Udzielanie lub ograniczanie dostępu przy użyciu uprawnień
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Możesz udzielić lub ograniczyć dostęp do zasobów zarządzanych w usłudze Azure DevOps. Możesz otworzyć lub zamknąć dostęp do wybranego zestawu funkcji i dla wybranego zestawu użytkowników. Chociaż wbudowane grupy zabezpieczeń zapewniają standardowy zestaw przypisań uprawnień, może być konieczne spełnienie większej liczby wymagań dotyczących zabezpieczeń przez te przypisania.
Jeśli dopiero zaczynasz administrować uprawnieniami i grupami, zapoznaj się z artykułem Wprowadzenie do uprawnień, dostępu i grup zabezpieczeń, aby dowiedzieć się więcej o stanach uprawnień i dziedziczeniu.
Z tego artykułu dowiesz się, jak wykonywać następujące zadania:
- Zalecana metoda udzielania i ograniczania uprawnień
- Delegowanie zadań przez przypisanie wybranych uprawnień do określonych ról
- Ograniczanie widoczności użytkowników do informacji o organizacji
- Ogranicz selektor osób do projektu użytkowników i grup
- Ograniczanie dostępu do wyświetlania lub modyfikowania obiektów
- Ograniczanie modyfikacji elementów roboczych na podstawie użytkownika lub grupy
- Zalecana metoda udzielania i ograniczania uprawnień
- Delegowanie zadań przez przypisanie wybranych uprawnień do określonych ról
- Ograniczanie dostępu do wyświetlania lub modyfikowania obiektów
- Ograniczanie modyfikacji elementów roboczych na podstawie użytkownika lub grupy
Napiwek
Ponieważ ustawiasz wiele uprawnień na poziomie obiektu, takich jak repozytoria i ścieżki obszaru, sposób określania struktury projektu określa obszary, które można otworzyć lub zamknąć.
Zalecana metoda udzielania i ograniczania uprawnień
W celach konserwacyjnych zalecamy użycie wbudowanych grup zabezpieczeń lub niestandardowych grup zabezpieczeń do zarządzania uprawnieniami.
Nie można zmienić ustawień uprawnień dla grupy Administracja istratorów projektu lub grupy Administracja istratorów kolekcji projektów, która jest zgodna z projektem. Jednak dla wszystkich innych grup można zmienić uprawnienia.
Jeśli zarządzasz kilkoma użytkownikami, zmiana poszczególnych uprawnień może być prawidłową opcją. Jednak niestandardowe grupy zabezpieczeń umożliwiają lepsze śledzenie ról i uprawnień przypisanych do tych ról.
Delegowanie zadań do określonych ról
Jako administrator lub właściciel konta dobrym pomysłem jest delegowanie zadań administracyjnych do tych członków zespołu, którzy prowadzą obszar lub zarządzają nim. Kilka głównych wbudowanych ról, które są dostarczane z domyślnymi uprawnieniami i przypisaniami ról, to:
- Czytelnicy
- Współautorzy
- Administracja istrator zespołu (rola)
- Administracja istratory projektu
- Administracja istratory kolekcji projektów
Aby uzyskać podsumowanie uprawnień dla powyższych ról, zobacz Uprawnienia domyślne i dostęp lub w przypadku Administracja istratorów kolekcji projektów, zobacz Zmienianie uprawnień na poziomie kolekcji projektów.
Aby delegować zadania do innych członków w organizacji, rozważ utworzenie niestandardowej grupy zabezpieczeń, a następnie przyznanie uprawnień zgodnie z poniższą tabelą.
Rola
Zadania do wykonania
Uprawnienia do ustawienia opcji Zezwalaj
Główny lider programowania (Git)
Zarządzanie zasadami gałęzi
Edytowanie zasad, wymuszanie wypychania i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień gałęzi.
Główny lider programowania (TFVC)
Zarządzanie repozytorium i gałęziami
Administracja etykietyster, zarządzanie gałęzią i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień repozytorium TFVC.
Architekt oprogramowania (Git)
Zarządzanie repozytoriami
Tworzenie repozytoriów, wymuszanie wypychania i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień repozytorium Git
Administratorzy zespołu
Dodawanie ścieżek obszaru dla swojego zespołu
Dodawanie udostępnionych zapytań dla swojego zespołu
Tworzenie węzłów podrzędnych, Usuwanie tego węzła, Edytowanie tego węzła Zobacz Tworzenie węzłów podrzędnych, modyfikowanie elementów roboczych pod ścieżką obszaru
Współtworzenie, usuwanie i zarządzanie uprawnieniami (dla folderu zapytania), zobacz Ustawianie uprawnień zapytania.
Współautorzy
Dodawanie udostępnionych zapytań w folderze zapytania Współtworzenie pulpitów nawigacyjnych
Współtworzenie, usuwanie (w przypadku folderu zapytania), zobacz Ustawianie uprawnień zapytania
Wyświetlanie, edytowanie pulpitów nawigacyjnych i zarządzanie nimi— zobacz Ustawianie uprawnień pulpitu nawigacyjnego.
Projekt lub menedżer produktu
Dodawanie ścieżek obszaru, ścieżek iteracji i udostępnionych zapytań
Usuwanie i przywracanie elementów roboczych, Przenoszenie elementów roboczych z tego projektu, Trwałe usuwanie elementów roboczych
Edytowanie informacji na poziomie projektu. Zobacz Zmienianie uprawnień na poziomie projektu.
Menedżer szablonów procesów (model procesu dziedziczenia)
Dostosowywanie śledzenia pracy
Administracja uprawnienia procesu, Tworzenie nowych projektów, Tworzenie procesu, Usuwanie pola z konta, Proces usuwania, Usuwanie projektu, Edytowanie procesu
Zobacz Zmienianie uprawnień na poziomie kolekcji projektów.
Menedżer szablonów procesów (hostowany model przetwarzania XML)
Dostosowywanie śledzenia pracy
Edytuj informacje na poziomie kolekcji, zobacz Zmienianie uprawnień na poziomie kolekcji projektów.
Zarządzanie projektem (lokalny model procesu XML)
Dostosowywanie śledzenia pracy
Edytowanie informacji na poziomie projektu. Zobacz Zmienianie uprawnień na poziomie projektu.
Menedżer uprawnień
Zarządzanie uprawnieniami dla projektu, konta lub kolekcji
W przypadku projektu edytuj informacje na poziomie projektu
W przypadku konta lub kolekcji edytuj informacje na poziomie wystąpienia (lub na poziomie kolekcji)
Aby zrozumieć zakres tych uprawnień, zobacz Przewodnik wyszukiwania uprawnień. Aby zażądać zmiany uprawnień, zobacz Żądanie zwiększenia poziomów uprawnień.
Możesz również udzielić uprawnień do zarządzania uprawnieniami dla następujących obiektów:
Ograniczanie widoczności użytkowników do informacji o organizacji i projekcie
Ważne
- Funkcje ograniczonej widoczności opisane w tej sekcji dotyczą tylko interakcji za pośrednictwem portalu internetowego. Za pomocą interfejsów API REST lub
azure devopspoleceń interfejsu wiersza polecenia członkowie projektu mogą uzyskiwać dostęp do ograniczonych danych. - Użytkownicy-goście, którzy są członkami ograniczonej grupy z domyślnym dostępem w identyfikatorze Entra firmy Microsoft, nie mogą wyszukiwać użytkowników z selektorem osób. Gdy funkcja w wersji zapoznawczej jest wyłączona dla organizacji lub gdy użytkownicy-goście nie są członkami ograniczonej grupy, użytkownicy-goście mogą przeszukiwać wszystkich użytkowników firmy Microsoft Entra zgodnie z oczekiwaniami.
Domyślnie użytkownicy dodani do organizacji mogą wyświetlać wszystkie informacje i ustawienia organizacji oraz projektu. Aby ograniczyć dostęp tylko do tych projektów, do których dodasz użytkowników, możesz włączyć funkcję Ogranicz widoczność i współpracę użytkowników do określonych projektów w wersji zapoznawczej dla organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie funkcjami w wersji zapoznawczej.
Po włączeniu tej funkcji użytkownicy dodani do grupy Użytkownicy o zakresie projektu nie mogą wyświetlać większości ustawień organizacji i mogą łączyć się tylko z tymi projektami, z którymi zostały dodane.
Ostrzeżenie
Jeśli funkcja Ogranicz widoczność użytkownika i współpracę z określonymi projektami w wersji zapoznawczej jest włączona dla organizacji, użytkownicy z zakresem projektu nie mogą wyszukiwać użytkowników, którzy zostali dodani do organizacji za pośrednictwem członkostwa w grupie Microsoft Entra, a nie za pośrednictwem jawnego zaproszenia użytkownika. Jest to nieoczekiwane zachowanie i trwa rozwiązywanie problemów. Aby samodzielnie rozwiązać ten problem, wyłącz funkcję Ogranicz widoczność i współpracę użytkowników do określonych projektów w wersji zapoznawczej dla organizacji.
Ogranicz selektor osób do projektu użytkowników i grup
W przypadku organizacji, które zarządzają swoimi użytkownikami i grupami przy użyciu identyfikatora Entra firmy Microsoft, selektory osób obsługują wyszukiwanie wszystkich użytkowników i grup dodanych do identyfikatora Entra firmy Microsoft, a nie tylko tych użytkowników lub grup dodanych do projektu. Osoby selektory obsługują następujące funkcje usługi Azure DevOps:
- Wybór tożsamości użytkownika z pola tożsamości śledzenia pracy, na przykład Przypisane do
- Wybór użytkownika lub grupy przy użyciu @mention w dyskusji o elemencie roboczym lub w polu tekstu sformatowanego, dyskusji na żądanie ściągnięcia, zatwierdzenia komentarzy lub komentarzy na półce lub zestawu zmian
- Wybór użytkownika lub grupy przy użyciu @mention ze strony typu wiki
Jak pokazano na poniższej ilustracji, wystarczy zacząć wpisywać w polu selektora osób, dopóki nie znajdziesz dopasowania do nazwy użytkownika lub grupy zabezpieczeń.
Użytkownicy i grupy dodane do grupy Użytkownicy o zakresie projektu mogą wyświetlać i wybierać tylko użytkowników i grupy w projekcie, z którego są połączeni z selektorem osób. Aby ograniczyć zakres selektorów osób dla wszystkich członków projektu, zobacz Zarządzanie organizacją, Ograniczanie wyszukiwania tożsamości i wyboru.
Ograniczanie dostępu do wyświetlania lub modyfikowania obiektów
Usługa Azure DevOps została zaprojektowana tak, aby umożliwić wszystkim prawidłowym użytkownikom wyświetlanie wszystkich obiektów zdefiniowanych w systemie. Dostęp do zasobów można ograniczyć, ustawiając stan uprawnień na Odmów. Możesz ustawić uprawnienia dla członków należących do niestandardowej grupy zabezpieczeń lub dla pojedynczego użytkownika. Aby dowiedzieć się więcej na temat ustawiania tych typów uprawnień, zobacz Żądanie zwiększenia poziomów uprawnień.
Obszar do ograniczenia
Uprawnienia do ustawienia na Odmów
Wyświetlanie lub współtworzenie repozytorium
Wyświetlanie, współtworzenie
Zobacz Ustawianie uprawnień repozytorium Git lub Ustawianie uprawnień repozytorium TFVC.
Wyświetlanie, tworzenie lub modyfikowanie elementów roboczych w ścieżce obszaru
Edytuj elementy robocze w tym węźle, Wyświetl elementy robocze w tym węźle
Zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Modyfikowanie elementów roboczych w ścieżce obszaru.
Wyświetlanie lub aktualizowanie potoków kompilacji i wydania
Edytowanie potoku kompilacji, Wyświetlanie potoku kompilacji
Edytowanie potoku wydania, Wyświetlanie potoku wydania
Te uprawnienia są ustawiane na poziomie obiektu. Zobacz Ustawianie uprawnień kompilacji i wydania.
Edytowanie pulpitu nawigacyjnego
Wyświetl pulpity nawigacyjne
Zobacz Ustawianie uprawnień pulpitu nawigacyjnego.
Ograniczanie modyfikacji elementów roboczych lub wybieranie pól
Przykłady ilustrujące sposób ograniczania modyfikacji elementów roboczych lub wybierania pól można znaleźć w temacie Przykładowe scenariusze reguł.
Następne kroki
Powiązane artykuły
- Rozwiązywanie problemów z uprawnieniami
- Reguły i ocena reguł
- Domyślne uprawnienia i dostęp
- Przewodnik wyszukiwania uprawnień
- Wprowadzenie do uprawnień, dostępu i grup zabezpieczeń
- Dokumentacja uprawnień i grup
- Zmienianie uprawnień na poziomie projektu
- Zmienianie uprawnień na poziomie kolekcji projektów
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla