Azure DevOps のセキュリティ グループ、サービス アカウント、アクセス許可

  • [アーティクル]

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

この記事では、組み込みのユーザー、グループ、およびアクセス許可ごとに包括的なリファレンスを提供します。

既定の割り当てのクイック リファレンスについては、「既定のアクセス許可とアクセス」を参照してください。 アクセス許可とセキュリティの管理方法の概要については、「アクセス許可、アクセス、およびセキュリティ グループの概要」を参照してください。 セキュリティ グループに加えて、セキュリティ ロールもあり、選択した領域に対するアクセス許可を提供します。

ユーザーをグループに追加する方法、または Web ポータルで管理できる特定のアクセス許可を設定する方法については、次のリソースを参照してください。

ユーザーとグループ

Wiki

DevOps

作業の追跡

レポート

Note

Web ポータルに表示される画像は、この記事の画像とは異なる場合があります。 これらの違いは、Azure DevOps に対して行われた更新の結果です。 ただし、明示的に言及していない限り、使用できる基本的な機能に変わりはありません。

サービス アカウント

特定の操作をサポートするためにシステムによって生成されるサービス アカウントがいくつかあります。 次の表では、組織またはコレクション レベルで追加されるこれらのユーザー アカウントについて説明します。

ユーザー名 説明
エージェント プール サービス 特定のプールが処理を受け取るためにメッセージ キューをリッスンするアクセス許可を持っています。 ほとんどの場合、このグループのメンバーを管理する必要はありません。 エージェントの登録プロセスが自動的に処理します。 エージェントに指定したサービス アカウント (通常はネットワーク サービス) は、エージェントの登録時に自動的に追加されます。 GitHub オブジェクトが更新されたときに、Azure Boards の読み取り/書き込み操作と作業項目の更新を実行します。
Azure Boards Azure Boards が GitHub に接続されたときに追加されます。 このグループのメンバーを管理する必要はありません。 GitHub と Azure Boards の間のリンク作成の管理を担当します。
PipelinesSDK Pipelines ポリシー サービス スコープ トークンをサポートするために必要に応じて追加されます。 このユーザー アカウントはビルド サービス ID に似ていますが、アクセス許可を個別にロックダウンできます。 実際には、この ID を含むトークンには、パイプライン リソースに対する読み取り専用アクセス許可と、ポリシー要求を承認する 1 回限りの権限が付与されます。 このアカウントは、ビルド サービス ID が処理されるのと同じ方法で処理する必要があります。
ProjectName ビルド サービス プロジェクトのビルド サービスを実行するためのアクセス許可があり、XAML ビルドに使用されるレガシ ユーザーです。 セキュリティ サービス グループに追加されます。これは、アクセス許可が付与されているが、他のセキュリティ グループには追加されていないユーザーを格納するために使用されます。
プロジェクト コレクション ビルド サービス コレクションのビルド サービスを実行するアクセス許可があります。 セキュリティ サービス グループに追加されます。これは、アクセス許可が付与されているが、他のセキュリティ グループには追加されていないユーザーを格納するために使用されます。

グループ

アクセス許可は、個人またはグループに直接付与できます。 グループを使用すると処理が簡単になり、その目的のために複数の組み込みグループがシステムによって提供されます。 これらのグループと割り当てられる既定のアクセス許可は、サーバー (オンプレミス展開のみ)、プロジェクト コレクション、プロジェクト、および特定のオブジェクトというさまざまなレベルで定義されます。 また、独自のグループを作成し、組織内の特定のロールに適した特定のアクセス許可セットを付与することもできます。

Note

セキュリティ グループは、特定のプロジェクトにのみアクセスする場合でも、組織レベルに属します。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 Azure devops CLI ツールまたは REST API を使用して、組織内のすべてのグループ名を見つけることができます。 詳細については、「セキュリティ グループの追加と管理」を参照してください

Note

セキュリティ グループは、特定のプロジェクトにのみアクセスする場合でも、コレクション レベルに属します。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 Azure devops CLI ツールまたは REST API を使用して、組織内のすべてのグループ名を見つけることができます。 詳細については、「セキュリティ グループの追加と管理」を参照してください

Note

セキュリティ グループは、特定のプロジェクトにのみアクセスする場合でも、コレクション レベルに属します。 ユーザーのアクセス許可によっては、一部のグループが Web ポータルで非表示になる場合があります。 ただし、REST API を使用して、組織内のすべてのグループの名前を検出できます。 詳細については、「セキュリティ グループの追加と管理」を参照してください

サーバー レベルのグループ

Azure DevOps Server をインストールすると、デプロイ全体のサーバー レベルのアクセス許可を持つ既定のグループが作成されます。 組み込みのサーバー レベル のグループを削除または削除することはできません。

Azure DevOps セキュリティ グループ ダイアログのスクリーンショット。

既定のサーバー レベル グループを削除または削除することはできません。

Note

これらの各グループの完全な名前は [Team Foundation]\{group name} です。 そのため、サーバー レベルの管理者グループの完全な名前は [Team Foundation]\Team Foundation 管理istrators です

グループ名

アクセス許可

メンバーシップ

Azure DevOps サービス アカウント

サーバー インスタンスに対するサービス レベルのアクセス許可を持っています。

インストール中に指定されたサービス アカウントが含まれています

このグループには、ユーザー アカウントまたはユーザー アカウントを含むグループではなく、サービス アカウントのみを含める必要があります。 既定では、このグループは Team Foundation 管理istrators のメンバーです

Azure DevOps Server をインストールした後にこのグループにアカウントを追加する必要がある場合は、オンプレミスのインストール ディレクトリの Tools サブフォルダーにある TFSSecurity.exe ユーティリティを使用してアカウントを追加できます。 次のコマンドを使います。TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Azure DevOps プロキシ サービス アカウント

Team Foundation Server プロキシのサービス レベルのアクセス許可と、一部のサービス レベルのアクセス許可があります。

Note

このアカウントは、Azure DevOps プロキシ サービスをインストールするときに作成されます。

このグループには、ユーザー アカウントまたはユーザー アカウントを含むグループではなく、サービス アカウントのみを含める必要があります。

Azure DevOps の有効なユーザー

サーバー インスタンス レベルの情報を表示するアクセス許可を持っています。

サーバー インスタンスに存在することがわかっているすべてのユーザーが含まれます。 このグループのメンバーシップを変更することはできません。

Team Foundation 管理istrators

すべてのサーバー レベルの操作を実行するアクセス許可があります。

Azure DevOP/Team Foundation アプリケーション サービスをホストする任意のサーバーのローカル 管理istrators グループ (BUILTIN\管理istrators)。

Server\Team Foundation Service Accounts グループと \Project Server Integration Service Accounts グループのメンバー。

このグループは、サーバー レベルの操作を完全に管理する必要があるユーザーの最小数に制限する必要があります。

Note

展開で Reporting を使用する場合は、このグループのメンバーを Reporting Services のコンテンツ マネージャー グループに追加することを検討してください

コレクション レベルのグループ

Azure DevOps で組織またはプロジェクト コレクションを作成すると、そのコレクションにアクセス許可を持つ コレクション レベルのグループが作成されます。 組み込みのコレクション レベルのグループを削除または削除することはできません。

Note

[組織のアクセス許可] 設定ページ v2 プレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください。 プレビュー ページには、現在のページにはないグループ設定ページが表示されます。

Project コレクション グループ、新しいユーザー インターフェイスのスクリーンショット。

Project コレクション グループのオンプレミス バージョンのスクリーンショット。

これらの各グループの完全な名前は [{collection name}]\{group name} です。 そのため、既定のコレクションの管理者グループの完全な名前は [既定のコレクション]\Project Collection 管理istrators です

グループ名

アクセス許可

メンバーシップ

プロジェクト コレクション管理者

コレクションのすべての操作を実行するアクセス許可があります。

アプリケーション層サービスがインストールされているサーバーのローカル 管理istrators グループ (BUILTIN\管理istrators) が含まれています。 CollectionName/サービス アカウント グループのメンバーを格納します。 このグループは、コレクションを完全に管理する必要があるユーザーの最小数に制限する必要があります。

Note

展開で Reporting Services を使用する場合は、このグループのメンバーを Reporting Services の Team Foundation コンテンツ マネージャー グループに追加することを検討してください。

Project Collection Build 管理istrators

ビルド リソースを管理するためのアクセス許可とコレクションのアクセス許可があります。

このグループは、このコレクションのビルド サーバーとサービスを完全に管理する必要があるユーザーの最小数に制限します。

プロジェクト コレクション ビルド サービス アカウント

コレクションのビルド サービスを実行するアクセス許可があります。

このグループを、サービス アカウントのみを含むサービス アカウントとグループに制限します。 これは、XAML ビルドに使用されるレガシ グループです。 現在のビルドのアクセス許可を管理するには、Project Collection Build Service ({your organization}) ユーザーを使用します。

プロジェクト コレクション プロキシ サービス アカウント

コレクションのプロキシ サービスを実行するアクセス許可があります。

このグループを、サービス アカウントのみを含むサービス アカウントとグループに制限します。

プロジェクト コレクション サービス アカウント

コレクションと Azure DevOps Server に対するサービス レベルのアクセス許可があります。

インストール中に指定されたサービス アカウントが含まれます。 このグループには、サービス アカウントと、サービス アカウントのみを含むグループのみを含める必要があります。 既定では、このグループは 管理istrators グループのメンバーです。

Project Collection のテスト サービス アカウント

コレクションに対するテスト サービスのアクセス許可を持っています。

このグループを、サービス アカウントのみを含むサービス アカウントとグループに制限します。

プロジェクト コレクションの有効なユーザー

チーム プロジェクトにアクセスし、コレクション内の情報を表示するためのアクセス許可があります。

コレクション内の任意の場所に追加されたすべてのユーザーとグループが含まれます。 このグループのメンバーシップを変更することはできません。

プロジェクト スコープ ユーザー

組織の設定と、特に追加されているプロジェクト以外のプロジェクトを表示するためのアクセスが制限されています。 また、ユーザー 選択オプションは、ユーザーが接続されているプロジェクトに明示的に追加されたユーザーとグループに限定されます。

ユーザーの可視性とアクセスを、明示的に追加するプロジェクトに制限する場合は、このグループにユーザーを追加します。 ユーザーが Project Collection 管理istrators グループにも追加されている場合は、このグループにユーザーを追加しないでください。

Note

[Project-Scoped Users] グループは、組織レベルのプレビュー機能、[ユーザーの表示とコラボレーションを特定のプロジェクトに限定する] が有効になっている場合に、アクセスが制限された状態で使用できるようになります。 重要なセキュリティ関連のコールアウトを含む詳細については、「 組織の管理」、「プロジェクトのユーザーの可視性を制限する」を参照してください。

