Toegang tot specifieke functies beheren
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Het beheren van toegang tot specifieke functies in Azure DevOps kan cruciaal zijn voor het behouden van de juiste balans tussen openheid en beveiliging. Of u nu toegang wilt verlenen of beperken tot bepaalde functionaliteiten voor een groep gebruikers, het begrijpen van de flexibiliteit buiten de standaardmachtigingen die worden geboden door ingebouwde beveiligingsgroepen is essentieel.
Als u geen toegang hebt tot de machtigingen en groepen, raadpleegt u Aan de slag met machtigingen, toegang en beveiligingsgroepen, die betrekking hebben op de vereisten van machtigingsstatussen en hoe ze worden overgenomen.
Tip
De structuur van uw project in Azure DevOps speelt een belangrijke rol bij het bepalen van de granulariteit van machtigingen op objectniveau, zoals opslagplaatsen en gebiedspaden. Deze structuur is de basis waarmee u toegangsbeheer kunt verfijnen, zodat u specifiek kunt bepalen welke gebieden toegankelijk of beperkt zijn. Zie Over projecten en het schalen van uw organisatie voor meer informatie.
Beveiligingsgroepen gebruiken
Voor optimaal onderhoud raden we u aan de standaardbeveiligingsgroepen te gebruiken of aangepaste beveiligingsgroepen in te stellen om machtigingen te beheren. De machtigingsinstellingen voor de groepen Projectbeheerders en Beheerders van projectverzamelingen zijn standaard opgelost en kunnen niet worden gewijzigd. Maar u hebt de flexibiliteit om machtigingen voor alle andere groepen te wijzigen.
Het beheren van machtigingen voor een klein aantal gebruikers afzonderlijk kan haalbaar zijn, maar aangepaste beveiligingsgroepen bieden een meer georganiseerde benadering voor het toezicht op rollen en de machtigingen die aan deze rollen zijn gekoppeld, waardoor duidelijkheid en beheersvriendelijkheid worden gewaarborgd.
Taken delegeren aan specifieke rollen
Als beheerder of accounteigenaar is het delegeren van beheertaken aan teamleden die toezicht houden op specifieke gebieden een strategische aanpak. De primaire ingebouwde rollen met vooraf gedefinieerde machtigingen en roltoewijzingen zijn onder andere:
- Lezers: alleen-lezentoegang tot het project hebben.
- Inzenders: kan bijdragen aan het project door inhoud toe te voegen of te wijzigen.
- Teambeheerder: beheer de instellingen en machtigingen voor het team.
- Projectbeheerders: beheerdersrechten hebben voor het project.
- Beheerders van projectverzamelingen: houd toezicht op de volledige projectverzameling en heb het hoogste machtigingsniveau.
Deze rollen vergemakkelijken de verdeling van verantwoordelijkheden en stroomlijnen het beheer van projectgebieden.
Zie Standaardmachtigingen en toegang en Machtigingen op projectverzamelingsniveau wijzigen voor meer informatie.
Als u taken wilt delegeren aan andere leden binnen uw organisatie, kunt u een aangepaste beveiligingsgroep maken en vervolgens machtigingen verlenen zoals aangegeven in de volgende tabel.
- Rol
Taken die moeten worden uitgevoerd
Machtigingen die moeten worden ingesteld op Toestaan
Ontwikkelingsleider (Git)
Vertakkingsbeleid beheren
Beleidsregels bewerken, machtigingen voor pushen en beheren
Zie Vertakkingsmachtigingen instellen.
Ontwikkelingsleider (TFVC)
Opslagplaats en vertakkingen beheren
Labels beheren, vertakking beheren en machtigingen beheren
Zie Machtigingen voor TFVC-opslagplaats instellen.
Softwarearchitect (Git)
Opslagplaatsen beheren
Opslagplaatsen maken, push- en beheermachtigingen afdwingen
Zie Machtigingen voor Git-opslagplaats instellen
Teambeheerders
Gebiedspaden voor hun team toevoegen
Gedeelde query's voor hun team toevoegen
Onderliggende knooppunten maken, dit knooppunt verwijderen, dit knooppunt bewerken Zie Onderliggende knooppunten maken, werkitems wijzigen onder een gebiedspad
Bijdragen, Verwijderen, Machtigingen beheren (voor een querymap), zie Querymachtigingen instellen.
Medewerkers
Gedeelde query's toevoegen onder een querymap, bijdragen aan dashboards
Bijdragen, verwijderen (voor een querymap), zie Querymachtigingen instellen
Dashboardmachtigingen weergeven, bewerken en beheren, zie Dashboardmachtigingen instellen.
Project- of productmanager
Gebiedspaden, iteratiepaden en gedeelde query's toevoegen
Werkitems verwijderen en herstellen, werkitems uit dit project verplaatsen, werkitems permanent verwijderen
Informatie op projectniveau bewerken, zie Machtigingen op projectniveau wijzigen.
Processjabloonbeheer (overnameprocesmodel)
Aanpassing van werktracering
Procesmachtigingen beheren, Nieuwe projecten maken, Proces maken, Veld verwijderen uit account, Proces verwijderen, Project verwijderen, Proces bewerken
Zie Machtigingen op projectverzamelingsniveau wijzigen.
Processjabloonbeheer (gehost XML-procesmodel)
Aanpassing van werktracering
Informatie op verzamelingsniveau bewerken, Zie Machtigingen op projectverzamelingsniveau wijzigen.
Projectbeheer (on-premises XML-procesmodel)
Aanpassing van werktracering
Informatie op projectniveau bewerken, zie Machtigingen op projectniveau wijzigen.
Machtigingenbeheer
Machtigingen voor een project, account of verzameling beheren
Bewerk informatie op projectniveau voor een project
Voor een account of verzameling kunt u gegevens op exemplaarniveau (of verzamelingsniveau) bewerken
Zie de handleiding voor het opzoeken van machtigingen voor meer informatie over het bereik van deze machtigingen. Zie Een verhoging van machtigingsniveaus aanvragen om een wijziging in machtigingen aan te vragen.
Naast het toewijzen van machtigingen aan personen, kunt u machtigingen voor verschillende objecten in Azure DevOps beheren. Deze objecten zijn onder andere:
Deze koppelingen bevatten gedetailleerde stappen en richtlijnen voor het effectief instellen en beheren van machtigingen voor de respectieve gebieden in Azure DevOps.
Gebruikerszichtbaarheid beperken tot organisatie- en projectgegevens
Belangrijk
- De beperkte zichtbaarheidsfuncties die in deze sectie worden beschreven, zijn alleen van toepassing op interacties via de webportal. Met de REST API's of
azure devops
CLI-opdrachten hebben projectleden toegang tot de beperkte gegevens. - Gastgebruikers die lid zijn van de beperkte groep met standaardtoegang in Microsoft Entra ID, kunnen niet zoeken naar gebruikers met de personenkiezer. Wanneer de preview-functie is uitgeschakeld voor de organisatie of wanneer gastgebruikers geen lid zijn van de beperkte groep, kunnen gastgebruikers naar verwachting alle Microsoft Entra-gebruikers doorzoeken.
Wanneer gebruikers worden toegevoegd aan een organisatie, krijgen ze standaard inzicht in alle organisatie- en projectgegevens en -instellingen. Om deze toegang aan te passen, kan de preview-functie voor gebruikers beperken en samenwerken aan specifieke projecten op organisatieniveau worden ingeschakeld. Zie Preview-functies beheren voor meer informatie.
Zodra deze functie is geactiveerd, hebben gebruikers die deel uitmaken van de groep Gebruikers met projectbereik beperkte zichtbaarheid, zodat de meeste organisatie-instellingen niet kunnen worden weergegeven. Hun toegang is beperkt tot de projecten waaraan ze expliciet zijn toegevoegd en zorgen voor een meer gecontroleerde en veilige omgeving.
Waarschuwing
Als u de functie Zichtbaarheid en samenwerking van gebruikers beperken tot specifieke preview-functies voor projecten inschakelt, voorkomt u dat gebruikers binnen projectbereik kunnen zoeken naar gebruikers die zijn toegevoegd aan de organisatie via microsoft Entra-groepslidmaatschap, in plaats van via een expliciete gebruikersuitnodiging. Dit is een onverwacht gedrag en er wordt een oplossing uitgevoerd. U kunt dit probleem oplossen door de functie Zichtbaarheid en samenwerking van gebruikers beperken tot specifieke preview-functies voor projecten voor de organisatie uit te schakelen.
Gebruikerskiezer beperken tot projectgebruikers en groepen
Voor organisaties die integreren met Microsoft Entra ID, biedt de functie personenkiezer een uitgebreide zoekopdracht voor alle gebruikers en groepen binnen Microsoft Entra-id, zonder dat ze beperkt zijn tot één project.
De personenkiezer ondersteunt de volgende Azure DevOps-functies:
- Een gebruikersidentiteit selecteren in velden voor werktraceringsidentiteit, zoals Toegewezen aan.
- Gebruik @mention om een gebruiker of groep te selecteren in verschillende discussies en opmerkingen, zoals werkitemdiscussies, pull-aanvraagdiscussies, opmerkingen doorvoeren of opmerkingen over wijzigingensets en plankensets.
- Gebruik @mention om een gebruiker of groep te selecteren op een wikipagina.
Wanneer u de personenkiezer gebruikt terwijl u gegevens invoert, worden overeenkomende gebruikersnamen of beveiligingsgroepen weergegeven, zoals geïllustreerd in het volgende voorbeeld.
Voor gebruikers en groepen binnen de groep Gebruikers binnen projectbereik zijn zichtbaarheid en selectie beperkt tot gebruikers en groepen binnen hun verbonden project. Als u het bereik van de personenkiezer voor alle projectleden wilt uitbreiden, raadpleegt u Uw organisatie beheren, Identiteit zoeken en selecteren beperken.
Toegang beperken tot het weergeven of wijzigen van objecten
Azure DevOps is ontworpen om alle geautoriseerde gebruikers toe te staan alle gedefinieerde objecten in het systeem weer te geven. U kunt de toegang tot resources echter aanpassen door de machtigingsstatus in te stellen op Weigeren. U kunt machtigingen instellen voor leden die deel uitmaken van een aangepaste beveiligingsgroep of voor afzonderlijke gebruikers. Zie Een toename van machtigingsniveaus aanvragen voor meer informatie.
Gebied om te beperken
Machtigingen die moeten worden ingesteld op Weigeren
Een opslagplaats weergeven of hieraan bijdragen
Weergeven, bijdragen
Zie Machtigingen voor Git-opslagplaatsen instellen of TFVC-opslagplaatsmachtigingen instellen.
Werkitems in een gebiedspad weergeven, maken of wijzigen
Werkitems in dit knooppunt bewerken, werkitems weergeven in dit knooppunt
Zie Machtigingen en toegang instellen voor het bijhouden van werk, Werkitems wijzigen onder een gebiedspad.
Selecteer build- en release-pijplijnen weergeven of bijwerken
Build-pijplijn bewerken, Build-pijplijn weergeven
Release-pijplijn bewerken, Release-pijplijn weergeven
U stelt deze machtigingen in op objectniveau. Zie Samenstellings - en releasemachtigingen instellen.
Een dashboard bewerken
Wijziging van werkitems beperken of velden selecteren
Zie Voorbeeldregelscenario's voor voorbeelden die laten zien hoe u het wijzigen van werkitems kunt beperken of velden selecteert.