Azure DevOps のセキュリティ名前空間とアクセス許可のリファレンス

  • [アーティクル]

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

セキュリティ名前空間は、アクセス制御リスト (ACL) をトークンに格納するために使用されます。 セキュリティ名前空間に格納されているデータは、次のエンティティが特定のリソースに対して特定のアクションを実行するために必要なアクセスレベルを決定します。

  • Azure DevOps ユーザー
  • Azure DevOps Organization の所有者
  • Azure DevOps セキュリティ グループのメンバー
  • Azure DevOps サービス アカウント
  • Azure DevOps サービス プリンシパル

作業項目や Git リポジトリなどのリソースの各ファミリは、一意の名前空間によって保護されます。 各セキュリティ名前空間には、0 個以上の ACL が含まれています。 各 ACL には、トークン、継承フラグ、および 0 個以上のアクセス制御エントリ (ACE) のセットが含まれています。 各 ACE には、ID 記述子、許可されたアクセス許可ビットマスク、および拒否されたアクセス許可ビットマスクが含まれています。 トークンは、Azure DevOps のリソースを表す任意の文字列です。

注意

名前空間とトークンは、Azure DevOps のすべてのバージョンで有効です。 ここに記載されているものは、Azure DevOps 2019 以降のバージョンで有効です。 名前空間は、時間の経過と同時に変更される可能性があります。 名前空間の最新の一覧を取得するには、コマンド ライン ツールまたは REST API のいずれかを実行します。 一部の名前空間は、この記事で後述する「 非推奨と読み取り専用の名前空間 」セクションに記載されているように非推奨になりました。

アクセス許可管理ツール

アクセス許可を管理するための推奨される方法は、Web ポータルを使用することです。 ただし、Web ポータルで表示されないアクセス許可を設定する必要がある場合や、より詳細なアクセス許可を設定する必要がある場合は、コマンド ライン ツールまたは REST API のいずれかを使用できます。

すべての Azure DevOps インスタンスに対して、 Security REST API を使用できます。

セキュリティ名前空間とその ID

この記事では、有効な名前空間について説明し、関連するアクセス許可を一覧表示し、詳細情報へのリンクを提供します。 多くのセキュリティ名前空間は、[ セキュリティ ] または [アクセス許可] Web ポータル ページで設定した アクセス許可 に対応しています。 その他の名前空間や選択したアクセス許可は、Web ポータルを介して表示されません。 既定では、セキュリティ グループまたは Azure DevOps サービス プリンシパルのメンバーにアクセス権を付与します。 名前空間は、Web ポータルを使用して管理する方法に基づいて、次のカテゴリにグループ化されています。

  • オブジェクト レベル
  • プロジェクト レベル
  • 組織レベルまたはコレクション レベル
  • サーバー レベル (オンプレミスのみ)
  • ロールベース
  • 内部使用のみ

階層とトークン

セキュリティ名前空間は、階層型でもフラット型でもかまいません。 階層型名前空間内のトークンは、親トークンから子トークンに継承された有効なアクセス許可を持つ階層内に存在します。 フラット名前空間のトークンには、2 つのトークン間の親子関係の概念はありません。

階層型名前空間内のトークンは、各パス 部分の固定長または可変長のいずれかです。 トークンに可変長パス部分がある場合は、区切り文字を使用して、1 つのパス パーツが終了し、もう 1 つのパス パーツが開始する場所を区別します。

セキュリティ トークンでは、大文字と小文字は区別されません。 次のセクションでは、さまざまな名前空間のトークンの例を示します。

オブジェクト レベルの名前空間とアクセス許可

次の表では、オブジェクト レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、各オブジェクトの Web ポータル ページで管理されます。 権限はプロジェクト レベルで設定され、変更されない限りオブジェクト レベルで継承されます。

Namespace

アクセス許可

説明

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

レポートの読み取り、編集、削除、生成を行うプロジェクト レベルおよびオブジェクト レベルのアクセス許可を Analytics ビューで管理します。 これらのアクセス許可は、 ユーザー インターフェイスから各 Analytics ビューに対して管理できます。

