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES


Processus

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Workspaces

Read
Use
Checkin
Administer

Gère les autorisations pour administrer les modifications apportées aux étagères, les espaces de travail et la possibilité de créer un espace de travail au niveau de l’organisation ou de la collection. L’espace de noms Workspaces s’applique au référentiel TFVC.

Format de jeton racine : /
Format de jeton pour un espace de travail spécifique : /{workspace_name};{owner_id}

ID : 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Gère les autorisations pour le référentiel Team Foundation Version Control (TFVC).

L’autorisation AdminConfiguration accorde aux utilisateurs la possibilité de modifier les autorisations au niveau du serveur pour les utilisateurs et les groupes. L’autorisation AdminConnections permet aux utilisateurs de lire le contenu d’un fichier ou d’un dossier d’un référentiel local au niveau du serveur.

ID : 66312704-deb5-43f9-b51c-ab4ff5e351c3


Espaces de noms et autorisations au niveau du serveur

Le tableau suivant décrit les espaces de noms de sécurité et les autorisations définis pour les instances locales de Azure DevOps Server. Vous pouvez gérer ces autorisations, qui sont accordées aux membres du groupe Administrateurs Team Foundation, via la console d’administration Azure DevOps Server. Pour obtenir une description de ces autorisations, consultez Autorisations et groupes, Autorisations au niveau du serveur.


Espace de noms

autorisations

Description


CollectionManagement

CreateCollection
DeleteCollection

Gère les autorisations définies au niveau du serveur pour créer et supprimer des regroupements de projets.

ID : 52d39943-cb85-4d7f-8fa8-c6baac873819


Serveur

GenericRead
GenericWrite
Impersonate
TriggerEvent

Gère les autorisations définies au niveau du serveur. Inclut des autorisations pour modifier les informations au niveau de l’instance, effectuer des demandes au nom d’autres personnes et déclencher des événements.

ID : 1f4179b3-6bac-4d01-b421-71ea09171400


Warehouse

Administer

Octroie l’autorisation de traiter ou de modifier les paramètres de l’entrepôt de données ou du cube d’analyse SQL Server à l’aide du service web De contrôle d’entrepôt.

ID : b8fbab8b-69c8-4cd9-98b5-873656788efb


Espaces de noms et autorisations basés sur les rôles

Le tableau suivant décrit les espaces de noms de sécurité et les autorisations utilisés pour gérer la sécurité basée sur les rôles. Vous pouvez gérer les attributions de rôles via le portail web pour les ressources de pipeline, comme décrit dans les autorisations de pipeline et les rôles de sécurité.


Espace de noms

autorisations

Description


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Gère les autorisations d’accès aux ressources du pool d’agents. Par défaut, les rôles et autorisations suivants sont attribués au niveau du projet et hérités pour chaque pool d’agents créé :

  • Rôle lecteur (View autorisations uniquement) pour tous les membres du groupe Utilisateurs valides du projet
  • Rôle Administrateur (toutes les autorisations) pour les membres des groupes Administrateurs de build, Administrateurs de projet et Administrateurs de mise en production.
  • Rôle d’utilisateur (View, Use, et Create autorisations) pour tous les membres du groupe Contributeur
  • Rôle créateur (View, Use, et Create autorisations) pour tous les membres du groupe Contributeur

    ID : 101eae8c-1709-47f9-b228-0e476c35b3ba

Environment

View
Manage
ManageHistory
Administer
Use
Create

Gère les autorisations pour créer et gérer des environnements. Par défaut, les autorisations suivantes sont affectées :

  • Rôle lecteur (View autorisations uniquement) pour tous les membres du groupe Utilisateurs valides du projet
  • Rôle créateur (View, Use, et Create autorisations) pour tous les membres du groupe Contributeur
  • Rôle créateur (View, Use, et Create autorisations) pour tous les membres du groupe Administrateurs de projet
  • Rôle d’administrateur (toutes les autorisations) pour l’utilisateur qui a créé un environnement spécifique.

