Condividi tramite

Gestire l'accesso a funzionalità specifiche

  • Articolo

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

La gestione dell'accesso a funzionalità specifiche in Azure DevOps può essere fondamentale per mantenere il giusto equilibrio tra apertura e sicurezza. Sia che si voglia concedere o limitare l'accesso a determinate funzionalità per un gruppo di utenti, comprendere la flessibilità oltre le autorizzazioni standard fornite dai gruppi di sicurezza predefiniti è fondamentale.

Se non si ha familiarità con le autorizzazioni e i gruppi, vedere Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza, che illustra gli elementi essenziali degli stati di autorizzazione e il modo in cui vengono ereditati.

Suggerimento

La struttura del progetto in Azure DevOps svolge un ruolo fondamentale nella determinazione della granularità delle autorizzazioni a livello di oggetto, ad esempio repository e percorsi di area. Questa struttura è la base che consente di ottimizzare i controlli di accesso, consentendo di delineare in modo specifico quali aree sono accessibili o limitate. Per altre informazioni, vedere Informazioni sui progetti e sul ridimensionamento dell'organizzazione.

Usare i gruppi di sicurezza

Per una manutenzione ottimale, è consigliabile usare i gruppi di sicurezza predefiniti o stabilire gruppi di sicurezza personalizzati per gestire le autorizzazioni. Le impostazioni di autorizzazione per i gruppi Amministratori progetto e Amministratori raccolta progetti sono fisse per progettazione e non possono essere modificate. Tuttavia, è possibile modificare le autorizzazioni per tutti gli altri gruppi.

La gestione delle autorizzazioni per un numero ridotto di utenti singolarmente potrebbe sembrare fattibile, ma i gruppi di sicurezza personalizzati offrono un approccio più organizzato per supervisionare i ruoli e le autorizzazioni associate a tali ruoli, garantendo chiarezza e facilità di gestione.

Delegare le attività a ruoli specifici

Come amministratore o proprietario dell'account, delegare le attività amministrative ai membri del team che supervisionano aree specifiche è un approccio strategico. I ruoli predefiniti principali dotati di autorizzazioni predefinite e assegnazioni di ruolo includono:

  • Lettori: avere accesso in sola lettura al progetto.
  • Collaboratori: può contribuire al progetto aggiungendo o modificando il contenuto.
  • Amministratore del team: gestire le impostazioni e le autorizzazioni correlate al team.
  • Amministratori progetto: disporre dei diritti amministrativi per il progetto.
  • Amministratori raccolta progetti: supervisionare l'intera raccolta di progetti e avere il massimo livello di autorizzazioni.

Questi ruoli facilitano la distribuzione delle responsabilità e semplificano la gestione delle aree di progetto.

Per altre informazioni, vedere Autorizzazioni predefinite e accesso e Modifica delle autorizzazioni a livello di raccolta del progetto.

Per delegare le attività ad altri membri all'interno dell'organizzazione, è consigliabile creare un gruppo di sicurezza personalizzato e quindi concedere le autorizzazioni come indicato nella tabella seguente.

Ruolo

Attività da eseguire

Autorizzazioni da impostare su Consenti

Lead di sviluppo (Git)

Gestire i criteri dei rami

Modificare i criteri, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni per i rami.

Responsabile sviluppo (TFVC)

Gestire repository e rami

Amministrare le etichette, gestire i rami e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository TFVC.

Progettista software (Git)

Gestire i repository

Creare repository, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository Git

Amministratori del team

Aggiungere percorsi di area per il team
Aggiungere query condivise per il team

Creare nodi figlio, eliminare questo nodo, modificare questo nodo Vedere Creare nodi figlio, modificare gli elementi di lavoro in un percorso di area
Contribuire, eliminare, gestire le autorizzazioni (per una cartella di query), vedere Impostare le autorizzazioni per le query.

Collaboratori

Aggiungere query condivise in una cartella di query, Contribuire ai dashboard

Contribuire, eliminare (per una cartella di query), vedere Impostare le autorizzazioni per le query
Visualizzare, modificare e gestire i dashboard, vedere Impostare le autorizzazioni del dashboard.

Project o product manager

Aggiungere percorsi di area, percorsi di iterazione e query condivise
Eliminare e ripristinare elementi di lavoro, spostare gli elementi di lavoro da questo progetto, eliminare definitivamente gli elementi di lavoro

Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.

Gestione modelli di processo (modello di processo di ereditarietà)

Personalizzazione del rilevamento del lavoro

Amministrare le autorizzazioni di processo, Creare nuovi progetti, Crea processo, Elimina campo dall'account, Elimina processo, Elimina progetto, Modifica processo
Vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Gestione modelli di processo (modello di processo XML ospitato)

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di raccolta, vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Gestione dei progetti (modello di processo XML locale)

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.

Gestione autorizzazioni

Gestire le autorizzazioni per un progetto, un account o una raccolta

Per un progetto, Modificare le informazioni a livello di progetto
Per un account o una raccolta, Modificare le informazioni a livello di istanza (o a livello di raccolta)
Per comprendere l'ambito di queste autorizzazioni, vedere Guida alla ricerca delle autorizzazioni. Per richiedere una modifica delle autorizzazioni, vedere Richiedere un aumento dei livelli di autorizzazione.

Oltre ad assegnare autorizzazioni a singoli utenti, è possibile gestire le autorizzazioni per vari oggetti all'interno di Azure DevOps. Questi oggetti includono:

Questi collegamenti forniscono procedure dettagliate e linee guida per la configurazione e la gestione delle autorizzazioni in modo efficace per le rispettive aree in Azure DevOps.

Limitare la visibilità degli utenti alle informazioni sull'organizzazione e sul progetto

Importante

  • Le funzionalità di visibilità limitate descritte in questa sezione si applicano solo alle interazioni tramite il portale Web. Con le API REST o azure devops i comandi dell'interfaccia della riga di comando, i membri del progetto possono accedere ai dati limitati.
  • Gli utenti guest membri del gruppo limitato con accesso predefinito in Microsoft Entra ID non possono cercare gli utenti con la selezione utenti. Quando la funzionalità di anteprima è disattivata per l'organizzazione o quando gli utenti guest non sono membri del gruppo limitato, gli utenti guest possono cercare tutti gli utenti di Microsoft Entra, come previsto.

Per impostazione predefinita, quando gli utenti vengono aggiunti a un'organizzazione, ottengono visibilità su tutte le informazioni e le impostazioni del progetto e dell'organizzazione. Per personalizzare questo accesso, è possibile abilitare la funzionalità Limita visibilità utente e collaborazione a progetti specifici a livello di organizzazione. Per altre informazioni, vedere Gestire le funzionalità di anteprima.

Una volta attivata questa funzionalità, gli utenti che fanno parte del gruppo Utenti con ambito progetto hanno visibilità limitata, non è in grado di visualizzare la maggior parte delle impostazioni dell'organizzazione. L'accesso è limitato ai progetti a cui sono stati aggiunti in modo esplicito, garantendo un ambiente più controllato e sicuro.

Avviso

L'abilitazione della funzionalità Limita visibilità utente e collaborazione a progetti specifici impedisce agli utenti con ambito progetto di cercare utenti aggiunti all'organizzazione tramite l'appartenenza al gruppo Microsoft Entra, anziché tramite un invito esplicito dell'utente. Si tratta di un comportamento imprevisto e una risoluzione è in corso. Per risolvere questo problema, disabilitare la funzionalità Limita visibilità utente e collaborazione a progetti specifici per l'organizzazione.

Limitare la selezione utenti a utenti e gruppi di progetto

Per le organizzazioni che si integrano con Microsoft Entra ID, la funzionalità selezione persone consente una ricerca completa in tutti gli utenti e i gruppi all'interno di Microsoft Entra ID, senza essere limitato a un singolo progetto.

La selezione utenti supporta le funzionalità di Azure DevOps seguenti:

  • Selezione di un'identità utente dai campi identità di rilevamento del lavoro, ad esempio Assegnato a.
  • Utilizzando @mention per selezionare un utente o un gruppo in varie discussioni e commenti, ad esempio discussioni sugli elementi di lavoro, discussioni sulle richieste pull, commenti di commit o commenti su insiemi di modifiche e insiemi di scaffali.
  • Utilizzo di @mention per selezionare un utente o un gruppo da una pagina wiki.

Quando si usa la selezione utenti, quando si immettono informazioni, vengono visualizzati i nomi utente o i gruppi di sicurezza corrispondenti, come illustrato nell'esempio seguente.

Screenshot della selezione utenti

Per utenti e gruppi all'interno del gruppo Project-Scoped Users , la visibilità e la selezione sono limitati a utenti e gruppi all'interno del progetto connesso. Per estendere l'ambito della selezione utenti per tutti i membri del progetto, vedere Gestire l'organizzazione, Limitare la ricerca e la selezione delle identità.

Limitare l'accesso alla visualizzazione o alla modifica di oggetti

Azure DevOps è progettato per consentire a tutti gli utenti autorizzati di visualizzare tutti gli oggetti definiti all'interno del sistema. Tuttavia, è possibile personalizzare l'accesso alle risorse impostando lo stato di autorizzazione su Nega. È possibile impostare le autorizzazioni per i membri che appartengono a un gruppo di sicurezza personalizzato o per singoli utenti. Per altre informazioni, vedere Richiedere un aumento dei livelli di autorizzazione.

Area da limitare

Autorizzazioni da impostare su Nega

Visualizzare o contribuire a un repository

Visualizza, Contribuisci
Vedere Impostare le autorizzazioni del repository Git o Impostare le autorizzazioni del repository TFVC.

Visualizzare, creare o modificare elementi di lavoro all'interno di un percorso di area

Modificare gli elementi di lavoro in questo nodo, visualizzare gli elementi di lavoro in questo nodo
Vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Modificare gli elementi di lavoro in un percorso di area.

Visualizzare o aggiornare selezionare pipeline di compilazione e versione

Modificare la pipeline di compilazione, Visualizzare la pipeline di compilazione
Modificare la pipeline di versione, visualizzare la pipeline di versione
Queste autorizzazioni vengono impostate a livello di oggetto. Vedere Impostare le autorizzazioni di compilazione e rilascio.

Modificare un dashboard

Visualizzare dashboard
Vedere Impostare le autorizzazioni del dashboard.

Limitare la modifica degli elementi di lavoro o selezionare i campi

Per esempi che illustrano come limitare la modifica degli elementi di lavoro o selezionare i campi, vedere Scenari di regole di esempio.

Passaggi successivi

Rimuovere gli account utente