Группы безопасности, учетные записи служб и разрешения в Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

В этой статье представлен полный справочник по каждому встроенному пользователю, группе и разрешению. Это много информации, описывающей каждого встроенного пользователя и группу безопасности, а также каждое разрешение.

Краткие сведения о назначениях по умолчанию см. в разделе Разрешения и доступ по умолчанию. Общие сведения об управлении разрешениями и безопасностью см. в статье Начало работы с разрешениями, доступом и группами безопасности. Помимо групп безопасности, существуют также роли безопасности, которые предоставляют разрешения для некоторых областей.

Чтобы узнать, как добавить пользователей в группу или задать определенное разрешение, которым можно управлять с помощью веб-портала, см. следующие ресурсы:


Примечание

Изображения, которые вы видите на веб-портале, могут отличаться от изображений, которые вы видите в этом разделе. Эти различия возникают в результате обновлений, внесенных в Azure DevOps. Однако основные функциональные возможности, доступные вам, остаются прежними, если не указано явно.

учетные записи служб;

Система создает несколько учетных записей служб для поддержки определенных операций. К ним относятся те, которые описаны в следующей таблице. Эти учетные записи пользователей добавляются на уровне организации или коллекции.

Имя пользователя Описание
Служба пула агентов Имеет разрешение на прослушивание очереди сообщений для определенного пула для получения работы. В большинстве случаев вам не нужно управлять членами этой группы. Процесс регистрации агента отвечает за вас. Учетная запись службы, указанная для агента (обычно сетевая служба), добавляется автоматически при регистрации агента. Отвечает за выполнение Azure Boards операций чтения и записи и обновления рабочих элементов при обновлении объектов GitHub.
Azure Boards Добавляется при подключении Azure Boards к GitHub. Вам не нужно управлять участниками этой группы. Отвечает за управление созданием связи между GitHub и Azure Boards.
PipelinesSDK При необходимости добавлен для поддержки маркеров области службы политики Pipelines. Эта учетная запись пользователя похожа на удостоверения службы сборки, но поддерживает блокировку разрешений отдельно. На практике маркерам, которые связаны с этим удостоверением, предоставляются разрешения только для чтения для ресурсов конвейера и возможность однократно утверждать запросы политики. Эта учетная запись должна обрабатываться так же, как и удостоверения службы сборки.
Projectname Служба сборки Имеет разрешения на запуск служб сборки для проекта. Это устаревший пользователь, используемый для сборок XAML. Он добавляется в группу служб безопасности, которая используется для хранения пользователей, которым предоставлены разрешения, но не добавляется в другие группы безопасности.
Служба сборки коллекций проектов Имеет разрешения на запуск служб сборки для коллекции. Он добавляется в группу служб безопасности, которая используется для хранения пользователей, которым предоставлены разрешения, но не добавляется в другие группы безопасности.

Группы

Разрешения могут предоставляться непосредственно пользователю или группе. Использование групп значительно упростит ситуацию. Система предоставляет несколько встроенных групп для этой цели. Эти группы и назначенные им разрешения по умолчанию определяются на разных уровнях: сервер (только локальное развертывание), коллекция проектов, проект и конкретные объекты. Вы также можете создать собственные группы и предоставить им определенный набор разрешений, подходящих для определенных ролей в вашей организации.

Примечание

Все группы безопасности — это сущности уровня организации, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена в зависимости от разрешений пользователя. Однако имена всех групп в организации можно найти с помощью средства azure Devops CLI или наших REST API. Дополнительные сведения см. в статье Добавление групп безопасности и управление ими.

Примечание

Все группы безопасности — это сущности уровня коллекции, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена в зависимости от разрешений пользователя. Однако имена всех групп в организации можно найти с помощью средства azure Devops CLI или наших REST API. Дополнительные сведения см. в статье Добавление групп безопасности и управление ими.

Примечание

Все группы безопасности — это сущности уровня коллекции, даже те группы, которые имеют разрешения только для определенного проекта. На веб-портале видимость некоторых групп безопасности может быть ограничена в зависимости от разрешений пользователя. Однако имена всех групп в организации можно найти с помощью REST API. Дополнительные сведения см. в статье Добавление групп безопасности и управление ими.

Группы уровня сервера

При установке Azure DevOps Server система создает группы по умолчанию с разрешениями уровня сервера на уровне развертывания. Удалить или удалить встроенные группы уровня сервера невозможно.

Снимок экрана: диалоговое окно группы безопасности Azure DevOps.

Снимок экрана: диалоговое окно группы безопасности Azure DevOps версии TFS-2018.

Вы не можете удалить или удалить группы уровня сервера по умолчанию.

Примечание

Полное имя каждой из этих групп — [Team Foundation]\{имя группы}. Таким образом, полное имя группы администраторов уровня сервера — [Team Foundation]\Администраторы Team Foundation.

Имя группы

Разрешения

Членство

Учетные записи службы Azure DevOps

Имеет разрешения уровня службы для экземпляра сервера.

Содержит учетную запись службы, указанную во время установки.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.

Если вам нужно добавить учетную запись в эту группу после установки Azure DevOps Server, это можно сделать с помощью служебной программы TFSSecurity.exe во вложенной папке Сервис локального каталога установки. Для этого используется команда TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Учетные записи прокси-службы Azure DevOps

Имеет разрешения уровня обслуживания для прокси-сервера Team Foundation Server и некоторые разрешения уровня службы.

Примечание

Эта учетная запись создается при установке прокси-службы Azure DevOps.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей.

Допустимые пользователи Azure DevOps

Имеет разрешение на просмотр сведений на уровне экземпляра сервера.

Содержит всех пользователей, которые, как известно, существуют в экземпляре сервера. Вы не можете изменить членство в этой группе.

Администраторы Team Foundation

Имеет разрешения на выполнение всех операций на уровне сервера.

Группа локальных администраторов (BUILTIN\Administrators) для любого сервера, на котором размещаются службы приложений Azure DevOPs или Team Foundation.

Server\Team Foundation Service Accounts group and members of the \Project Server Integration Service Accounts group.

Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется полный административный контроль над операциями на уровне сервера.

Примечание

Если в развертывании используются отчеты, рекомендуется добавить членов этой группы в группы диспетчеров содержимого в Reporting Services.

Имя группы

Разрешения

Членство

Администраторы Team Foundation

Имеет разрешения на выполнение всех операций на уровне сервера.

Группа локальных администраторов (BUILTIN\Administrators) для любого сервера, на котором размещаются службы приложений Azure DevOPs или Team Foundation.

Server\Team Foundation Service Accounts group and members of the \Project Server Integration Service Accounts group.

Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется полный административный контроль над операциями на уровне сервера.

Примечание

Если в развертывании используются отчеты, рекомендуется добавить членов этой группы в группы диспетчеров содержимого в Reporting Services.

Учетные записи службы прокси-сервера Team Foundation

Имеет разрешения уровня обслуживания для прокси-сервера Team Foundation Server и некоторые разрешения уровня службы.

Примечание

Эта учетная запись создается при установке прокси-службы TFS.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей.

Учетные записи Team Foundation Service

Имеет разрешения уровня службы для экземпляра сервера.

Содержит учетную запись службы, указанную во время установки.

Данная группа должна содержать только учетные записи служб и не должна содержать учетные записи пользователей или группы, содержащие учетные записи пользователей. По умолчанию эта группа входит в состав администраторов Team Foundation.

Если вам нужно добавить учетную запись в эту группу после установки Azure DevOps Server, это можно сделать с помощью служебной программы TFSSecurity.exe во вложенной папке Сервис каталога установки TFS. Для этого используется команда TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Допустимые пользователи Team Foundation

Имеет разрешение на просмотр сведений на уровне экземпляра сервера.

Примечание

Если для этой группы задать разрешение Просмотр сведений на уровне экземпляразначение Запретить или Не задать , пользователи не смогут получить доступ к развертыванию.

