作業追跡のアクセス許可を設定する

Azure DevOps Services |Azure DevOps Server 2022 - Azure DevOps Server 2019 |TFS 2018

ユーザーまたはグループにオブジェクト、プロジェクト、またはコレクションに対する特定のアクセス許可を付与することで、さまざまな作業追跡機能へのアクセスを許可または制限します。 または、ユーザーまたはグループに適用されるプロセスまたはプロジェクトに対してカスタム ルールを指定できます。このルールは、ユーザーが選択アクションを実行することを制限または要求する場合があります。 一般に、プロジェクトの共同作成者グループにユーザーを追加して、 作業追跡のアクセス許可とアクセスに関するページに記載されているほとんどの機能へのアクセスを提供します。

Note

パブリック プロジェクトの場合、利害関係者アクセスにより、ユーザーは作業追跡機能へのより大きなアクセス権と Azure Pipelines へのフル アクセスが提供されます。 詳細については、「 利害関係者アクセスクイック リファレンス」を参照してください

前提条件

  • 作業追跡のアクセス許可を設定するには、 Project Administrators グループのメンバーであるか、この記事の説明に従って作業追跡領域を管理するための明示的なアクセス許可が必要です。
  • プロセスのアクセス許可を設定するには、 Project Collection Administrators グループのメンバーであるか、コレクション プロセスを編集するための明示的なアクセス許可が必要です。

カスタム ルールを使用してビジネス ワークフローをサポートする

カスタム ルールはアクセス許可を設定しませんが、実行時にユーザーが作業項目を変更したり、作業項目フィールドの値を設定したりするための有効なアクセス許可に影響します。 Azure Boardsでは、ビジネス ワークフローをサポートする次の作業追跡のカスタマイズがサポートされています。

  • 作業項目の作成時、状態の変更、指定された状態時に選択ルールを適用します。
  • フィールド値が空の場合、特定の値に設定されている場合、または値に変更または変更されなかった場合は、選択ルールを適用します。
  • 指定した状態から移動するときに、特定の状態への遷移を制限します。
  • 作業項目を変更するユーザーのユーザーまたはグループ メンバーシップに基づいて、選択ルールを適用します。

ルールによって設定される一般的なアクションは次のとおりです。

  • フィールドを必須または読み取り専用にする
  • フィールドの値をクリアまたは設定するか、フィールド値を別のフィールドにコピーする
  • フィールドを非表示にします。

たとえば、ユーザーのグループが次のタスクを実行できないように効果的に制限するルールを指定できます。

  • 作業項目の作成
  • 作業項目を閉じた状態または完了した状態に切り替える
  • フィールドの値を変更する。

または、次の自動化を実行します。

  • 状態変更に基づいて作業項目を再割り当てする
  • 子作業項目に対して行われた状態変更に基づく親作業項目の状態遷移。

システム フィールドにカスタム ルールを適用する場合は、いくつかの制限が適用されます。 たとえば、 エリア パス または 反復パス の値を設定またはクリアするルールは、システム フィールドのため指定できません。 カスタム ルールに対して定義できるカスタム ルールとシステム フィールドの制限の詳細については、「 ルールとルールの評価」を参照してください。 カスタム ルールを定義するサンプル シナリオについては、「 サンプル ルール シナリオ」を参照してください。

作業追跡ロールとアクセス許可レベル

次の表は、オブジェクト、プロジェクト、またはコレクション レベルで設定できるさまざまなアクセス許可をまとめたものです。 チーム管理者ロールは、チーム リソースを追加および変更するためのアクセス権を提供します。


ロールまたはアクセス許可レベル

機能領域セット


チーム管理者ロール
チーム管理者ロールにユーザーを追加するには、「チーム管理者 の追加」を参照してください。


オブジェクト レベルのアクセス許可


プロジェクト レベルのアクセス許可


プロジェクトコレクションレベルの権限


Note

アクセス許可を設定するグループをまだ定義していない場合は、最初にグループ (通常はプロジェクト レベル) を作成します。 方法については、「 ユーザーまたはグループの追加または削除、セキュリティ グループの管理」を参照してください。

子ノードの作成、領域または反復パスの下の作業項目の変更

エリア パスのアクセス許可を使用すると、作業項目、テスト ケース、またはそれらの領域に割り当てられたテスト 計画を編集または変更するためのアクセス権を付与または制限できます。 ユーザーまたはグループにアクセス権を制限できます。 また、プロジェクトの領域またはイテレーションを追加または変更できるユーザーのアクセス許可を設定することもできます。

Note

プロジェクト メンバーには 、エリア パス または 反復パス を作成または編集するためのアクセス許可が付与されており、チーム エリアパス反復パスの構成を制御する権限とは別です。 チーム設定を構成するには、 チーム管理者ロールに追加するか、 プロジェクト管理者 グループのメンバーである必要があります。 *

プロジェクト 設定>プロジェクト構成から、プロジェクトの領域とイテレーションの両方を定義します。

  1. (1) [プロジェクト設定] を選択し、(2) [ボード] で [プロジェクト構成] を選択し、(3) [領域] または [イテレーション] を選択して領域パスまたは反復パスを変更します。

