Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Zarządzanie dostępem do określonych funkcji w usłudze Azure DevOps ma kluczowe znaczenie dla utrzymania właściwej równowagi między otwartymi i zabezpieczeniami. Niezależnie od tego, czy chcesz przyznać grupie użytkowników, czy ograniczyć dostęp do określonych funkcji, ważne jest, aby zrozumieć elastyczność poza standardowymi uprawnieniami udostępnianymi przez wbudowane grupy zabezpieczeń.
Jeśli dopiero zaczynasz korzystać z uprawnień i grup, zobacz Wprowadzenie do uprawnień, dostępu i grup zabezpieczeń. W tym artykule opisano podstawowe informacje o stanach uprawnień i sposobie ich dziedziczenia.
Napiwek
Struktura projektu w usłudze Azure DevOps odgrywa kluczową rolę w określaniu stopnia szczegółowości uprawnień na poziomie obiektu, takich jak repozytoria i ścieżki obszaru. Ta struktura jest podstawą, którą można dostosować mechanizmy kontroli dostępu, umożliwiając określenie obszarów, które są dostępne lub ograniczone. Aby uzyskać więcej informacji, zobacz About projects and scaling your organization (Informacje o projektach i skalowaniu organizacji).
Warunki wstępne
| Kategoria | Wymagania |
|---|---|
| Uprawnienia użytkownika | Członek grupy Administratorów Kolekcji Projektu . Właściciele organizacji są automatycznie członkami tej grupy. |
Korzystanie z grup zabezpieczeń
Aby uzyskać optymalną konserwację, użyj domyślnych grup zabezpieczeń lub ustanów niestandardowe grupy zabezpieczeń, aby zarządzać uprawnieniami. Nie można zmienić ustawień uprawnień dla grup Administratorzy projektu i Administratorzy kolekcji projektów . Można jednak zmodyfikować uprawnienia dla wszystkich innych grup.
Zarządzanie uprawnieniami dla kilku użytkowników indywidualnie może wydawać się możliwe, ale niestandardowe grupy zabezpieczeń zapewniają bardziej zorganizowane podejście. Usprawniają one nadzór nad rolami i ich skojarzonymi uprawnieniami, zapewniając przejrzystość i łatwość zarządzania.
Delegowanie zadań do określonych ról
Jako administrator lub właściciel organizacji deleguj zadania administracyjne do członków zespołu, którzy nadzorują określone obszary. Podstawowe wbudowane role obejmują wstępnie zdefiniowane uprawnienia i przypisania ról:
- Czytelnicy: mają dostęp tylko do odczytu do projektu.
- Współautorzy: może współtworzyć projekt, dodając lub modyfikując zawartość.
- Administrator zespołu: zarządzanie ustawieniami i uprawnieniami związanymi z zespołem.
- Administratorzy projektu: mają uprawnienia administracyjne do projektu.
- Administratorzy kolekcji projektów: nadzorują całą kolekcję projektów i mają najwyższy poziom uprawnień.
Użyj tych ról, aby rozłożyć obowiązki i usprawnić zarządzanie obszarami projektu.
Aby uzyskać więcej informacji, zobacz Uprawnienia domyślne i dostęp oraz Zmienianie uprawnień na poziomie kolekcji projektów.
Aby delegować zadania do innych członków w organizacji, rozważ utworzenie niestandardowej grupy zabezpieczeń, a następnie przyznanie uprawnień zgodnie z poniższą tabelą.
Rola
Zadania do wykonania
Uprawnienia do ustawienia opcji Zezwalaj
Główny lider programowania (Git)
Zarządzanie politykami gałęzi
Edytowanie zasad, wymuszanie aktualizacji i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień gałęzi.
Lider ds. programowania (Team Foundation Version Control (TFVC))
Zarządzanie repozytorium i gałęziami
Administrowanie etykietami, zarządzanie gałęzią i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień repozytorium TFVC.
Architekt oprogramowania (Git)
Zarządzanie repozytoriami
Tworzenie repozytoriów, wymuszanie wypychania i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień repozytorium Git
Administratorzy zespołu
Dodaj ścieżki obszaru dla swojego zespołu
Dodawanie udostępnionych zapytań dla swojego zespołu
Tworzenie węzłów podrzędnych, Usuwanie tego węzła, Edytowanie tego węzła Zobacz Tworzenie węzłów podrzędnych, modyfikowanie elementów roboczych pod ścieżką obszaru
Współtworzenie, usuwanie, zarządzanie uprawnieniami (dla folderu zapytania), zobacz Ustawianie uprawnień zapytania.