セキュリティ サービス グループ

アクセス許可が付与されているが、他のセキュリティ グループには追加されていないユーザーを格納するために使用されます。

このグループにユーザーを割り当てないでください。 すべてのセキュリティ グループからユーザーを削除する場合は、このグループからユーザーを削除する必要がある場合にチェックします。

プロジェクト レベルのグループ

作成するプロジェクトごとに、次のプロジェクト レベルのグループが作成されます。 これらのグループには、プロジェクト レベルのアクセス許可割り当てられます。

Note

[プロジェクトの権限] 設定 ページのプレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください

プロジェクト レベルのグループとアクセス許可、Azure DevOps の現在のスクリーンショット。

ヒント

これらの各グループの完全な名前は [{project name}]\{group name} です。 たとえば、"My Project" というプロジェクトの共同作成者グループは [My Project]\Contributors です。

グループ名

アクセス許可

メンバーシップ

ビルド管理者

プロジェクトのビルド リソースとビルドアクセス許可を管理するためのアクセス許可があります。 メンバーは、テスト環境の管理、テスト実行の作成、ビルドの管理を行うことができます。

ビルド パイプラインを定義および管理するユーザーに割り当てます。

共同作成者

プロジェクト コード ベースと作業項目の追跡に完全に貢献するアクセス許可があります。 メインアクセス許可がないのは、リソースを管理または管理するアクセス許可です。

既定では、プロジェクトの作成時に作成されたチーム グループがこのグループに追加され、チームまたはプロジェクトに追加するすべてのユーザーがこのグループのメンバーになります。 さらに、プロジェクト用に作成したすべてのチームがこのグループに追加されます。

Readers

プロジェクト情報、コード ベース、作業項目、およびその他の成果物を表示する権限を持ちますが、変更することはできません。

プロジェクトにビューのみのアクセス許可を付与する組織またはコレクションのメンバーに割り当てます。 これらのユーザーはバックログ、ボード、ダッシュボードなどを表示できますが、何も追加または編集することはできません。

Project 管理istrators

チーム プロジェクトを作成することはできませんが、チームとプロジェクトのすべての側面を管理するためのアクセス許可があります。

ユーザーのアクセス許可の管理、チームの作成または編集、チーム設定の変更、領域または反復パスの定義、作業項目の追跡のカスタマイズを行うユーザーに割り当てます。 Project 管理istrators グループのメンバーには、次のタスクを実行するアクセス許可があります。

  • プロジェクト メンバーシップに対するユーザーの追加と削除
  • プロジェクトのカスタム セキュリティ グループを追加および削除する
  • すべてのプロジェクト チームとチーム関連の機能を追加および管理する
  • プロジェクト レベルのアクセス許可 ACL を編集する
  • チームまたはプロジェクト レベルのイベントのイベント サブスクリプション (電子メールまたは SOAP) を編集します。

プロジェクトの有効なユーザー

プロジェクト情報にアクセスして表示するためのアクセス許可を持っています。

プロジェクトの任意の場所に追加されたすべてのユーザーとグループが含まれます。 このグループのメンバーシップを変更することはできません。

Note

このグループの既定のアクセス許可は変更しないことをお勧めします。

リリース 管理リストレーター

すべてのリリース操作を管理するためのアクセス許可があります。

リリース パイプラインを定義および管理するユーザーに割り当てます。

Note

Release 管理istrator グループは、最初のリリース パイプラインが定義されると同時に作成されます。 プロジェクトの作成時に既定では作成されません。

TeamName

プロジェクト コード ベースと作業項目の追跡に完全に貢献するアクセス許可があります。

既定のチーム グループはプロジェクトの作成時に作成され、既定ではプロジェクトの共同作成者グループに追加されます。 作成した新しいチームにもグループが作成され、共同作成者グループに追加されます。

チームのメンバーをこのグループに追加します。 チーム設定を構成するためのアクセス権を付与するには、 チーム メンバーをチーム管理者ロールに追加します。

チーム管理者ロール

追加するチームごとに、1 人以上のチーム メンバーを管理者として割り当てることができます。 チーム管理者ロールは、一連の定義されたアクセス許可を持つグループではありません。 代わりに、チーム管理者ロールはチーム資産の管理を担当します。 詳細については、「チームの管理とチーム ツールの構成」を参照してください。 ユーザーをチーム管理者として追加するには、「チーム管理者の追加」を参照してください

Note

Project 管理istrators では、すべてのチームのすべてのチーム管理領域を管理できます。

アクセス許可

システムは、さまざまなレベル (組織、プロジェクト、オブジェクト、ロールベースのアクセス許可) でアクセス許可を管理し、既定で 1 つ以上の組み込みグループに割り当てます。 ほとんどのアクセス許可は、Web ポータルを使用して管理できます。 名前空間のアクセス許可を指定して、1 つ以上のセキュリティ管理ツールを使用して、より多くのアクセス許可を管理できます。

システムは、さまざまなレベル (サーバー、コレクション、プロジェクト、オブジェクト、ロールベースのアクセス許可) でアクセス許可を管理し、既定で 1 つ以上の組み込みグループに割り当てます。 ほとんどのアクセス許可は、Web ポータルを使用して管理できます。 名前空間のアクセス許可を指定して、1 つ以上のセキュリティ管理ツールを使用して、より多くのアクセス許可を管理できます。

次のセクションでは、ユーザー インターフェイスに表示されるアクセス許可ラベルの後に名前空間のアクセス許可が提供されます。 次に例を示します。
タグ定義の作成
Tagging, Create

詳細については、セキュリティ名前空間とアクセス許可のリファレンスに関する記事を参照してください。

サーバーレベルのアクセス許可

Team Foundation 管理istration コンソールまたは TFSSecurity コマンド ライン ツールを使用して、サーバー レベルのアクセス許可を管理します。 Team Foundation 管理istrator には、すべてのサーバー レベルのアクセス許可が付与されます。 他のサーバー レベルのグループには、選択アクセス許可の割り当てがあります。

サーバー レベルのアクセス許可のスクリーンショット。

アクセス許可 (UI)
Namespace permission

説明

管理ister warehouse
Warehouse, Administer

SQL Server レポートをサポートするように構成されている Azure DevOps Server 2020 以前のバージョンでのみ有効です。 ウェアハウス コントロール Web サービスを使用して、データ ウェアハウスまたは SQL Server Analysis キューブの設定を処理または変更できます。

データ ウェアハウスと Analysis キューブを完全に処理または再構築するには、さらに多くのアクセス許可が必要になる場合があります。

プロジェクト コレクションを作成する
CollectionManagement, CreateCollection

コレクションを作成および管理できます。

プロジェクト コレクションを削除する
CollectionManagement, DeleteCollection

展開からコレクションを削除できます。

Note

コレクションを削除しても、SQL Server からコレクション データベースは削除されません。

インスタンス レベルの情報を編集する
Server, GenericWrite

ユーザーとグループのサーバー レベルのアクセス許可を編集したり、サーバー レベルのグループをコレクションに追加または削除したりできます。

Note

インスタンス レベルの情報 の編集には、インスタンスに対して定義されているすべてのコレクションで定義されているこれらのタスクを実行する機能が含まれます。

コマンド プロンプトでこれらのすべてのアクセス許可を付与するには、コマンドをtf.exe Permission使用して、次に加えて、アクセス許可とAdminConnectionsアクセス許可を付与AdminConfigurationするGENERIC_WRITE必要があります。

他のユーザーに代わって要求を行う
Server, Impersonate

他のユーザーまたはサービスに代わって操作を実行できます。 サービス アカウントにのみ割り当てます。

イベントをトリガーする
Server, TriggerEvent

サーバー レベルのアラート イベントをトリガーできます。 Azure DevOps または Team Foundation 管理istrators グループのサービス アカウントとメンバーにのみ割り当てます。

Web Access の完全な機能を使用する

すべてのオンプレミス Web ポータル機能を使用できます。 このアクセス許可は、Azure DevOps Server 2019 以降のバージョンでは非推奨です。

Note

[完全な Web アクセス機能の使用] アクセス許可が [拒否] に設定されている場合、ユーザーには利害関係者グループに対して許可されている機能のみが表示されます (アクセス レベルの変更を参照)。 拒否は、Team Foundation 管理istrators などの管理グループのメンバーであるアカウントの場合でも、暗黙的な許可をオーバーライドします。

インスタンス レベルの情報を表示する
Server, GenericRead

サーバー レベルのグループ メンバーシップと、それらのユーザーのアクセス許可を表示できます。

Note

インスタンス レベルの 情報 の表示アクセス許可は、Azure DevOps Valid Users グループにも割り当てられます。

組織レベルのアクセス許可

Web ポータル管理者コンテキストまたは az devops セキュリティ グループ コマンドを使用して、組織レベルのアクセス許可を管理します。 Project Collection 管理istrator には、すべての組織レベルのアクセス許可が付与されます。 他の組織レベルのグループには、選択したアクセス許可の割り当てがあります。

Note

[プロジェクトの権限] 設定 ページのプレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください

組織レベルのアクセス許可とグループ 、Azure DevOps Services のスクリーンショット。

重要

組織レベルまたはコレクション レベルのセキュリティ グループの追加または削除、組織レベルまたはコレクション レベルのグループ メンバーシップの追加と管理、コレクションおよびプロジェクト レベルのアクセス許可 ACL の編集を行うアクセス許可は、Project Collection 管理istratorのグループのすべてのメンバーに割り当てられます。 これは、ユーザー インターフェイス内に表示されるアクセス許可によって制御されません。

Project Collection 管理istrators グループのアクセス許可を変更することはできません。 また、このグループのメンバーのアクセス許可の割り当てを変更することもできますが、有効なアクセス許可は、メンバーである管理者グループに割り当てられているアクセス許可に準拠します。

アクセス許可 (UI)

Namespace permission

説明

全般

トレース設定の変更
Collection, DIAGNOSTIC_TRACE

Azure DevOps Web サービスに関するより詳細な診断情報を収集するためのトレース設定を変更できます

新しいプロジェクトを作成する
(以前の新しいチーム プロジェクトの作成)
Collection, CREATE_PROJECTS

組織またはプロジェクト コレクションにプロジェクトを追加できます。 オンプレミスのデプロイによっては、さらに多くのアクセス許可が必要になる場合があります。

チーム プロジェクトを削除する
Project, DELETE

プロジェクトを削除できます。 プロジェクトを削除すると、プロジェクトに関連付けられているすべてのデータが削除されます。 プロジェクトが削除される前の時点にコレクションを復元する以外は、プロジェクトの削除を元に戻すことはできません。

