Управление доступом к определенным функциям

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Управление доступом к определенным функциям в Azure DevOps может быть важным для поддержания правильного баланса открытости и безопасности. Независимо от того, хотите ли вы предоставить или ограничить доступ к определенным функциям для группы пользователей, понимание гибкости за пределами стандартных разрешений, предоставляемых встроенными группами безопасности, является ключевым.

Если вы не знакомы с разрешениями и группами, см. статью "Начало работы с разрешениями, доступом и группами безопасности", которая охватывает основные компоненты состояний разрешений и их наследование.

Совет

Структура проекта в Azure DevOps играет ключевую роль в определении детализации разрешений на уровне объекта, таких как репозитории и пути к областям. Эта структура является основой, которая позволяет точно настроить элементы управления доступом, что позволяет точно определить, какие области доступны или ограничены. Дополнительные сведения см. в разделе "О проектах" и масштабировании организации.

Использование групп безопасности

Для оптимального обслуживания мы рекомендуем использовать группы безопасности по умолчанию или установить пользовательские группы безопасности для управления разрешениями. Параметры разрешений для групп "Администраторы проектов" и "Администраторы коллекции проектов" исправлены с помощью конструктора и не могут быть изменены. Но у вас есть гибкость для изменения разрешений для всех других групп.

Управление разрешениями для небольшого количества пользователей по отдельности может показаться возможным, но пользовательские группы безопасности предлагают более упорядоченный подход к контролю ролей и разрешений, связанных с этими ролями, обеспечивая ясность и простоту управления.

Делегировать задачи определенным ролям

Как администратор или владелец учетной записи, делегирование административных задач членам группы, которые контролируют определенные области, является стратегическим подходом. К основным встроенным ролям, оснащенным предопределенными разрешениями и назначениями ролей, относятся:

• Читатели: доступ только для чтения к проекту.
• Участники. Может внести свой вклад в проект, добавив или изменив содержимое.
• Администратор команды: управление параметрами и разрешениями, связанными с командой.
• Администраторы проектов: имеют права администратора над проектом.
• Администраторы коллекции проектов: контролируют всю коллекцию проектов и имеют наивысший уровень разрешений.

Эти роли упрощают распределение обязанностей и упрощают управление областями проектов.

Дополнительные сведения см. в разделе "Разрешения по умолчанию" и "Изменение разрешений на уровне коллекции проектов".

Чтобы делегировать задачи другим членам организации, попробуйте создать пользовательскую группу безопасности, а затем предоставить разрешения, как указано в следующей таблице.

Роль

Задачи для выполнения

Разрешения для задания разрешения

Руководитель разработки (Git)

Управление политиками ветви

Изменение политик, принудительное отправка и управление разрешениями
См. раздел "Задать разрешения ветви".

Ведущий разработчик (TFVC)

Управление репозиторием и ветвями

Администрирование меток, управление ветвью и управление разрешениями
См. раздел "Задать разрешения репозитория TFVC".

Архитектор программного обеспечения (Git)

Управление репозиториями

Создание репозиториев, принудительной отправки и управления разрешениями
См. раздел "Настройка разрешений репозитория Git"

Администраторы группы

Добавление путей к области для своей команды
Добавление общих запросов для своей команды

Создание дочерних узлов, удаление этого узла, изменение этого узла см. в разделе "Создание дочерних узлов", изменение рабочих элементов в пути к области
Участие, удаление, управление разрешениями (для папки запроса) см. в разделе "Настройка разрешений запроса".

Соавторы

Добавление общих запросов в папку запроса, участие в панелях мониторинга

Участие, удаление (для папки запроса) см. раздел "Настройка разрешений запроса"
Просмотр, изменение панелей мониторинга и управление ими см. в разделе "Настройка разрешений панели мониторинга".

Проект или менеджер по продуктам

Добавление путей к областям, путей итерации и общих запросов
Удаление и восстановление рабочих элементов, перемещение рабочих элементов из этого проекта, окончательное удаление рабочих элементов

Изменение сведений о уровне проекта см. в разделе "Изменение разрешений на уровне проекта".

Диспетчер шаблонов процессов (модель процесса наследования)

Настройка отслеживания работы

Администрирование разрешений процесса, создание проектов, создание процесса, удаление поля из учетной записи, удаление процесса, удаление проекта, процесс редактирования
См. раздел "Изменение разрешений на уровне коллекции проектов".

Диспетчер шаблонов процессов (модель размещенного XML-процесса)

Настройка отслеживания работы

Изменение сведений на уровне коллекции см. в разделе "Изменение разрешений на уровне коллекции проекта".

Управление проектами (локальная модель процесса XML)

Настройка отслеживания работы

Изменение сведений о уровне проекта см. в разделе "Изменение разрешений на уровне проекта".

Диспетчер разрешений

Управление разрешениями для проекта, учетной записи или коллекции

Изменение сведений о уровне проекта для проекта
Изменение сведений об уровне экземпляра (или уровне коллекции) для учетной записи или коллекции
Сведения о области этих разрешений см . в руководстве по поиску разрешений. Чтобы запросить изменение разрешений, см . запрос на увеличение уровней разрешений.

Помимо назначения разрешений отдельным лицам, вы можете управлять разрешениями для различных объектов в Azure DevOps. К этим объектам относятся:

• Репозитории Git
• Ветви Git
• Репозитории TFVC
• Конвейеры сборки и выпуска
• Вики-сайты.

Эти ссылки содержат подробные инструкции и рекомендации по настройке и управлению разрешениями для соответствующих областей в Azure DevOps.

Ограничение видимости пользователей для сведений о организации и проекте

Внимание

• Функции ограниченной видимости, описанные в этом разделе, применяются только к взаимодействиям через веб-портал. С помощью команд REST API или azure devops CLI члены проекта могут получить доступ к ограниченным данным.
• Гостевые пользователи, являющиеся членами ограниченной группы с доступом по умолчанию в идентификаторе Microsoft Entra ID, не могут искать пользователей с помощью средства выбора людей. Если функция предварительной версии отключена для организации или когда гостевые пользователи не являются членами ограниченной группы, гостевые пользователи могут выполнять поиск всех пользователей Microsoft Entra, как ожидалось.

По умолчанию, когда пользователи добавляются в организацию, они получают представление обо всех сведениях и параметрах организации и проекта. Чтобы настроить этот доступ, можно включить функцию "Ограничить видимость пользователей и совместную работу с конкретными проектами " на уровне организации. Дополнительные сведения см. в разделе "Управление предварительными версиями функций".

После активации этой функции пользователи, которые входят в группу "Пользователи с областью проекта", имеют ограниченную видимость, не могут видеть большинство параметров организации. Их доступ ограничен проектами, к которым они были добавлены явным образом, обеспечивая более контролируемые и безопасные среды.

Предупреждение

Если для организации включена функция "Ограничить видимость пользователей и совместная работа с определенными проектами", пользователи с областью проекта не могут искать пользователей, которые были добавлены в организацию через членство в группе Microsoft Entra, а не через явное приглашение пользователя. Это непредвиденное поведение, и решение работает. Чтобы самостоятельно устранить эту проблему, отключите функцию ограничения видимости пользователей и совместной работы в определенных проектах предварительной версии для организации.

Ограничение выбора пользователей для проектов и групп

Для организаций, которые интегрируются с идентификатором Microsoft Entra ID, функция выбора людей позволяет выполнять комплексный поиск по всем пользователям и группам в идентификаторе Microsoft Entra, не ограничиваясь одним проектом.

Средство выбора людей поддерживает следующие функции Azure DevOps:

• Выбор удостоверения пользователя из полей удостоверений отслеживания работы, таких как "Назначено".
• С помощью @mention выбрать пользователя или группу в различных обсуждениях и комментариях, таких как обсуждения рабочих элементов, обсуждения запросов на вытягивание, фиксация комментариев или примечаний к наборам изменений и наборов полок.
• Использование @mention для выбора пользователя или группы на вики-странице.

При использовании средства выбора людей при вводе сведений он отображает соответствующие имена пользователей или группы безопасности, как показано в следующем примере.

Для пользователей и групп в группе "Пользователи с областью проекта" видимость и выбор ограничены пользователями и группами в подключенном проекте. Чтобы расширить область выбора людей для всех участников проекта, см. статью "Управление организацией", "Ограничить поиск удостоверений" и "Выбор".

Ограничение доступа к просмотру или изменению объектов

Azure DevOps предназначен для просмотра всех авторизованных пользователей всех определенных объектов в системе. Однако вы можете настроить доступ к ресурсам, задав состояние разрешения "Запретить". Вы можете задать разрешения для участников, принадлежащих к пользовательской группе безопасности или отдельным пользователям. Дополнительные сведения см. в статье "Запрос на увеличение уровней разрешений".

Область для ограничения

Разрешения для задания запрета

Просмотр или участие в репозитории

Просмотр, участие
См. раздел "Установка разрешений репозитория Git" или "Задать разрешения репозитория TFVC".

Просмотр, создание или изменение рабочих элементов в пути к области

Изменение рабочих элементов в этом узле, просмотр рабочих элементов в этом узле
См. раздел "Настройка разрешений и доступа для отслеживания работы", "Изменение рабочих элементов" в пути к области.

Просмотр или обновление конвейеров сборки и выпуска

Изменение конвейера сборки, просмотр конвейера сборки
Изменение конвейера выпуска, просмотр конвейера выпуска
Эти разрешения задаются на уровне объекта. См. раздел "Установка разрешений на сборку и выпуск".

Изменение панели мониторинга

Просмотр панелей мониторинга
См. раздел "Настройка разрешений панели мониторинга".

Ограничение изменения рабочих элементов или выбор полей

Примеры, демонстрирующие ограничение изменения рабочих элементов или выбор полей, см . в примерах сценариев правил.

Следующие шаги

Удаление учетных записей пользователей

Связанные статьи

• Разрешения и доступ по умолчанию
• Руководство по поиску разрешений
• Начало работы с разрешениями, доступом и группами безопасности
• Справочник по разрешениям и группам
• Изменение разрешений на уровне проекта
• Изменение разрешений на уровне коллекции проектов