Współautorzy
Dodawanie udostępnionych zapytań w folderze zapytań, wnoszenie wkładu w pulpity nawigacyjne
Współtwórz, usuń (w przypadku folderu zapytania), zobacz Ustawianie uprawnień zapytania
Wyświetlanie, edytowanie pulpitów nawigacyjnych i zarządzanie nimi— zobacz Ustawianie uprawnień pulpitu nawigacyjnego.
Projekt lub menedżer produktu
Dodawanie ścieżek obszaru, ścieżek iteracji i udostępnionych zapytań
Usuwanie i przywracanie elementów roboczych, Przenoszenie elementów roboczych z tego projektu, Trwałe usuwanie elementów roboczych
Aby edytować informacje na poziomie projektu, zobacz Zmienianie uprawnień na poziomie projektu.
Menedżer szablonów procesów (Model procesu dziedziczenia)
Dostosowywanie śledzenia pracy
Administrowanie uprawnieniami procesów, Tworzenie nowych projektów, Tworzenie procesu, Usuwanie pola z konta, Usuwanie procesu, Usuwanie projektu, Edytowanie procesu
Zobacz Zmienianie uprawnień na poziomie kolekcji projektów.
Menedżer szablonów procesów (hostowany model procesu XML)
Dostosowywanie śledzenia pracy
Aby edytować informacje na poziomie kolekcji, zobacz Zmienianie uprawnień na poziomie kolekcji projektów.
Zarządzanie projektem (lokalny model procesu XML)
Dostosowywanie śledzenia pracy
Aby edytować informacje na poziomie projektu, zobacz Zmienianie uprawnień na poziomie projektu.
Menedżer uprawnień
Zarządzanie uprawnieniami dla projektu, konta lub kolekcji
W przypadku projektu zmodyfikuj informacje na poziomie projektu.
Dla konta lub kolekcji edytuj informacje na poziomie instancji lub kolekcji.
Aby zrozumieć zakres tych uprawnień, zobacz Przewodnik wyszukiwania uprawnień. Aby zażądać zmiany uprawnień, zobacz Żądanie zwiększenia poziomów uprawnień.
Oprócz przypisywania uprawnień do osób można zarządzać uprawnieniami dla różnych obiektów w usłudze Azure DevOps. Te obiekty obejmują:
Te linki zawierają szczegółowe instrukcje i wskazówki dotyczące efektywnego konfigurowania uprawnień i zarządzania nimi w odpowiednich obszarach w usłudze Azure DevOps.
Ogranicz widoczność użytkownika
Ostrzeżenie
Podczas korzystania z tej funkcji w wersji zapoznawczej należy wziąć pod uwagę następujące ograniczenia:
- Funkcje ograniczonej widoczności opisane w tej sekcji dotyczą tylko interakcji za pośrednictwem portalu internetowego. Za pomocą interfejsów API REST lub poleceń CLI
azure devopsczłonkowie projektu mogą uzyskać dostęp do ograniczonych danych. - Użytkownicy w ograniczonej grupie mogą wybierać tylko użytkowników, którzy są jawnie dodawani do usługi Azure DevOps, a nie do użytkowników, którzy mają dostęp za pośrednictwem członkostwa w grupie Microsoft Entra.
- Użytkownicy-goście, którzy są członkami ograniczonej grupy z domyślnym dostępem w identyfikatorze Entra firmy Microsoft, nie mogą wyszukiwać użytkowników z selektorem osób.
Organizacje i projekty
Domyślnie użytkownicy dodawani do organizacji mogą wyświetlać wszystkie informacje i ustawienia organizacji oraz projektu. Możesz ograniczyć określonych użytkowników, takich jak uczestnicy projektu, użytkownicy firmy Microsoft Entra lub członkowie określonej grupy zabezpieczeń, przy użyciu funkcji Ogranicz widoczność i współpracę użytkowników do określonych projektów w wersji zapoznawczej dla organizacji. Po włączeniu tej funkcji każdy użytkownik lub grupa dodana do grupy użytkownikówProject-Scoped jest ograniczona w następujący sposób:
- Dostęp jest ograniczony tylko do projektów, do których są jawnie dodawane.
- Widoki wyświetlające listy użytkowników, projektów, szczegółów rozliczeń, danych użycia i nie tylko, dostępne poprzez ustawienia organizacji, są ograniczone w dostępie.
- Zestaw osób lub grup wyświetlanych w wynikach wyszukiwania w selektorze osób oraz możliwość @wspomniania osób jest ograniczona.