Содержит всех пользователей, которые, как известно, существуют в экземпляре сервера. Вы не можете изменить членство в этой группе.

Группы уровня коллекции

При создании организации или коллекции проектов в Azure DevOps система создает группы уровня коллекции, имеющие разрешения в этой коллекции. Вы не можете удалить или удалить встроенные группы уровня коллекции.

Примечание

Сведения о том, как включить страницу предварительного просмотра параметров разрешений организации версии 2 , см. в разделе Включение функций предварительной версии. Страница предварительного просмотра предоставляет страницу параметров группы, которую нет на текущей странице.

Снимок экрана: группы коллекций Project, новый пользовательский интерфейс.

Снимок экрана: группы коллекций Project, локальные версии.

Полное имя каждой из этих групп — [{имя коллекции}]\{имя группы}. Таким образом, полное имя группы администраторов для коллекции по умолчанию — [Коллекция по умолчанию]\Администраторы коллекции проектов.

Имя группы

Разрешения

Членство

Администраторы коллекций проектов

Имеет разрешения на выполнение всех операций с коллекцией.

Содержит группу локальных администраторов (BUILTIN\Administrators) для сервера, на котором установлены службы уровня приложений. Кроме того, содержит членов группыУчетные записи службыCollectionName/. Членство в данной группе должно быть максимально ограничено и доступно только для узкого круга пользователей, которым необходимо предоставление полного административного контроля над коллекцией.

Примечание

Если в развертывании используется Reporting Services, рассмотрите возможность добавления участников этой группы в группы диспетчеров содержимого Team Foundation в Reporting Services.

Администраторы построения коллекций проектов

Имеет разрешения на администрирование ресурсов сборки и разрешения для коллекции.

Членами данной группы должны быть только те пользователи, которым необходим полный административный контроль над серверами и службами сборок для этой коллекции.

Учетные записи службы сборки коллекции проектов

Имеет разрешения на запуск служб сборки для коллекции.

Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. Это устаревшая группа, используемая для сборок XAML. Используйте пользователя Службы сборки коллекции проектов ({ваша организация}) для управления разрешениями для текущих сборок.

Учетные записи службы прокси коллекции проектов

Имеет разрешения на запуск прокси-службы для коллекции.

Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.

Учетные записи службы коллекции проектов

Имеет разрешения уровня обслуживания для коллекции и для Azure DevOps Server.

Содержит учетную запись службы, введенную во время установки. Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб. По умолчанию эта группа является членом группы "Администраторы".

Учетные записи службы тестирования коллекции проектов

Имеет разрешения тестовой службы для коллекции.

Эта группа должна содержать только учетные записи служб и группы, которые содержат только учетные записи служб.

Допустимые пользователи коллекции проектов

Имеет разрешения на доступ к командным проектам и просмотр сведений в коллекции.

Содержит всех пользователей и группы, добавленные в коллекцию. Членство данной группы нельзя изменять.

Пользователи Project-Scoped

Имеет ограниченный доступ к просмотру параметров организации и проектов, отличных от проектов, в которые они добавлены. Кроме того, параметры выбора людей ограничены теми пользователями и группами, которые были явно добавлены в проект, к которому подключен пользователь.

Добавьте пользователей в эту группу, если вы хотите ограничить их видимость и доступ к тем проектам, в которые вы явно добавили их. Не добавляйте пользователей в эту группу, если они также добавлены в группу Администраторы коллекции проектов.

Примечание

Группа "Пользователи в области проекта " становится доступной с ограниченным доступом, когда включена предварительная версия функции " Ограничить видимость пользователей и совместная работа для конкретных проектов ". Дополнительные сведения см. в статье Управление организацией, Ограничение видимости пользователей для проектов и многое другое.

Группа служб безопасности

Используется для хранения пользователей, которым предоставлены разрешения, но не добавлены в другие группы безопасности.

Не назначайте пользователей этой группе. Если вы удаляете пользователей из всех групп безопасности, проверьте, нужно ли удалить их из этой группы.

Группы уровня проекта

Для каждого создаваемого проекта система создает следующие группы уровня проекта. Этим группам назначаются разрешения на уровне проекта.

Примечание

Чтобы включить страницу предварительного просмотра для страницы параметров разрешений проекта, см. статью Включение функций предварительной версии.

Группы и разрешения уровня проекта, Azure DevOps current.

Группы и разрешения уровня проекта, TFS-2018 и более ранние версии.

Совет

Полное имя каждой из этих групп — [{имя проекта}]\{имя группы}. Например, группа участников для проекта с именем "Мой проект" — [Мой проект]\Участники.

Имя группы

Разрешения

Членство

Администраторы сборки

Имеет разрешения на администрирование ресурсов сборки и разрешения на сборку для проекта. Они могут управлять тестовыми средами, создавать тестовые запуски и управлять построениями.

Назначение пользователям, которые определяют конвейеры сборки и управляют ими.

Соавторы

Имеет разрешения для полного участия в отслеживании базы кода проекта и рабочих элементов. Основными разрешениями, которыми они не обладают, являются разрешения на управление ресурсами или администрирование ресурсов.

По умолчанию группа команд, созданная при создании проекта, добавляется в эту группу, и любой пользователь, добавленный в команду или проект, является членом этой группы. Кроме того, в эту группу добавляется любая команда, созданная для проекта.

читатели;

Имеет разрешения на просмотр сведений о проекте, базы кода, рабочих элементов и других артефактов, но не изменяет их.

Назначьте членам организации или коллекции, которым вы хотите предоставить разрешения только для просмотра проекта. Эти пользователи могут просматривать невыполненные работы, доски, панели мониторинга и многое другое, но не добавлять или изменять ничего.

Администраторы проектов

Имеет разрешения на администрирование всех аспектов команд и проектов, хотя они не могут создавать командные проекты.

Назначьте пользователям, которые управляют разрешениями пользователей, создают или редактируют команды, изменяют параметры команды, определяют область пути итерации или настраивают отслеживание рабочих элементов. Членам группы "Администраторы проекта" предоставляются разрешения на выполнение следующих задач:

  • Добавление и удаление пользователей из членства в проекте
  • Добавление и удаление настраиваемых групп безопасности из проекта
  • Добавление и администрирование всех проектных команд и функций, связанных с командой
  • Изменение списков управления доступом разрешений на уровне проекта
  • Изменение подписок на события (электронная почта или SOAP) для событий на уровне команд или проектов.

Допустимые пользователи проекта

Имеет разрешения на доступ и просмотр сведений о проекте.

Содержит всех пользователей и группы, которые были добавлены в проект в любом месте. Членство данной группы нельзя изменять.

Примечание

Не рекомендуется изменять разрешения по умолчанию для этой группы.

Администраторы выпуска

Имеет разрешения на управление всеми операциями выпуска.

Назначение пользователям, которые определяют конвейеры выпуска и управляют ими.

Примечание

Группа Администратор выпуска создается одновременно с определением первого конвейера выпуска. Он не создается по умолчанию при создании проекта.

TeamName

Имеет разрешения для полного участия в отслеживании базы кода проекта и рабочих элементов.

Группа по умолчанию создается при создании проекта и по умолчанию добавляется в группу Участников проекта. Все новые создаваемые команды также будут содержать созданную для них группу, добавленную в группу «Участники».

Добавьте участников команды в эту группу. Чтобы предоставить доступ к настройке параметров команды, добавьте участника команды к роли администратора команды.

Роль администратора команды

Для каждой добавляемой команды можно назначить одного или нескольких участников команды в качестве администраторов. Роль администратора группы не является группой с набором определенных разрешений. Вместо этого роли администратора группы поручено управлять ресурсами команды. Дополнительные сведения см. в статье Управление командами и настройка средств команды. Сведения о добавлении пользователя в качестве администратора команды см. в статье Добавление администратора команды.

Примечание

Администраторы проектов могут управлять всеми административными областями для всех команд.

Разрешения

Система управляет разрешениями на разных уровнях — организации, проекта, объекта, а также разрешениями на основе ролей — и по умолчанию назначает их одной или нескольким встроенным группам. Большинством разрешений можно управлять с помощью веб-портала. Дополнительные разрешения можно управлять с помощью одного или нескольких средств управления безопасностью , указав разрешение пространства имен.

Система управляет разрешениями на разных уровнях (сервер, коллекция, проект, объект, а также разрешениями на основе ролей) и по умолчанию назначает их одной или нескольким встроенным группам. Управление большинством разрешений осуществляется через веб-портал. Дополнительные разрешения можно управлять с помощью одного или нескольких средств управления безопасностью , указав разрешение пространства имен.

В следующих разделах разрешение пространства имен предоставляется после метки разрешения, которая отображается в пользовательском интерфейсе. Например:
Создание определения тега
Tagging, Create

Дополнительные сведения см. в разделе Справочник по пространству имен безопасности и разрешениям.

Разрешения уровня серверов

Управление разрешениями на уровне сервера осуществляется с помощью консоли администрирования Team Foundation или программы командной строки TFSSecurity. Администраторам Team Foundation предоставляются все разрешения на уровне сервера. Другие группы уровня сервера имеют выбор назначений разрешений.

Снимок экрана: разрешения на уровне сервера.

Разрешение (пользовательский интерфейс)
Namespace permission

Описание


Администрирование склада
Warehouse, Administer

Это разрешение действительно только для Azure DevOps Server 2020 и более ранних версий, настроенных для поддержки SQL Server отчетов. Может обрабатывать или изменять параметры для хранилища данных или куба анализа SQL Server с помощью веб-службы управления хранилищем.

Для полной обработки или перестроения хранилища данных и куба анализа могут потребоваться дополнительные разрешения.

Создание коллекции проектов
CollectionManagement, CreateCollection

Может создавать коллекции и администрировать их.

Удаление коллекции проектов
CollectionManagement, DeleteCollection

Может удалить коллекцию из развертывания.

Примечание

Удаление коллекции не приведет к удалению базы данных коллекции из SQL Server.

Изменение сведений на уровне экземпляра
Server, GenericWrite

Может изменять разрешения уровня сервера для пользователей и групп, а также добавлять или удалять группы уровня сервера из коллекции.

Примечание

Изменение сведений на уровне экземпляра включает возможность выполнения этих задач, определенных во всех коллекциях, определенных для экземпляра:

  • Изменение параметров расширений и аналитики
  • Неявно позволяет пользователю изменять разрешения управления версиями и параметры репозитория
  • Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и группы
  • Изменение всех параметров на уровне проекта и группы для проектов, определенных в коллекциях
  • Создавать и изменять глобальные списки

Чтобы предоставить все эти разрешения в командной строке, необходимо использовать tf.exe Permission команду , чтобы предоставить AdminConfiguration разрешения и AdminConnections в дополнение к GENERIC_WRITE.

Выполнение запросов от имени других пользователей
Server, Impersonate

Могут выполнять операции от имени других пользователей или служб. Назначайте только для учетных записей служб.

События триггера
Server, TriggerEvent

Может активировать события генерации оповещений на уровне сервера. Назначайте только учетным записям служб и членам группы Администраторы Azure DevOps или Team Foundation.

Использование полных возможностей веб-доступа

Можно использовать все функции локального веб-портала. Это разрешение устарело в Azure DevOps Server 2019 и более поздних версиях.

Примечание

Если для разрешения Использовать полные возможности веб-доступа задано значение Запретить, пользователь увидит только те функции, которые разрешены для группы заинтересованных лиц (см. раздел Изменение уровней доступа). Запрет переопределяет любое неявное разрешение, даже для учетных записей, которые являются членами административных групп, таких как администраторы Team Foundation.

Просмотр сведений на уровне экземпляра
Server, GenericRead

Может просматривать членство в группах на уровне сервера и разрешения этих пользователей.

Примечание

Разрешение Просмотр сведений на уровне экземпляра также назначается группе Допустимые пользователи Azure DevOps.

Разрешения на уровне организации

Управлять разрешениями на уровне организации можно с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Администраторам коллекции проектов предоставляются все разрешения на уровне организации. Другие группы уровня организации имеют некоторые назначения разрешений.

Примечание

Сведения о том, как включить страницу предварительного просмотра для страницы параметров разрешений проекта, см. в разделе Включение предварительных версий функций.

Снимок экрана: разрешения и группы уровня организации, Azure DevOps Services.

Важно!

Разрешение на добавление или удаление групп безопасности уровня организации или коллекции, добавление членства в организациях или группах на уровне коллекции и управление ими, а также изменение списков управления доступом на уровне коллекций и проектов назначается всем членам группы администраторов коллекции проектов. Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.

Вы не можете изменить разрешения для группы Администраторы коллекции проектов . Кроме того, хотя вы можете изменить назначения разрешений для участника этой группы, их действующие разрешения по-прежнему будут соответствовать разрешениям, назначенным группе администраторов, членом которой он является.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Общие сведения

Изменение параметров трассировки
Collection, DIAGNOSTIC_TRACE

Создание проектов
(прежнее название — Создание командных проектов)
Collection, CREATE_PROJECTS

Может добавлять проект в организацию или коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.

Удаление командного проекта
Project, DELETE

Можно удалить проект. При удалении проекта удаляются все данные, связанные с проектом. Удаление проекта невозможно отменить, кроме как восстановить коллекцию до точки перед удалением проекта.

Изменение сведений на уровне экземпляра
Collection, GENERIC_WRITE

Может задавать параметры уровня организации и проекта.

Примечание

Изменение сведений на уровне экземпляра включает возможность выполнения этих задач для всех проектов, определенных в организации или коллекции:

  • Изменение параметров обзора организации, расширений и параметров Azure Active Directory
  • Изменение разрешений управления версиями и параметров репозитория
  • Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и группы
  • Измените все параметры уровня проекта и группы для проектов, определенных в коллекциях.

Просмотр сведений на уровне экземпляра
Collection, GENERIC_READ

Может просматривать разрешения уровня организации для пользователя или группы.

Учетная запись службы

Выполнение запросов от имени других пользователей
Server, Impersonate

Могут выполнять операции от имени других пользователей или служб. Назначьте это разрешение только учетным записям служб.

События триггера
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб.

Просмотр сведений о синхронизации системы Collection, SYNCHRONIZE_READ

Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.

Boards

Администрирование разрешений процесса
Process, AdministerProcessPermissions

Может изменять разрешения для настройки отслеживания работы путем создания и настройки унаследованных процессов.

Процесс создания
Process, Create

Может создавать унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Пользователи, которым предоставлен доступ "Базовый" и "Заинтересованные лица", получают это разрешение по умолчанию.

Удаление поля из организации
Collection, DELETE_FIELD

Процесс удаления
Process, Delete

Может удалять унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards.

Процесс редактирования
Process, Edit

Repos

Применяется только к системе управления версиями Team Foundation (TFVC)

Администрирование изменений, включенных в набор отложенных изменений
VersionControlPrivileges, AdminWorkspaces

Администрирование рабочих областей
Workspaces, Administer

Создайте рабочую область
VersionControlPrivileges, CreateWorkspace

Могут создавать рабочие области управления версиями. Разрешение Создание рабочей области предоставляется всем пользователям в рамках их членства в группе Допустимые пользователи коллекции проектов.

Pipelines

Администрирование разрешений ресурса сборки
BuildAdministration, AdministerBuildResourcePermissions

Может изменять разрешения для ресурсов сборки на уровне коллекции организации или проекта. В том числе:

Примечание

В дополнение к этому разрешению Azure DevOps предоставляет разрешения на основе ролей, управляющие безопасностью пулов агентов. Другие параметры уровня объекта переопределяют параметры, заданные на уровне организации или проекта.

