アクセス許可を使用してアクセスを許可または制限する

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Azure DevOps で管理するリソースへのアクセスを許可または制限できます。 選択した一連の機能や、選択したユーザー のセットに対するアクセスを開くか、閉じる必要がある場合があります。 組み込みのセキュリティ グループには標準のアクセス許可の割り当てが用意されていますが、これらの割り当てでは満たされないセキュリティ要件が必要になる場合があります。

アクセス許可とグループの管理を初めて使用する場合は、「 アクセス許可、アクセス、セキュリティ グループの概要 」を参照して、アクセス許可の状態と継承について学習してください。

この記事では、次のタスクを実行する方法について説明します。

• アクセス許可を付与および制限するための推奨される方法
• 選択したアクセス許可を特定のロールに割り当ててタスクを委任する
• ユーザーの可視性を組織の情報に制限する
• ユーザー ピッカーをプロジェクト のユーザーとグループに制限する
• オブジェクトの表示または変更へのアクセスを制限する
• ユーザーまたはグループに基づいて作業項目の変更を制限する

ヒント

リポジトリやエリア パスなど、オブジェクト レベルで多数のアクセス許可を設定するため、プロジェクトを構成する方法によって、開くことができる領域または閉じる領域が決まります。

アクセス許可を付与および制限するための推奨される方法

メンテナンスの目的で、組み込みのセキュリティ グループまたはカスタム セキュリティ グループを使用 してアクセス許可を管理することをお勧めします。

プロジェクト管理者グループまたはプロジェクト コレクション管理者グループの権限設定を変更することはできません。これは仕様です。 ただし、他のすべてのグループに対しては、アクセス許可を変更できます。

少数のユーザーを管理している場合は、個々のアクセス許可を変更する有効なオプションが見つかる場合があります。 ただし、カスタム セキュリティ グループを使用すると、それらのロールに割り当てられたロールとアクセス許可をより適切に追跡できます。

特定のロールにタスクを委任する

管理者またはアカウント所有者は、領域をリードまたは管理するチーム メンバーに管理タスクを委任することをお勧めします。 既定のアクセス許可とロールの割り当てに付属する主な組み込みロールの一部は次のとおりです。

• Readers
• 共同作成者
• チーム管理者 (ロール)
• プロジェクト管理者
• プロジェクト コレクション管理者

上記のロールに対するアクセス許可の概要については、「 既定のアクセス許可とアクセス権」、またはプロジェクト コレクション管理者については、「 プロジェクト コレクション レベルのアクセス許可を変更する」を参照してください。

組織内の他のメンバーにタスクを委任するには、カスタム セキュリティ グループを作成し、次の表に示すようにアクセス許可を付与することを検討してください。

ロール

実行するタスク

[許可] に設定するアクセス許可

開発リーダー (Git)

ブランチ ポリシーを管理する

ポリシーの編集、プッシュの強制、アクセス許可の管理
「 ブランチのアクセス許可を設定する」を参照してください。

開発リーダー (TFVC)

リポジトリとブランチを管理する

ラベルの管理、ブランチの管理、アクセス許可の管理
「TFVC リポジトリのアクセス許可を設定する」を参照してください。

ソフトウェア アーキテクト (Git)

リポジトリの管理

リポジトリの作成、プッシュの強制、アクセス許可の管理
「Git リポジトリのアクセス許可を設定する」を参照してください

チーム管理者

チームのエリア パスを追加する
チームの共有クエリを追加する

子ノードの作成、このノードの削除、このノードの編集「子ノードの作成、エリア パスの下の作業項目の変更」を参照してください
投稿、削除、アクセス許可の管理 (クエリ フォルダーの場合)、「 クエリのアクセス許可を設定する」を参照してください。

共同作成者

クエリ フォルダーの下に共有クエリを追加する(ダッシュボードに投稿する)

投稿、削除 (クエリ フォルダーの場合)、「クエリのアクセス許可を設定する」を参照してください
ダッシュボードの表示、編集、管理については、「 ダッシュボードのアクセス許可を設定する」を参照してください。

プロジェクトまたは製品マネージャー

エリア パス、イテレーション パス、および共有クエリを追加する
作業項目の削除と復元、このプロジェクトから作業項目を移動する、作業項目を完全に削除する

プロジェクト レベルの情報を編集する、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。

プロセス テンプレート マネージャー (継承プロセス モデル)

作業追跡のカスタマイズ

プロセスのアクセス許可の管理、新しいプロジェクトの作成、プロセスの作成、アカウントからの削除フィールド、プロセスの削除、プロジェクトの削除、プロセスの編集
「 プロジェクトコレクションレベルの権限を変更する」を参照してください。

プロセス テンプレート マネージャー (ホステッド XML プロセス モデル)

作業追跡のカスタマイズ

コレクション レベルの情報を編集する、「 プロジェクトのコレクション レベルのアクセス許可を変更する」を参照してください。

プロジェクト管理 (オンプレミス XML プロセス モデル)

作業追跡のカスタマイズ

プロジェクト レベルの情報を編集する、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。

アクセス許可マネージャー

プロジェクト、アカウント、またはコレクションのアクセス許可を管理する

プロジェクトの場合は、プロジェクト レベルの情報を編集します
アカウントまたはコレクションの場合は、インスタンス レベル (またはコレクション レベル) の情報を編集します
これらのアクセス許可のスコープについては、「 アクセス許可の参照ガイド」を参照してください。 アクセス許可の変更を要求するには、「アクセス許可 レベルの引き上げを要求する」を参照してください。

次のオブジェクトのアクセス許可を管理するためのアクセス許可を付与することもできます。

• Git リポジトリのアクセス許可を設定する
• Git ブランチのアクセス許可を管理する
• TFVC リポジトリのアクセス許可を設定する
• ビルドとリリースのアクセス許可を管理する
• Wiki のアクセス許可を管理する。

ユーザーの可視性を組織とプロジェクトの情報に制限する

重要

• このセクションで説明する制限付き可視性機能は、Web ポータルを介した操作にのみ適用されます。 REST API または azure devops CLI コマンドを使用すると、プロジェクト メンバーは制限付きデータにアクセスできます。
• Microsoft Entra ID で既定のアクセス権を持つ制限付きグループのメンバーであるゲスト ユーザーは、ユーザー 選択ウィンドウでユーザーを検索できません。 組織のプレビュー機能がオフになっている場合、またはゲスト ユーザーが制限付きグループのメンバーでない場合、ゲスト ユーザーは、想定どおりにすべての Microsoft Entra ユーザーを検索できます。

既定では、組織に追加されたユーザーは、すべての組織とプロジェクトの情報と設定を表示できます。 ユーザーを追加するプロジェクトのみにアクセスを制限するには、組織の特定のプロジェクトプレビュー機能 にユーザーの可視性とコラボレーションを制限 する機能を有効にします。 詳細については、「 プレビュー機能の管理」を参照してください。

この機能を有効にすると、 Project-Scoped Users グループに追加されたユーザーは、ほとんどの 組織設定 を表示でき、追加されたプロジェクトにのみ接続できます。

警告

組織で [ユーザーの 可視性とコラボレーションを特定のプロジェクト に限定する] プレビュー機能が有効になっている場合、プロジェクト スコープのユーザーは、明示的なユーザー招待ではなく、Microsoft Entra グループ メンバーシップを通じて組織に追加されたユーザーを検索できません。 これは予期しない動作であり、解決が行われています。 この問題を自己解決するには、組織の特定のプロジェクトプレビュー機能 にユーザーの可視性とコラボレーションを制限 する機能を無効にします。

ユーザー ピッカーをプロジェクト のユーザーとグループに制限する

Microsoft Entra ID を使用してユーザーとグループを管理する組織では、プロジェクトに追加されたユーザーやグループだけでなく、Microsoft Entra ID に追加されたすべてのユーザーとグループの検索がサポートされます。 People ピッカーでは、次の Azure DevOps 関数がサポートされています。

• [割り当て先] などの作業追跡 ID フィールドからのユーザー ID の選択
• 作業項目のディスカッションまたはリッチ テキスト フィールド、pull request ディスカッション、コミット コメント、または変更セットまたはシェルブセット コメントで @mention を使用してユーザーまたはグループを選択する
• wiki ページからの @mention を使用したユーザーまたはグループの選択

次の図に示すように、ユーザー名またはセキュリティ グループに一致するものが見つかるまで、ユーザー選択ボックスに入力を開始するだけです。

[Project-Scoped Users] グループに追加されたユーザーとグループは、ユーザー 選択ウィンドウから接続されているプロジェクト内のユーザーとグループのみを表示および選択できます。 すべてのプロジェクト メンバーのユーザー ピッカーのスコープを設定するには、「 組織の管理」、「ID の検索と選択を制限する」を参照してください。

オブジェクトの表示または変更へのアクセスを制限する

Azure DevOps は、すべての有効なユーザーがシステムで定義されているすべてのオブジェクトを表示できるように設計されています。 アクセス許可の状態を [拒否] に設定することで、リソースへのアクセスを制限できます。 カスタム セキュリティ グループに属するメンバーまたは個々のユーザーに対してアクセス許可を設定できます。 これらの種類のアクセス許可を設定する方法の詳細については、「アクセス 許可レベルの引き上げを要求する」を参照してください。

制限する領域

[拒否] に設定するアクセス許可

リポジトリを表示または投稿する

表示、投稿
「 Git リポジトリのアクセス許可を設定する」 または 「TFVC リポジトリのアクセス許可を設定する」を参照してください。

エリア パス内の作業項目を表示、作成、または変更する

このノードの作業項目の編集、このノードの作業項目の表示
「 作業の追跡のためのアクセス許可とアクセスの設定」、エリア パスの下にある作業項目の変更に関するページを参照してください。

選択したビルド パイプラインとリリース パイプラインを表示または更新する

ビルド パイプラインの編集、ビルド パイプラインの表示
リリース パイプラインの編集、リリース パイプラインの表示
これらのアクセス許可は、オブジェクト レベルで設定します。 「 ビルドとリリースのアクセス許可を設定する」を参照してください。

ダッシュボードを編集する

ダッシュボードの表示
「ダッシュボードのアクセス許可を設定する」を参照してください。

作業項目または選択フィールドの変更を制限する

作業項目の変更を制限する方法やフィールドを選択する方法を示す例については、「 サンプル ルールシナリオ」を参照してください。

次のステップ

ユーザー アカウントを削除する

関連記事

• アクセス許可のトラブルシューティング
• ルールおよびルールの評価
• 既定のアクセス許可とアクセス
• アクセス許可検索ガイド
• アクセス許可、アクセスおよびセキュリティ グループの概要
• アクセス許可とグループのリファレンス
• プロジェクト レベルのアクセス許可を変更する
• プロジェクトコレクションレベルの権限を変更する