プロジェクト レベルのアクセス許可のトークン形式: $/Shared/PROJECT_ID
: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

Id:d34d3680-dfe5-4cc6-a949-7d9c68f73cba

ビルド

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

プロジェクト レベルおよびオブジェクト レベルでビルド権限を管理します。

プロジェクト レベルのビルドアクセス許可のトークン形式: PROJECT_ID
特定のビルド定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのビルド定義のセキュリティ トークンは次のようになります。
プロジェクト レベルの特定のビルドアクセス許可のトークン形式: PROJECT_ID/12
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

Id:33344d9c-fc72-4d6f-aba5-fa317101a7e9

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

子ノードを作成、編集、削除するためのエリア パス オブジェクト レベルのアクセス許可を管理し、ノード内の作業項目を表示または編集するためのアクセス許可を設定します。 これらのアクセス許可は、 作業追跡のアクセス許可とアクセスの設定、子ノードの作成、エリア パスの下の作業項目の変更を使用して管理できます。

Id:83e28ad4-2d72-4ceb-97b0-c7726d5502c3

DashboardsPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

ダッシュボードを編集および削除するためのダッシュボード オブジェクト レベルのアクセス許可を管理し、プロジェクト ダッシュボードのアクセス許可を管理します。 これらのアクセス許可は、ダッシュボードの ユーザー インターフェイスを使用して管理できます。

Id:8adf73b7-389a-4276-b638-fe1653f7efc7

Git リポジトリ

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

プロジェクト レベルおよびオブジェクト レベルで Git リポジトリのアクセス許可を管理します。 これらのアクセス許可は、 プロジェクト設定のリポジトリ管理インターフェイスを使用して管理できます。

このアクセス許可はAdminister、2017 年に複数の詳細なアクセス許可に分割されており、使用しないでください。
プロジェクト レベルのアクセス許可のトークン形式: repoV2/PROJECT_ID
リポジトリ レベルのアクセス許可を更新するには、 を追加 RepositoryID する必要があります。

リポジトリ固有のアクセス許可のトークン形式: repoV2/PROJECT_ID/REPO_ID

Id:2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

イテレーション

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

子ノードの作成、編集、削除、および子ノードのアクセス許可の表示を行う反復パス オブジェクト レベルのアクセス許可を管理します。 Web ポータルを使用して管理するには、「 作業追跡のアクセス許可とアクセス権を設定する」の「子ノードの作成」を参照してください。
トークンの形式: 'vstfs:///Classification/Node/Iteration_Identifier/'
たとえば、チームに対して次のイテレーションが構成されているとします。
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

のアクセス許可を ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1更新するには、セキュリティ トークンは次のようになります。
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

Id:bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

MetaTask

Administer
Edit
Delete

タスク グループを編集および削除するためのタスク グループのアクセス許可を管理し、タスク グループのアクセス許可を管理します。 Web ポータルを使用して管理するには、「 パイプラインのアクセス許可とセキュリティ ロール、タスク グループのアクセス許可」を参照してください。

プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
metaTask レベルのアクセス許可のトークン形式: PROJECT_ID/METATASK_ID

MetaTask に parentTaskId がある場合、セキュリティ トークンは次のようになります。
トークンの形式: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

Id:f6a4de49-dbe2-4704-86dc-f8ec1a294436

プラン

View
Edit
Delete
Manage

配信プランを 表示、編集、削除、管理するための配信プランのアクセス許可を管理します。 これらのアクセス許可は、 各プランの Web ポータルを使用して管理できます。

Id:bed337f8-e5f3-4fb9-80da-81e17d06e7a8

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

プロジェクトおよびオブジェクト レベルでリリース定義のアクセス許可を管理します

プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
特定のリリース定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのリリース定義のセキュリティ トークンは次のようになります。

特定のリリース定義のアクセス許可のトークン形式: PROJECT_ID/12
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
リリース定義 ID がフォルダーに存在する場合、セキュリティ トークンは次のようになります。
トークンの形式: PROJECT_ID/{folderName}/12
ステージの場合、トークンは のようになります。 PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}

Id:c788c23e-1b46-4162-8f5e-d7585343b5de

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

作業項目クエリとクエリ フォルダーのアクセス許可を管理します。 Web ポータルでこれらを管理するには、「 作業追跡のアクセス許可とアクセス権の設定」、クエリまたはクエリ フォルダーに対するアクセス許可の設定に関するページを参照してください

Id:71356614-aad7-4757-8f2c-0fb3bff6f680

プロジェクト レベルの名前空間とアクセス許可

次の表では、プロジェクト レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、 Web ポータルの管理コンテキストを使用して管理されます。 プロジェクト管理者には、すべてのプロジェクト レベルのアクセス許可が付与されます。 他のプロジェクト レベルのグループには、選択したアクセス許可の割り当てがあります。

Namespace

アクセス許可

説明

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

プロジェクト レベルのアクセス許可を管理します
アクセス許可はAGILETOOLS_BACKLOG、Azure Boardsバックログへのアクセスを管理します。 これは内部アクセス許可の設定であり、変更しないでください。

ルート トークンの形式: $PROJECT
組織内の各プロジェクトのアクセス許可をセキュリティで保護するためのトークン。
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
という名前のプロジェクトがあるとします Test Project 1
コマンドを使用az devops project showして、このプロジェクトのプロジェクト ID を取得できます。
az devops project show --project "Test Project 1"
コマンドは、プロジェクト ID (例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba) を返します。
そのため、プロジェクト関連のアクセス許可 Test Project 1 をセキュリティで保護するトークンは次のとおりです。
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'

Id:52d39943-cb85-4d7f-8fa8-c6baac873819

タグ付け

Enumerate
Create
Update
Delete

作業項目タグを作成、削除、列挙、および使用するためのアクセス許可を管理します。 [プロジェクト] 設定の [アクセス許可] 管理インターフェイスを使用して、[タグ定義の作成] アクセス許可を管理できます。

プロジェクト レベルのアクセス許可のトークン形式: /PROJECT_ID
: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

Id:bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Team Foundation バージョン管理 (TFVC) リポジトリのアクセス許可を管理します。 1 つのプロジェクトに対する TFVC リポジトリは 1 つだけです。 これらのアクセス許可は、 プロジェクト設定のリポジトリ管理インターフェイスを使用して管理できます。

Id:a39371cf-0841-4c16-bbd3-276e341bc052

組織レベルの名前空間とアクセス許可

次の表では、組織レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、Web ポータルの 組織設定 コンテキストを使用して管理されます。 Organization の所有者Project Collection Administrators グループのメンバーには、これらのアクセス許可のほとんどが付与されます。 詳細については、「 プロジェクトコレクションレベルの権限を変更する」を参照してください。

コレクション レベルの名前空間とアクセス許可

次の表では、組織レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、Web ポータルの [コレクション設定 ] コンテキストを使用して管理されます。 Project Collection Administrators グループのメンバーには、これらのアクセス許可の大部分が付与されます。 詳細については、「 プロジェクトコレクションレベルの権限を変更する」を参照してください。

Namespace

アクセス許可

説明

AuditLog

Read
Write
Manage_Streams
Delete_Streams

監査ログの読み取りまたは書き込み、監査ストリームの管理または削除を行う監査アクセス許可を管理します。

トークンの形式: /AllPermissions
Id:a6cc6381-a1ca-4b36-b3c1-4e65211e82b6

BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

ビルド リソースのアクセス許可を表示、管理、使用、または管理するためのアクセスを管理します

Id:302acaca-b667-436d-a946-87133492041c

コレクション

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

組織またはコレクション レベルでアクセス許可を管理します。

Id:3e65f728-f8bc-4ecd-8764-7e378b19bfa7

Process

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

プロセスを作成、削除、管理するためのアクセス許可を管理します
Id:2dab47f9-bd70-49ed-9bd5-8eb051e59c02

Workspaces

Read
Use
Checkin
Administer

棚上げされた変更、ワークスペース、および組織またはコレクション レベルでワークスペースを作成する機能を管理するためのアクセス許可を管理します。 Workspaces 名前空間は TFVC リポジトリに適用されます。

ルート トークンの形式: /
特定のワークスペースのトークン形式: /{workspace_name};{owner_id}

Id:93bafc04-9075-403a-9367-b7164eac6b5c

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Team Foundation バージョン管理 (TFVC) リポジトリのアクセス許可を管理します。

アクセス許可を AdminConfiguration 使用すると、ユーザーとグループのサーバー レベルのアクセス許可を編集できます。 このアクセス許可により、ユーザーは AdminConnections 、オンプレミスのサーバー レベルのリポジトリのファイルまたはフォルダーの内容を読み取る権限が付与されます。

Id:66312704-deb5-43f9-b51c-ab4ff5e351c3

サーバー レベルの名前空間とアクセス許可

次の表では、Azure DevOps Serverのオンプレミス インスタンスに対して定義されているセキュリティ名前空間とアクセス許可について説明します。 Azure DevOps Server管理コンソールを使用して、Team Foundation Administrators グループのメンバーに付与されるこれらのアクセス許可を管理できます。 これらのアクセス許可の詳細については、「 アクセス許可とグループ、サーバー レベルのアクセス許可」を参照してください。

Namespace

アクセス許可

説明

CollectionManagement

CreateCollection
DeleteCollection

プロジェクト コレクションを作成および削除するためのアクセス許可セットをサーバー レベルで管理します。

Id:52d39943-cb85-4d7f-8fa8-c6baac873819

サーバー

GenericRead
GenericWrite
Impersonate
TriggerEvent

サーバー レベルで設定されたアクセス許可を管理します。 これには、インスタンス レベルの情報を編集し、他のユーザーに代わって要求を行い、イベントをトリガーするためのアクセス許可が含まれます。

Id:1f4179b3-6bac-4d01-b421-71ea09171400

Warehouse

Administer

ウェアハウス コントロール Web サービスを使用して、データ ウェアハウスまたはSQL Server分析キューブの設定を処理または変更するアクセス許可を付与します。

Id:b8fbab8b-69c8-4cd9-98b5-873656788efb

ロールベースの名前空間とアクセス許可

次の表では、ロールベースのセキュリティを管理するために使用されるセキュリティ名前空間とアクセス許可について説明します。 「 パイプラインのアクセス許可とセキュリティ ロール」の説明に従って、パイプライン リソースの Web ポータルからロールの割り当てを管理できます。

Namespace

アクセス許可

説明

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

エージェント プール リソースにアクセスするためのアクセス許可を管理します。 既定では、次のロールとアクセス許可がプロジェクト レベルで割り当てられ、作成されるエージェント プールごとに継承されます。

  • Project Valid Users グループのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • ビルド管理者、プロジェクト管理者、リリース管理者グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
  • 共同作成者グループのすべてのメンバーに対するユーザー ロール (ViewUse、およびCreateアクセス許可)
  • 共同作成者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)

    Id:101eae8c-1709-47f9-b228-0e476c35b3ba

環境

View
Manage
ManageHistory
Administer
Use
Create

環境を作成および管理するためのアクセス許可を管理します。 既定では、次のアクセス許可が割り当てられます。

  • Project Valid Users グループのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • 共同作成者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)
  • プロジェクト管理者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)
  • 特定の環境を作成したユーザーに対する管理者ロール (すべてのアクセス許可)。

    Id:83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

マネージャー ロールは、Marketplace 拡張機能のセキュリティを管理するために使用される唯一のロールです。 マネージャー ロールのメンバーは、拡張機能をインストールし、拡張機能のインストール要求に応答できます。 その他のアクセス許可は、既定のセキュリティ グループとサービス プリンシパルのメンバーに自動的に割り当てられます。 マネージャー ロールにユーザーを追加するには、「 拡張機能のアクセス許可を管理する」を参照してください。

Id:5d6d7b80-3c63-4ab0-b699-b6a5910f8029

ライブラリ

View
Administer
Create
ViewSecrets
Use
Owner

ライブラリ アイテムを作成および管理するためのアクセス許可を管理します。これには、セキュリティで保護されたファイルと変数グループが含まれます。 個々の項目のロール メンバーシップは、ライブラリ ノードのロール メンバーシップから自動的に継承されます。 既定では、次のアクセス許可が割り当てられます。

  • Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • 共同作成者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)
  • ライブラリ アイテムを作成したメンバーに対する作成者ロール (ViewUseCreate、および Owner アクセス許可)
  • ビルド管理者、プロジェクト管理者、リリース管理者グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
    詳細については、「 ライブラリ資産のセキュリティ ロール」を参照してください。

    Id:b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

サービス接続を作成および管理するためのアクセス許可を管理します。 個々のアイテムのロール メンバーシップは、プロジェクト レベルで定義されたものから自動的に継承されます。 既定では、次のロールが割り当てられます。

  • Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • Endpoint Creators サービス セキュリティ グループのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)。
  • エンドポイント管理者サービス セキュリティ グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
    ロールは、 サービス接続セキュリティ ロールを介して割り当てられます。

    Id:49b48001-ca20-4adc-8111-5b60c903a50c

内部名前空間とアクセス許可

次の表では、Web ポータルを介して表示されないセキュリティ名前空間とアクセス許可について説明します。 これらは主に、既定のセキュリティ グループのメンバーまたは内部リソースへのアクセスを許可するために使用されます。 これらのアクセス許可の設定は変更しないことを強くお勧めします。

Namespace

アクセス許可

説明

AccountAdminSecurity

Read
Create
Modify

組織アカウント所有者の読み取りまたは変更を行うアクセス許可を管理します。 これらのアクセス許可は、組織の所有者とプロジェクト コレクション管理者グループのメンバーに割り当てられます。

Id:11238e09-49f2-40c7-94d0-8f0307204ce4

Analytics

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Analytics サービスに対する読み取り、アクセス許可の管理、クエリの実行を行うアクセス許可を管理します。

プロジェクト レベルのアクセス許可のトークン形式: $/PROJECT_ID
: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

Id:58450c49-b02d-465a-ab12-59ae512d6531

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

データ ストアのセキュリティの読み取り、削除、作成、管理を行うアクセス許可を設定します。 これらのアクセス許可は、複数の Azure DevOps サービス プリンシパルに割り当てられます。

Id:19F9F97D-7CB7-45F7-8160-DD308A6BD48E

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

アクセス許可とかんばんボードへのアクセスを管理します。

Id:251e12d9-bea3-43a8-bfdb-901b98c0125e

BoardsExternalIntegration

Read
Write

Azure Boardsとの外部統合の読み取り/書き込みアクセス許可を管理します。

Id:5ab15bc8-4ea1-d0f3-8344-cab8fe976877

チャット

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Slack や Microsoft Teams などの Azure DevOps と統合されたチャット サービスのアクセス許可を管理します。 詳細については、「Slack のAzure Boards」、「Microsoft Teams でのAzure Boards」、「Slack を使用したAzure Pipelines」、「Microsoft Teams を使用した Azure Pipelines」、「Slack を使用したAzure Repos」、「Microsoft Teams でのAzure Repos」を参照してください。

Id:bc295513-b1a2-4663-8d1a-7017fd760d18

ディスカッション スレッド

Administer
GenericRead
GenericContribute
Moderate

Azure Pipelines のコード レビュー ディスカッションのセットアップを表示、管理、モデレート、および投稿するためのアクセス許可を管理します。

Id:0d140cae-8ac1-4f48-b6d1-c93ce0301a12

EventPublish

Read
Write

通知ハンドラーの読み取りおよび書き込みアクセス権を付与します。

Id:7cd317f2-adc6-4b6c-8d99-6074faeaf173

EventSubscriber

GENERIC_READ
GENERIC_WRITE

通知サブスクライバーの読み取りおよび書き込みアクセス権を付与します。

Id:2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

通知の表示、編集、登録解除、または SOAP サブスクリプションの作成を行うメンバーのアクセス許可を管理します。

Id:58b176e7-3411-457a-89d0-c6d0ccb3c52b

ID

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

ユーザー アカウント ID 情報の読み取り、書き込み、削除を行うアクセス許可を管理します。グループ メンバーシップを管理し、ID スコープを作成および復元します。 この ManageMembership 権限は、プロジェクト管理者およびプロジェクト コレクション管理者グループのメンバーに自動的に付与されます。

プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
グループの配信元 ID のグループ レベルのアクセス許可を変更するには [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
トークン: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

Id:5a27515b-ccd7-42c9-84f1-54c998f03866

ライセンス

Read
Create
Modify
Delete
Assign
Revoke

ライセンス レベルを表示、追加、変更、および削除する機能を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に付与されます。

Id:453e2db3-2e81-474f-874d-3bf51027f2ee

PermissionLevel

Read
Create
Update
Delete

アクセス許可レポートを作成およびダウンロードする機能を管理します。

Id:25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

OrganizationLevelData

Project-Scoped Users

Project-Scoped ユーザー グループをサポートする名前空間にシステム レベルの拒否アクセス許可を適用します。 グループのメンバーは、組織レベルのデータの可視性が制限されています。 詳細については、「 組織の管理」、「プロジェクトのユーザーの可視性を制限する」を参照してください。
Id:F0003BCE-5F45-4F93-A25D-90FC33FE3AA9

PipelineCachePrivileges

Read
Write

パイプライン キャッシュ エントリの読み取りと書き込みのアクセス許可を管理します。 これらのアクセス許可は、内部の Azure DevOps サービス原則にのみ割り当てられます。
Id:62a7ad6b-8b8d-426b-ba10-76a7090e94d5

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Release Managementユーザー インターフェイス要素へのアクセスを管理します。

Id:7c7d32f7-0e86-4cd6-892e-b35dbba870bd

SearchSecurity

ReadMembers ReadAnonymous

このセキュリティ名前空間は、ユーザーが有効か匿名/パブリックであるかを知るために使用されます。

Id:ca535e7e-67ce-457f-93fe-6e53aa4e4160

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

サービス フック サブスクリプションを表示、編集、削除し、サービス フック イベントを発行するためのアクセス許可を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に割り当てられます。 DeleteSubscriptions は使用されなくなりました。 EditSubscriptions では、サービス フックを削除できます。

Id:cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

UtilizationPermissions

QueryUsageSummary

クエリの使用状況に対するアクセス許可を管理します。 既定では、Project Collection Administrators グループのすべてのメンバーと、関係者アクセス権を付与されたユーザーには、すべてのユーザーの使用状況の概要を照会するアクセス許可が付与されます。 詳細については、「 レート制限」を参照してください。

トークン形式: /
Id:83abde3a-4593-424e-b45f-9898af99034d

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

作業の追跡と添付ファイルの破棄を管理するためのアクセス許可を管理します。
Id:445d2788-c5fb-4132-bbef-09c4045ad93f

WorkItemTrackingProvision

Administer
ManageLinkTypes

作業追跡プロセスを変更し、リンクの種類を管理するためのアクセス許可を管理します。 WorkItemTrackingProvision 名前空間は、TFS-2018 以前のバージョンで主に使用される古いセキュリティ名前空間です。 Process 名前空間は、Azure DevOps Server 2019 以降のバージョンのプロセスを管理するために、この名前空間を置き換えます。

ルート トークンの形式: /$
特定のプロジェクトのトークン形式: $/PROJECT_ID

Id:5a6cd233-6615-414d-9393-48dbb252bd23

非推奨の名前空間と読み取り専用名前空間

次の名前空間は非推奨または読み取り専用です。 使用しないでください。

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration