Concedere o limitare l'accesso usando le autorizzazioni

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

È possibile concedere o limitare l'accesso alle risorse gestite in Azure DevOps. È possibile aprire o chiudere l'accesso a un set selezionato di funzionalità e per un set selezionato di utenti. Sebbene i gruppi di sicurezza predefiniti forniscano un set standard di assegnazioni di autorizzazioni, potrebbero essere necessari requisiti di sicurezza aggiuntivi non soddisfatti da queste assegnazioni.

Se non si ha familiarità con l'amministrazione di autorizzazioni e gruppi, vedere Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezzaper informazioni sugli stati di autorizzazione e sull'ereditarietà.

Questo articolo illustra come eseguire le attività seguenti:

  • Metodo consigliato per concedere e limitare le autorizzazioni
  • Delegare le attività assegnando autorizzazioni di selezione a ruoli specifici
  • Limitare la visibilità alle informazioni sull'organizzazione
  • Limitare la selezione utenti a utenti e gruppi di progetto
  • Limitare l'accesso alla visualizzazione o alla modifica degli oggetti
  • Limitare la modifica degli elementi di lavoro in base a un utente o a un gruppo
  • Metodo consigliato per concedere e limitare le autorizzazioni
  • Delegare le attività assegnando autorizzazioni di selezione a ruoli specifici
  • Limitare l'accesso alla visualizzazione o alla modifica degli oggetti
  • Limitare la modifica degli elementi di lavoro in base a un utente o a un gruppo

Suggerimento

Poiché si impostano molte autorizzazioni a livello di oggetto, ad esempio repository e percorsi di area, la struttura del progetto determina le aree che è possibile aprire o chiudere.

A scopo di manutenzione, è consigliabile usare i gruppi di sicurezza predefiniti o i gruppi di sicurezza personalizzati per gestire le autorizzazioni.

Non è possibile modificare le impostazioni di autorizzazione per il gruppo Amministratori progetto o il gruppo Amministratori raccolta progetti, ovvero in base alla progettazione. Tuttavia, per tutti gli altri gruppi, è possibile modificare le autorizzazioni.

Se si gestisce un numero ridotto di utenti, è possibile che vengano modificate le singole autorizzazioni un'opzione valida. Tuttavia, i gruppi di sicurezza personalizzati consentono di tenere traccia dei ruoli e delle autorizzazioni assegnati a tali ruoli.

Delegare attività a ruoli specifici

In qualità di amministratore o proprietario dell'account, è consigliabile delegare le attività amministrative ai membri del team che conducono o gestiscono un'area. Diversi dei ruoli predefiniti principali inclusi con autorizzazioni predefinite e assegnazioni di ruolo sono:

  • Lettori
  • Autori di contributi
  • Amministratore del team (ruolo)
  • Project Administrators
  • Project Collection Administrators

Per un riepilogo delle autorizzazioni per i ruoli precedenti, vedere Autorizzazioni e accesso predefiniti o per gli amministratori della raccolta di progetti, vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Per delegare le attività ad altri membri all'interno dell'organizzazione, è consigliabile creare un gruppo di sicurezza personalizzato e quindi concedere le autorizzazioni come indicato nella tabella seguente.

Ruolo

Attività da eseguire

Autorizzazioni da impostare su Consenti

Lead di sviluppo (Git)

Gestire i criteri dei rami

Modificare i criteri, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni per i rami.

Responsabile sviluppo (TFVC)

Gestire repository e rami

Amministrare le etichette, gestire i rami e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository TFVC.

Progettista software (Git)

Gestire i repository

Creare repository, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository Git

Amministratori del team

Aggiungere percorsi di area per il team
Aggiungere query condivise per il team

Creare nodi figlio, Eliminare questo nodo, Modificare questo nodo Vedere Creare nodi figlio, modificare gli elementi di lavoro in un percorso di area
Contribuire, eliminare, gestire le autorizzazioni (per una cartella di query), vedere Impostare le autorizzazioni di query.

Autori di contributi

Aggiungere query condivise in una cartella di query, Contribuire ai dashboard

Contribuire, eliminare (per una cartella di query), vedere Impostare le autorizzazioni per le query
Visualizzare, modificare e gestire i dashboard, vedere Impostare le autorizzazioni del dashboard.

Project o product manager

Aggiungere percorsi di area, percorsi di iterazione e query condivise
Eliminare e ripristinare elementi di lavoro, spostare elementi di lavoro all'esterno di questo progetto, eliminare definitivamente gli elementi di lavoro

Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.

Personalizzazione del rilevamento del lavoro

Amministrare le autorizzazioni di processo, Creare nuovi progetti, Crea processo, Elimina campo dall'account, Elimina processo, Elimina progetto, Processo di modifica
Vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di raccolta, vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Gestione dei progetti (modello di processo XML locale)

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.

Gestione autorizzazioni

Gestire le autorizzazioni per un progetto, un account o una raccolta

Per un progetto, modificare le informazioni a livello di progetto
Per un account o una raccolta, modificare le informazioni a livello di istanza (o a livello di raccolta)
Per comprendere l'ambito di queste autorizzazioni, vedere Guida alla ricerca delle autorizzazioni. Per richiedere una modifica delle autorizzazioni, vedere Richiedere un aumento dei livelli di autorizzazione.

È anche possibile concedere autorizzazioni per gestire le autorizzazioni per gli oggetti seguenti:

Limitare la visibilità alle informazioni sull'organizzazione e sul progetto

Per impostazione predefinita, gli utenti aggiunti a un'organizzazione possono visualizzare tutte le informazioni e le impostazioni del progetto e dell'organizzazione. Per limitare l'accesso solo ai progetti a cui si aggiungono utenti, è possibile abilitare la funzionalità Limita visibilità utente e collaborazione a progetti specifici per l'organizzazione. Per abilitare questa funzionalità, vedere Gestire o abilitare le funzionalità.

Con questa funzionalità abilitata, gli utenti aggiunti al gruppo Utenti con ambito progetto non possono visualizzare la maggior parte delle impostazioni dell'organizzazione e possono connettersi solo a tali progetti a cui sono stati aggiunti.

Limitare la selezione utenti a utenti e gruppi di progetto

Per le organizzazioni che gestiscono utenti e gruppi usando Azure Active Directory (Azure AD), i selezione utenti forniscono supporto per la ricerca di tutti gli utenti e i gruppi aggiunti ad Azure AD, non solo quelli aggiunti a un progetto. Gli strumenti di selezione persone supportano le funzioni di Azure DevOps seguenti:

  • Selezione di un'identità utente da un campo identità di rilevamento del lavoro, ad esempio Assegnato a
  • Selezione di un utente o di un gruppo utilizzando @mention in una discussione dell'elemento di lavoro o in un campo RTF, una discussione di richiesta pull, commenti di commit o un insieme di modifiche o un insieme di scaffali
  • Selezione di un utente o di un gruppo utilizzando @mention da una pagina wiki

Come illustrato nell'immagine seguente, è sufficiente iniziare a digitare in una casella di selezione persone fino a trovare una corrispondenza con un nome utente o un gruppo di sicurezza.

Screenshot della selezione utenti

Gli utenti e i gruppi aggiunti al gruppo Utenti con ambito progetto possono visualizzare e selezionare solo utenti e gruppi nel progetto a cui sono connessi da una selezione utenti. Per definire l'ambito delle selezioni utenti per tutti i membri del progetto , vedere Gestire l'organizzazione, Limitare la ricerca e la selezione delle identità.

Limitare l'accesso alla visualizzazione o alla modifica di oggetti

Azure DevOps è progettato per consentire a tutti gli utenti validi di visualizzare tutti gli oggetti definiti nel sistema. È possibile limitare l'accesso alle risorse impostando lo stato di autorizzazione su Nega. È possibile impostare le autorizzazioni per i membri che appartengono a un gruppo di sicurezza personalizzato o per un singolo utente. Per altre informazioni su come impostare questi tipi di autorizzazioni, vedere Richiedere un aumento dei livelli di autorizzazione.

Area da limitare

Autorizzazioni da impostare su Nega

Visualizzare o contribuire a un repository

Visualizzare, creare o modificare elementi di lavoro all'interno di un percorso dell'area

Modificare gli elementi di lavoro in questo nodo, visualizzare gli elementi di lavoro in questo nodo
Vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Modificare gli elementi di lavoro in un percorso di area.

Visualizzare o aggiornare le pipeline di compilazione e rilascio

Modificare la pipeline di compilazione, visualizzare la pipeline di compilazione
Modificare la pipeline di versione, Visualizzare la pipeline di versione
Queste autorizzazioni vengono impostate a livello di oggetto. Vedere Impostare le autorizzazioni di compilazione e rilascio.

Modificare un dashboard

Visualizzare i dashboard
Vedere Impostare le autorizzazioni del dashboard.

Limitare la modifica degli elementi di lavoro o selezionare i campi

Per esempi che illustrano come limitare la modifica degli elementi di lavoro o selezionare campi, vedere Scenari di regole di esempio.

Passaggi successivi