Conceder ou restringir o acesso usando permissões
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Você pode conceder ou restringir o acesso aos recursos gerenciados no Azure DevOps. Talvez você queira abrir ou fechar o acesso a um conjunto selecionado de recursos e a um conjunto selecionado de usuários. Embora os grupos de segurança internos forneçam um conjunto padrão de atribuições de permissão, talvez você precise de mais requisitos de segurança não atendidos por essas atribuições.
Se você não estiver familiarizado com a administração de permissões e grupos, examine Introdução a permissões, acesso e grupos de segurança para saber mais sobre estados de permissão e herança.
Neste artigo, você aprenderá a realizar as seguintes tarefas:
- Método recomendado para conceder e restringir permissões
- Delegar tarefas atribuindo permissões de seleção a funções específicas
- Limitar a visibilidade do usuário às informações da organização
- Limitar o seletor de pessoas a usuários e grupos do projeto
- Restringir o acesso para exibir ou modificar objetos
- Restringir a modificação de itens de trabalho com base em um usuário ou grupo
- Método recomendado para conceder e restringir permissões
- Delegar tarefas atribuindo permissões de seleção a funções específicas
- Restringir o acesso para exibir ou modificar objetos
- Restringir a modificação de itens de trabalho com base em um usuário ou grupo
Dica
Como você define muitas permissões em um nível de objeto, como repositórios e caminhos de área, como você estrutura seu projeto determina as áreas que você pode abrir ou fechar.
Método recomendado para conceder e restringir permissões
Para fins de manutenção, recomendamos que você use os grupos de segurança internos ou grupos de segurança personalizados para gerenciar permissões.
Você não pode alterar as configurações de permissão para o grupo Administradores de Projeto ou o grupo Administradores de Coleção de Projetos, que é por design. No entanto, para todos os outros grupos, você pode alterar as permissões.
Se você gerenciar alguns usuários, poderá achar a alteração de permissões individuais uma opção válida. No entanto, os grupos de segurança personalizados permitem que você acompanhe melhor as funções e permissões atribuídas a essas funções.
Delegar tarefas a funções específicas
Como administrador ou proprietário da conta, é uma boa ideia delegar tarefas administrativas aos membros da equipe que lideram ou gerenciam uma área. Várias das principais funções internas que vêm com permissões padrão e atribuições de função são:
- Leitores
- Colaboradores
- Administrador de Equipe (função)
- Administradores do Projeto
- Administradores da Coleção de Projetos
Para obter um resumo das permissões para as funções acima, consulte Permissões e acesso padrão ou, para administradores de coleção de projetos, consulte Alterar permissões de nível de coleção de projetos.
Para delegar tarefas a outros membros em sua organização, considere criar um grupo de segurança personalizado e, em seguida, conceder permissões conforme indicado na tabela a seguir.
Função
Tarefas a serem executadas
Permissões a serem definidas como Permitir
Líder de desenvolvimento (Git)
Gerenciar políticas de branch
Editar políticas, Forçar push e Gerenciar permissões
Confira Definir permissões de branch.
Líder de desenvolvimento (TFVC)
Gerenciar repositório e branches
Administrar rótulos, gerenciar branch e gerenciar permissões
Consulte Definir permissões de repositório TFVC.
Arquiteto de software (Git)
Gerenciar repositórios
Criar repositórios, forçar push e gerenciar permissões
Confira Definir permissões do repositório Git
Administradores da equipe
Adicionar caminhos de área para sua equipe
Adicionar consultas compartilhadas para sua equipe
Criar nós filho, Excluir este nó, Editar este nó Consulte Criar nós filho, modificar itens de trabalho em um caminho de área
Contribuir, Excluir, Gerenciar permissões (para uma pasta de consulta), consulte Definir permissões de consulta.
Colaboradores
Adicionar consultas compartilhadas em uma pasta de consulta, Contribuir com painéis
Contribuir, Excluir (para uma pasta de consulta), consulte Definir permissões de consulta
Exibir, editar e gerenciar painéis, consulte Definir permissões de painel.
Gerente de projeto ou produto
Adicionar caminhos de área, caminhos de iteração e consultas compartilhadas
Excluir e restaurar itens de trabalho, Mover itens de trabalho para fora deste projeto, Excluir permanentemente itens de trabalho
Editar informações no nível do projeto, consulte Alterar permissões no nível do projeto.
Gerenciador de modelos de processo (modelo de processo de herança)
Personalização de acompanhamento de trabalho
Administrar permissões de processo, Criar novos projetos, Criar processo, Excluir campo da conta, Excluir processo, Excluir projeto, Editar processo
Confira Alterar permissões no nível da coleção do projeto.
Gerenciador de modelos de processo (modelo de processo XML hospedado)
Personalização de acompanhamento de trabalho
Editar informações no nível da coleção, confira Alterar permissões no nível da coleção do projeto.
Gerenciamento de projetos (modelo de processo XML local)
Personalização de acompanhamento de trabalho
Editar informações no nível do projeto, consulte Alterar permissões no nível do projeto.