インスタンス レベルの情報を編集する
Collection, GENERIC_WRITE

組織レベルとプロジェクト レベルの設定を設定できます。

Note

インスタンス レベルの情報 の編集には、組織またはコレクションで定義されているすべてのプロジェクトに対して次のタスクを実行する機能が含まれます。

インスタンス レベルの情報を表示する
Collection, GENERIC_READ

ユーザーまたはグループの組織レベルのアクセス許可を表示できます。

サービス アカウント

他のユーザーに代わって要求を行う
Server, Impersonate

他のユーザーまたはサービスに代わって操作を実行できます。 このアクセス許可をサービス アカウントにのみ割り当てます。

イベントをトリガーする
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

コレクション内でプロジェクト アラート イベントをトリガーできます。 サービス アカウントにのみ割り当てます。

システム同期情報の表示 Collection, SYNCHRONIZE_READ

同期アプリケーション プログラミング インターフェイスを呼び出すことができます。 サービス アカウントにのみ割り当てます。

Boards

プロセスのアクセス許可を管理する
Process, AdministerProcessPermissions

継承されたプロセスを作成およびカスタマイズすることで、作業追跡をカスタマイズするためのアクセス許可を変更できます。

プロセスの作成
Process, Create

作業の追跡と Azure Boards をカスタマイズするために使用される継承されたプロセスを作成できます。 Basic および Stakeholder アクセスを付与されたユーザーには、既定でこのアクセス許可が付与されます。

組織からフィールドを削除する
Collection, DELETE_FIELD

プロセスに追加されたユーザー設定フィールドを削除できます

プロセスの削除
Process, Delete

作業の追跡と Azure Boards のカスタマイズに使用される継承されたプロセスを削除できます

プロセスの編集
Process, Edit

カスタム継承プロセス編集できます。

Repos

Team Foundation バージョン管理 (TFVC) にのみ適用されます

管理変更を棚上げしました
VersionControlPrivileges, AdminWorkspaces

他のユーザーが作成したシェルブセットを削除できます。

管理ister ワークスペース
Workspaces, Administer

他のユーザーのワークスペースを作成および削除できます

ワークスペースを作成する
VersionControlPrivileges, CreateWorkspace

バージョン コントロール ワークスペースを作成できます。 ワークスペースの作成権限は、プロジェクト コレクションの有効なユーザー グループ内のメンバーシップの一部として、すべてのユーザーに付与されます。

Pipelines

ビルド リソースのアクセス許可を管理する
BuildAdministration, AdministerBuildResourcePermissions

組織またはプロジェクト コレクション レベルでビルド リソースのアクセス許可を変更できます。これには次のものが含まれます。

Note

このアクセス許可に加えて、Azure DevOps は、エージェント プールのセキュリティを制御するロールベースのアクセス許可を 提供します。 その他のオブジェクト レベルの設定は、組織レベルまたはプロジェクト レベルで設定された設定をオーバーライドします。

ビルド リソースの管理
BuildAdministration, ManageBuildResources

ビルド コンピューター、ビルド エージェント、ビルド コントローラーを管理できます。

パイプライン ポリシーの管理
BuildAdministration, ManagePipelinePolicies

組織の設定、パイプライン、設定を使用して設定されたパイプライン設定を管理できます。

ビルド リソースを使用する
BuildAdministration, UseBuildResources

ビルド エージェントを予約して割り当てることができます。 ビルド サービスのサービス アカウントにのみ割り当てます。

ビルド リソースを表示する
BuildAdministration, ViewBuildResources

組織またはプロジェクト コレクション用に構成されたビルド コントローラーとビルド エージェントを表示できますが、使用することはできません。

Test Plans

テスト コントローラーの管理
Collection, MANAGE_TEST_CONTROLLERS

テスト コントローラーを登録および登録解除できます。

監査

監査ストリームを削除する
AuditLog, Delete_Streams

監査ストリームを削除できます。 監査ストリームはプレビュー段階です。 詳細については、「監査ストリーミングの作成」を参照してください

監査ストリームを管理する
AuditLog, Manage_Streams

監査ストリームを追加できます。 監査ストリームはプレビュー段階です。 詳細については、「監査ストリーミングの作成」を参照してください

監査ログの表示
AuditLog, Read

監査ログを表示およびエクスポートできます。 監査ログはプレビュー段階です。 詳細については、「監査ログへのアクセス、エクスポート、およびフィルター処理」を参照してください

ポリシー

エンタープライズ ポリシーの管理
Collection, MANAGE_ENTERPRISE_POLICIES

アプリケーション接続ポリシーの変更に関する説明に従 って、アプリケーション接続ポリシーを有効または無効にすることができます。

コレクション レベルのアクセス許可

Web ポータル管理者コンテキストまたは TFSSecurity コマンド ライン ツールを使用して、コレクション レベルのアクセス許可を管理します。 Project Collection 管理istrator には、すべてのコレクション レベルのアクセス許可が付与されます。 他のコレクション レベルのグループには、選択アクセス許可の割り当てがあります。

Azure DevOps Server 2019 以降のバージョンで使用できるアクセス許可は、コレクション用に構成されたプロセス モデルによって異なります。 プロセス モデルの概要については、「作業追跡のカスタマイズ」を参照してください

継承されたプロセス モデル

オンプレミス XML プロセス モデル

コレクション レベルのアクセス許可、オンプレミス、継承されたプロセス モデルのスクリーンショット。

コレクション レベルのアクセス許可、オンプレミス、オンプレミスの XML プロセス モデルのスクリーンショット。

重要

組織レベルまたはコレクション レベルのセキュリティ グループの追加または削除、組織レベルまたはコレクション レベルのグループ メンバーシップの追加と管理、コレクションおよびプロジェクト レベルのアクセス許可 ACL の編集を行うアクセス許可は、Project Collection 管理istratorのグループのすべてのメンバーに割り当てられます。 これは、ユーザー インターフェイス内に表示されるアクセス許可によって制御されません。

Project Collection 管理istrators グループのアクセス許可を変更することはできません。 また、このグループのメンバーのアクセス許可の割り当てを変更することもできますが、有効なアクセス許可は、メンバーである管理者グループに割り当てられているアクセス許可に準拠します。

アクセス許可 (UI)

Namespace permission

説明

ビルド リソースのアクセス許可を管理する
BuildAdministration, AdministerBuildResourcePermissions

プロジェクト コレクション レベルでビルド パイプラインのアクセス許可を変更できます。 これには、次の成果物が含まれます。

プロセスのアクセス許可を管理する
Process, AdministerProcessPermissions

継承されたプロセスを作成およびカスタマイズすることで、作業追跡をカスタマイズするためのアクセス許可を変更できます。 継承されたプロセス モデルをサポートするようにコレクションを構成する必要があります。 関連項目:

管理変更を棚上げしました
VersionControlPrivileges, AdminWorkspaces

他のユーザーが作成したシェルブセットを削除できます。 TFVC がソース管理として使用されている場合に適用されます。

管理ister ワークスペース
Workspaces, Administer

他のユーザーのワークスペースを作成および削除できます。 TFVC がソース管理として使用されている場合に適用されます。

トレース設定の変更
Collection, DIAGNOSTIC_TRACE

Azure DevOps Web サービスに関するより詳細な診断情報を収集するためのトレース設定を変更できます

ワークスペースを作成する
VersionControlPrivileges, CreateWorkspace

バージョン コントロール ワークスペースを作成できます。 TFVC がソース管理として使用されている場合に適用されます。 このアクセス許可は、プロジェクト コレクションの有効なユーザー グループ内のメンバーシップの一部として、すべてのユーザーに付与されます。

新しいプロジェクトを作成する
(以前の新しいチーム プロジェクトの作成)
Collection, CREATE_PROJECTS

プロジェクト コレクションにプロジェクトを追加できます。 オンプレミスのデプロイによっては、追加のアクセス許可が必要になる場合があります。

プロセスの作成
Process, Create

作業の追跡と Azure Boards をカスタマイズするために使用される継承されたプロセスを作成できます。 継承されたプロセス モデルをサポートするようにコレクションを構成する必要があります。

組織からフィールドを削除する
(以前はアカウントからフィールドを削除)
Collection, DELETE_FIELD

プロセスに追加されたユーザー設定フィールドを削除できます。 オンプレミスのデプロイでは、継承されたプロセス モデルをサポートするようにコレクションを構成する必要があります。

プロセス 'プロセス、削除' を削除する

作業の追跡と Azure Boards のカスタマイズに使用される継承されたプロセスを削除できます。 継承されたプロセス モデルをサポートするようにコレクションを構成する必要があります。

チーム プロジェクトを削除する
Project, DELETE

プロジェクトを削除できます

Note

プロジェクトを削除すると、プロジェクトに関連付けられているすべてのデータが削除されます。 プロジェクトが削除される前の時点にコレクションを復元する場合を除き、プロジェクトの削除を元に戻すことはできません。

コレクション レベルの情報 'Collection, GENERIC_WRITE' を編集する

組織レベルとプロジェクト レベルの設定を設定できます。

Note

コレクション レベルの情報 の編集には、組織またはコレクションで定義されているすべてのプロジェクトに対して次のタスクを実行する機能が含まれます。

プロセスの編集
Process, Edit

カスタム継承プロセス編集できます。 継承されたプロセス モデルをサポートするようにコレクションを構成する必要があります。

他のユーザーに代わって要求を行う
Server, Impersonate

他のユーザーまたはサービスに代わって操作を実行できます。 このアクセス許可は、オンプレミスの サービス アカウントにのみ割り当てます。

ビルド リソースの管理
BuildAdministration, ManageBuildResources

ビルド コンピューター、ビルド エージェント、ビルド コントローラーを管理できます。

エンタープライズ ポリシーの管理
Collection, MANAGE_ENTERPRISE_POLICIES

アプリケーション接続ポリシーの変更に関する説明に従 って、アプリケーション接続ポリシーを有効または無効にすることができます。

Note

このアクセス許可は、Azure DevOps Services でのみ有効です。 オンプレミスの Azure DevOps Server には表示されますが、オンプレミス サーバーには適用されません。

プロセス テンプレートの管理
Collection, MANAGE_TEMPLATE

プロセス テンプレートをダウンロード、作成、編集、アップロードできます。 プロセス テンプレートは、作業項目追跡システムの構成要素と、Azure Boards を介してアクセスする他のサブシステムを定義します。 ON=premises XML プロセス モデルをサポートするようにコレクションを構成する必要があります。

テスト コントローラーの管理
Collection, MANAGE_TEST_CONTROLLERS

テスト コントローラーを登録および登録解除できます。

イベントをトリガーする
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

コレクション内でプロジェクト アラート イベントをトリガーできます。 サービス アカウントにのみ割り当てます。 このアクセス許可を持つユーザーは、Project Collection 管理istrators などの組み込みのコレクション レベル グループを削除できません。

ビルド リソースを使用する
BuildAdministration, UseBuildResources

ビルド エージェントを予約して割り当てることができます。 ビルド サービスのサービス アカウントにのみ割り当てます。

ビルド リソースを表示する
BuildAdministration, ViewBuildResources

組織またはプロジェクト コレクション用に構成されたビルド コントローラーとビルド エージェントを表示できますが、使用することはできません。

インスタンス レベルの情報を表示する
またはコレクション レベルの情報を表示する
Collection, GENERIC_READ

ユーザーまたはグループのコレクション レベルのアクセス許可を表示できます。

システム同期情報の表示
Collection, SYNCHRONIZE_READ

同期アプリケーション プログラミング インターフェイスを呼び出すことができます。 サービス アカウントにのみ割り当てます。

プロジェクト レベルのアクセス許可

Web ポータル管理者コンテキストまたは az devops セキュリティ グループ コマンドを使用して、プロジェクト レベルのアクセス許可を管理します。 プロジェクト管理者には、すべてのプロジェクト レベルのアクセス許可が付与されます。 他のプロジェクト レベルのグループには、選択したアクセス許可の割り当てがあります。

Note

[プロジェクトのアクセス許可の設定] ページのプレビュー ページを有効にするには、「プレビュー機能を有効にする」を参照してください。

[プロジェクト レベルのアクセス許可] ダイアログの [Azure DevOps Services プレビュー] ページのスクリーンショット。

重要

プロジェクト レベルのセキュリティ グループを追加または削除し、プロジェクト レベルのグループ メンバーシップを追加および管理するためのアクセス許可は、Project 管理istrators グループのすべてのメンバーに割り当てられます。 これは、ユーザー インターフェイス内に表示されるアクセス許可によって制御されません。

Project 管理istrators グループのアクセス許可を変更することはできません。 また、このグループのメンバーのアクセス許可の割り当てを変更することもできますが、有効なアクセス許可は、メンバーである管理者グループに割り当てられているアクセス許可に準拠します。

アクセス許可 (UI)

Namespace permission

説明

全般

チーム プロジェクトを削除する
Project, DELETE

組織またはプロジェクト コレクションからプロジェクトを削除できます

Note

このアクセス許可を Deny設定した場合でも、プロジェクト レベルで権限を付与されたユーザーは、権限を持つプロジェクトを削除できる可能性があります。 ユーザーがプロジェクトを削除できないようにするには、プロジェクト レベルの [チーム プロジェクト削除] も [拒否] に設定していることを確認します。

プロジェクト レベルの情報を編集する
Project, MANAGE_PROPERTIES

組織またはコレクションで定義されている選択したプロジェクトに対して、次のタスクを実行できます。

Note

プロジェクト レベルのセキュリティ グループを追加または削除し、プロジェクト レベルのグループ メンバーシップを追加および管理するためのアクセス許可は、Project 管理istrators グループのすべてのメンバーに割り当てられます。 これは、ユーザー インターフェイス内に表示されるアクセス許可によって制御されません。


プロジェクトのプロパティを管理する
Project, MANAGE_SYSTEM_PROPERTIES

プロジェクトのメタデータを指定または編集できます。 たとえば、ユーザーはプロジェクトの内容に関する概要情報を提供できます。 メタデータの変更は、プロジェクト プロパティの 設定 REST API を使用してサポートされます。

プロジェクトの名前を変更する
Project, RENAME

プロジェクトの名前を変更できます

作業項目の更新に関する通知を抑制する
Project, SUPPRESS_NOTIFICATIONS

このアクセス許可を持つユーザーは、通知を生成せずに作業項目を更新できます。 これは、ツールによる一括更新の移行を実行し、通知の生成をスキップする場合に便利です。

作業項目の更新に関するバイパス 規則のアクセス許可が付与されているサービス アカウントまたはユーザーに、このアクセス許可を付与することを検討してください。 作業項目 - 更新 REST API を使用して作業を更新するときに、パラメーターtrueを設定suppressNotificationsできます。

プロジェクトの可視性を更新する
Project, UPDATE_VISIBILITY

プロジェクトの可視性をプライベートからパブリックまたはパブリックからプライベートに変更できます。 Azure DevOps Services にのみ適用されます。

プロジェクト レベルの情報を表示する
Project, GENERIC_READ

セキュリティ情報グループのメンバーシップやアクセス許可など、プロジェクト レベルの情報を表示できます。 ユーザーに対してこのアクセス許可を拒否設定した場合、ユーザーはプロジェクトを表示したり、プロジェクトにサインインしたりすることはできません。

Boards

作業項目の更新に関する規則をバイパスする
Project, BYPASS_RULES

このアクセス許可を持つユーザーは、作業項目の種類に対して定義された、コピー、制約、条件付きルールなどの ルールを無視する作業項目を保存できます。 便利なシナリオは、インポート時に by/date フィールドを更新しない移行や、作業項目の検証をスキップする場合です。

ルールは、2 つの方法のいずれかでバイパスできます。 1 つ目は、作業項目を使用して REST API を更新し、パラメーターtruebypassRules . 2 つ目は、バイパス ルール モード (initialize WorkItemStore with WorkItemStoreFlags.BypassRules) で初期化することで、クライアント オブジェクト モデルを使用することです。

プロジェクトの変更プロセス
Project, CHANGE_PROCESS

[プロジェクト レベルの情報の編集] 権限と組み合わせると、ユーザーはプロジェクトの継承プロセスを変更できます。 詳細については、「継承されたプロセスの作成と管理」を参照してください

タグ定義を作成する
Tagging, Create

作業項目にタグを追加できます。 既定では、共同作成者グループのすべてのメンバーにこのアクセス許可があります。 また、セキュリティ管理ツールを使用して、より多くのタグ付けアクセス許可を設定することもできます。 「セキュリティ名前空間とアクセス許可のリファレンス」の「タグ付け」を参照してください

Note

プライベート プロジェクトの利害関係者アクセス権を付与されたすべてのユーザーは、既存のタグのみを追加できます。 [タグ定義の作成] アクセス許可が [許可] に設定されている場合でも、関係者はタグを追加できません。 これは、利害関係者アクセス設定の一部です。 パブリック プロジェクトの利害関係者アクセス権を付与された Azure DevOps Services ユーザーには、既定でこのアクセス許可が付与されます。 詳細については、「利害関係者アクセスクイック リファレンス」を参照してください。
タグ定義作成アクセス許可はプロジェクト レベルのセキュリティ設定に表示されますが、タグ付けアクセス許可は、実際には、ユーザー インターフェイスに表示されるときにプロジェクト レベルでスコープが設定されるコレクション レベルのアクセス許可です。 TFSSecurity コマンドを使用するときにタグ付けアクセス許可のスコープを 1 つのプロジェクトに設定するには、コマンド構文の一部としてプロジェクトの GUID を指定する必要があります。 それ以外の場合、変更はコレクション全体に適用されます。 これらのアクセス許可を変更または設定するときは、この点に注意してください。

作業項目の削除と復元

またはこのプロジェクトの作業項目を削除する
Project, WORK_ITEM_DELETE

プロジェクト内の作業項目を削除済みとしてマークできます。 パブリック プロジェクトの利害関係者アクセス権を付与された Azure DevOps Services ユーザーには、既定でこのアクセス許可が付与されます。

このプロジェクトから作業項目を移動する
Project, WORK_ITEM_MOVE

作業項目をコレクション内のあるプロジェクトから別のプロジェクトに移動できます

このプロジェクトの作業項目を完全に削除する
Project, WORK_ITEM_PERMANENTLY_DELETE

このプロジェクトから作業項目を完全に削除できます

分析

このセクションに記載されている名前空間のAnalyticsViewアクセス許可に加えて、各ビューでオブジェクト レベルのアクセス許可を設定できます。

共有分析ビューを削除する
AnalyticsViews, Delete

[共有] 領域に保存されている Analytics ビューを削除できます。

共有分析ビューを編集する
AnalyticsViews, Edit

共有 Analytics ビューを作成および変更できます。

分析の表示
AnalyticsViews, Read

Analytics サービスから使用可能なデータにアクセスできます。 詳細については、「Analytics サービスにアクセスするために必要なアクセス許可」を参照してください

Test Plans

テスト実行の作成
Project, PUBLISH_TEST_RESULTS

テスト結果を追加および削除したり、テストの実行を追加または変更したりできます。 詳細については、「テスト結果を保持する期間の制御」および「手動テストを実行する」を参照してください。

テスト実行の削除
Project, DELETE_TEST_RESULTS

テスト実行を削除できます

テスト構成の管理
Project, MANAGE_TEST_CONFIGURATIONS

テスト構成を作成および削除 できます

テスト環境の管理
Project, MANAGE_TEST_ENVIRONMENTS

テスト環境を作成および削除できます。

テストの実行を表示する
Project, VIEW_TEST_RESULTS

プロジェクトエリアパスの下にテスト計画を表示できます。

Web ポータル管理者コンテキストまたは TFSSecurity コマンド ライン ツールを使用して、プロジェクト レベルのアクセス許可を管理します。 プロジェクト管理者には、すべてのプロジェクト レベルのアクセス許可が付与されます。 他のプロジェクト レベルのグループには、選択したアクセス許可の割り当てがあります。

Note

Project 管理istrators グループのメンバーに付与された複数のアクセス許可は、ユーザー インターフェイス内に表示されません。

プロジェクト レベルのアクセス許可、オンプレミス、継承されたプロセス モデルのスクリーンショット。

アクセス許可 (UI)

Namespace permission

説明


作業項目の更新に関する規則をバイパスする
Project, BYPASS_RULES

このアクセス許可を持つユーザーは、作業項目の種類に対して定義された、コピー、制約、条件付きルールなどの ルールを無視する作業項目を保存できます。 インポート時にフィールドをdate更新byしない移行や、作業項目の検証をスキップする場合に便利です。
ルールは、2 つの方法のいずれかでバイパスできます。 1 つ目は、作業項目を使用して REST API を更新し、パラメーターtruebypassRules . 2 つ目は、バイパス ルール モード (initialize WorkItemStore with WorkItemStoreFlags.BypassRules) で初期化することで、クライアント オブジェクト モデルを使用することです。


プロジェクトの変更プロセス
Project, CHANGE_PROCESS

[プロジェクト レベルの情報の編集] 権限と組み合わせると、ユーザーはプロジェクトの継承プロセスを変更できます。 詳細については、「継承されたプロセスの作成と管理」を参照してください


タグ定義の作成
Tagging, Create

作業項目にタグを追加できます。 既定では、共同作成者グループのすべてのメンバーにこのアクセス許可があります。 また、セキュリティ管理ツールを使用して、より多くのタグ付けアクセス許可を設定することもできます。 「セキュリティ名前空間とアクセス許可のリファレンス」の「タグ付け」を参照してください

Note

利害関係者アクセス権を付与されたすべてのユーザーは、既存のタグのみを追加できます。 [タグ定義の作成] アクセス許可が [許可] に設定されている場合でも、関係者はタグを追加できません。 これは、利害関係者アクセス設定の一部です。 詳細については、「利害関係者アクセスクイック リファレンス」を参照してください。 タグ定義作成アクセス許可はプロジェクト レベルのセキュリティ設定に表示されますが、タグ付けアクセス許可は、実際には、ユーザー インターフェイスに表示されるときにプロジェクト レベルでスコープが設定されるコレクション レベルのアクセス許可です。 TFSSecurity コマンドを使用するときにタグ付けアクセス許可のスコープを 1 つのプロジェクトに設定するには、コマンド構文の一部としてプロジェクトの GUID を指定する必要があります。 それ以外の場合、変更はコレクション全体に適用されます。 これらのアクセス許可を変更または設定するときは、この点に注意してください。


テストの実行を作成
Project, PUBLISH_TEST_RESULTS

テスト結果を追加および削除したり、テストの実行を追加または変更したりできます。 詳細については、「テスト結果を保持する期間の制御」および「手動テストを実行する」を参照してください。

作業項目の削除と復元

またはこのプロジェクトの作業項目を削除する
Project, WORK_ITEM_DELETE

プロジェクト内の作業項目を削除済みとしてマークできます。 [共同作成者] グループには、プロジェクト レベルの作業項目の削除と復元が既定で [許可] に設定されています。


共有分析ビューを削除する
AnalyticsViews, Delete

[共有] 領域に保存されている Analytics ビューを削除できます。


プロジェクトを削除する
Project, DELETE

組織またはプロジェクト コレクションからプロジェクトを削除できます


テストの実行を削除します
Project, DELETE_TEST_RESULTS

テスト実行を削除できます。


プロジェクト レベルの情報を編集する Project, MANAGE_PROPERTIES

組織またはコレクションで定義されている選択したプロジェクトに対して、次のタスクを実行できます。

Note

プロジェクト レベルのセキュリティ グループを追加または削除し、プロジェクト レベルのグループ メンバーシップを追加および管理するためのアクセス許可は、Project 管理istrators グループのすべてのメンバーに割り当てられます。 これは、ユーザー インターフェイス内に表示されるアクセス許可によって制御されません。


共有分析ビューを編集する
AnalyticsViews, Edit

共有 Analytics ビューを作成および変更できます。


プロジェクトのプロパティを管理する
Project, MANAGE_SYSTEM_PROPERTIES

プロジェクトのメタデータを指定または編集できます。 たとえば、ユーザーはプロジェクトの内容に関する概要情報を提供できます。 メタデータの変更は、プロジェクト プロパティの 設定 REST API を使用してサポートされます。


テスト構成の管理
Project, MANAGE_TEST_CONFIGURATIONS

テスト構成を作成および削除 できます


テスト環境の管理
Project, MANAGE_TEST_ENVIRONMENTS

テスト環境を作成および削除できます。


作業項目をプロジェクト外に移動する
Project, WORK_ITEM_MOVE

作業項目をコレクション内のあるプロジェクトから別のプロジェクトに移動できます


このプロジェクトの作業項目を完全に削除する Project, WORK_ITEM_PERMANENTLY_DELETE

このプロジェクトから作業項目を完全に削除できます


プロジェクトの名前を変更する Project, RENAME

プロジェクトの名前を変更できます


作業項目の更新に関する通知を抑制する Project, SUPPRESS_NOTIFICATIONS

このアクセス許可を持つユーザーは、通知を生成せずに作業項目を更新できます。 ツールによる一括更新の移行を実行し、通知の生成をスキップする場合に便利です。

作業項目の更新に関するバイパス 規則のアクセス許可が付与されているサービス アカウントまたはユーザーに、このアクセス許可を付与することを検討してください。 作業項目 - 更新 REST API を使用して作業を更新するときに、パラメーターtrueを設定suppressNotificationsできます。


プロジェクトの表示範囲を更新する
Project, UPDATE_VISIBILITY

プロジェクトの可視性をプライベートからパブリックまたはパブリックからプライベートに変更できます。 Azure DevOps Services にのみ適用されます。


分析の表示
AnalyticsViews, Read

Analytics サービスから使用可能なデータにアクセスできます。 詳細については、「Analytics サービスにアクセスするために必要なアクセス許可」を参照してください


プロジェクトレベル情報を表示します
Project, GENERIC_READ

プロジェクト レベルのグループ メンバーシップとアクセス許可を表示できます。


テストの実行を表示します
Project, VIEW_TEST_RESULTS

プロジェクトエリアパスの下にテスト計画を表示できます。

分析ビュー (オブジェクト レベル)

共有 Analytics ビューを使用すると、作成したビューを表示、編集、または削除するための特定のアクセス許可を付与できます。 Web ポータルから Analytics ビューのセキュリティを管理します。

[Shared Analytics view security]\(共有分析ビューのセキュリティ\) ダイアログのスクリーンショット。ユーザーのアクセス許可を変更します。

[Manage Shared Analytics view security]\(共有分析ビューのセキュリティの管理\) ダイアログ、ユーザーのアクセス許可の変更、Azure DevOps Server のスクリーンショット。

共有 Analytics ビューごとに、次のアクセス許可が定義されています。 有効なすべてのユーザーには、Analytics ビューを管理するためのすべてのアクセス許可が自動的に付与されます。 作成した他のチーム メンバーまたはセキュリティ グループに、特定の共有ビューに対する選択アクセス許可を付与することを検討してください。 「Analytics ビューとは」も参照してください。 セキュリティ名前空間とアクセス許可参照で定義されているように、その他の名前空間のアクセス許可がサポートされています。

アクセス許可 (UI)

Namespace permission

説明

共有 Analytics ビューを削除する
AnalyticsViews, Delete

共有 Analytics ビューを削除できます。

共有 Analytics ビューを編集する AnalyticsViews, Edit

共有 Analytics ビューのパラメーターを変更できます。

共有 Analytics ビューを表示する AnalyticsViews, Read

Power BI デスクトップから共有分析ビューを表示して使用できます。

ダッシュボード (オブジェクト レベル)

チーム ダッシュボードとプロジェクト ダッシュボードのアクセス許可は、個別に設定できます。 チームの既定のアクセス許可は、プロジェクトに対して設定できます。 Web ポータルからダッシュボードのセキュリティを管理します。 セキュリティ名前空間とアクセス許可参照で定義されているように、その他の名前空間のアクセス許可がサポートされています。

プロジェクト ダッシュボードのアクセス許可

[プロジェクト ダッシュボードのアクセス許可] ダイアログのスクリーンショット。

既定では、プロジェクト ダッシュボードの作成者はダッシュボードの所有者であり、そのダッシュボードのすべてのアクセス許可が付与されます。

権限
Namespace permission		 説明
ダッシュボードの削除
DashboardsPrivileges, Delete		 プロジェクト ダッシュボードを削除できます。
ダッシュボードの編集
DashboardsPrivileges, Edit		 ウィジェットを追加したり、プロジェクト ダッシュボードのレイアウトを変更したりできます。
権限の管理
DashboardsPrivileges, ManagePermissions		 プロジェクト ダッシュボードのアクセス許可を管理できます。

チーム ダッシュボードのアクセス許可は、個別に設定できます。 チームの既定のアクセス許可は、プロジェクトに対して設定できます。 Web ポータルからダッシュボードのセキュリティを管理します。

チーム ダッシュボードの既定のアクセス許可

[チーム ダッシュボードのアクセス許可] ダイアログのスクリーンショット。

既定では、チーム管理者には、既定と個々のダッシュボードのアクセス許可の管理を含む、チーム ダッシュボードのすべてのアクセス許可が付与されます。

権限
Namespace permission		 説明
ダッシュボードを作成する
DashboardsPrivileges, Create		 チーム ダッシュボードを作成できます。
ダッシュボードの削除
DashboardsPrivileges, Delete		 チーム ダッシュボードを削除できます。
ダッシュボードを編集する
DashboardsPrivileges, Edit		 ウィジェットをチーム ダッシュボードに追加したり、チーム ダッシュボードのレイアウトを変更したりできます。

個々のチーム ダッシュボードのアクセス許可

個々のチーム ダッシュボードのアクセス許可ダイアログのスクリーンショット。

チーム管理者は、次の 2 つのアクセス許可を変更することで、個々のチーム ダッシュボードのアクセス許可を変更できます。

権限
Namespace permission		 説明
ダッシュボードの削除
DashboardsPrivileges, Delete		 特定のチーム ダッシュボードを削除できます。
ダッシュボードの編集
DashboardsPrivileges, Edit		 ウィジェットを追加し、特定のチーム ダッシュボードのレイアウトを変更できます。

パイプラインまたはビルド (オブジェクト レベル)

Web ポータルで定義されている各パイプラインまたは TFSSecurity コマンド ライン ツールを使用して、パイプラインのアクセス許可を管理します。 プロジェクト 管理リストレーターにはすべてのパイプラインアクセス許可が付与され、ビルド 管理istrator にはこれらのアクセス許可のほとんどが割り当てられます。 パイプラインのアクセス許可は、プロジェクトまたはパイプライン定義ごとに定義されているすべてのパイプラインに対して設定できます。

パイプライン オブジェクト レベルのセキュリティ ダイアログ 、クラウドのスクリーンショット。

[Pipeline object-level permissions]\(パイプライン オブジェクト レベルのアクセス許可\) ダイアログのスクリーンショット。

ビルドのアクセス許可は階層モデルに従います。 すべてのアクセス許可の既定値はプロジェクト レベルで設定でき、個々のビルド定義でオーバーライドできます。

プロジェクト内のすべてのビルド定義に対してプロジェクト レベルでアクセス許可を設定するには、[ビルド] ハブの [メイン] ページのアクション バーから [セキュリティ] を選択します。

特定のビルド定義のアクセス許可を設定またはオーバーライドするには、ビルド定義のコンテキスト メニューから [セキュリティ] を選択します。

ビルドでは、両方のレベルで次のアクセス許可を定義できます。

アクセス許可 (UI)