Wyszukiwanie i wybieranie tożsamości
Korzystając z identyfikatora Entra firmy Microsoft, możesz użyć selektorów osób do wyszukiwania dowolnego użytkownika lub grupy w organizacji, a nie tylko tych w bieżącym projekcie. Selektory osób obsługują następujące funkcje usługi Azure DevOps:
- Wybór tożsamości użytkownika z pola tożsamości związanej z śledzeniem pracy, na przykład Przypisane do
- Wybór użytkownika lub grupy przy użyciu @mention w dyskusji o elemencie roboczym lub w polu tekstu sformatowanego, dyskusji na żądanie ściągnięcia, zatwierdzenia komentarzy lub komentarzy na półce lub zestawu zmian
- Wybór użytkownika lub grupy przy użyciu @mention ze strony typu wiki
Jak pokazano na poniższej ilustracji, zacznij wprowadzać nazwę użytkownika lub grupy zabezpieczeń do pola selektora osób, dopóki nie znajdziesz dopasowania.
Użytkownicy i grupy dodane do grupy Użytkownicy w zakresie projektu mogą wyświetlać i wybierać tylko użytkowników i grupy w projekcie, z którym są połączeni, korzystając z selektora osób.
Włączanie funkcji w wersji zapoznawczej i dodawanie użytkowników do grupy zabezpieczeń
Wykonaj następujące kroki, aby włączyć funkcję w wersji zapoznawczej i dodać użytkowników i grupy do grupy Project-Scoped Użytkownicy:
Włącz Ogranicz widoczność i współpracę użytkowników do określonych projektówfunkcję podglądu dla organizacji.
Dodaj użytkowników do projektu zgodnie z opisem w temacie Dodawanie użytkowników do projektu lub zespołu. Użytkownicy dodani do zespołu są automatycznie dodawani do grupy projektu i zespołu.
Otwórz Ustawienia organizacji>Bezpieczeństwo>Uprawnienia i wybierz Użytkownicy o zakresie projektu. Wybierz kartę Członkowie.
Dodaj wszystkich użytkowników i grupy, które chcesz uwzględnić w zakresie projektu, do którego są dodawane. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.
Grupa Project-Scoped Użytkownicy jest wyświetlana tylko w sekcji Uprawnienia>Grupy, gdy włączona jest funkcja w wersji zapoznawczej Ogranicz widoczność i współpracę użytkowników do określonych projektów.
Wszystkie grupy zabezpieczeń w usłudze Azure DevOps to jednostki na poziomie organizacji, nawet jeśli mają uprawnienia tylko do określonego projektu. Zarządzasz grupami zabezpieczeń na poziomie organizacji.
W portalu internetowym widoczność niektórych grup zabezpieczeń może być ograniczona na podstawie Twoich uprawnień. Można jednak nadal odnajdywać nazwy wszystkich grup zabezpieczeń w organizacji przy użyciu narzędzia azure devops interfejsu wiersza polecenia lub interfejsów API REST. Aby uzyskać więcej informacji, zobacz Dodawanie grup zabezpieczeń i zarządzanie nimi.
Ograniczanie dostępu do wyświetlania lub modyfikowania obiektów
Usługa Azure DevOps została zaprojektowana, aby wszyscy autoryzowani użytkownicy mogli wyświetlać wszystkie zdefiniowane obiekty w systemie. Można jednak dostosować dostęp do zasobów, ustawiając stan uprawnień na Odmów. Ustaw uprawnienia dla członków należących do niestandardowej grupy zabezpieczeń lub dla poszczególnych użytkowników. Aby uzyskać więcej informacji, zobacz Żądanie zwiększenia poziomów uprawnień.
Obszar do ograniczenia
Ustaw uprawnienia na Odmówienie
Wyświetlanie lub współtworzenie repozytorium
Wyświetlanie, współpraca
Zobacz Ustawianie uprawnień repozytorium Git lub repozytorium TFVC.
Wyświetlanie, tworzenie lub modyfikowanie elementów roboczych w ścieżce obszaru
Edytuj elementy robocze w tym węźle, Wyświetl elementy robocze w tym węźle
Zobacz Ustawianie uprawnień i dostępu do śledzenia pracy oraz modyfikowanie elementów roboczych w ścieżce obszaru.
Wyświetlanie lub aktualizowanie wybranych potoków kompilacji i wydania
Edytowanie potoku kompilacji, Wyświetlanie potoku kompilacji
Edytuj potok wydania, Wyświetl potok wydania
Ustaw te uprawnienia na poziomie obiektu. Zobacz Ustawianie uprawnień do kompilacji i publikacji.
Edytowanie pulpitu nawigacyjnego
Wyświetl pulpity nawigacyjne
Zobacz Ustawianie uprawnień pulpitu nawigacyjnego.
Ograniczanie modyfikacji elementów roboczych lub wybieranie pól
Przykłady ilustrujące sposób ograniczania modyfikacji elementów roboczych lub wybierania pól można znaleźć w temacie Przykładowe scenariusze reguł.