    ID : 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Le rôle Gestionnaire est le seul rôle utilisé pour gérer la sécurité des extensions de la Place de marché. Les membres du rôle Gestionnaire peuvent installer des extensions et répondre aux demandes d’installation d’extensions. Les autres autorisations sont attribuées automatiquement aux membres des groupes de sécurité et des principaux de service par défaut. Pour ajouter des utilisateurs au rôle Gestionnaire, consultez Gérer les autorisations d’extension.

ID : 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


Bibliothèque

View
Administer
Create
ViewSecrets
Use
Owner

Gère les autorisations de création et de gestion des éléments de bibliothèque, qui incluent des fichiers sécurisés et des groupes de variables. Les appartenances aux rôles pour les éléments individuels sont automatiquement héritées de la bibliothèque. Par défaut, les autorisations suivantes sont affectées :

  • Rôle lecteur (View autorisations uniquement) pour tous les membres du groupe Utilisateurs valides du projet et du compte du service de génération de collection de projets
  • Rôle créateur (View, Use, et Create autorisations) pour tous les membres du groupe Contributeurs
  • Rôle créateur (View, Use, Createet Owner autorisations) pour le membre qui a créé l’élément de bibliothèque
  • Rôle Administrateur (toutes les autorisations) pour les membres des groupes Administrateurs de build, Administrateurs de projet et Administrateurs de mise en production.
    Pour plus d’informations, consultez Rôles de sécurité des ressources de bibliothèque.

    ID : b7e84409-6553-448a-bbb2-af228e07cbeb

Points de terminaison de service

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Gère les autorisations pour créer et gérer les connexions de service. Les appartenances aux rôles pour des éléments individuels sont automatiquement héritées des rôles au niveau du projet. Par défaut, les rôles suivants sont attribués :

  • Rôle lecteur (View autorisations uniquement) pour tous les membres du groupe Utilisateurs valides du projet et du compte du service de génération de collection de projets
  • Rôle créateur (View, Use, et Create autorisations) pour les membres du groupe de sécurité Endpoint Creators Service.
  • Rôle d’administrateur (toutes les autorisations) pour les membres du groupe de sécurité du service Administrateurs de point de terminaison.
    Les rôles sont attribués via des rôles de sécurité de connexion de service.

    ID : 49b48001-ca20-4adc-8111-5b60c903a50c

Espaces de noms et autorisations internes

Le tableau suivant décrit les espaces de noms de sécurité et les autorisations qui ne sont pas exposés via le portail web. Ils sont principalement utilisés pour accorder l’accès aux membres des groupes de sécurité par défaut ou aux ressources internes. Nous vous recommandons vivement de ne pas modifier ces paramètres d’autorisation de quelque manière que ce soit.


Espace de noms

autorisations

Description


AccountAdminSecurity

Read
Create
Modify

Gère les autorisations de lecture ou de modification du propriétaire du compte d’organisation. Ces autorisations sont attribuées au propriétaire de l’organisation et aux membres du groupe Administrateur de collection de projets.

ID : 11238e09-49f2-40c7-94d0-8f0307204ce4


Analytics

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Gère les autorisations pour lire, administrer les autorisations et exécuter des requêtes sur le service Analytics.

Format de jeton pour les autorisations au niveau du projet : $/PROJECT_ID
Exemple : $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID : 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Définit les autorisations de lecture, de suppression, de création et de gestion de la sécurité du magasin de données. Ces autorisations sont affectées à plusieurs principaux de service Azure DevOps.

ID : 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Gère les autorisations et l’accès aux tableaux.

ID : 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Gère les autorisations de lecture/écriture des intégrations externes avec Azure Boards.

ID : 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


Conversation

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Gère les autorisations pour les services de conversation intégrés à Azure DevOps, tels que Slack et Microsoft Teams. Pour plus d’informations, consultez Azure Boards avec Slack, Azure Boards avec Microsoft Teams, Azure Pipelines avec Slack, Azure Pipelines avec Microsoft Teams, Azure Repos avec Slack et Azure Repos avec Microsoft Teams.

ID : bc295513-b1a2-4663-8d1a-7017fd760d18


Discussion Threads

Administer
GenericRead
GenericContribute
Moderate

Gère les autorisations permettant d’afficher, de gérer, de modérer et de contribuer à la configuration des discussions de révision de code pour Azure Pipelines.

ID : 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

Octroie un accès en lecture et en écriture pour le gestionnaire de notifications.

ID : 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

Octroie l’accès en lecture et en écriture aux abonnés aux notifications.

ID : 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Gère les autorisations des membres pour afficher, modifier et se désabonner des notifications ou créer un abonnement SOAP.

ID : 58b176e7-3411-457a-89d0-c6d0ccb3c52b

Identité

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Gère les autorisations de lecture, d’écriture et de suppression des informations d’identité de compte d’utilisateur ; gérer l’appartenance au groupe et créer et restaurer des étendues d’identité. L’autorisation ManageMembership est automatiquement accordée aux membres des groupes Administrateurs de projet et Administrateurs de collection de projets.

Format de jeton pour les autorisations au niveau du projet : PROJECT_ID
Exemple : xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Pour modifier les autorisations au niveau du groupe pour l’ID d’origine du groupe [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b] :
Jeton : xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID : 5a27515b-ccd7-42c9-84f1-54c998f03866


Licences

Read
Create
Modify
Delete
Assign
Revoke

Gère la possibilité d’afficher, d’ajouter, de modifier et de supprimer des niveaux de licence. Ces autorisations sont automatiquement accordées aux membres des groupes Administrateurs de collection de projets.

ID : 453e2db3-2e81-474f-874d-3bf51027f2ee


PermissionLevel

Read
Create
Update
Delete

Gère la possibilité de créer et de télécharger des rapports d’autorisation.

ID : 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

Applique une autorisation de refus au niveau du système sur l’espace de noms, qui prend en charge le groupe d’utilisateurs au niveau du projet. Les membres du groupe reçoivent une visibilité limitée des données au niveau de l’organisation. Pour plus d’informations, consultez Gérer votre organisation, Limiter la visibilité des utilisateurs pour les projets, etc.
ID : F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

Gère les autorisations de lecture et d’écriture des entrées de cache de pipeline. Ces autorisations sont affectées uniquement aux principes de service Azure DevOps internes.
ID : 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Gère l’accès aux éléments d’interface utilisateur Release Management.

ID : 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


SearchSecurity

ReadMembers ReadAnonymous

Cet espace de noms de sécurité est utilisé pour savoir si un utilisateur est valide ou anonyme/public.

ID : ca535e7e-67ce-457f-93fe-6e53aa4e4160


ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Gère les autorisations d’affichage, de modification et de suppression des abonnements de hook de service et de publication des événements de hook de service. Ces autorisations sont automatiquement attribuées aux membres du groupe Administrateurs de collection de projets. DeleteSubscriptions n’est plus utilisé ; EditSubscriptions peut supprimer des hooks de service.

ID : cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


UtilizationPermissions

QueryUsageSummary

Gère les autorisations pour interroger l’utilisation. Par défaut, tous les membres des groupes Administrateurs de collection de projets et utilisateurs auxquels l’accès des parties prenantes est accordé sont autorisés à interroger le résumé de l’utilisation pour tout le monde. Pour plus d’informations, consultez Limites de débit.

Format de jeton : /
ID : 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Gère les autorisations d’administration du suivi du travail et de destruction des pièces jointes.
ID : 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

Gère les autorisations pour modifier les processus de suivi du travail et gérer les types de liens. L’espace de noms WorkItemTrackingProvision est un espace de noms de sécurité plus ancien qui est principalement utilisé pour les versions locales antérieures. L’espace de noms Process remplace cet espace de noms pour la gestion des processus dans Azure DevOps Server 2019 et versions ultérieures.

Format de jeton racine : /$
Format de jeton pour un projet spécifique : $/PROJECT_ID

ID : 5a6cd233-6615-414d-9393-48dbb252bd23


Espaces de noms dépréciés et en lecture seule

Les espaces de noms suivants sont déconseillés ou en lecture seule. Vous ne devriez pas les utiliser.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration