Rozwiązywanie problemów z dostępem i uprawnieniami
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Ze względu na obszerną strukturę zabezpieczeń i uprawnień usługi Azure DevOps możesz zbadać, dlaczego użytkownik nie ma dostępu do projektu, usługi lub funkcji, której oczekuje. Znajdź wskazówki krok po kroku, aby zrozumieć i rozwiązać problemy, które członek projektu może mieć podczas nawiązywania połączenia z projektem lub uzyskiwania dostępu do usługi Azure DevOps lub funkcji.
Przed rozpoczęciem korzystania z tego przewodnika zalecamy zapoznanie się z następującą zawartością:
Napiwek
Podczas tworzenia grupy zabezpieczeń usługi Azure DevOps oznacz ją w sposób łatwy do rozpoznania, jeśli został utworzony w celu ograniczenia dostępu.
Uprawnienia są ustawiane na jednym z następujących poziomów:
- poziom obiektu
- poziom projektu
- poziom kolekcji projektów lub organizacji
- rola zabezpieczeń
- rola administratora zespołu
Typowe problemy z dostępem i uprawnieniami
Zobacz następujące najczęstsze przyczyny, dla których członek projektu nie może uzyskać dostępu do projektu, usługi lub funkcji:
| Problem | Akcja rozwiązywania problemów |
|---|---|
| Ich poziom dostępu nie obsługuje dostępu do usługi ani funkcji. | Aby określić, czy jest to przyczyna, określ poziom dostępu użytkownika i stan subskrypcji. |
| Ich członkostwo w grupie zabezpieczeń nie obsługuje dostępu do funkcji lub jawnie odmówiono im uprawnień do funkcji. | Aby określić, czy jest to przyczyna, prześledzić uprawnienie. |
| Użytkownik otrzymał niedawno uprawnienia, jednak do rozpoznawania zmian wymagane jest odświeżenie klienta. | Odśwież lub ponownie zwaluj swoje uprawnienia. |
| Użytkownik próbuje wykonać funkcję udzieloną tylko administratorowi zespołu dla określonego zespołu, jednak nie przyznano mu tej roli. | Aby dodać je do roli, zobacz Dodawanie, usuwanie administratora zespołu. |
| Użytkownik nie włączył funkcji w wersji zapoznawczej. | Użytkownik musi otworzyć funkcje w wersji zapoznawczej i określić stan włączania/wyłączania dla określonej funkcji. Aby uzyskać więcej informacji, zobacz Zarządzanie funkcjami w wersji zapoznawczej. |
| Element członkowski projektu został dodany do grupy zabezpieczeń o ograniczonym zakresie, takiej jak grupa Użytkownicy o zakresie projektu. | Aby określić, czy jest to przyczyna, wyszukaj członkostwo w grupach zabezpieczeń użytkownika. |
Mniej typowe problemy z dostępem i uprawnieniami
Mniej typowe przyczyny ograniczonego dostępu są następujące, gdy wystąpiło jedno z następujących zdarzeń:
| Problem | Akcja rozwiązywania problemów |
|---|---|
| Administrator projektu wyłączył usługę. W takim przypadku nikt nie ma dostępu do usługi wyłączonej. | Aby określić, czy usługa jest wyłączona, zobacz Włączanie lub wyłączanie usługi Azure DevOps. |
| Kolekcja projektów Administracja istrator wyłączyła funkcję w wersji zapoznawczej, która wyłącza ją dla wszystkich członków projektu w organizacji. | Zobacz Zarządzanie funkcjami w wersji zapoznawczej. |
| Reguły grupy regulujące poziom dostępu użytkownika lub członkostwo w projekcie ograniczają dostęp. | Zobacz Określanie poziomu dostępu użytkownika i stanu subskrypcji. |
| Reguły niestandardowe zostały zdefiniowane w przepływie pracy typu elementu roboczego. | zobacz Reguły stosowane do typu elementu roboczego, który ogranicza operację wybierania. |
Określanie poziomu dostępu użytkownika i stanu subskrypcji
Możesz przypisać użytkowników lub grupy użytkowników do jednego z następujących poziomów dostępu:
- Interesariusz
- Podstawowy
- Plan w warstwie Podstawowa i oferta Test Plans
- Subskrypcja programu Visual Studio
Aby uzyskać więcej informacji na temat ograniczeń na poziomie dostępu w usłudze Azure DevOps, zobacz Obsługiwane poziomy dostępu.
Aby korzystać z funkcji usługi Azure DevOps, użytkownicy muszą zostać dodani do grupy zabezpieczeń z odpowiednimi uprawnieniami. Użytkownicy potrzebują również dostępu do portalu internetowego. Ograniczenia dotyczące wybierania funkcji są oparte na poziomie dostępu i grupie zabezpieczeń, do której przypisano użytkownika.
Użytkownicy mogą utracić dostęp z następujących powodów:
| Przyczyna utraty dostępu | Akcja rozwiązywania problemów |
|---|---|
| Subskrypcja programu Visual Studio użytkownika wygasła. | W międzyczasie ten użytkownik może pracować jako uczestnik projektu lub przyznać użytkownikowi dostęp podstawowy do momentu odnowienia subskrypcji przez użytkownika. Po zalogowaniu się użytkownika usługa Azure DevOps automatycznie przywraca dostęp. |
| Subskrypcja platformy Azure używana do rozliczeń nie jest już aktywna. | Dotyczy to wszystkich zakupów dokonanych w ramach tej subskrypcji, w tym subskrypcji programu Visual Studio. Aby rozwiązać ten problem, odwiedź witrynę Azure Account Portal. |
| Subskrypcja platformy Azure używana do rozliczeń została usunięta z organizacji. | Dowiedz się więcej o łączeniu organizacji |
W przeciwnym razie w pierwszym dniu miesiąca kalendarzowego użytkownicy, którzy nie zalogowali się do organizacji przez najdłuższy czas, utracą dostęp. Jeśli Organizacja ma użytkowników, którzy nie potrzebują już dostępu, usuń je z organizacji.
Aby uzyskać więcej informacji na temat uprawnień, zobacz Uprawnienia i grupy oraz przewodnik wyszukiwania uprawnień.
Śledzenie uprawnienia
Użyj funkcji śledzenia uprawnień, aby określić, dlaczego uprawnienia użytkownika nie zezwalają na dostęp do określonej funkcji lub funkcji. Dowiedz się, jak użytkownik lub administrator może zbadać dziedziczenie uprawnień. Aby prześledzić uprawnienie z portalu internetowego, otwórz stronę uprawnień lub zabezpieczeń odpowiedniego poziomu. Aby uzyskać więcej informacji, zobacz Żądanie zwiększenia poziomów uprawnień.
Jeśli użytkownik ma problemy z uprawnieniami i używasz domyślnych grup zabezpieczeń lub grup niestandardowych do uprawnień, możesz zbadać, skąd pochodzą te uprawnienia, korzystając z naszego śledzenia uprawnień. Problemy z uprawnieniami mogą być spowodowane opóźnionym zmianami. Propagacja w usłudze Azure DevOps może potrwać do 1 godziny. Jeśli użytkownik ma problemy, które nie zostaną rozwiązane natychmiast, poczekaj dzień, aby sprawdzić, czy je rozwiążą. Aby uzyskać więcej informacji na temat zarządzania użytkownikami i dostępem, zobacz Zarządzanie użytkownikami i dostępem w usłudze Azure DevOps.
Jeśli użytkownik ma problemy z uprawnieniami i używasz domyślnych grup zabezpieczeń lub grup niestandardowych do uprawnień, możesz zbadać, skąd pochodzą te uprawnienia, korzystając z naszego śledzenia uprawnień. Problemy z uprawnieniami mogą być spowodowane tym, że użytkownik nie ma niezbędnego poziomu dostępu.
Użytkownicy mogą otrzymywać swoje obowiązujące uprawnienia bezpośrednio lub za pośrednictwem grup.
Wykonaj poniższe kroki, aby administratorzy mogli zrozumieć, skąd pochodzą dokładnie te uprawnienia, i dostosować je zgodnie z potrzebami.
Wybierz pozycję Ustawienia>projektu Uprawnienia>użytkownicy, a następnie wybierz użytkownika.
Powinien zostać wyświetlony widok specyficzny dla użytkownika, który pokazuje, jakie uprawnienia mają.
Aby śledzić, dlaczego użytkownik wykonuje lub nie ma żadnego z wymienionych uprawnień, wybierz ikonę informacji obok danego uprawnienia.
Wynikowy ślad informuje o tym, jak dziedziczą wymienione uprawnienia. Następnie możesz dostosować uprawnienia użytkownika, dostosowując uprawnienia podane do grup, w których się znajdują.
Wybierz pozycję Zabezpieczenia ustawień>projektu, a następnie wprowadź nazwę użytkownika w polu filtru.
Powinien zostać wyświetlony widok specyficzny dla użytkownika, który pokazuje, jakie uprawnienia mają.
Śledź, dlaczego użytkownik wykonuje lub nie ma żadnego z wymienionych uprawnień. Umieść kursor na uprawnieniach, a następnie wybierz pozycję Dlaczego.
Wynikowy ślad informuje o tym, jak dziedziczą wymienione uprawnienia. Następnie możesz dostosować uprawnienia użytkownika, dostosowując uprawnienia podane do grup, w których się znajdują.
Aby uzyskać więcej informacji, zobacz Udzielanie lub ograniczanie dostępu do wybierania funkcji i funkcji lub Żądanie zwiększenia poziomu uprawnień.
Uprawnienia odświeżania lub ponownego oceny
Zobacz następujący scenariusz, w którym może być konieczne odświeżanie lub ponowne ocenianie uprawnień.
Problem
Użytkownicy są dodawani do grupy usługi Azure DevOps lub Microsoft Entra. Ta akcja udziela dziedziczonego dostępu do organizacji lub projektu. Ale nie uzyskują dostępu natychmiast. Użytkownicy muszą czekać lub wylogować się, zamknąć przeglądarkę, a następnie zalogować się ponownie, aby uzyskać odświeżone uprawnienia.
Użytkownicy są dodawani do grupy usługi Azure DevOps. Ta akcja udziela dziedziczonego dostępu do organizacji lub projektu. Ale nie uzyskują dostępu natychmiast. Użytkownicy muszą czekać lub wylogować się, zamknąć przeglądarkę, a następnie zalogować się ponownie, aby uzyskać odświeżone uprawnienia.
Rozwiązanie
W obszarze Ustawienia użytkownika na stronie Uprawnienia możesz wybrać pozycję Ponownie oceń uprawnienia. Ta funkcja ponownie oblicza członkostwo w grupach i uprawnienia, a następnie wszystkie ostatnie zmiany zostaną zastosowane natychmiast.
Reguły stosowane do typu elementu roboczego, które ograniczają operacje wybierania
Przed dostosowaniem procesu zalecamy zapoznanie się z tematem Konfigurowanie i dostosowywanie usługi Azure Boards, która zawiera wskazówki dotyczące dostosowywania usługi Azure Boards do potrzeb biznesowych.
Aby uzyskać więcej informacji na temat reguł typów elementów roboczych, które mają zastosowanie do ograniczania operacji, zobacz:
- Stosowanie reguł do stanów przepływu pracy (proces dziedziczenia)
- Przykładowe scenariusze reguł
- Definiowanie ścieżek obszarów i przypisywanie do zespołu
Ukrywanie ustawień organizacji przed użytkownikami
Jeśli użytkownik jest ograniczony do wyświetlania tylko swoich projektów lub z wyświetlania ustawień organizacji, poniższe informacje mogą wyjaśnić, dlaczego. Aby ograniczyć użytkownikom dostęp do ustawień organizacji, możesz włączyć funkcję Ogranicz widoczność i współpracę użytkowników do określonych projektów w wersji zapoznawczej. Aby uzyskać więcej informacji, w tym ważne objaśnienia związane z zabezpieczeniami, zobacz Zarządzanie organizacją, ograniczanie widoczności użytkowników dla projektów i nie tylko.
Przykładami użytkowników z ograniczeniami są osoby biorące udział w projekcie, użytkownicy-goście firmy Microsoft Entra lub członkowie grupy zabezpieczeń. Po włączeniu dowolnego użytkownika lub grupy dodanej do grupy Użytkownicy w zakresie projektu dostęp do stron organizacji Ustawienia z wyjątkiem przeglądów i projektów. Są one ograniczone do uzyskiwania dostępu tylko do tych projektów, do których zostały dodane.
Przykłady użytkowników z ograniczeniami obejmują uczestników projektu lub członków grupy zabezpieczeń. Po włączeniu dowolnego użytkownika lub grupy dodanej do grupy Użytkownicy w zakresie projektu dostęp do stron organizacji Ustawienia z wyjątkiem przeglądów i projektów. Są one ograniczone do uzyskiwania dostępu tylko do tych projektów, do których zostały dodane.
Aby uzyskać więcej informacji na temat ukrywania ustawień organizacji przed użytkownikami, zobacz Zarządzanie organizacją, Ograniczanie widoczności użytkowników dla projektów i nie tylko.
Wyświetlanie, dodawanie uprawnień i zarządzanie nimi za pomocą interfejsu wiersza polecenia
Uprawnienia można wyświetlać, dodawać i zarządzać nimi na bardziej szczegółowym poziomie za pomocą az devops security permission poleceń. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami za pomocą narzędzia wiersza polecenia.
Reguły grupy z mniejszymi uprawnieniami
Typy reguł grupy są klasyfikowane w następującej kolejności: Subskrypcja Podstawowa i Test Plans > Podstawowa >> uczestnik projektu. Użytkownicy zawsze uzyskują najlepszy poziom dostępu między wszystkimi regułami grupy, w tym subskrypcją programu Visual Studio (VS).
Uwaga
- Zmiany wprowadzone w czytelnikach projektu za pomocą reguł grupy nie są utrwalane. Jeśli musisz dostosować czytelników projektu, rozważ alternatywne metody, takie jak bezpośrednie przypisanie lub niestandardowe grupy zabezpieczeń.
- Zalecamy regularne przeglądanie reguł wymienionych na karcie "Reguły grupy" na stronie "Użytkownicy". Jeśli jakiekolwiek zmiany zostaną wprowadzone do członkostwa w grupie Microsoft Entra ID, te zmiany zostaną wyświetlone w następnej ponownej ocenie reguł grupy, które można wykonać na żądanie, gdy reguła grupy zostanie zmodyfikowana lub automatycznie co 24 godziny. Usługa Azure DevOps aktualizuje członkostwo w grupie Microsoft Entra co godzinę, ale aktualizowanie członkostwa w grupie dynamicznej może potrwać do 24 godzin.
Zapoznaj się z poniższymi przykładami, pokazując, jak czynniki wykrywania subskrybentów są uwzględniane w regułach grupy.
Przykład 1. Reguła grupy zapewnia mi więcej dostępu
Jeśli mam subskrypcję programu VS Pro i jestem w regule grupy, która daje mi podstawowe i testowe plany — co się stanie?
Oczekiwane: Otrzymuję podstawowe i testowe plany, ponieważ to, co daje mi reguła grupy, jest większa niż moja subskrypcja. Przypisanie reguły grupy zawsze zapewnia większy dostęp, zamiast ograniczać dostęp.
Przykład 2. Reguła grupy daje mi ten sam dostęp
Mam subskrypcję programu Visual Studio Test Pro i jestem w regule grupy, która daje mi plany podstawowe i testowe — co się stanie?
Oczekiwano: otrzymuję wykrycie jako subskrybenta testowego programu Visual Studio Pro, ponieważ dostęp jest taki sam jak reguła grupy. Płacę już za program Visual Studio Test Pro, więc nie chcę płacić ponownie.
Praca z usługą GitHub
Zapoznaj się z poniższymi informacjami dotyczącymi rozwiązywania problemów w przypadku próby wdrożenia kodu w usłudze Azure DevOps za pomocą usługi GitHub.
Problem
Nie możesz przenieść reszty zespołu do organizacji i projektu, mimo że są one dodawane jako członkowie organizacji i projektu. Otrzymują wiadomości e-mail, ale podczas logowania otrzymują błąd 401.
Rozwiązanie
Prawdopodobnie logujesz się do usługi Azure DevOps z nieprawidłową tożsamością. Wykonaj poniższe czynności.
Zamknij wszystkie przeglądarki, w tym przeglądarki, które nie działają w usłudze Azure DevOps.
Otwórz prywatną lub incognito sesję przeglądania.
Przejdź do następującego adresu URL: https://aka.ms/vssignout.
Zostanie wyświetlony komunikat "Wyloguj się w toku". Po wylogowaniu nastąpi przekierowanie do dev.azure.microsoft.com.
Zaloguj się ponownie do usługi Azure DevOps . Wybierz inną tożsamość.
Inne obszary, w których można zastosować uprawnienia
- Uprawnienia ścieżki obszaru
- Tagi elementów roboczych
- Przeniesiono elementy robocze z projektu
- Usunięte elementy robocze
- Krótki przewodnik po domyślnych uprawnieniach i dostępie dla usługi Azure Boards
- Reguły niestandardowe
- Przykładowe scenariusze reguł niestandardowych
- Niestandardowe listy prac i tablice
- Kontrolki niestandardowe
Powiązane artykuły
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla