Gestire l'accesso a funzionalità specifiche
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
La gestione dell'accesso a funzionalità specifiche in Azure DevOps può essere fondamentale per mantenere il giusto equilibrio tra apertura e sicurezza. Sia che si voglia concedere o limitare l'accesso a determinate funzionalità per un gruppo di utenti, comprendere la flessibilità oltre le autorizzazioni standard fornite dai gruppi di sicurezza predefiniti è fondamentale.
Se non si ha familiarità con le autorizzazioni e i gruppi, vedere Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza. Questo articolo illustra le nozioni di base degli stati di autorizzazione e il modo in cui ereditano.
Suggerimento
La struttura del progetto in Azure DevOps svolge un ruolo fondamentale nella determinazione della granularità delle autorizzazioni a livello di oggetto, ad esempio repository e percorsi di area. Questa struttura è la base che consente di ottimizzare i controlli di accesso, consentendo di delineare in modo specifico quali aree sono accessibili o limitate. Per altre informazioni, vedere Informazioni sui progetti e sul ridimensionamento dell'organizzazione.
Prerequisiti
Categoria | Requisiti |
---|---|
Autorizzazioni | Membro del gruppo degli Amministratori della Collezione di Progetti . I proprietari dell'organizzazione sono automaticamente membri di questo gruppo. |
Usare i gruppi di sicurezza
Per una manutenzione ottimale, è consigliabile usare i gruppi di sicurezza predefiniti o stabilire gruppi di sicurezza personalizzati per gestire le autorizzazioni. Le impostazioni di autorizzazione per i gruppi Amministratori del Progetto e Amministratori della Raccolta di Progetti sono definite per progettazione e non possono essere modificate. Tuttavia, è possibile modificare le autorizzazioni per tutti gli altri gruppi.
La gestione delle autorizzazioni per alcuni utenti singolarmente potrebbe sembrare fattibile, ma i gruppi di sicurezza personalizzati offrono un approccio più organizzato. Semplificano la supervisione dei ruoli e delle autorizzazioni associate, garantendo chiarezza e facilità di progettazione della gestione e non possono essere modificati. Tuttavia, è possibile modificare le autorizzazioni per tutti gli altri gruppi.
Delegare le attività a ruoli specifici
In qualità di amministratore o proprietario dell'organizzazione, delegare le attività amministrative ai membri del team che supervisionano aree specifiche è un approccio strategico. I ruoli predefiniti principali dotati di autorizzazioni predefinite e assegnazioni di ruolo includono:
- Lettori: avere accesso in sola lettura al progetto.
- Collaboratori: può contribuire al progetto aggiungendo o modificando il contenuto.
- Amministratore del team: gestire le impostazioni e le autorizzazioni correlate al team.
- Amministratori progetto: disporre dei diritti amministrativi per il progetto.
- Amministratori raccolta progetti: supervisionare l'intera raccolta di progetti e avere il massimo livello di autorizzazioni.
Questi ruoli facilitano la distribuzione delle responsabilità e semplificano la gestione delle aree di progetto.
Per altre informazioni, vedere Autorizzazioni predefinite e accesso e Modifica delle autorizzazioni a livello di raccolta del progetto.
Per delegare le attività ad altri membri all'interno dell'organizzazione, è consigliabile creare un gruppo di sicurezza personalizzato e quindi concedere le autorizzazioni come indicato nella tabella seguente.
Ruolo
Attività da eseguire
Autorizzazioni da impostare su Consenti
Lead di sviluppo (Git)
Gestire i criteri dei rami
Modificare i criteri, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni per i rami.
Responsabile dello sviluppo (Team Foundation Version Control (TFVC))
Gestire repository e rami
Amministrare le etichette, gestire i rami e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository TFVC.
Progettista software (Git)
Gestire i repository
Creare repository, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository Git
Amministratori del team
Aggiungere percorsi di area per il team
Aggiungere query condivise per il team
Creare nodi figlio, eliminare questo nodo, modificare questo nodo Vedere Creare nodi figlio, modificare gli elementi di lavoro in un percorso di area
Contribuire, eliminare, gestire le autorizzazioni (per una cartella di query), vedere Impostare le autorizzazioni per le query.
Collaboratori
Aggiungere query condivise in una cartella di query, Contribuire ai dashboard
Contribuire, eliminare (per una cartella di query), vedere Impostare le autorizzazioni per le query
Visualizzare, modificare e gestire i dashboard, vedere Impostare le autorizzazioni del dashboard.
Project o product manager
Aggiungere percorsi di area, percorsi di iterazione e query condivise
Eliminare e ripristinare elementi di lavoro, spostare gli elementi di lavoro da questo progetto, eliminare definitivamente gli elementi di lavoro
Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.
Gestione modelli di processo (modello di processo di ereditarietà)
Personalizzazione del rilevamento del lavoro
Amministrare le autorizzazioni di processo, Creare nuovi progetti, Crea processo, Elimina campo dall'account, Elimina processo, Elimina progetto, Modifica processo
Vedere Modificare le autorizzazioni a livello di raccolta del progetto.
Gestione modelli di processo (modello di processo XML ospitato)
Personalizzazione del rilevamento del lavoro
Modificare le informazioni a livello di raccolta, vedere Modificare le autorizzazioni a livello di raccolta del progetto.
Gestione dei progetti (modello di processo XML locale)
Personalizzazione del rilevamento del lavoro
Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.
Gestione autorizzazioni
Gestire le autorizzazioni per un progetto, un account o una raccolta
Per un progetto, Modificare le informazioni a livello di progetto
Per un account o una raccolta, Modificare le informazioni a livello di istanza (o a livello di raccolta)
Per comprendere l'ambito di queste autorizzazioni, vedere Guida alla ricerca delle autorizzazioni. Per richiedere una modifica delle autorizzazioni, vedere Richiedere un aumento dei livelli di autorizzazione.
Oltre ad assegnare autorizzazioni a singoli utenti, è possibile gestire le autorizzazioni per vari oggetti all'interno di Azure DevOps. Questi oggetti includono:
Questi collegamenti forniscono procedure dettagliate e linee guida per la configurazione e la gestione delle autorizzazioni in modo efficace per le rispettive aree in Azure DevOps.
Limitare la visibilità degli utenti
Avviso
Quando si usa questa funzionalità di anteprima, considerare le limitazioni seguenti:
- Le funzionalità di visibilità limitate descritte in questa sezione si applicano solo alle interazioni tramite il portale Web. Con le API REST o
azure devops
i comandi dell'interfaccia della riga di comando, i membri del progetto possono accedere ai dati limitati. - Gli utenti del gruppo limitato possono selezionare solo gli utenti che vengono aggiunti in modo esplicito ad Azure DevOps e non agli utenti che hanno accesso tramite l'appartenenza al gruppo Microsoft Entra.
- Gli utenti guest membri del gruppo limitato con accesso predefinito in Microsoft Entra ID non possono cercare gli utenti con la selezione utenti.
Organizzazioni e progetti
Per impostazione predefinita, gli utenti aggiunti a un'organizzazione possono visualizzare tutte le informazioni e le impostazioni del progetto. È possibile limitare la visibilità e la collaborazione degli utenti specifici, come stakeholder, utenti di Microsoft Entra o membri di un particolare gruppo di sicurezza, ai progetti specifici utilizzando la funzionalità di anteprima Limitare la visibilità e la collaborazione degli utenti a progetti specifici per l'organizzazione. Una volta che la funzionalità viene attivata, qualsiasi utente o gruppo che viene aggiunto al gruppo Project-Scoped Utenti è limitato nei modi seguenti:
- L'accesso è limitato solo ai progetti a cui vengono aggiunti in modo esplicito.
- Le visualizzazioni che visualizzano elenchi di utenti, progetti, dettagli di fatturazione, dati di utilizzo e più accessibili tramite impostazioni dell'organizzazione sono limitate.
- Il set di persone o gruppi visualizzati nelle selezioni di ricerca selezione persone e la possibilità di @mention persone è limitata.
Ricerca e selezione delle identità
Con Microsoft Entra ID, è possibile usare i selettore utenti per cercare qualsiasi utente o gruppo nell'organizzazione, non solo quelli nel progetto corrente. Le selezione utenti supportano le funzioni di Azure DevOps seguenti:
- Selezione di un'identità utente da un campo identità di rilevamento del lavoro, ad esempio Assegnato a
- Selezione di un utente o di un gruppo utilizzando @mention in un campo di discussione o rtf di un elemento di lavoro, una discussione di richiesta pull, commenti di commit o set di modifiche o commenti degli scaffali
- Selezione di un utente o di un gruppo utilizzando @mention da una pagina wiki
Come illustrato nell'immagine seguente, iniziare a immettere un nome utente o un gruppo di sicurezza in una casella di selezione utenti fino a trovare una corrispondenza.
Gli utenti e i gruppi aggiunti al gruppo Utenti con ambito progetto possono visualizzare e selezionare solo utenti e gruppi nel progetto a cui sono connessi da una selezione utenti.
Attivare la funzionalità di anteprima e aggiungere utenti al gruppo di sicurezza
Seguire questa procedura per attivare la funzionalità di anteprima e aggiungere utenti e gruppi al gruppo utenti Project-Scoped:
Attivare il Limitare la visibilità e la collaborazione degli utenti a progetti specificifunzionalità di anteprima per l'organizzazione.
Aggiungere gli utenti al progetto come descritto in Aggiungere utenti a un progetto o a un team. Gli utenti aggiunti a un team vengono aggiunti automaticamente al progetto e al gruppo di team.
Aprire e scegliere > con ambito progetto. Seleziona la scheda Membri.
Aggiungere tutti gli utenti e i gruppi a cui si vuole definire l'ambito del progetto a cui vengono aggiunti. Per altre informazioni, vedere Impostare le autorizzazioni a livello di progetto o raccolta.
Il gruppo Project-Scoped utenti appare solo sotto le autorizzazioni>gruppi quando è attivata la funzionalità di anteprima Limitare la visibilità e la collaborazione degli utenti a progetti specifici.
Tutti i gruppi di sicurezza in Azure DevOps sono considerati entità a livello di organizzazione, anche se hanno solo le autorizzazioni per un progetto specifico. Ciò significa che i gruppi di sicurezza vengono gestiti a livello di organizzazione.
Dal portale Web, la visibilità di alcuni gruppi di sicurezza potrebbe essere limitata in base alle autorizzazioni dell'utente. Tuttavia, è comunque possibile individuare i nomi di tutti i gruppi di sicurezza all'interno di un'organizzazione usando lo strumento azure devops interfaccia della riga di comando o le API REST. Per altre informazioni, vedere Aggiungere e gestire gruppi di sicurezza.
Limitare l'accesso alla visualizzazione o alla modifica di oggetti
Azure DevOps è progettato per consentire a tutti gli utenti autorizzati di visualizzare tutti gli oggetti definiti all'interno del sistema. Tuttavia, è possibile personalizzare l'accesso alle risorse impostando lo stato di autorizzazione su Nega. È possibile impostare le autorizzazioni per i membri che appartengono a un gruppo di sicurezza personalizzato o per singoli utenti. Per altre informazioni, vedere Richiedere un aumento dei livelli di autorizzazione.
Area da limitare
Autorizzazioni da impostare su Nega
Visualizzare o contribuire a un repository
Visualizza, Contribuisci
Vedere Impostare le autorizzazioni del repository Git o Impostare le autorizzazioni del repository TFVC.
Visualizzare, creare o modificare elementi di lavoro all'interno di un percorso di area
Modificare gli elementi di lavoro in questo nodo, visualizzare gli elementi di lavoro in questo nodo
Vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Modificare gli elementi di lavoro in un percorso di area.
Visualizzare o aggiornare selezionare pipeline di compilazione e versione
Modificare la pipeline di compilazione, Visualizzare la pipeline di compilazione
Modificare la pipeline di versione, visualizzare la pipeline di versione
Queste autorizzazioni vengono impostate a livello di oggetto. Vedere Impostare le autorizzazioni di compilazione e rilascio.
Modificare un dashboard
Visualizzare dashboard
Vedere Impostare le autorizzazioni del dashboard.
Limitare la modifica degli elementi di lavoro o selezionare i campi
Per esempi che illustrano come limitare la modifica degli elementi di lavoro o selezionare i campi, vedere Scenari di regole di esempio.
Passaggi successivi
Articoli correlati
- Visualizzare le autorizzazioni predefinite e l'accesso
- Usare la guida alla ricerca delle autorizzazioni
- Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza
- Fare riferimento alle autorizzazioni e ai gruppi
- Modificare le autorizzazioni a livello di progetto
- Modificare le autorizzazioni a livello di raccolta del progetto