Управление ресурсами сборки
BuildAdministration, ManageBuildResources

Могут управлять компьютерами, агентами и контроллерами сборки.

Управление политиками конвейера
BuildAdministration, ManagePipelinePolicies

Может управлять параметрами конвейера, заданными с помощью параметров организации, конвейеров, параметров.

Использование ресурсов сборки
BuildAdministration, UseBuildResources

Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.

Просмотр ресурсов сборки
BuildAdministration, ViewBuildResources

Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.

Test Plans

Управление контроллерами тестирования
Collection, MANAGE_TEST_CONTROLLERS

Могут регистрировать и отменять регистрацию контроллеров тестирования.

Аудит

Удаление потоков аудита
AuditLog, Delete_Streams

Может удалить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Создание потоковой передачи аудита.

Управление потоками аудита
AuditLog, Manage_Streams

Может добавить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Создание потоковой передачи аудита.

Просмотр журнала аудита
AuditLog, Read

Может просматривать и экспортировать журналы аудита. Журналы аудита доступны в предварительной версии. Дополнительные сведения см. в разделе Доступ, экспорт и фильтрация журналов аудита.

Политики

Управление корпоративными политиками
Collection, MANAGE_ENTERPRISE_POLICIES

Можно включать и отключать политики подключения приложений, как описано в разделе Изменение политик подключения приложений.

Разрешения уровня коллекций

Управление разрешениями на уровне коллекции осуществляется с помощью контекста администрирования веб-портала или программы командной строки TFSSecurity. Администраторам коллекции проектов предоставляются все разрешения на уровне коллекции. Другие группы уровня коллекции имеют некоторые назначения разрешений.

Разрешения, доступные для Azure DevOps Server 2019 и более поздних версий, зависят от модели процесса, настроенной для коллекции. Общие сведения о моделях процессов см. в статье Настройка отслеживания работы.

Наследуемая модель процесса

Модель локального XML-процесса

Снимок экрана: разрешения уровня коллекции, локальная, наследуемая модель процесса.

Снимок экрана: разрешения уровня коллекции, локальная модель XML-процессов.

Разрешения и группы уровня коллекции

Важно!

Разрешение на добавление или удаление групп безопасности уровня организации или коллекции, добавление членства в организациях или группах на уровне коллекции и управление ими, а также изменение списков управления доступом на уровне коллекций и проектов назначается всем членам группы администраторов коллекции проектов. Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.

Вы не можете изменить разрешения для группы Администраторы коллекции проектов . Кроме того, хотя вы можете изменить назначения разрешений для участника этой группы, их действующие разрешения по-прежнему будут соответствовать разрешениям, назначенным группе администраторов, членом которой он является.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание


Администрирование разрешений ресурсов сборки
BuildAdministration, AdministerBuildResourcePermissions

Может изменять разрешения для конвейеров сборки на уровне коллекции проекта. Сюда входят следующие артефакты:

Администрирование разрешений процесса
Process, AdministerProcessPermissions

Может изменять разрешения для настройки отслеживания работы путем создания и настройки унаследованных процессов. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса. См. также:

Администрирование изменений, включенных в набор отложенных изменений
VersionControlPrivileges, AdminWorkspaces

Может удалять наборы полок, созданные другими пользователями. Применяется, если в качестве системы управления версиями используется TFVC.

Управление рабочими областями
Workspaces, Administer

Может создавать и удалять рабочие области для других пользователей. Применяется, если в качестве системы управления версиями используется TFVC.

Изменение параметров трассировки
Collection, DIAGNOSTIC_TRACE

Создание рабочей области
VersionControlPrivileges, CreateWorkspace

Могут создавать рабочие области управления версиями. Применяется, если в качестве системы управления версиями используется TFVC. Это разрешение предоставляется всем пользователям как часть их членства в группе Допустимые пользователи коллекции проектов.

Создать новые проекты
(прежнее название — Создание командных проектов)
Collection, CREATE_PROJECTS

Может добавлять проекты в коллекцию проектов. В зависимости от локального развертывания могут потребоваться дополнительные разрешения.

Процесс создания
Process, Create

Может создавать унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса.

Удаление поля из организации
(прежнее название — Удаление поля из учетной записи)
Collection, DELETE_FIELD

Может удалять настраиваемое поле, добавленное в процесс. Для локальных развертываний требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса.

Может удалять унаследованный процесс, используемый для настройки отслеживания работы и Azure Boards. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса.

Удаление командного проекта
Project, DELETE

Можно удалить проект.

Примечание

При удалении проекта удаляются все данные, связанные с проектом. Удаление проекта невозможно отменить, кроме как восстановить коллекцию до точки перед удалением проекта.

Может задавать параметры уровня организации и проекта.

Примечание

Изменение сведений на уровне коллекции включает возможность выполнения этих задач для всех проектов, определенных в организации или коллекции:

  • Изменение параметров расширений и аналитики
  • Изменение разрешений управления версиями и параметров репозитория
  • Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и группы
  • Измените все параметры уровня проекта и группы для проектов, определенных в коллекциях.

Процесс редактирования
Process, Edit

Может изменять пользовательский унаследованный процесс. Требует, чтобы коллекция была настроена для поддержки модели наследуемого процесса.

Выполнять запросы от чужого имени
Server, Impersonate

Могут выполнять операции от имени других пользователей или служб. Назначьте это разрешение только локальным учетным записям служб.

Управление ресурсами построения
BuildAdministration, ManageBuildResources

Могут управлять компьютерами, агентами и контроллерами сборки.

Управление корпоративными политиками
Collection, MANAGE_ENTERPRISE_POLICIES

Можно включать и отключать политики подключения приложений, как описано в разделе Изменение политик подключения приложений.

Примечание

Это разрешение допустимо только для Azure DevOps Services. Хотя он может отображаться для Azure DevOps Server локальной среде, он не применяется к локальным серверам.

Управление шаблонами процессов
Collection, MANAGE_TEMPLATE

Может скачивать, создавать, изменять и отправлять шаблоны процессов. Шаблон процесса определяет стандартные блоки системы отслеживания рабочих элементов, а также другие подсистемы, доступ к которые осуществляется через Azure Boards. Требует, чтобы коллекция была настроена для поддержки on=premises XML-модели процессов.

Управление контроллерами тестирования
Collection, MANAGE_TEST_CONTROLLERS

Могут регистрировать и отменять регистрацию контроллеров тестирования.

События триггера
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Могут активировать события оповещений проекта в коллекции. Назначайте только для учетных записей служб. Пользователи с этим разрешением не могут удалять встроенные группы уровня коллекции, такие как администраторы коллекции проектов.

Использовать ресурсы построения
BuildAdministration, UseBuildResources

Могут резервировать и выделять агенты сборки. Назначайте только учетным записям служб сборки.

Просмотр ресурсов построения
BuildAdministration, ViewBuildResources

Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.

Просмотр сведений уровня экземпляра
или Просмотр сведений на уровне коллекции
Collection, GENERIC_READ

Может просматривать разрешения уровня коллекции для пользователя или группы.

Просмотр сведений о синхронизации системы
Collection, SYNCHRONIZE_READ

Пользователи с таким разрешением могу вызывать программные интерфейсы синхронизации. Назначайте только для учетных записей служб.

Разрешения уровня проекта

Управлять разрешениями уровня проекта можно с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Администраторам проекта предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют некоторые назначения разрешений.

Примечание

Чтобы включить страницу предварительного просмотра страницы параметров разрешений проекта , см. статью Включение функций предварительной версии.

Снимок экрана: диалоговое окно разрешений на уровне проекта Azure DevOps Services страницы предварительного просмотра.

Важно!

Разрешение на добавление или удаление групп безопасности на уровне проекта, а также на добавление членства в группах на уровне проекта и управление ими назначается всем членам группы "Администраторы проекта ". Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.

Вы не можете изменить разрешения для группы Администраторы проекта . Кроме того, хотя вы можете изменить назначения разрешений для участника этой группы, их действующие разрешения по-прежнему будут соответствовать разрешениям, назначенным группе администраторов, членом которой он является.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Общие сведения

Удаление командного проекта
Project, DELETE

Может удалять проект из организации или коллекции проектов.

Примечание

Даже если для этого разрешения задано значение Запретить, пользователи, которым предоставлено разрешение на уровне проекта, могут удалить проект, для которого у них есть разрешение. Чтобы убедиться, что пользователь не может удалить проект, убедитесь, что для удаления командного проекта на уровне проекта также задано значение Запретить .

Изменение сведений на уровне проекта
Project, MANAGE_PROPERTIES

Может выполнять следующие задачи для выбранного проекта, определенного в организации или коллекции.

Примечание

Разрешение на добавление или удаление групп безопасности на уровне проекта, а также на добавление членства в группах на уровне проекта и управление ими назначается всем членам группы "Администраторы проекта ". Он не управляется разрешениями, которые отображаются в пользовательском интерфейсе.


Управление свойствами проекта
Project, MANAGE_SYSTEM_PROPERTIES

Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить высокоуровневые сведения о содержимом проекта. Изменение метаданных поддерживается с помощью REST API задания свойств проекта.

Переименование проекта
Project, RENAME

Отключение уведомлений об обновлениях рабочих элементов
Project, SUPPRESS_NOTIFICATIONS

Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при выполнении миграции массовых обновлений средствами, и требуется пропустить создание уведомлений.

Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым было предоставлено разрешение Обход правил для обновления рабочих элементов . Вы можете задать для параметра значение true при обновлении suppressNotifications рабочих элементов с помощью рабочих элементов — обновление REST API.

Обновление видимости проекта
Project, UPDATE_VISIBILITY

Можно изменить видимость проекта с закрытого на общедоступный или с общедоступного на закрытый. Применяется только к Azure DevOps Services.

Просмотр сведений на уровне проекта
Project, GENERIC_READ

Может просматривать сведения на уровне проекта, включая сведения о членстве в информационной группе безопасности и разрешениях. Если для этого разрешения задано значение Запретить пользователю, он не сможет просматривать проект или входить в проект.

Boards

Правила обхода обновлений рабочих элементов
Project, BYPASS_RULES

Пользователи с этим разрешением могут сохранить рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, — это миграция, в которой вы не хотите обновлять поля по дате при импорте или когда вы хотите пропустить проверку рабочего элемента.

Правила можно обойти одним из двух способов. Первый — с помощью рабочих элементов — обновление REST API и установка bypassRules для параметра значения true. Второй — с помощью клиентской объектной модели путем инициализации в режиме обхода (инициализация WorkItemStore с WorkItemStoreFlags.BypassRulesпомощью ).

Процесс изменения проекта
Project, CHANGE_PROCESS

В сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье Создание унаследованных процессов и управление ими.

Создание определения тега
Tagging, Create

Может добавлять теги к рабочему элементу. По умолчанию все участники группы "Участники" имеют это разрешение. Кроме того, можно задать дополнительные разрешения на добавление тегов с помощью средств управления безопасностью. См. раздел Справочник по пространству имен безопасности и разрешениям, расстановка тегов.

Примечание

Все пользователи, которым предоставлен доступ заинтересованных лиц для частного проекта, могут добавлять только существующие теги. Даже если для разрешения Создание определения тега задано значение Разрешить, заинтересованные лица не смогут добавлять теги. Это часть параметров доступа заинтересованных лиц. Azure DevOps Services пользователи, которым предоставлен доступ заинтересованных лиц к общедоступному проекту, по умолчанию получают это разрешение. Дополнительные сведения см. в кратком справочнике по доступу заинтересованных лиц.
Хотя разрешение Создание определения тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов на самом деле являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они отображаются в пользовательском интерфейсе. Чтобы ограничить разрешения тегов для одного проекта при использовании команды TFSSecurity , необходимо указать GUID для проекта в рамках синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.

Удаление и восстановление рабочих элементов

или Удаление рабочих элементов в этом проекте
Project, WORK_ITEM_DELETE

Может помечать рабочие элементы в проекте как удаленные. Azure DevOps Services пользователи, которым предоставлен доступ заинтересованных лиц к общедоступному проекту, по умолчанию получают это разрешение.

Перемещение рабочих элементов из этого проекта
Project, WORK_ITEM_MOVE

Окончательное удаление рабочих элементов в этом проекте
Project, WORK_ITEM_PERMANENTLY_DELETE

Аналитика

В дополнение к разрешениям AnalyticsView пространства имен, перечисленным в этом разделе, можно задать разрешения уровня объекта для каждого представления.

Удаление общего представления аналитики
AnalyticsViews, Delete

Может удалять представления аналитики , сохраненные в области "Общий".

Изменение представления общей аналитики
AnalyticsViews, Edit

Может создавать и изменять общие представления аналитики.

Просмотр аналитики
AnalyticsViews, Read

Может получать доступ к данным, доступным из службы "Аналитика". Дополнительные сведения см. в разделе Разрешения, необходимые для доступа к службе Аналитики.

Test Plans

Создание тестовых запусков
Project, PUBLISH_TEST_RESULTS

Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в разделах Управление сроком хранения результатов теста и Выполнение ручных тестов.

Удаление тестовых запусков
Project, DELETE_TEST_RESULTS

Управление конфигурациями тестов
Project, MANAGE_TEST_CONFIGURATIONS

Может создавать и удалять конфигурации теста.

Управление тестовой средой
Project, MANAGE_TEST_ENVIRONMENTS

Может создавать и удалять тестовые среды.

Просмотр тестовых запусков
Project, VIEW_TEST_RESULTS

Может просматривать планы тестирования в пути к области проекта.

Управление разрешениями на уровне проекта осуществляется с помощью контекста администрирования веб-портала или программы командной строки TFSSecurity. Администраторам проектов предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют некоторые назначения разрешений.

Примечание

Участникам группы "Администраторы проекта " предоставляется несколько разрешений, которые не отображаются в пользовательском интерфейсе.

Разрешения на уровне проекта, локальная, наследуемая модель процесса

Снимок экрана: диалоговое окно разрешений на уровне проекта, TFS-2018.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание


Правила обхода обновлений рабочих элементов
Project, BYPASS_RULES

Пользователи с этим разрешением могут сохранять рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, — это миграция, в которой не требуется обновлять поля по или дате при импорте или если требуется пропустить проверку рабочего элемента.
Правила можно обойти одним из двух способов. Первый — с помощью рабочих элементов — обновление REST API и установка для параметра значения bypassRulestrue. Второй — с помощью клиентской объектной модели путем инициализации в режиме обхода правил (инициализация WorkItemStore с помощью WorkItemStoreFlags.BypassRules).


Процесс изменения проекта
Project, CHANGE_PROCESS

В сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье Создание наследуемых процессов и управление ими.


Создание определения тега
Tagging, Create

Может добавлять теги к рабочему элементу. По умолчанию все члены группы "Участники" имеют это разрешение. Кроме того, вы можете задать дополнительные разрешения для добавления тегов с помощью средств управления безопасностью. См . раздел Справочник по пространству имен и разрешениям безопасности, добавление тегов.

Примечание

Все пользователи, которым предоставлен доступ заинтересованных лиц, могут добавлять только существующие теги. Даже если для разрешения Создать определение тега задано значение Разрешить, заинтересованные лица не смогут добавлять теги. Это часть параметров доступа заинтересованных лиц. Дополнительные сведения см. в кратком справочнике по доступу заинтересованных лиц. Хотя разрешение Создать определение тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов на самом деле являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они отображаются в пользовательском интерфейсе. Чтобы ограничить разрешения тегами для одного проекта при использовании команды TFSSecurity , необходимо указать GUID для проекта в рамках синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.


Создать выполнения тестов
Project, PUBLISH_TEST_RESULTS

Могут добавлять и удалять результаты тестов, а также добавлять и изменять выполнения тестов. Дополнительные сведения см. в разделах Управление сроком хранения результатов теста и Выполнение ручных тестов.

Удаление и восстановление рабочих элементов

или Удаление рабочих элементов в этом проекте
Project, WORK_ITEM_DELETE

Может помечать рабочие элементы в проекте как удаленные. Для группы "Участники" для параметра Удаление и восстановление рабочих элементов на уровне проекта задано значение Разрешить по умолчанию.


Удаление представления общей аналитики
AnalyticsViews, Delete

Может удалять представления аналитики , сохраненные в области "Общий".


Удаление проекта
Project, DELETE

Может удалять проект из организации или коллекции проектов.


Удалить тестовые запуски
Project, DELETE_TEST_RESULTS

Может удалить тестовый запуск.


Изменение сведений на уровне проекта Project, MANAGE_PROPERTIES

Может выполнять следующие задачи для выбранного проекта, определенного в организации или коллекции.

Примечание

Разрешение на добавление или удаление групп безопасности на уровне проекта, а также добавление членства в группах уровня проекта и управление ими назначается всем участникам группы "Администраторы проектов ". Он не управляется разрешениями, предоставляемыми в пользовательском интерфейсе.


Изменение представления общей аналитики
AnalyticsViews, Edit

Может создавать и изменять общие представления аналитики.


Управление свойствами проекта
Project, MANAGE_SYSTEM_PROPERTIES

Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить высокоуровневые сведения о содержимом проекта. Изменение метаданных поддерживается с помощью REST API задания свойств проекта.


Управление тестовыми конфигурациями
Project, MANAGE_TEST_CONFIGURATIONS

Может создавать и удалять конфигурации тестирования.


Управление тестовыми средами
Project, MANAGE_TEST_ENVIRONMENTS

Может создавать и удалять тестовые среды.


Перемещение рабочих элементов из этого проекта
Project, WORK_ITEM_MOVE


Окончательное удаление рабочих элементов в этом проекте Project, WORK_ITEM_PERMANENTLY_DELETE

Переименование проекта "Project, RENAME"


Отключение уведомлений об обновлениях рабочих элементов Project, SUPPRESS_NOTIFICATIONS

Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при переносе массовых обновлений средствами и пропускать создание уведомлений.

Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым предоставлено разрешение Обход правил на обновления рабочих элементов . При обновлении рабочих suppressNotifications элементов — обновление REST API можно задать для параметра true значение .

Обновление видимости проекта "Project, UPDATE_VISIBILITY"

Можно изменить видимость проекта с частной на общедоступную или общедоступную. Применяется только к Azure DevOps Services.

Просмотр аналитики "AnalyticsViews, read"

Может получать доступ к данным, доступным из службы аналитики. Дополнительные сведения см. в разделе Разрешения, необходимые для доступа к службе Аналитики.


Просмотр сведений на уровне проекта
Project, GENERIC_READ

Может просматривать членство в группах и разрешения на уровне проекта.


Просмотр тестовых запусков
Project, VIEW_TEST_RESULTS

Может просматривать планы тестирования в пути к области проекта.

Представления аналитики (на уровне объектов)

С помощью общих представлений аналитики можно предоставить определенные разрешения на просмотр, изменение или удаление создаваемого представления. Вы управляете безопасностью представлений Аналитики с веб-портала.

Диалоговое окно безопасности просмотра общей аналитики, изменение разрешений для пользователя.

Диалоговое окно

Для каждого общего представления Аналитики определены следующие разрешения. Всем допустимым пользователям автоматически предоставляются все разрешения на управление представлениями аналитики. Рассмотрите возможность предоставления разрешений на выбор определенных общих представлений другим участникам группы или создаваемой вами группе безопасности. См. также статью Что такое представления аналитики? Поддерживаются дополнительные разрешения пространства имен, как определено в справочнике по пространству имен и разрешениям безопасности.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Удаление общих представлений аналитики
AnalyticsViews, Delete

Может удалить общее представление аналитики.

Изменение общих представлений аналитики AnalyticsViews, Edit

Может изменять параметры общего представления аналитики.

Просмотр представлений общей аналитики AnalyticsViews, Read

Может просматривать и использовать общее представление аналитики из Power BI Desktop.

Панели мониторинга (на уровне объектов)

Разрешения для панелей мониторинга команд и проектов можно задать по отдельности. Для проекта можно задать разрешения по умолчанию для команды. Вы управляете безопасностью панелей мониторинга с веб-портала. Поддерживаются дополнительные разрешения пространства имен, как определено в справочнике по пространству имен и разрешениям безопасности.

Разрешения панели мониторинга проекта

Снимок экрана: диалоговое окно разрешений панели мониторинга Project

По умолчанию создателем панели мониторинга проекта является владелец панели мониторинга, которому предоставлены все разрешения для этой панели мониторинга.

Разрешение
Namespace permission
Описание
Удаление панели мониторинга
DashboardsPrivileges, Delete
Может удалить панель мониторинга проекта.
Изменение панели мониторинга
DashboardsPrivileges, Edit
Можно добавлять мини-приложения в панель мониторинга проекта и изменять ее макет.
Управление разрешениями
DashboardsPrivileges, ManagePermissions
Может управлять разрешениями для панели мониторинга проекта.

Разрешения для панелей мониторинга группы можно задать по отдельности. Для проекта можно задать разрешения по умолчанию для команды. Вы управляете безопасностью панелей мониторинга с веб-портала.

Разрешения панели мониторинга группы по умолчанию

Снимок экрана: диалоговое окно разрешений панели мониторинга группы.

По умолчанию администраторам группы предоставляются все разрешения для панелей мониторинга группы, включая управление разрешениями по умолчанию и отдельными разрешениями панели мониторинга.

Разрешение
Namespace permission
Описание
Создавайте панели мониторинга
DashboardsPrivileges, MaterializeDashboards
Может создать панель мониторинга команды.
Удаление панелей мониторинга
DashboardsPrivileges, Delete
Может удалить панель мониторинга команды.
Изменение панелей мониторинга
DashboardsPrivileges, Edit
Можно добавлять мини-приложения в панель мониторинга группы и изменять ее макет.

Разрешения на панель мониторинга отдельных групп

Снимок экрана: диалоговое окно разрешений для отдельных команд на панели мониторинга.

Администраторы команды могут изменять разрешения для отдельных панелей мониторинга группы, изменив следующие два разрешения.

Разрешение
Namespace permission
Описание
Удаление панели мониторинга
DashboardsPrivileges, Delete
Можно удалить определенную панель мониторинга команды.
Изменение панели мониторинга
DashboardsPrivileges, Edit
Можно добавлять мини-приложения в панель мониторинга определенной группы и изменять ее макет.

Конвейер или сборка (уровень объектов)

Управление разрешениями конвейера для каждого конвейера, определенного на веб-портале или с помощью программы командной строки TFSSecurity. Администраторам проектов предоставляются все разрешения конвейера, а администраторам сборки назначается большая часть этих разрешений. Вы можете задать разрешения конвейера для всех конвейеров, определенных для проекта или для каждого определения конвейера.

Снимок экрана: диалоговое окно безопасности на уровне объекта конвейера в облаке.

Снимок экрана: диалоговое окно разрешений на уровне объекта конвейера.

Снимок экрана: диалоговое окно

Разрешения в сборке соответствуют иерархической модели. Значения по умолчанию для всех разрешений можно задать на уровне проекта и переопределить в отдельном определении сборки.

Чтобы задать разрешения на уровне проекта для всех определений сборки в проекте, выберите Безопасность на панели действий на главной странице центра Сборок.

Чтобы задать или переопределить разрешения для определенного определения сборки, выберите Безопасность в контекстном меню определения сборки.

В разделе Сборка определены следующие разрешения. Все они могут быть заданы на обоих уровнях.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Администрирование разрешений на сборку
Build, AdministerBuildPermissions

Могут администрировать разрешения сборки для других пользователей.

Удаление определения сборки
Build, DeleteBuildDefinition

Могут удалять определения сборки для проекта.

Удаление сборок
Build, DeleteBuilds

Могут удалять завершенные сборки. Удаленные сборки сохраняются на вкладке Удаленные в течение определенного периода времени, прежде чем они будут уничтожены.

Уничтожение сборок
Build, DestroyBuilds

Могут безвозвратно удалять завершенные сборки.

Изменение конвейера
сборки Изменение определения сборки
Build, EditBuildDefinition

Изменение конвейера сборки Может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. Доступно в Azure DevOps Services, Azure DevOps Server 2019 1.1 и более поздних версиях. Заменяет изменение определения сборки.
Изменение определения сборки Может создавать и изменять определения сборки для этого проекта.

Примечание

Вы можете отключить наследование для определения сборки, если требуется управлять разрешениями для определенных определений сборки.

Если для наследования задано значение On, определение сборки учитывает разрешения сборки, определенные на уровне проекта или группы или пользователя. Например, пользовательская группа Build Managers имеет разрешения для ручного помещения сборки в очередь для проекта Fabrikam. Любое определение сборки с включенным наследованием для проекта Fabrikam позволило бы члену группы Build Managers вручную поместить сборку в очередь.

Однако, отключив наследование для проекта Fabrikam, можно задать разрешения, которые позволяют только администраторам проектов вручную помещать сборку в очередь для определенного определения сборки. В последствии это позволило бы задать разрешения конкретно для этого определения сборки.

Изменение качества сборки
Build, EditBuildQuality

Можно добавлять сведения о качестве сборки с помощью Team Explorer или веб-портала.

Управление качествами сборки
Build, ManageBuildQualities

Могут добавлять и удалять качества сборки. Применяется только к сборкам XAML.

Управление очередью сборки
Build, ManageBuildQueue

Могут отменять, изменять приоритет и откладывать сборки в очереди. Применяется только к сборкам XAML.

Переопределение проверки возврата по сборке
Build, OverrideBuildCheckInValidation

Может зафиксировать набор изменений TFVC, который влияет на определение сборки с закрытым подключением, не запуская систему для отложения и сборки изменений.

Примечание

Назначьте разрешение "Переопределить проверку возврата путем сборки" только учетным записям служб для служб сборки и администраторам сборки, которые отвечают за качество кода. Применяется к сборкам TFVC с закрытой проверкой. Это не относится к сборкам запроса на вытягивание. Дополнительные сведения см. в статье О входе в папку, которая управляется процессом сборки с закрытым контролем.

Сборки очередей
Build, QueueBuilds

Можно поместить сборку в очередь через интерфейс сборки Team Foundation или в командной строке. Они могут также останавливать сборки, поставленные в очередь.

Хранить неограниченное время
Build, RetainIndefinitely

Может переключать флаг сохранения на неопределенный срок в сборке. Эта функция помечает сборку, чтобы система не удалила ее автоматически на основе любой применимой политики хранения.

Остановка сборок
Build, StopBuilds

Могут останавливать любые выполняющиеся сборки, включая поставленные в очередь и запущенные другим пользователем.

Обновление сведений о сборке
Build, UpdateBuildInformation

Могут добавлять в систему узлы сведений о сборке, а также сведения о качестве сборки. Назначайте только для учетных записей служб.

Просмотр определения сборки
Build, ViewBuildDefinition

Может просматривать определения сборки, созданные для проекта.

Просмотр сборок
Build, ViewBuilds

Может просматривать сборки в очереди и завершенные сборки для этого проекта.

Репозиторий Git (на уровне объектов)

Вы управляете безопасностью каждого репозитория или ветви Git с веб-портала, программы командной строки TF или с помощью программы командной строки TFSSecurity. Администраторы проектов получают большинство из этих разрешений (которые отображаются только для проекта, настроенного с помощью репозитория Git). Вы можете управлять этими разрешениями для всех репозиториев Git или для определенного репозитория Git.

Диалоговое окно разрешений репозитория Git

Диалоговое окно разрешений репозитория Git, TFS

Примечание

Задайте разрешения для всех репозиториев Git, внося изменения в запись репозиториев Git верхнего уровня. Отдельные репозитории наследуют разрешения от записи репозиториев Git верхнего уровня. Ветви наследуют разрешения от назначений, выполненных на уровне репозитория. По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.

Сведения об управлении разрешениями репозитория Git и ветви см. в статье Настройка разрешений ветви.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Обход политик при выполнении запросов на вытягивание
GitRepositories, PullRequestBypassPolicy

Можно согласиться на переопределение политик ветвей, установив флажок Переопределить политики ветвей и включить слияние при выполнении запроса на вытягивание.

Примечание

Политики обхода при выполнении запросов на вытягивание и политики обхода при отправке заменяют исключение из принудительного применения политики. Применимо к Azure DevOps Server 2019 и более поздним версиям.

Обход политик при отправке

Может отправляться в ветвь с включенными политиками ветвей. Когда пользователь с этим разрешением выполняет отправку, которая переопределяет политику ветви, отправка автоматически обходит политику ветви без согласия на шаг или предупреждение.

Примечание

Политики обхода при выполнении запросов на вытягивание и политики обхода при отправке заменяют исключение из принудительного применения политики. Применимо к Azure DevOps Server 2019 и более поздним версиям.

Участие
GitRepositories, GenericContribute

На уровне репозитория может отправлять изменения в существующие ветви в репозитории и выполнять запросы на вытягивание. Пользователи, у которых нет этого разрешения, но у которых есть разрешение На создание ветви , могут отправлять изменения в новые ветви. Не переопределяет ограничения, введенные политиками ветвей.

На уровне ветви может отправлять изменения в ветвь и блокировать ветвь. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.

Участие в запросах на вытягивание
GitRepositories, PullRequestContribute

Может создавать запросы на вытягивание, комментировать их и голосовать за нее.

Создание ветви
GitRepositories, CreateBranch

Может создавать и публиковать ветви в репозитории. Отсутствие этого разрешения не ограничивает пользователей созданием ветвей в локальном репозитории; он просто предотвращает публикацию локальных ветвей на сервере.

Примечание

Когда пользователь создает новую ветвь на сервере, он по умолчанию имеет разрешения "Участие", "Изменение политик", "Принудительная отправка", "Управление разрешениями" и "Удалить блокировки других пользователей". Это означает, что пользователи могут добавлять новые фиксации в репозиторий через свою ветвь.

Создание репозитория
GitRepositories, CreateRepository

Может создавать новые репозитории. Это разрешение доступно только в диалоговом окне Безопасность для объекта репозиториев Git верхнего уровня.

Создание тега
GitRepositories, CreateTag

Может отправлять теги в репозиторий.

Удаление репозитория GitRepositories, DeleteRepository

Может удалить репозиторий. На уровне репозиториев Git верхнего уровня можно удалить любой репозиторий.

Изменение политик
GitRepositories, EditPolicies

Может изменять политики для репозитория и его ветвей.

Исключение из применения политики
GitRepositories, PolicyExempt

Применимо к TFS 2018 с обновлением 2. Может обходить политики ветвей и выполнять следующие два действия:

  • Переопределение политик ветвей и заполнение запросов на ветвей, которые не соответствуют политике ветвей
  • Отправка непосредственно в ветви, для которых заданы политики ветвей

Примечание

В Azure DevOps он заменяется следующими двумя разрешениями: Политики обхода при выполнении запросов на вытягивание и Обход политик при отправке.