Namespace permission

説明

ビルドのアクセス許可を管理する
Build, AdministerBuildPermissions

他のユーザーのビルドアクセス許可を管理できます。

ビルド定義を削除する
Build, DeleteBuildDefinition

このプロジェクトのビルド定義を削除できます。

ビルドの削除
Build, DeleteBuilds

完了したビルドを削除できます。 削除されたビルドは、破棄されるまでしばらくの間、[削除済み] タブに保持されます。

ビルドを破棄する
Build, DestroyBuilds

完了したビルドを完全に削除できます。

ビルド パイプライン
の編集 ビルド定義の編集
Build, EditBuildDefinition

ビルド パイプライン の編集 構成変数、トリガー、リポジトリ、保持ポリシーなど、ビルド パイプラインへの変更を保存できます。 Azure DevOps Services、Azure DevOps Server 2019 1.1 以降のバージョンで使用できます。 ビルド定義の編集を置き換えます。
ビルド定義 の編集 このプロジェクトのビルド定義を作成および変更できます。

Note

特定のビルド定義のアクセス許可を制御する場合は、ビルド定義の継承をオフにします

継承がオンの場合、ビルド定義は、プロジェクト レベルまたはグループまたはユーザーで定義されているビルド権限を考慮します。 たとえば、カスタム ビルド マネージャー グループには、プロジェクト Fabrikam のビルドを手動でキューに登録するためのアクセス許可が設定されています。 プロジェクト Fabrikam の継承がオンになっているビルド定義を使用すると、ビルド マネージャー グループのメンバーは、ビルドを手動でキューに登録できます。

ただし、プロジェクト Fabrikam の継承をオフにすると、Project 管理istrators が特定のビルド定義のビルドを手動でキューに入れることができるようにするアクセス許可を設定できます。 これにより、そのビルド定義のアクセス許可を具体的に設定できるようになります。

ビルド品質の編集
Build, EditBuildQuality

チーム エクスプローラーまたは Web ポータルを使用して、ビルドの品質に関する情報を追加できます。

ビルド品質の管理
Build, ManageBuildQualities

ビルド品質を追加または削除できます。 XAML ビルドにのみ適用されます。

ビルド キューの管理
Build, ManageBuildQueue

キューに登録されたビルドをキャンセル、再優先順位付け、または延期できます。 XAML ビルドにのみ適用されます。

ビルドによってチェックの検証をオーバーライドする
Build, OverrideBuildCheckInValidation

システムをシェルブして最初に変更をビルドしなくても、ゲートビルド定義に影響する TFVC 変更セットをコミットできます。

Note

ビルド アクセス許可によってオーバーライド チェックイン検証をビルド サービスのサービス アカウントにのみ割り当て、コードの品質を担当する管理者を構築します。 TFVC ゲート チェックイン ビルドに適用されます。 これは PR ビルドには適用されません。 詳細については、「ゲート チェックイン ビルド処理によって制御されるフォルダーにチェックインする」を参照してください。

キュー ビルド
Build, QueueBuilds

Team Foundation Build のインターフェイスまたはコマンド プロンプトを使用して、ビルドをキューに配置できます。 また、キューに入っているビルドを停止することもできます。

キューのビルド構成を編集する Build, EditPipelineQueueConfigurationPermission

新しいビルドをキューに入れるときに、フリー テキスト パラメーター (型やarrayobjectなど) とパイプライン変数の値を指定できます。

無期限に保持する
Build, RetainIndefinitely

ビルドの無期限に保持フラグを切り替えることができます。 この機能は、適用可能なアイテム保持ポリシーに基づいて自動的に削除されないように、ビルドをマークします。

ビルドを停止する
Build, StopBuilds

実行中のビルド (キューに登録され、別のユーザーによって開始されたビルドを含む) を停止できます。

ビルド情報を更新する
Build, UpdateBuildInformation

ビルド情報ノードをシステムに追加したり、ビルドの品質に関する情報を追加したりすることもできます。 サービス アカウントにのみ割り当てます。

ビルド定義の表示
Build, ViewBuildDefinition

プロジェクト用に作成されたビルド定義を表示できます。

ビルドの表示
Build, ViewBuilds

このプロジェクトのキューに登録されたビルドと完了したビルドを表示できます。

Git リポジトリ (オブジェクト レベル)

Web ポータル、TF コマンド ライン ツール、または TFSSecurity コマンド ライン ツールを使用して、Git リポジトリまたはブランチのセキュリティを管理します。 Project 管理istrator には、これらのアクセス許可の大部分が付与されます (Git リポジトリで構成されているプロジェクトに対してのみ表示されます)。 これらのアクセス許可は、すべての Git リポジトリまたは特定の Git リポジトリに対して管理できます。

Git リポジトリのアクセス許可ダイアログのスクリーンショット。

Note

最上位レベル の Git リポジトリ エントリに変更を加えて、すべての Git リポジトリに対するアクセス許可を 設定します。 個々のリポジトリは、最上位レベル の Git リポジトリ エントリからアクセス許可を 継承します。 ブランチは、リポジトリ レベルで行われた割り当てからアクセス許可を継承します。 既定では、プロジェクト レベルの閲覧者グループには読み取りアクセス許可しかありません。

Git リポジトリとブランチのアクセス許可を管理するには、「ブランチのアクセス許可を設定する」を参照してください

アクセス許可 (UI)

Namespace permission

説明

プル要求の完了時にポリシーをバイパスする
GitRepositories, PullRequestBypassPolicy

[ブランチ ポリシーのオーバーライド] をチェックしてブランチ ポリシーをオーバーライドし、PR を完了するときにマージを有効にすることを選択できます。

Note

プル要求を完了するときにポリシーをバイパスし、ポリシーの適用除外をプッシュするときにポリシーをバイパスします。 Azure DevOps Server 2019 以降のバージョンに適用されます。

プッシュ時にポリシーをバイパスする

ブランチ ポリシーが有効になっているブランチにプッシュできます。 このアクセス許可を持つユーザーが、ブランチ ポリシーをオーバーライドするプッシュを行うと、プッシュはオプトイン ステップまたは警告なしでブランチ ポリシーを自動的にバイパスします。

Note

プル要求を完了するときにポリシーをバイパスし、ポリシーの適用除外をプッシュするときにポリシーをバイパスします。 Azure DevOps Server 2019 以降のバージョンに適用されます。

貢献
GitRepositories, GenericContribute

リポジトリ レベルで、変更をリポジトリ内の既存のブランチにプッシュし、プル要求を完了できます。 このアクセス許可がないが、ブランチの作成アクセス許可を持つユーザーは、新しいブランチに変更をプッシュする可能性があります。 ブランチ ポリシーから所定の制限をオーバーライドしません。

ブランチ レベルで、変更をブランチにプッシュし、ブランチをロックできます。 ブランチをロックすると、他のユーザーからの新しいコミットがブロックされ、他のユーザーが既存のコミット履歴を変更できなくなります。

pull request に投稿する
GitRepositories, PullRequestContribute

pull request を作成、コメント、投票できます。

ブランチの作成
GitRepositories, CreateBranch

リポジトリ内にブランチを作成して発行できます。 このアクセス許可がない場合、ユーザーがローカル リポジトリにブランチを作成することを制限することはできません。これにより、ローカル ブランチがサーバーに発行されるのを妨げるだけです。

Note

ユーザーがサーバーに新しいブランチを作成すると、そのブランチに対する投稿、ポリシーの編集、プッシュの強制、アクセス許可の管理、および他のユーザーのロックの削除のアクセス許可が既定で付与されます。 つまり、ユーザーはブランチを介してリポジトリに新しいコミットを追加できます。

リポジトリを作成する
GitRepositories, CreateRepository

新しいリポジトリを作成できます。 このアクセス許可は、最上位の Git リポジトリ オブジェクトの [セキュリティ] ダイアログからのみ使用できます。

タグの作成
GitRepositories, CreateTag

リポジトリにタグをプッシュできます。

リポジトリを削除する GitRepositories, DeleteRepository

リポジトリを削除できます。 最上位 レベルの Git リポジトリ レベルでは、任意のリポジトリを削除できます。

ポリシーを編集する
GitRepositories, EditPolicies

リポジトリとそのブランチのポリシーを編集できます。

ポリシーの適用から除外
GitRepositories, PolicyExempt

TFS 2018 Update 2 に適用されます。 ブランチ ポリシーをバイパスし、次の 2 つのアクションを実行できます。

  • ブランチ ポリシーをオーバーライドし、ブランチ ポリシーを満たさない PR を完了する
  • ブランチ ポリシーが設定されているブランチに直接プッシュする

Note

Azure DevOps では、次の 2 つのアクセス許可に置き換えられます。 プル要求 を完了するときにポリシーをバイパスし 、プッシュ時にポリシーをバイパスします

プッシュの強制 (書き換え履歴、ブランチとタグの削除)
GitRepositories, ForcePush

ブランチの更新、ブランチの削除、およびブランチのコミット履歴の変更を強制できます。 タグとメモを削除できます。

ノートの管理
GitRepositories, ManageNote

Git ノートをプッシュおよび編集できます。

アクセス許可の管理
GitRepositories, ManagePermissions

リポジトリのアクセス許可を設定できます。

読み取り GitRepositories, GenericRead

リポジトリの内容を複製、フェッチ、プル、探索できます。

他のユーザーのロックを削除する
GitRepositories, RemoveOthersLocks

他のユーザーが設定した分岐ロックを削除できます。 ブランチをロックすると、新しいコミットが他のユーザーによってブランチに追加されなくなり、他のユーザーが既存のコミット履歴を変更できなくなります。

リポジトリの名前を変更する
GitRepositories, RenameRepository

リポジトリの名前を変更できます。 最上位の Git リポジトリ エントリで設定すると、任意のリポジトリの名前を変更できます。

TFVC (オブジェクト レベル)

Web ポータルまたは TFSSecurity コマンド ライン ツール使用して、各 TFVC ブランチのセキュリティを管理します。 Project 管理istrators には、これらのアクセス許可の大部分が付与されます。このアクセス許可は、Team Foundation バージョン管理をソース管理システムとして使用するように構成されているプロジェクトに対してのみ表示されます。 バージョン管理のアクセス許可では、明示的な拒否が管理者グループのアクセス許可よりも優先されます。

これらのアクセス許可は、ソース管理システムとしてTeam Foundation バージョン管理を使用するプロジェクトのセットアップにのみ表示されます。

TFVC アクセス許可ダイアログのスクリーンショット。

バージョン管理のアクセス許可では、明示的な 拒否 が管理者グループのアクセス許可よりも優先されます。

アクセス許可 (UI)

Namespace permission

説明

管理ister ラベル
VersionControlItems, LabelOther

別のユーザーによって作成されたラベルを編集または削除できます。

チェックイン
VersionControlItems, Checkin

アイテムをチェックしたり、コミットされた変更セットのコメントを修正したりできます。 保留中の変更は、チェックにコミットされます。

Note

プロジェクトの開発に貢献する手動で追加されたユーザーまたはグループにこれらのアクセス許可を追加することを検討してください。変更のチェックとチェック、フォルダー内のアイテムに対する保留中の変更、コミットされた変更セットのコメントの修正を行うことができるユーザー。