    [プロジェクト設定]>作業>プロジェクトの構成を開く画面を示すスクリーンショット。

  2. 管理するノードの ... コンテキスト メニューを選択し、[ セキュリティ] を選択します。

    [エリア パス] のコンテキスト メニューのスクリーンショット。[セキュリティ] を選択します。

  3. グループまたはプロジェクト メンバーを選択し、アクセス許可の設定を変更します。 ユーザーまたはグループを追加するには、検索ボックスにユーザー名を入力します。

    たとえば、ここでは、アカウント管理領域のパスで作業項目を表示、変更、または編集する機能を許可しないアクセス グループと、このグループの許可されていないメンバーを追加しました。

    [エリア パス] ノードの [セキュリティ]、[選択したグループ]、[アクセス許可の拒否] の設定のスクリーンショット。

    アクセス許可には、 拒否許可の 2 つの明示的な承認状態を指定できます。 さらに、アクセス許可は、追加の 3 つの状態のいずれかに存在できます。 詳細については、「 アクセス許可、アクセス許可、セキュリティ グループの概要」を参照してください。

  4. (省略可能)継承を無効にするには、[ 継承 ] スライダーを選択します。 継承を無効にすると、継承されたすべてのアクセス許可が明示的な Access Control エントリ (ACE) として保持されます。

  5. 完了したら、ダイアログを閉じます。 変更内容は自動的に保存されます。

プロジェクト 設定>プロジェクト構成から、プロジェクトの領域とイテレーションの両方を定義します。

  1. (1) [プロジェクト設定] を選択し、[ボード] で [(2) プロジェクト構成 ] を選択 し、[(3) 領域] を選択 します

    オンプレミス サーバーのプロジェクト設定>作業>プロジェクト構成を開いている様子を示すスクリーンショット。

  2. 管理するノードの ... コンテキスト メニューを選択し、[ セキュリティ] を選択します。

    [エリア パス] のコンテキスト メニューのスクリーンショット。[セキュリティ] Azure DevOps Server 2020 を選択します。

  3. グループまたはチーム メンバーを選択し、アクセス許可の設定を変更します。 ユーザーまたはグループを追加するには、検索ボックスにユーザー名を入力します。

    たとえば、ここでは、アクセス 禁止グループを追加し、このグループの許可されていないメンバーは、顧客サービス領域のパスで作業項目を表示、変更、または編集する機能を追加しました。

    エリア パス ノードのセキュリティ、選択したグループ、および拒否アクセス許可の設定 (2020 以前のバージョンAzure DevOps Server) のスクリーンショット。

    アクセス許可には、 拒否許可の 2 つの明示的な承認状態を指定できます。 さらに、アクセス許可は、追加の 3 つの状態のいずれかに存在できます。 詳細については、「 アクセス許可、アクセス許可、およびセキュリティ グループの概要」を参照してください。

  4. (省略可能) 継承オフ に切り替えて継承を無効にします。 継承を無効にすると、継承されたすべてのアクセス許可が明示的な Access Control エントリ (ACE) として保持されます。

  5. 完了したら、[ 変更の保存] を選択します。

  1. プロジェクトの Web ポータルで、歯車アイコンを 選択します。

    Web ポータルを開く、管理コンテキストを開く、TFS 2018 のプロジェクト レベルを示すスクリーンショット。

    現在チーム コンテキストから作業している場合は、 歯車アイコン の上にマウス ポインターを合わせ 、[プロジェクトの設定] を選択します。

    TFS 2018 のプロジェクト設定を開きます。

  2. [ 作業] 、[ エリア] の順に選択します。

  3. ..を選択します。管理するノードのコンテキスト メニューを選択し、[ セキュリティ] を選択します。

    コンテキスト メニューの [TFS 2018 のセキュリティ] を選択します。

クエリまたはクエリ フォルダーに対するアクセス許可を設定する

オブジェクト レベルでクエリ フォルダーまたはクエリを追加または編集できるユーザーを指定できます。 クエリまたはクエリ フォルダーのアクセス許可を管理するには、クエリまたはフォルダーの作成者であるか、プロジェクト管理者またはプロジェクト コレクション管理者グループのメンバーであるか、オブジェクトの [セキュリティ] ダイアログから明示的なアクセス権を付与されている必要があります。

[クエリ フォルダーのアクセス許可] ダイアログ

クエリ フォルダーの [アクセス許可] ダイアログ。

詳細については、「 共有クエリまたはクエリ フォルダーに対するアクセス許可を設定する」を参照してください。 クエリの詳細については、「 作業項目を一覧表示、更新、またはグラフ化するマネージド クエリを作成する」を参照してください。

作業項目タグに対するアクセス許可を設定する

既定では、共同作成者グループのすべてのユーザーは、タグを作成し、作業項目に追加することができます。 この機能を制限する権限をグループまたはユーザーに設定するには、プロジェクト レベルで [タグ定義の作成 ] を [拒否 ] に設定します。 方法については、「 プロジェクト レベル グループのアクセス許可レベルを変更する」を参照してください。

配信プランのアクセス許可を編集または管理する

配信プランは、プロジェクト内のオブジェクトです。 共有クエリまたはクエリ フォルダーのアクセス許可を管理する方法と同様に、プランごとにプランのアクセス許可を管理します。 配信プランの作成者だけでなく、プロジェクト コレクション管理者およびプロジェクト管理者グループのすべてのメンバーは、プランの編集、管理、削除を行う権限を持ちます。

[配信プランのアクセス許可] ダイアログ

配信プランの [アクセス許可] ダイアログ。

詳細については、「 配信プランのアクセス許可を編集または管理する」を参照してください。 デリバリープランの詳細については、「チームプランの 確認」を参照してください。

作業項目を移動または完全に削除する

既定では、プロジェクト管理者と共同作成者は、作業項目の種類を変更し、 ごみ箱に移動して作業項目を削除できます。 作業項目とテスト成果物を完全に削除できるのは、プロジェクト管理者だけです。 プロジェクト管理者は、必要に応じて他のチーム メンバーにアクセス許可を付与できます。

たとえば、プロジェクト管理者として、作成したユーザー、チーム グループ、またはその他のグループに、これらのアクセス許可を付与できます。 プロジェクトの [セキュリティ] ページを開き、アクセス許可を付与するユーザーまたはグループを選択します。 プロジェクト レベルの セキュリティにアクセスする方法については、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。

Note

このプロジェクトから作業項目を移動するには、プロジェクトで継承されたプロセス モデルを使用する必要があります。

この例では、チーム 管理 グループに属するチーム管理者ロールに割り当てられたメンバーに、作業項目を別のプロジェクトに移動し、作業項目を完全に削除するためのアクセス許可を付与します。

カスタム セキュリティ グループのプロジェクト レベルのアクセス許可の設定を示すスクリーンショット。

テスト 計画とテスト スイートを管理する

前のセクションで設定したプロジェクト レベルのアクセス許可に加えて、チーム メンバーには、エリア パスに設定されているテスト成果物を管理するためのアクセス許可が必要です。

エリア パスの [セキュリティ ] ページを開 き、アクセス許可を付与するユーザーまたはグループを選択します。

プロジェクトの開いているエリア パスのアクセス許可を示すスクリーンショット。

[テスト プランの管理] と [テスト スイートの管理] のアクセス許可を [許可] に設定します。

プロジェクトのエリア パスのアクセス許可を設定したスクリーンショット。

テスト機能セットにフル アクセスするには、アクセス レベルを Basic + Test Plans に設定する必要があります。 Basic アクセス権を持ち、作業項目を完全に削除し、テスト成果物を管理するアクセス許可を持つユーザーは、孤立したテスト ケースのみを削除できます。

継承されたプロセスをカスタマイズする

既定では、プロジェクト コレクション管理者のみがプロセスを作成および編集できます。 ただし、これらの管理者は、特定のユーザーのコレクション レベルで プロセスの作成プロセスの削除、または プロセスの編集 のアクセス許可を明示的に設定することで、他のチーム メンバーにアクセス許可を付与できます。

プロセスをカスタマイズするには、特定のプロセスのユーザー アカウントに プロセスの編集 アクセス許可を付与する必要があります。

Note

組織で [ユーザーの可視性とコラボレーションを特定のプロジェクトに限定する] プレビュー機能が有効になっている場合、Project Scoped Users グループに追加されたユーザーはプロセス設定にアクセスできません。 詳細については、「 組織の管理」、プロジェクトのユーザーの可視性の制限などを参照してください

  1. ... を開きます。 継承されたプロセスのコンテキスト メニューを選択し、[ セキュリティ] を選択します。 このページを開くには、「 継承されたプロセスを使用してプロジェクトをカスタマイズする」を参照してください。

    [プロセスを開く]、[セキュリティを開く] ダイアログを示すスクリーンショット。

  2. アクセス許可を付与するユーザーのアカウント名を追加し、アクセス許可を [許可 ] に設定し、[ 変更の保存] を選択します。

    ここでは、クリスティ教会を追加し、彼女がプロセスを編集することを許可します。

    プロセス ダイアログのアクセス許可。

Note

各プロセスはセキュリティ保護可能な単位であり、継承されたプロセスの作成、編集、削除を管理する個々のアクセス制御リスト (ACL) を持ちます。 コレクション レベルでは、プロジェクト コレクション管理者は、継承できるプロセスと継承元のプロセスを選択できます。 新しい継承されたプロセスを作成すると、プロセスの作成者とプロジェクト コレクションの管理者は、プロセスを完全に制御でき、プロセスを編集および削除する他のユーザーやグループの個々の ACL を設定することもできます。

作業項目へのアクセスを制限するための追加オプション

制限をサポートするように作業項目の種類をカスタマイズするための追加オプションについては、「 アクセスの制限、ユーザーまたはグループに基づく作業項目の変更 の制限」を参照してください。