オブジェクト レベルのアクセス許可を設定する
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
組織のセキュリティを管理する際に、組織/コレクション レベル、プロジェクト レベル、およびオブジェクト レベルでアクセス許可を設定できます。 この記事では、ユーザー インターフェイスが Azure Devops によって多少異なるため、オブジェクト レベルでアクセス許可を設定するためのセキュリティ ダイアログに進むのに役立ちます。 詳細については、「アクセス許可、アクセス、およびセキュリティ グループの概要」を参照してください。
次の項目はオブジェクトと見なされます。
- 全般: ダッシュボード、分析ビュー、Wiki、通知
- Azure Boards: エリア パス、イテレーション パス、共有クエリとクエリ フォルダーなど
- Azure Pipelines: パイプライン、デプロイ グループ、タスク グループなどをビルドしてリリースする
- Azure Repos: Git リポジトリとブランチ、TFVC フォルダーまたはブランチ
- Azure アーティファクト: 成果物とフィード
作業項目、タグ、テスト 計画、およびその他のテスト成果物は、通常、プロジェクト レベルまたはエリア パスで設定されるセキュリティ設定の対象となります。
オブジェクト レベルのアクセス許可を設定するには、 Project Administrators グループのメンバーであるか、個々のオブジェクト セキュリティ ダイアログで明示的なアクセス許可を持っている必要があります。
Note
TFVC では、プロジェクトごとに 1 つのリポジトリのみがサポートされます。 リポジトリから継承するリポジトリまたはリポジトリ フォルダー/ブランチのアクセス許可を設定できます。
オブジェクト セクションのアクセス許可ダイアログを開く
オブジェクトの [アクセス許可] ダイアログにアクセスするには、次の手順に従います。
- 特定のオブジェクトに移動します。
- [詳細
...
] を選択します。 - ドロップダウン メニューから Security を選択します。
Note
リポジトリや Analytics ビューなどの一部のオブジェクトには、少なくとも Basic アクセス レベルが必要です。 詳細については、「 Access レベル」を参照してください。
ダッシュボード、Wiki、および分析ビューのアクセス許可を設定する
プロジェクトの作成、削除、名前変更など、一部の一般的な項目に対して、プロジェクト レベルおよび組織/コレクション レベルでアクセス許可を設定できます。 次の表は、ダッシュボード、Wiki、および Analytic ビューのオブジェクト レベルでのアクセス許可の設定に関する情報を示しています。
Object | 既定のグループ メンバーシップ | セキュリティにアクセスする方法 | 継承。 |
---|---|---|---|
ダッシュボード | Contributor | Dashboards を開き領域のパスを選択し、[詳細 ... >セキュリティ。 | ✔️ (チーム ダッシュボードのプロジェクト設定) |
Wiki | Contributor | wiki を開き、 [詳細 ... を選択します >Wiki のセキュリティ。 詳細については、「 Manage Wiki のアクセス許可を参照してください。 | いいえ |
分析ビュー | 共同作成者 & 基本 | 分析ビューを開き、 [詳細 ... を選択します >セキュリティ。 | いいえ |
Boards オブジェクトのアクセス許可を設定する
次の表は、領域と反復パス、作業項目などのオブジェクト レベルでのアクセス許可の設定に関する情報を示しています。
Object | 既定のグループ メンバーシップ | セキュリティにアクセスする方法 | 継承。 |
---|---|---|---|
エリア パス | プロジェクト管理者 | 領域の横にある プロジェクトの設定>プロジェクトの構成>Areas> を開きます 詳細 ... >セキュリティ。 | ✔️ (親ノードの子ノード) |
イテレーション パス | プロジェクト管理者 | イテレーションの横にある Project 設定>Project 構成>Iterations> 詳細 ... を開きます >セキュリティ。 | ✔️ (親ノードの子ノード) |
作業項目: | Contributor | 作業項目 プロジェクト設定>プロジェクト構成>Areas>Area パス> を開きます。 | いいえ |
作業項目のクエリとクエリ フォルダー | クエリまたはフォルダーまたは Project 管理者の作成者 | 作業項目のクエリまたはクエリ フォルダーを開きます >詳細 ... >セキュリティ。 | いいえ |
配信計画 | プロジェクト管理者 または配信計画の作成者 | 配信プランの横にある Boards>Delivery Plans> More ... を開きます >セキュリティ。 | いいえ |
処理 | プロジェクト管理者 | [詳細 選択 ... >セキュリティ。 | ✔️ (組織/コレクションの設定から) |
Note
作業項目タグ - プロジェクト レベルでアクセス許可が設定されます。 タグ定義が作成されます。 作業項目タグはオブジェクトとして修飾されません。作業項目を通じて定義されます。
ヒント
レビュー担当者に関連する次のロールを分解しましょう。
- 変更された校閲者:
- このロールは、一連のファイルに対してポリシーが定義されているため、追加または削除されたすべてのレビュー担当者に適用されます。
- たとえば、
File1.cs
に変更が加えられたプル要求 (PR) について考えてみます。 - ユーザー A が
File1.cs
の変更を確認する必要があることをポリシーで指定した場合、PR のそのイテレーションの "変更されたレビュー担当者" ロールに分類されます。
- レビュー担当者をリセットする:
- このロールは、"投票のリセット" ポリシーに関連しています。
- リポジトリにポリシー "新しいプッシュでの投票のリセット" が構成されている場合を想定します。
- PR を確認する必要があった人物 B が既に承認している場合、ポリシーにより投票がリセットされます。
- その結果、そのイテレーションの "レビュー担当者のリセット" ロールになります。
Repos オブジェクトのアクセス許可を設定する
次の表に、リポジトリ、Git リポジトリ、Git ブランチ、TFVC リポジトリのオブジェクト レベルでのアクセス許可の設定に関する情報を示します。
Object | 既定のグループ メンバーシップ | セキュリティにアクセスする方法 | 継承。 |
---|---|---|---|
Repos | プロジェクト管理者 | Project 設定を開き、Repositories>リポジトリの>Securityを強調表示します。 | ✔️ |
Git リポジトリ | プロジェクト管理者 | Project 設定>Repositories Git リポジトリを開きます。 | ✔️ (Git リポジトリのプロジェクト設定から) |
Git ブランチ | プロジェクト管理者 | Repos>Branches> branch >More ... を開きます>ブランチ セキュリティ。 | ✔️ |
TFVC リポジトリ | プロジェクト管理者 | Project 設定>Repositories TFVC リポジトリを開きます。 | ✔️ |
ヒント
- ブランチのアクセス許可:
- ブランチは、リポジトリ レベルで行われた割り当てからアクセス許可のサブセットを継承します。
- 詳細については、「 ブランチのアクセス許可を設定する と ブランチ ポリシーを使用したコード品質の向上」を参照してください。
- 共有クエリ フォルダー:
- 各チームの共有クエリ フォルダーを作成します。
- そのフォルダーの下にクエリを作成および編集するためのアクセス許可をすべてのチーム メンバーに提供します。
- 共同作成者グループ:
- 共同作成者グループにユーザーを追加すると、作業項目を追加および変更できます。
- エリア パスに基づいて、ユーザーとグループのアクセス許可を制限できます。 詳細については、「 作業追跡のアクセス許可とアクセスの設定」、エリア パスの下の作業項目の変更を参照してください。
- アクセス許可レポート:
- プロジェクト コレクション管理者は、リポジトリのアクセス許可レポートを ダウンロードできます。
- この機能のユーザー インターフェイス ボタンは、Project Collection Administrators グループのメンバーではないユーザーには表示されません。
Pipelines オブジェクトのアクセス許可を設定する
次の表は、ビルド パイプライン、リリース パイプライン、デプロイ グループなどのオブジェクト レベルでのアクセス許可の設定に関する情報を示しています。
Object | 既定のグループ メンバーシップ | セキュリティにアクセスする方法 | 継承。 |
---|---|---|---|
パイプライン | プロジェクト管理者 | パイプライン >Pipelines>All> を開きます>詳細 ... >セキュリティの管理。 | ✔️ |
ビルド パイプライン | プロジェクト管理者 | ビルド パイプラインを開きます >詳細 ... >セキュリティを管理します。 | ✔️ |
ビルド パイプラインの実行 | プロジェクト管理者 | ビルド パイプラインの実行を開きます >詳細 ... >セキュリティを管理します。 | ✔️ |
リリース パイプライン | プロジェクト管理者 | リリース パイプラインを開きます >詳細 ... >セキュリティを管理します。 | ✔️ |
タスク グループ (クラシック) | プロジェクト管理者 | タスク グループを開きます >詳細 ... >セキュリティを管理します。 | ✔️ |
デプロイ グループ | プロジェクト管理者 | 展開グループを開きます >詳細 ... >セキュリティを管理します。 | ✔️ |
デプロイ プール | プロジェクト管理者 | 展開プールを開きます >詳細 ... >セキュリティを管理します。 | ✔️ |
環境 | プロジェクト管理者 | 環境を開きます >詳細 ... >セキュリティを管理します。 | ✔️ (環境のアクセス許可設定から) |
変数グループ | プロジェクト管理者 | 変数グループを開きます >詳細 ... >セキュリティを管理します。 | ✔️ (ライブラリのアクセス許可設定から) |
セキュア ファイル | プロジェクト管理者 | セキュリティで保護されたファイルを開きます >詳細 ... >セキュリティを管理します。 | ✔️ (ライブラリのアクセス許可設定から) |
Artifacts オブジェクトのアクセス許可を設定する
次の表は、成果物とフィードのオブジェクト レベルでのアクセス許可の設定に関する情報を示しています。
Object | 既定のグループ メンバーシップ | セキュリティにアクセスする方法 | 継承。 |
---|---|---|---|
アイテム | プロジェクト管理者 | Artifacts> Azure Artifacts 設定アイコンを開きます。 適切なアクセス許可がない場合、アイコンは表示されません。 | いいえ |
フィード | プロジェクト管理者またはフィード管理者 | フィード >ギア アイコン>Permissions>+ ユーザー/グループの追加を開きます。 | いいえ |
Test plans オブジェクトのアクセス許可を設定する
- テスト 計画、テスト スイート、テスト ケース、およびその他のテスト オブジェクトは、テスト固有の作業項目の種類を表しているため、作業項目と同様に管理されます(「オブジェクトと用語のテスト で説明します。
- テスト レベルのアクセス許可は、プロジェクト レベルの設定または Area Path オブジェクト レベルの設定を使用して管理できます。 詳細については、「 テスト用のアクセス許可とアクセスを設定するを参照してください。
コマンド ラインを使用してオブジェクトのアクセス許可を設定する
az devops セキュリティ コマンド ライン ツールを使用すると、さまざまなオブジェクトと機能のアクセス許可を表示および管理できます。
コマンド ラインで管理できるより詳細なアクセス許可の例を次に示します。
- Notifications:
EventSubscription
名前空間とEventSubscriber
名前空間を使用します。 - Dashboards:
DashboardPrivileges
名前空間を使用してダッシュボードを読み取りまたは作成します。 - サービス エンドポイント:
ServiceEndpoints
名前空間を介してサービス エンドポイントを使用、管理、または表示します。 - 配信プラン:
Plans
名前空間を介して配信プランを表示します。
名前空間の詳細については、「 Security 名前空間とアクセス許可のリファレンスを参照してください。
オブジェクト通知のアクセス許可を設定する
通知のアクセス許可を設定するためのユーザー インターフェイスはありませんが、コマンド ライン ツールと EventSubscription
名前空間を使用して一部のアクセス許可を設定できます。 詳細については、セキュリティ名前空間とアクセス許可のリファレンスに関する記事を参照してください。
通知を管理するためのその他のヒントを次に示します。
- 通知レベル:
- 通知は、ユーザー、チーム、プロジェクト、組織/コレクションなど、さまざまなレベルで設定できます。
- 残念ながら、通知アクセス許可を設定するためのユーザー インターフェイスはありません。
- ただし、一部のアクセス許可は、コマンド ライン ツールと EventSubscription 名前空間を使用して構成できます。
- イニシエーター オプションをスキップする:
- 開始したイベントの通知を受信しない場合は、[イニシエーターのスキップ] オプションを有効にします。
- これにより、開始したアクションの通知が禁止されます。
- 詳細については、「 開始するイベントの通知メールから自分自身を除外するを参照してください。
- 組織全体の通知:
- Azure DevOps では、組織全体の通知は直接サポートされません。
- 別の方法として、組織全体に到達する電子メール配布リストを提供することを検討してください。
- Azure DevOps Services では、すべてのユーザーがサインインしたときに表示される
az devops banner
コマンドを使用してバナーを作成できます。