Gerenciar o acesso a recursos específicos

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Gerenciar o acesso a recursos específicos no Azure DevOps pode ser crucial para manter o equilíbrio certo entre abertura e segurança. Se você está procurando conceder ou restringir o acesso a determinadas funcionalidades para um grupo de usuários, entender a flexibilidade além das permissões padrão fornecidas pelos grupos de segurança internos é fundamental.

Se você é novo no cenário de permissões e grupos, consulte Introdução às permissões, acesso e grupos de segurança, que aborda os fundamentos dos estados de permissão e como eles são herdados.

Gorjeta

A estrutura do seu projeto no Azure DevOps desempenha um papel fundamental na determinação da granularidade das permissões em um nível de objeto, como repositórios e caminhos de área. Essa estrutura é a base que permite ajustar os controles de acesso, permitindo que você delineie especificamente quais áreas são acessíveis ou restritas. Para obter mais informações, consulte Sobre projetos e dimensionamento da sua organização.

Usar grupos de segurança

Para uma manutenção ideal, sugerimos usar os grupos de segurança padrão ou estabelecer grupos de segurança personalizados para gerenciar permissões. As configurações de permissão para os grupos Administradores de Projeto e Administradores de Coleção de Projetos são fixadas por design e não podem ser alteradas. Mas, você tem a flexibilidade de modificar permissões para todos os outros grupos.

Gerenciar permissões para um pequeno número de usuários individualmente pode parecer viável, mas grupos de segurança personalizados oferecem uma abordagem mais organizada para supervisionar funções e as permissões associadas a essas funções, garantindo clareza e facilidade de gerenciamento.

Delegar tarefas a funções específicas

Como administrador ou proprietário da conta, delegar tarefas administrativas aos membros da equipe que supervisionam áreas específicas é uma abordagem estratégica. As principais funções internas equipadas com permissões predefinidas e atribuições de função incluem:

• Leitores: Ter acesso somente leitura ao projeto.
• Contribuidores: podem contribuir para o projeto adicionando ou modificando conteúdo.
• Administrador de equipe: gerencie configurações e permissões relacionadas à equipe.
• Administradores de projeto: têm direitos administrativos sobre o projeto.
• Administradores de coleção de projetos: supervisionam toda a coleção de projetos e têm o mais alto nível de permissões.

Estas funções facilitam a distribuição de responsabilidades e simplificam a gestão das áreas de projeto.

Para obter mais informações, consulte Permissões e acesso padrão e Alterar permissões no nível da coleção do projeto.

Para delegar tarefas a outros membros dentro da sua organização, considere criar um grupo de segurança personalizado e, em seguida, conceder permissões, conforme indicado na tabela a seguir.

Função

Tarefas a executar

Permissões a definir como Permitir

Líder de desenvolvimento (Git)

Gerenciar políticas de filiais

Editar políticas, forçar push e gerenciar permissões
Consulte Definir permissões de filial.

Líder de desenvolvimento (TFVC)

Gerenciar repositório e ramificações

Administrar etiquetas, Gerir ramificações e Gerir permissões
Consulte Definir permissões de repositório TFVC.

Arquiteto de software (Git)

Gerenciar repositórios

Criar repositórios, forçar push e gerenciar permissões
Consulte Definir permissões do repositório Git

Administradores de equipa

Adicionar caminhos de área para sua equipe
Adicionar consultas compartilhadas para sua equipe

Criar nós filho, Excluir este nó, Editar este nó Consulte Criar nós filho, modificar itens de trabalho em um caminho de área
Contribuir, Excluir, Gerenciar permissões (para uma pasta de consulta), Consulte Definir permissões de consulta.

Contribuidores

Adicionar consultas compartilhadas em uma pasta de consulta, Contribuir para painéis

Contribuir, Excluir (para uma pasta de consulta), Consulte Definir permissões de consulta
Exibir, editar e gerenciar painéis, consulte Definir permissões de painel.

Gerente de projeto ou produto

Adicionar caminhos de área, caminhos de iteração e consultas compartilhadas
Excluir e restaurar itens de trabalho, Mover itens de trabalho para fora deste projeto, Excluir permanentemente itens de trabalho

Editar informações no nível do projeto, consulte Alterar permissões no nível do projeto.

Gerenciador de modelos de processo (modelo de processo de herança)

Personalização do acompanhamento de trabalho

Administrar permissões de processo, Criar novos projetos, Criar processo, Excluir campo da conta, Excluir processo, Excluir projeto, Editar processo
Consulte Alterar permissões no nível da coleção do projeto.

Gerenciador de modelos de processo (modelo de processo XML hospedado)

Personalização do acompanhamento de trabalho

Editar informações no nível da coleção, consulte Alterar permissões no nível da coleção do projeto.

Gerenciamento de projetos (modelo de processo XML local)

Personalização do acompanhamento de trabalho

Editar informações no nível do projeto, consulte Alterar permissões no nível do projeto.

Gerenciador de permissões

Gerenciar permissões para um projeto, conta ou coleção

Para um projeto, Editar informações no nível do projeto
Para uma conta ou coleção, Editar informações no nível da instância (ou da coleção)
Para entender o escopo dessas permissões, consulte Guia de pesquisa de permissões. Para solicitar uma alteração nas permissões, consulte Solicitar um aumento nos níveis de permissão.

Além de atribuir permissões a indivíduos, você pode gerenciar permissões para vários objetos no Azure DevOps. Esses objetos incluem:

• Repositórios Git
• Filiais Git
• Repositórios TFVC
• Compilar e publicar pipelines
• Wikis.

Esses links fornecem etapas e diretrizes detalhadas para configurar e gerenciar permissões de forma eficaz para as respetivas áreas no Azure DevOps.

Limitar a visibilidade do usuário às informações da organização e do projeto

Importante

• As funcionalidades de visibilidade limitada descritas nesta secção aplicam-se apenas às interações através do portal Web. Com as APIs REST ou azure devops os comandos da CLI, os membros do projeto podem acessar os dados restritos.
• Os usuários convidados que são membros do grupo limitado com acesso padrão no Microsoft Entra ID não podem pesquisar usuários com o seletor de pessoas. Quando o recurso de visualização está desativado para a organização ou quando os usuários convidados não são membros do grupo limitado, os usuários convidados podem pesquisar todos os usuários do Microsoft Entra, conforme o esperado.

Por padrão, quando os usuários são adicionados a uma organização, eles ganham visibilidade em todas as informações e configurações organizacionais e do projeto. Para personalizar esse acesso, o recurso Limitar a visibilidade e a colaboração do usuário a projetos específicos pode ser habilitado no nível organizacional. Para obter mais informações, consulte Gerenciar recursos de visualização.

Depois que esse recurso é ativado, os usuários que fazem parte do grupo Usuários com escopo do projeto têm visibilidade limitada, não podendo ver a maioria das configurações da organização. O seu acesso limita-se aos projetos a que foram explicitamente acrescentados, garantindo um ambiente mais controlado e seguro.

Aviso

Quando o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos está habilitado para a organização, os usuários com escopo de projeto não podem pesquisar usuários que foram adicionados à organização por meio da associação ao grupo Microsoft Entra, em vez de por meio de um convite explícito de usuário. Este é um comportamento inesperado e uma resolução está sendo trabalhada. Para resolver automaticamente esse problema, desative o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos para a organização.

Limitar o seletor de pessoas a usuários e grupos do projeto

Para organizações que se integram com o Microsoft Entra ID, o recurso de seleção de pessoas permite uma pesquisa abrangente em todos os usuários e grupos dentro do Microsoft Entra ID, sem estar confinado a um único projeto.

O seletor de pessoas dá suporte às seguintes funcionalidades do Azure DevOps:

• Selecionar uma identidade de usuário em campos de identidade de acompanhamento de trabalho, como Atribuído a.
• Usando @mention para selecionar um usuário ou grupo em várias discussões e comentários, como discussões de item de trabalho, discussões de solicitação pull, comentários de confirmação ou comentários sobre conjuntos de alterações e conjuntos de prateleiras.
• Utilizar @mention para selecionar um usuário ou grupo a partir de uma página wiki.

Ao usar o seletor de pessoas, à medida que você insere informações, ele exibe nomes de usuário ou grupos de segurança correspondentes, conforme ilustrado no exemplo a seguir.

Para usuários e grupos dentro do grupo Usuários com escopo do projeto, a visibilidade e a seleção são limitadas a usuários e grupos dentro de seu projeto conectado. Para estender o escopo do seletor de pessoas para todos os membros do projeto, consulte Gerenciar sua organização, Limitar a pesquisa e a seleção de identidade.

Restringir o acesso para exibir ou modificar objetos

O Azure DevOps foi projetado para permitir que todos os usuários autorizados exibam todos os objetos definidos no sistema. No entanto, você pode personalizar o acesso aos recursos definindo o estado de permissão como Negar. Você pode definir permissões para membros que pertencem a um grupo de segurança personalizado ou para usuários individuais. Para obter mais informações, consulte Solicitar um aumento nos níveis de permissão.

Área a restringir

Permissões para definir como Negar

Ver ou contribuir para um repositório

Ver, Contribuir
Consulte Definir permissões do repositório Git ou Definir permissões do repositório TFVC.

Exibir, criar ou modificar itens de trabalho dentro de um caminho de área

Editar itens de trabalho neste nó, Exibir itens de trabalho neste nó
Consulte Definir permissões e acesso para acompanhamento de trabalho, Modificar itens de trabalho em um caminho de área.

Exibir ou atualizar pipelines de compilação e liberação selecionados

Editar pipeline de compilação, Exibir pipeline de compilação
Editar pipeline de liberação, Exibir pipeline de liberação
Você define essas permissões no nível do objeto. Consulte Definir permissões de compilação e versão.

Editar um dashboard

Ver dashboards
Consulte Definir permissões do painel.

Restringir a modificação de itens de trabalho ou selecionar campos

Para obter exemplos que ilustram como restringir a modificação de itens de trabalho ou selecionar campos, consulte Cenários de regra de exemplo.

Próximos passos

Remover contas de utilizador

Artigos relacionados

• Permissões e acesso padrão
• Guia de pesquisa de permissões
• Introdução às permissões, acesso e grupos de segurança
• Referência de permissões e grupos
• Alterar permissões no nível do projeto
• Alterar permissões no nível de coleção do projeto