他のユーザーの変更をチェックインする
VersionControlItems, CheckinOther

他のユーザーによって行われた変更をチェックできます。 保留中の変更は、チェックにコミットされます。

サーバー ワークスペースに変更を加える
VersionControlItems, PendChange

フォルダー内のアイテムをチェックし、保留中の変更を行うことができます。 保留中の変更の例としては、ファイルの追加、編集、名前変更、削除、削除、削除、分岐、マージなどがあります。 保留中の変更をチェックする必要があるため、ユーザーはチームと変更を共有するためのチェックインアクセス許可も必要です。

Note

プロジェクトの開発に貢献する手動で追加されたユーザーまたはグループにこれらのアクセス許可を追加することを検討してください。変更のチェックとチェック、フォルダー内のアイテムに対する保留中の変更、コミットされた変更セットのコメントの修正を行うことができるユーザー。

Label
VersionControlItems, Label

項目にラベルを付けることができます。

ロック
VersionControlItems, Lock

フォルダーまたはファイルをロックおよびロック解除できます。 追跡対象のフォルダーまたはファイルをロックまたはロック解除して、ユーザーの特権を拒否または復元できます。 権限には、別のワークスペースに編集するアイテムをチェックしたり、別のワークスペースのアイテムに対する保留中の変更をチェックしたりできます。 詳細については、「Lock コマンド」を参照してください。

ブランチの管理
VersionControlItems, ManageBranch

そのパスの下にある任意のフォルダーをブランチに変換し、ブランチで次のアクションを実行することもできます。そのプロパティを編集し、親を変更して、フォルダーに変換します。 このアクセス許可を持つユーザーは、ターゲット パスの Merge 権限も持っている場合にのみ、このブランチを分岐できます。 ユーザーがブランチの管理アクセス許可を持たないブランチからブランチを作成することはできません。

アクセス許可の管理
VersionControlItems, AdminProjectRights

バージョン管理でフォルダーとファイルに対する他のユーザーのアクセス許可を管理できます。

Note

プロジェクトの開発に貢献する手動で追加されたユーザーまたはグループにこのアクセス許可を追加することを検討してください。ただし、プロジェクトがより制限の厳しい開発プラクティスに従っている場合を除き、プライベート ブランチを作成できる必要があります。

マージ
VersionControlItems, AdminProjectRights

変更をこのパスにマージできます。

Note

プロジェクトの開発に貢献し、ソース ファイルをマージできる必要がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。ただし、プロジェクトがより制限の厳しい開発プラクティスに従っている場合を除きます。

読み込み
VersionControlItems, Read

ファイルまたはフォルダーの内容を読み取ることができます。 ユーザーがフォルダーの読み取りアクセス許可を持っている場合、ユーザーがファイルを開く権限を持っていない場合でも、フォルダーの内容とその中のファイルのプロパティを表示できます。

他のユーザーの変更を変更する
VersionControlItems, ReviseOther

別のユーザーがファイルにチェックした場合でも、チェックファイルのコメントを編集できます。

Note

このアクセス許可は、プロジェクトの監督または監視を担当し、別のユーザーがファイルにチェックした場合でも、チェックイン ファイルのコメントを変更する必要がある手動で追加されたユーザーまたはグループに追加することを検討してください。

他のユーザーの変更を元に戻す
VersionControlItems, UndoOther

別のユーザーによって行われた保留中の変更を元に戻すことができます。

Note

このアクセス許可は、プロジェクトの監督または監視を担当し、別のユーザーがファイルにチェックした場合でも、チェックイン ファイルのコメントを変更する必要がある手動で追加されたユーザーまたはグループに追加することを検討してください。

他のユーザーの変更のロックを解除する
VersionControlItems, UnlockOther

他のユーザーによってロックされたファイルのロックを解除できます。

Note

このアクセス許可は、プロジェクトの監督または監視を担当し、別のユーザーがファイルにチェックした場合でも、チェックイン ファイルのコメントを変更する必要がある手動で追加されたユーザーまたはグループに追加することを検討してください。

エリア パス (オブジェクト レベル)

エリア パスのアクセス許可は、エリア階層のブランチとそれらのエリア内の作業項目へのアクセスを許可または制限します。 Web ポータルまたは TFSSecurity コマンド ライン ツール使用して、各エリア パスのセキュリティを管理します。 エリアのアクセス許可は、エリア パスの作成と管理、およびエリア パスで定義された作業項目の作成と変更を行うためにアクセスを許可または制限します。

Project 管理istrators グループのメンバーには、プロジェクトのエリア パスを管理するためのアクセス許可が自動的に付与されます。 エリア ノードを作成、編集、または削除するためのアクセス許可をチーム管理者またはチーム リーダーに付与することを検討してください。

Note

複数のチームがプロジェクトに貢献する場合があります。 その場合は、エリアに関連付けられているチームを設定できます。 チームの作業項目のアクセス許可は、領域にアクセス許可を割り当てることによって割り当てられます。 チームのアジャイル計画ツールを構成する他 のチーム設定 があります。

エリア パスのアクセス許可ダイアログのスクリーンショット。

アクセス許可 (UI)

Namespace permission

説明

子ノードを作成する
CSS, CREATE_CHILDREN

エリア ノードを作成できます。 このアクセス許可とこのノードの編集権限の両方を持つユーザーは、任意の子エリア ノードを移動または並べ替えることができます。 エリア ノードを削除、追加、または名前変更する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

このノードを削除する
CSS, CREATE_CHILDREN

この権限と別のノードに対するこのノードの編集権限の両方を持つユーザーは、エリア ノードを削除し、削除されたノードから既存の作業項目を再分類できます。 削除されたノードに子ノードがある場合、それらのノードも削除されます。

Note

エリア ノードを削除、追加、または名前変更する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

このノードを編集する
CSS, CREATE_CHILDREN

このノードのアクセス許可を設定し、領域ノードの名前を変更できます。

Note

エリア ノードを削除、追加、または名前変更する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

このノードの作業項目を編集する
CSS, WORK_ITEM_WRITE

この領域ノードの作業項目を編集できます。

Note

エリア ノードの下の作業項目を編集する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

テスト計画を管理する
CSS, MANAGE_TEST_PLANS

ビルドやテストの設定などのテスト 計画のプロパティを変更できます。

Note

このアクセス許可は、このエリア ノードの下でテスト 計画またはテスト スイートを管理するために必要になる可能性がある、手動で追加されたユーザーまたはグループに追加することを検討してください。

テスト スイートの管理
CSS, MANAGE_TEST_SUITES

テスト スイートの作成と削除、テスト スイートのテスト ケースの追加と削除、テスト スイートに関連付けられているテスト構成の変更、スイート階層の変更 (テスト スイートの移動) を行うことができます。

Note

このアクセス許可は、このエリア ノードの下でテスト 計画またはテスト スイートを管理するために必要になる可能性がある、手動で追加されたユーザーまたはグループに追加することを検討してください。

このノードのアクセス許可を表示する

エリア パス ノードのセキュリティ設定を表示できます。

このノードの作業項目を表示する CSS, GENERIC_READ

このエリア ノードの作業項目を表示できますが、変更することはできません。

Note

[このノードの作業項目の表示] を [拒否] に設定すると、ユーザーはこのエリア ノードの作業項目を表示できなくなります。 Deny は、管理グループのメンバーであるユーザーの場合でも、暗黙的な許可をオーバーライドします。

反復パス (オブジェクト レベル)

イテレーション パスのアクセス許可は、イテレーション パス (スプリントとも呼ばれます) を作成および管理するためのアクセス権を付与または制限します。

Web ポータルまたは TFSSecurity コマンド ライン ツール使用して、各反復パスのセキュリティを管理します。

Project 管理istrators グループのメンバーには、プロジェクトに対して定義されたイテレーションごとに、これらのアクセス許可が自動的に付与されます。 イテレーション ノードを作成、編集、または削除するためのアクセス許可をチーム管理者、スクラム マスター、またはチーム リーダーに付与することを検討してください。

[反復パスのアクセス許可] ダイアログのスクリーンショット。

アクセス許可 (UI)

Namespace permission

説明

子ノードを作成する
Iteration, CREATE_CHILDREN

反復ノードを作成できます。 このアクセス許可とこのノードの編集権限の両方を持つユーザーは、任意の子反復ノードを移動または並べ替えることができます。

Note

反復ノードを削除、追加、または名前変更する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

このノードを削除する
Iteration, DELETE

このアクセス許可と、別のノードに対するこのノードの編集権限の両方を持つユーザーは、反復ノードを削除し、削除されたノードから既存の作業項目を再分類できます。 削除されたノードに子ノードがある場合、それらのノードも削除されます。

Note

反復ノードを削除、追加、または名前変更する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

このノードを編集する
Iteration, GENERIC_WRITE

このノードのアクセス許可を設定し、反復ノードの名前を変更できます。

Note

反復ノードを削除、追加、または名前変更する必要がある可能性がある手動で追加されたユーザーまたはグループに、このアクセス許可を追加することを検討してください。

このノードのアクセス許可を表示する
Iteration, GENERIC_READ

このノードのセキュリティ設定を表示できます。

Note

プロジェクト コレクションの有効なユーザー、プロジェクトの有効なユーザー、またはコレクション レベルの情報の表示またはプロジェクト レベルの情報の表示を持つ任意のユーザーまたはグループのメンバーは、任意のイテレーション ノードのアクセス許可を表示できます。

作業項目のクエリとクエリ フォルダー (オブジェクト レベル)

Web ポータルを使用してクエリとクエリ フォルダーのアクセス許可を管理します。 Project 管理istrator には、これらすべてのアクセス許可が付与されます。 共同作成者には読み取りアクセス許可のみが付与されます。 プロジェクトの作業項目クエリを作成および共有する機能を必要とするユーザーまたはグループに投稿アクセス許可を付与することを検討してください。

[クエリ フォルダーのアクセス許可] ダイアログのスクリーンショット。

プロジェクトの 作業項目クエリを作成および共有する機能を必要とするユーザーまたはグループに投稿 アクセス許可を付与することを検討してください。 詳細については、「クエリのアクセス許可を設定する」を参照してください。

Note

クエリ グラフ を作成するには、Basic アクセスが必要です。

アクセス許可 (UI)

Namespace permission

説明

貢献
WorkItemQueryFolders, Contribute

クエリ フォルダーを表示および変更したり、フォルダー内にクエリを保存したりできます。

Del
WorkItemQueryFolders, Delete

クエリまたはクエリ フォルダーとその内容を削除できます。

アクセス許可の管理
WorkItemQueryFolders, ManagePermissions

このクエリまたはクエリ フォルダーのアクセス許可を管理できます。

読む
WorkItemQueryFolders, Read

フォルダー内のクエリまたはクエリを表示および使用できますが、クエリまたはクエリ フォルダーの内容を変更することはできません。

配信計画 (オブジェクト レベル)

Web ポータルを使用してプランのアクセス許可を 管理します。 [セキュリティ] ダイアログを使用して、各プランのアクセス許可を管理します。 Project 管理istrator には、プランを作成、編集、管理するためのすべてのアクセス許可が付与されます。 有効なユーザーには、ビュー (読み取り専用) アクセス許可が付与されます。

アクセス許可 (UI)

Namespace permission

説明

Del
Plan, Delete

選択したプランを削除できます。

編集
Plan, Edit

選択したプランに対して定義されている構成と設定を編集できます。

管理
Plan, Manage

選択したプランのアクセス許可を管理できます。

表示
Plan, View

プランの一覧を表示したり、プランを開いたり、操作したりすることはできますが、プランの構成や設定を変更することはできません。

プロセス (オブジェクト レベル)

Web ポータルを使用して作成する継承された各プロセスのアクセス許可を管理できます。 [セキュリティ] ダイアログを使用して、各プロセスのアクセス許可を管理します。 Project Collection 管理istrator には、プロセスを作成、編集、および管理するためのすべてのアクセス許可が付与されます。 有効なユーザーには、ビュー (読み取り専用) アクセス許可が付与されます。

アクセス許可 (UI)

Namespace permission

説明

プロセスのアクセス許可を管理する
Process, AdministerProcessPermissions

継承されたプロセスのアクセス許可を設定または変更できます。

プロセスの削除
Process, Delete

継承されたプロセスを削除できます。

プロセスの編集
Process, Edit

システム プロセスから継承されたプロセスを作成したり、継承されたプロセスをコピーまたは変更したりできます。

作業項目のタグ

タグ付けアクセス許可は、az devops セキュリティ アクセス許可または TFSSecurity コマンドライン ツールを使用して管理できます。 共同作成者は、作業項目にタグを追加し、それらを使用してバックログ、ボード、またはクエリ結果ビューをすばやくフィルター処理できます。

TFSSecurity コマンド ライン ツールを使用して、タグ付けアクセス許可を管理できます。 共同作成者は、作業項目にタグを追加し、それらを使用してバックログ、ボード、またはクエリ結果ビューをすばやくフィルター処理できます。

アクセス許可 (UI)

Namespace permission

説明

タグ定義を作成する
Tagging, Create

新しいタグを作成し、作業項目に適用できます。 このアクセス許可を持たないユーザーは、プロジェクトの既存のタグ セットからのみ選択できます。

Note

既定では、共同作成者にはタグ定義の作成アクセス許可が割り当てられます。 タグ定義作成アクセス許可はプロジェクト レベルのセキュリティ設定に表示されますが、タグ付けアクセス許可は、実際には、ユーザー インターフェイスに表示されるときにプロジェクト レベルでスコープ設定されるコレクション レベルのアクセス許可です。 コマンド ライン ツールを使用しているときにタグ付けアクセス許可のスコープを 1 つのプロジェクトに設定するには、コマンド構文の一部としてプロジェクトの GUID を指定する必要があります。 それ以外の場合、変更はコレクション全体に適用されます。 これらのアクセス許可を変更または設定するときは、この点に注意してください。

タグ定義を削除する
Tagging, Delete

そのプロジェクトで使用可能なタグの一覧からタグを削除できます。

Note

このアクセス許可は UI に表示されません。 これは、コマンド ライン ツールを使用してのみ設定できます。 タグを明示的に削除する UI もありません。 代わりに、タグが 3 日間使用されていない場合、自動的に削除されます。

タグ定義を列挙する
Tagging, Enumerate

プロジェクト内の作業項目で使用できるタグの一覧を表示できます。 このアクセス許可を持たないユーザーには、作業項目フォームまたはクエリ エディターで選択できるタグの一覧がありません。

Note

このアクセス許可は UI に表示されません。 これは、コマンド ライン ツールを使用してのみ設定できます。 プロジェクト レベルの情報を暗黙的に表示すると、ユーザーは既存のタグを表示できます。

タグ定義を更新する
Tagging, Update

REST API を使用してタグの名前を変更できます。

Note

このアクセス許可は UI に表示されません。 これは、コマンド ライン ツールを使用してのみ設定できます。

リリース (オブジェクト レベル)

Web ポータルで定義されている各リリースのアクセス許可 を管理します。 Project 管理istrators と Release 管理istrator には、すべてのリリース管理アクセス許可が付与されます。 これらのアクセス許可は、プロジェクト レベルの階層モデル、特定のリリース パイプライン、またはリリース パイプライン内の特定の環境で機能します。 この階層内では、権限は親から継承することも、オーバーライドすることもできます。

オブジェクト レベルのアクセス許可のリリースを示すスクリーンショット。

Note

プロジェクト レベルの Release 管理istrator のグループは、最初のリリース パイプラインが定義されると同時に作成されます。

さらに、リリース パイプライン内の特定の手順に承認者を割り当てて、デプロイされるアプリケーションが品質基準を満たしていることを確認できます。

リリース管理では、次のアクセス許可が定義されています。 スコープ列では、プロジェクト、リリース パイプライン、または環境レベルでアクセス許可を設定できるかどうかを説明します。

権限

説明

スコープ

管理リリースのアクセス許可

この一覧で示されている他のすべてのアクセス許可を変更できます。

プロジェクト、リリース パイプライン、環境

リリースの作成

新しいリリースを作成できます。

プロジェクト、リリース パイプライン

リリース パイプラインの削除

リリース パイプラインを削除できます。

プロジェクト、リリース パイプライン

リリース環境を削除する

リリース パイプライン内の環境を削除できます。

プロジェクト、リリース パイプライン、環境

リリースの削除

パイプラインのリリースを削除できます。

プロジェクト、リリース パイプライン

リリース パイプラインの編集

リリース パイプラインを追加および編集できます。これには、構成変数、トリガー、成果物、保持ポリシー、リリース パイプラインの環境内での構成が含まれます。 リリース パイプライン内の特定の環境に変更を加えるために、ユーザーにはリリース環境の編集アクセス許可も必要です。

プロジェクト、リリース パイプライン

リリース環境の編集

リリース パイプライン内の環境を編集できます。 ユーザーが、リリース パイプラインへの変更を保存するには、リリース パイプラインの編集アクセス許可も必要です。 また、このアクセス許可は、ユーザーが特定のリリース インスタンスの環境内で構成を編集できるかどうかを制御します。 ユーザーが、変更したリリースを保存するには、リリースの管理アクセス許可も必要です。

プロジェクト、リリース パイプライン、環境

デプロイの管理

環境へのリリースの直接デプロイを開始できます。 このアクセス許可は、リリースで [配置] アクションを 選択して手動で開始される直接デプロイ にのみ適用されます。 環境の条件が任意の種類の自動デプロイに設定されている場合、リリースを作成したユーザーのアクセス許可をチェックすることなく、システムは自動的にデプロイを開始します。

プロジェクト、リリース パイプライン、環境

リリース承認者を管理する

リリース パイプラインで環境の承認者を追加または編集できます。 このアクセス許可は、ユーザーが特定のリリース インスタンスの環境内で承認者を編集できるかどうかを制御します。

プロジェクト、リリース パイプライン、環境

リリースの管理

リリース構成 (ステージ、承認者、変数など) を編集できます。 リリース インスタンス内の特定の環境の構成を編集するには、ユーザーにはリリース環境の編集アクセス許可も必要です。

プロジェクト、リリース パイプライン

リリース パイプラインの表示

リリース パイプラインを表示できます。

プロジェクト、リリース パイプライン

リリースの表示

リリース パイプラインに属するリリースを表示できます。

プロジェクト、リリース パイプライン

これらのすべてのアクセス許可の既定値は、チーム プロジェクト コレクションとプロジェクト グループに設定されます。 たとえば、Project Collection 管理istratorsProject 管理istrators、Release 管理istrators には、上記のすべてのアクセス許可が既定で付与されます。 共同作成者には、管理ister リリースアクセス許可を除くすべてのアクセス許可が付与されます。 閲覧者は、既定では、リリース パイプラインの表示とリリースの表示を除くすべてのアクセス許可が拒否されます。

タスク グループ (ビルドとリリース) のアクセス許可

Web ポータルのビルドおよびリリース ハブからタスク グループのアクセス許可を管理します。 Project、Build、Release 管理istrator には、すべてのアクセス許可が付与されます。 タスク グループのアクセス許可は、階層モデルに従います。 すべての権限の既定値はプロジェクト レベルで設定でき、個々のタスク グループ定義でオーバーライドできます。

タスク グループを使用して、ビルドまたはリリース定義で既に定義されている一連のタスクを 1 つの再利用可能なタスクにカプセル化します。 [ビルドとリリース] ハブの [タスク グループ] タブで、タスク グループを定義および管理します。

権限 説明
タスク グループのアクセス許可の管理 タスク グループ セキュリティのユーザーまたはグループを追加および削除できます。
タスク グループの削除 タスク グループを削除できます。
タスク グループの編集 タスク グループを作成、変更、または削除できます。

通知またはアラート

電子メール通知またはアラートの管理に関連付けられている UI アクセス許可はありません。 代わりに、az devops セキュリティ アクセス許可または TFSSecurity コマンドライン ツールを使用して管理できます。

電子メール通知またはアラートの管理に関連付けられている UI アクセス許可はありません。 代わりに、TFSSecurity コマンド ライン ツールを使用して管理できます。

  • 既定では、プロジェクト レベルの 共同作成者 グループのメンバーは、自分でアラートをサブスクライブできます。
  • Project Collection 管理istrators グループのメンバー、またはコレクション レベルの情報を編集するユーザーは、他のユーザーまたはチームに対して、そのコレクションにアラートを設定できます。
  • Project 管理istrators グループのメンバー、またはプロジェクト レベルの情報を編集するユーザーは、他のユーザーまたはチームに対して、そのプロジェクトにアラートを設定できます。

TFSSecurity を使用してアラートのアクセス許可を管理できます。

TFSSecurity アクション

TFSSecurity 名前空間

説明

Project Collection 管理istrators >
プロジェクト コレクション サービス アカウント

CREATE_SOAP_SUBSCRIPTION

EventSubscription

SOAP ベースの Web サービス サブスクリプションを作成できます。

✔️

GENERIC_READ

EventSubscription

プロジェクトに対して定義されているサブスクリプション イベントを表示できます。

✔️

GENERIC_WRITE

EventSubscription

他のユーザーまたはチームのアラートを作成できます。

✔️

UNSUBSCRIBE

EventSubscription

イベント サブスクリプションのサブスクライブを解除できます。

✔️