Gerenciador de permissões
Gerenciar permissões para um projeto, conta ou coleção
Para um projeto, edite informações no nível do projeto
Para uma conta ou coleção, edite informações no nível da instância (ou no nível da coleção)
Para entender o escopo dessas permissões, consulte Guia de pesquisa de permissão. Para solicitar uma alteração nas permissões, consulte Solicitar um aumento nos níveis de permissão.
Você também pode conceder permissões para gerenciar permissões para os seguintes objetos:
Limitar a visibilidade do usuário às informações da organização e do projeto
Importante
- Os recursos de visibilidade limitados descritos nesta seção se aplicam apenas a interações por meio do portal da Web. Com as APIs REST ou
azure devopscomandos da CLI, os membros do projeto podem acessar os dados restritos. - Os usuários convidados que são membros do grupo limitado com acesso padrão no Microsoft Entra ID não podem procurar usuários com o seletor de pessoas. Quando o recurso de visualização é desativado para a organização ou quando os usuários convidados não são membros do grupo limitado, os usuários convidados podem pesquisar todos os usuários do Microsoft Entra, conforme o esperado.
Por padrão, os usuários adicionados a uma organização podem exibir todas as informações e configurações da organização e do projeto. Para restringir o acesso somente aos projetos aos quais você adiciona usuários, você pode habilitar o recurso Limitar visibilidade e colaboração do usuário à versão prévia de projetos específicos para a organização. Para obter mais informações, consulte Gerenciar recursos de versão prévia.
Com esse recurso habilitado, os usuários adicionados ao grupo Usuários com Escopo do Projeto não podem exibir a maioria das configurações da Organização e só podem se conectar a esses projetos aos quais foram adicionados.
Aviso
Quando o recurso Limitar a visibilidade e a colaboração do usuário a projetos específicos está habilitado para a organização, os usuários com escopo de projeto não conseguem pesquisar usuários que foram adicionados à organização por meio da associação ao grupo do Microsoft Entra, em vez de por meio de um convite explícito do usuário. Esse é um comportamento inesperado e uma resolução está sendo trabalhada. Para resolver esse problema automaticamente, desabilite o recurso Limitar visibilidade e colaboração do usuário à versão prévia de projetos específicos para a organização.
Limitar o seletor de pessoas a usuários e grupos do projeto
Para organizações que gerenciam seus usuários e grupos usando o Microsoft Entra ID, os seletores de pessoas oferecem suporte à pesquisa de todos os usuários e grupos adicionados ao Microsoft Entra ID, não apenas os usuários ou grupos adicionados a um projeto. Pessoas seletores dão suporte às seguintes funções do Azure DevOps:
- Seleção de uma identidade de usuário de um campo de identidade de acompanhamento de trabalho, como Atribuído a
- Seleção de um usuário ou grupo usando @mention em um campo de discussão de item de trabalho ou rich text, uma discussão de solicitação de pull, comentários de commit ou comentários de conjunto de alterações ou de conjunto de prateleiras
- Seleção de um usuário ou grupo usando @mention de uma página wiki
Conforme mostrado na imagem a seguir, você simplesmente começa a digitar em uma caixa de seletor de pessoas até encontrar uma correspondência com um nome de usuário ou grupo de segurança.
Os usuários e grupos que são adicionados ao grupo Usuários com Escopo do Projeto só podem ver e selecionar usuários e grupos no projeto ao qual estão conectados de um seletor de pessoas. Para definir o escopo dos seletores de pessoas para todos os membros do projeto, consulte Gerenciar sua organização, Limitar pesquisa e seleção de identidade.
Restringir o acesso para exibir ou modificar objetos
O Azure DevOps foi projetado para permitir que todos os usuários válidos exibam todos os objetos definidos no sistema. Você pode restringir o acesso aos recursos definindo o estado de permissão como Negar. Você pode definir permissões para membros que pertencem a um grupo de segurança personalizado ou para um usuário individual. Para saber mais sobre como definir esses tipos de permissões, consulte Solicitar um aumento nos níveis de permissão.
Área a ser restrita
Permissões a serem definidas como Negar
Exibir ou contribuir para um repositório
Exibir, Contribuir
Consulte Definir permissões de repositório Git ou Definir permissões de repositório TFVC.
Exibir, criar ou modificar itens de trabalho dentro de um caminho de área
Editar itens de trabalho neste nó, Exibir itens de trabalho neste nó
Consulte Definir permissões e acesso para acompanhamento de trabalho, Modificar itens de trabalho em um caminho de área.
Exibir ou atualizar pipelines de build e lançamento selecionados
Editar pipeline de build, Exibir pipeline de build
Editar pipeline de lançamento, Exibir pipeline de lançamento
Você define essas permissões no nível do objeto. Consulte Definir permissões de build e versão.
Editar um painel
Exibir dashboards
Consulte Definir permissões de painel.
Restringir a modificação de itens de trabalho ou selecionar campos
Para obter exemplos que ilustram como restringir a modificação de itens de trabalho ou selecionar campos, consulte Cenários de regra de exemplo.
Próximas etapas
Artigos relacionados
- Solucionar problemas de permissões
- Regras e avaliação de regras
- Acesso e permissões padrão
- Guia de pesquisa de permissão
- Introdução às permissões, ao acesso e aos grupos de segurança
- Referência de permissões e grupos
- Alterar permissões no nível do projeto
- Alterar permissões de nível de coleção do projeto
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de