Adott funkciókhoz való hozzáférés kezelése

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Az Azure DevOps adott funkcióihoz való hozzáférés kezelése kulcsfontosságú lehet a nyitottság és a biztonság megfelelő egyensúlyának fenntartásához. Függetlenül attól, hogy bizonyos funkciókhoz szeretne hozzáférést biztosítani vagy korlátozni egy felhasználói csoport számára, a beépített biztonsági csoportok által biztosított standard engedélyeken túli rugalmasság megértése kulcsfontosságú.

Ha még nem ismerkedik az engedélyekkel és a csoportokkal, tekintse meg az engedélyek, a hozzáférés és a biztonsági csoportok használatának első lépéseit, amely az engedélyállapotok alapvető funkcióit és azok öröklésének módját ismerteti.

Tipp.

Az Azure DevOpsban a projekt struktúrája kulcsfontosságú szerepet játszik az engedélyek részletességének objektumszinten történő meghatározásában, például adattárakban és területútvonalakban. Ez a struktúra teszi lehetővé a hozzáférés-vezérlések finomhangolását, így kifejezetten meghatározhatja, hogy mely területek érhetők el vagy korlátozhatók. További információ: A projektek és a szervezet skálázása.

Biztonsági csoportok használata

Az optimális karbantartás érdekében javasoljuk, hogy használja az alapértelmezett biztonsági csoportokat, vagy hozzon létre egyéni biztonsági csoportokat az engedélyek kezeléséhez. A Projektgazdák és a Projektcsoportgazdák csoportok engedélybeállításai terv szerint vannak javítva, és nem módosíthatók. Azonban rugalmasan módosíthatja az összes többi csoport engedélyeit.

A kis számú felhasználó engedélyeinek egyenként történő kezelése megvalósíthatónak tűnhet, de az egyéni biztonsági csoportok szervezettebb megközelítést kínálnak a szerepkörök és a szerepkörökhöz kapcsolódó engedélyek felügyeletéhez, biztosítva az egyértelműséget és a könnyű kezelhetőséget.

Feladatok delegálása adott szerepkörökbe

Rendszergazdaként vagy fióktulajdonosként stratégiai megközelítés, ha rendszergazdai feladatokat delegál az adott területeket felügyelő csapattagokra. Az előre meghatározott engedélyekkel és szerepkör-hozzárendelésekkel ellátott elsődleges beépített szerepkörök a következők:

• Olvasók: Csak olvasási hozzáféréssel rendelkezik a projekthez.
• Közreműködők: Tartalom hozzáadásával vagy módosításával hozzájárulhat a projekthez.
• Csapatadminisztrátor: Csoporthoz kapcsolódó beállítások és engedélyek kezelése.
• Projektgazdák: Rendszergazdai jogosultságokkal rendelkezik a projekthez.
• Projektgyűjtemény-rendszergazdák: Felügyelje a teljes projektgyűjteményt, és a legmagasabb szintű engedélyekkel rendelkezzen.

Ezek a szerepkörök megkönnyítik a felelősségek elosztását, és egyszerűsítik a projektterületek kezelését.

További információ: Alapértelmezett engedélyek, hozzáférés és Projektcsoportszintű engedélyek módosítása.

Ha feladatokat szeretne delegálni a szervezet többi tagjának, érdemes lehet létrehozni egy egyéni biztonsági csoportot, majd engedélyeket adni az alábbi táblázatban leírtak szerint.

Szerepkör

Végrehajtandó feladatok

Engedélyezés beállításához szükséges engedélyek

Fejlesztési vezető (Git)

Ágszabályzatok kezelése

Szabályzatok szerkesztése, leküldés kényszerítése és engedélyek kezelése
Lásd: Ágengedélyek beállítása.

Fejlesztési érdeklődő (TFVC)

Adattárak és ágak kezelése

Címkék felügyelete, Ág kezelése és Engedélyek kezelése
Lásd: TFVC-adattárengedélyek beállítása.

Szoftvertervező (Git)

Adattárak kezelése

Adattárak létrehozása, leküldés kényszerítése és engedélyek kezelése
Lásd: Git-adattárengedélyek beállítása

Csapatgazdák

Területútvonalak hozzáadása a csapathoz
Megosztott lekérdezések hozzáadása a csapathoz

Gyermekcsomópontok létrehozása, Csomópont törlése, Csomópont szerkesztése lásd: Gyermekcsomópontok létrehozása, munkaelemek módosítása egy terület elérési útján
Közreműködés, törlés, engedélyek kezelése (lekérdezési mappa esetén), Lásd: Lekérdezési engedélyek beállítása.

Közreműködők

Megosztott lekérdezések hozzáadása lekérdezési mappában, Közreműködés irányítópultokhoz

Közreműködés, törlés (lekérdezési mappa esetén), Lásd: Lekérdezési engedélyek beállítása
Irányítópultok megtekintése, szerkesztése és kezelése, lásd: Irányítópult-engedélyek beállítása.

Projekt- vagy termékmenedzser

Területútvonalak, iterációs útvonalak és megosztott lekérdezések hozzáadása
Munkaelemek törlése és visszaállítása, Munkaelemek áthelyezése a projektből, Munkaelemek végleges törlése

Projektszintű információk szerkesztése, lásd: Projektszintű engedélyek módosítása.

Folyamatsablon-kezelő (Öröklési folyamatmodell)

A munkakövetés testreszabása

Folyamatengedélyek felügyelete, Új projektek létrehozása, Folyamat létrehozása, Mező törlése fiókból, Folyamat törlése, Projekt törlése, Folyamat szerkesztése
Lásd: Projektcsoportszintű engedélyek módosítása.

Folyamatsablon-kezelő (üzemeltetett XML-folyamatmodell)

A munkakövetés testreszabása

Gyűjteményszintű információk szerkesztése, lásd: Projektcsoportszintű engedélyek módosítása.

Projektkezelés (helyszíni XML-folyamatmodell)

A munkakövetés testreszabása

Projektszintű információk szerkesztése, lásd: Projektszintű engedélyek módosítása.

Engedélyek kezelője

Projekt, fiók vagy gyűjtemény engedélyeinek kezelése

Projekt esetén a projektszintű információk szerkesztése
Fiók vagy gyűjtemény esetén a példányszintű (vagy gyűjteményszintű) információk szerkesztése
Az engedélyek hatókörének megismeréséhez tekintse meg az Engedélykeresési útmutatót. Az engedélyek módosításának kéréséhez lásd: Engedélyszintek növelésének kérése.

Az engedélyek személyekhez való hozzárendelése mellett az Azure DevOps különböző objektumainak engedélyeit is kezelheti. Ezek az objektumok a következők:

• Git-adattárak
• Git-ágak
• TFVC-adattárak
• Folyamatok létrehozása és kiadása
• Wikik.

Ezek a hivatkozások részletes lépéseket és irányelveket tartalmaznak az Engedélyek hatékony beállításához és kezeléséhez az Azure DevOps adott területeire vonatkozóan.

A felhasználók láthatóságának korlátozása a szervezeti és projektinformációkra

Fontos

• Az ebben a szakaszban ismertetett korlátozott láthatósági funkciók csak a webes portálon keresztüli interakciókra vonatkoznak. A REST API-k vagy azure devops CLI-parancsok segítségével a projekttagok hozzáférhetnek a korlátozott adatokhoz.
• Azok a vendégfelhasználók, akik a Microsoft Entra-azonosítóban alapértelmezett hozzáféréssel rendelkező korlátozott csoport tagjai, nem kereshetnek felhasználókat a személyválasztóval. Ha az előzetes verziójú funkció ki van kapcsolva a szervezet számára, vagy ha a vendégfelhasználók nem tagjai a korlátozott csoportnak, a vendégfelhasználók a várt módon kereshetnek az összes Microsoft Entra-felhasználóban.

Ha a felhasználókat hozzáadják egy szervezethez, alapértelmezés szerint minden szervezeti és projektinformációt és beállítást áttekintenek. Ennek a hozzáférésnek a testreszabásához a felhasználók láthatóságának és együttműködésének korlátozása adott projektek előzetes verziójára funkció szervezeti szinten is engedélyezhető. További információ: Előzetes verziójú funkciók kezelése.

A funkció aktiválása után a Projekt hatókörű felhasználók csoporthoz tartozó felhasználók korlátozottan láthatják a szervezet beállításait, és nem látják a legtöbb szervezeti beállítást. Hozzáférésük csak azokra a projektekre korlátozódik, amelyekhez kifejezetten hozzáadták őket, így szabályozottabb és biztonságosabb környezetet biztosítanak.

Figyelmeztetés

Ha engedélyezi a felhasználók láthatóságának és együttműködésének korlátozása adott projektek előzetes verziójának funkcióját, azzal megakadályozza, hogy a projekt hatókörű felhasználók a Microsoft Entra-csoporttagságon keresztül keressék a szervezethez hozzáadott felhasználókat, és ne explicit felhasználói meghívón keresztül. Ez egy váratlan viselkedés, és a megoldás folyamatban van. A probléma megoldásához tiltsa le a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójával.

Személyek kiválasztásának korlátozása felhasználók és csoportok kivetítésére

A Microsoft Entra-azonosítóval integrálható szervezetek számára a személyválasztó funkció lehetővé teszi a Microsoft Entra ID-n belüli összes felhasználó és csoport átfogó keresését anélkül, hogy egyetlen projektre korlátozták őket.

A személyválasztó a következő Azure DevOps-funkciókat támogatja:

• Felhasználói identitás kiválasztása a munkakövetési identitásmezőkből, például a Hozzárendelve mezőből.
• A @mention használatával kiválaszthat egy felhasználót vagy csoportot a különböző hozzászólásokban és megjegyzésekben, például a munkaelem-beszélgetésekben, a lekéréses kérelmek megvitatásaiban, a megjegyzések véglegesítésében vagy a módosításokhoz és a polckészletekhez fűzött megjegyzésekben.
• A @mention használatával kijelölhet egy felhasználót vagy csoportot egy wikilapról.

A személyekválasztó használatakor az adatok megadásakor az egyező felhasználóneveket vagy biztonsági csoportokat jeleníti meg az alábbi példában látható módon.

A Projekt hatókörű felhasználók csoport felhasználói és csoportjai számára a láthatóság és a kijelölés a csatlakoztatott projekten belüli felhasználókra és csoportokra korlátozódik. Ha ki szeretné terjeszteni az összes projekttag személyválasztójának hatókörét, olvassa el a Szervezet kezelése, Az identitáskeresés és a kijelölés korlátozása című témakört.

Objektumok megtekintéséhez vagy módosításához való hozzáférés korlátozása

Az Azure DevOps úgy lett kialakítva, hogy minden jogosult felhasználó megtekinthesse a rendszeren belüli összes meghatározott objektumot. Az erőforrásokhoz való hozzáférést azonban úgy szabhatja testre, hogy az engedély állapotát Megtagadás értékre állítja. Egyéni biztonsági csoporthoz vagy egyéni felhasználókhoz tartozó tagokhoz is beállíthat engedélyeket. További információ: Engedélyszintek növelésének kérése.

Korlátozandó terület

A Megtagadás beállításhoz szükséges engedélyek

Tárház megtekintése vagy közreműködés

Megtekintés, közreműködés
Lásd: Git-adattárengedélyek beállítása vagy TFVC-adattárengedélyek beállítása.

Munkaelemek megtekintése, létrehozása vagy módosítása egy terület elérési útján belül

A csomópont munkaelemeinek szerkesztése, a csomópont munkaelemeinek megtekintése
Lásd: Engedélyek és hozzáférés beállítása a munkakövetéshez, munkaelemek módosítása egy terület elérési útján.

Buildelési és kiadási folyamatok kiválasztása vagy frissítése

Buildfolyamat szerkesztése, buildelési folyamat megtekintése
Kiadási folyamat szerkesztése, kiadási folyamat megtekintése
Ezeket az engedélyeket az objektum szintjén állíthatja be. Lásd: Összeállítási és kiadási engedélyek beállítása.

Irányítópult szerkesztése

Irányítópultok megtekintése
Lásd: Irányítópult-engedélyek beállítása.

Munkaelemek módosításának korlátozása vagy mezők kijelölése

A munkaelemek módosításának korlátozását vagy a mezők kijelölését bemutató példákért tekintse meg a mintaszabály-forgatókönyveket.

Következő lépések

Felhasználói fiókok eltávolítása

Kapcsolódó cikkek

• Alapértelmezett engedélyek és hozzáférés
• Engedélykeresési útmutató
• Ismerkedés az engedélyekkel, a hozzáféréssel és a biztonsági csoportokkal
• Engedélyek és csoportok referenciája
• Projektszintű engedélyek módosítása
• Projektcsoportszintű engedélyek módosítása