Принудительная отправка (перезапись журнала, удаление ветвей и тегов)
GitRepositories, ForcePush

Может принудительно обновить ветвь, удалить ветвь и изменить журнал фиксаций ветви. Может удалять теги и заметки.

Управление заметками
GitRepositories, ManageNote

Может отправлять и редактировать заметки Git.

Управление разрешениями
GitRepositories, ManagePermissions

Может задавать разрешения для репозитория.

Прочитать GitRepositories, GenericRead

Может клонировать, извлекать, извлекать и просматривать содержимое репозитория.

Удаление чужих блокировок
GitRepositories, RemoveOthersLocks

Может удалять блокировки ветвей, заданные другими пользователями. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.

Переименование репозитория
GitRepositories, RenameRepository

Может изменять имя репозитория. Если задано в записи репозиториев Git верхнего уровня, можно изменить имя любого репозитория.

TFVC (уровень объектов)

Вы управляете безопасностью каждой ветви TFVC с веб-портала или с помощью программы командной строки TFSSecurity. Администраторы проектов получают большинство из этих разрешений, которые отображаются только для проекта, настроенного для использования система управления версиями Team Foundation в качестве системы управления версиями. В разрешениях управления версиями явное значение «Запретить» имеет преимущество над разрешениями группы администратора.

Эти разрешения отображаются только для установки проекта для использования система управления версиями Team Foundation в качестве системы управления версиями.

Диалоговое окно разрешений TFVC

В разрешениях управления версиями явное отклонение имеет приоритет над разрешениями группы администраторов.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Администрирование меток
VersionControlItems, LabelOther

Могут изменять и удалять метки, созданные другими пользователями.

Синхронизация
VersionControlItems, Checkin

Может возвращать элементы и изменять любые зафиксированные примечания к набору изменений. Ожидающие изменения вносятся во время возврата.

Примечание

Рассмотрите возможность добавления этих разрешений для всех пользователей или групп, добавленных вручную, которые участвуют в разработке проекта; все пользователи, которые должны иметь возможность вернуть и извлечь изменения, внести ожидающие изменения в элементы в папке или изменить любые зафиксированные примечания к набору изменений.

Возврат изменений других пользователей
VersionControlItems, CheckinOther

Могут возвращать изменения, сделанные другими пользователями. Ожидающие изменения вносятся во время возврата.

Добавление изменения в рабочую область сервера
VersionControlItems, PendChange

Могут извлекать и вносить ожидающие изменения в элементах папки. Примеры ожидающих изменений: добавление, изменение, переименование, отмена удаления, ветвление и слияние файла. Ожидающие изменения должны быть возвращены, поэтому пользователям также потребуется разрешение На регистрацию, чтобы поделиться своими изменениями с командой.

Примечание

Рассмотрите возможность добавления этих разрешений для всех пользователей или групп, добавленных вручную, которые участвуют в разработке проекта; все пользователи, которые должны иметь возможность вернуть и извлечь изменения, внести ожидающие изменения в элементы в папке или изменить любые зафиксированные примечания к набору изменений.

Метка
VersionControlItems, Label

Могут помечать элементы.

Блокировки
VersionControlItems, Lock

Могут блокировать и разблокировать папки и файлы. Отслеживаемые папки или файлы можно заблокировать или разблокировать, чтобы запретить или восстановить привилегии пользователя. К разрешениям относятся права на извлечение элемента для редактирования в другой рабочей области или возврат ожидающих изменений элемента из другой рабочей области. Дополнительные сведения см. в разделе Команда блокировки.

Управление ветвями
VersionControlItems, ManageBranch

Может преобразовывать любую папку по указанному пути в ветвь, а также выполнять следующие действия с ветвью: изменять ее свойства, повторно преобразовывать ее и преобразовывать в папку. Пользователи с таким разрешением могут разветвлять эту ветвь, только если они уже имеют разрешение Объединить для целевого пути. Пользователи не могут создавать ответвления от ветви, для которой они не имеют разрешения Управление ветвями.

Управление разрешениями
VersionControlItems, AdminProjectRights

Могут управлять разрешениями других пользователей для папок и файлов в системе управления версиями.

Примечание

Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность создавать собственные ветви, если для проекта не применяются более строгие правила разработки.

Объединить
VersionControlItems, AdminProjectRights

Могут сливать изменения по этому пути.

Примечание

Вы можете назначить это разрешение для добавленных вручную пользователей или групп, которые принимают участие в работе над этим проектом и которые должны иметь возможность слияния исходных файлов, если для проекта не применяются более строгие правила разработки.

Чтение
VersionControlItems, Read

Могут читать содержимое файла или папки. Если пользователь имеет разрешения Чтение для папки, он может просматривать содержимое папки и свойства файлов в ней, даже если он не имеет разрешения на открытие файлов.

Пересмотр изменений других пользователей
VersionControlItems, ReviseOther

Могут изменять комментарии в возвращенных файлах, даже если другой пользователь вернул этот файл.

Примечание

Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.

Отмена изменений других пользователей
VersionControlItems, UndoOther

Могут отменять ожидающие изменения других пользователей.

Примечание

Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.

Разблокирование изменений других пользователей
VersionControlItems, UnlockOther

Могут разблокировать файлы, заблокированные другими пользователями.

Примечание

Вы можете назначить это разрешение добавленным вручную пользователям или группам, ответственным за отслеживание или мониторинг проекта, которые могут или должны изменять комментарии в возвращенных файлах, даже если они возвращены другим пользователем.

Путь к области (уровень объекта)

Разрешения пути к области предоставляют или ограничивают доступ к ветвям иерархии областей и рабочим элементам в этих областях. Вы управляете безопасностью каждого пути к области с веб-портала или с помощью программы командной строки TFSSecurity. Разрешения области предоставляют или ограничивают доступ к созданию путей к области и управлению ими, а также созданию и изменению рабочих элементов, определенных в путях к области.

Членам группы "Администраторы проекта" автоматически предоставляются разрешения на управление путями к областям для проекта. Рассмотрите возможность предоставления администраторам команд или потенциальных клиентов разрешений на создание, изменение или удаление узлов области.

Примечание

Несколько команд могут участвовать в проекте. В этом случае можно настроить команды, связанные с областью. Разрешения для рабочих элементов команды назначаются путем назначения разрешений области. Существуют и другие параметры команды , которые настраивают средства гибкого планирования команды.

Диалоговое окно разрешений пути к области

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Создание дочерних узлов
CSS, CREATE_CHILDREN

Могут создавать узлы областей. Пользователи с этим разрешением и разрешением Изменить этот узел могут перемещать или изменять порядок всех дочерних узлов. Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться удалить, добавить или переименовать узлы области.

Удаление этого узла
CSS, CREATE_CHILDREN

Пользователи с этим разрешением и разрешением Изменить этот узел для другого узла могут удалять узлы области и реклассифицировать существующие рабочие элементы с удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.

Примечание

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться удалить, добавить или переименовать узлы области.

Изменить этот узел
CSS, CREATE_CHILDREN

Могут задавать разрешения для этого узла и переименовывать узлы областей.

Примечание

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться удалить, добавить или переименовать узлы области.

Изменение рабочих элементов в этом узле
CSS, WORK_ITEM_WRITE

Могут изменять рабочие элементы этого узла областей.

Примечание

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо изменять рабочие элементы в узле областей.

Управление планами тестирования
CSS, MANAGE_TEST_PLANS

Могут изменять свойства плана тестирования, например настройки сборки и тестирования.

Примечание

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле области.

Управление наборами тестов
CSS, MANAGE_TEST_SUITES

Может создавать и удалять наборы тестов, добавлять и удалять тестовые случаи из наборов тестов, изменять конфигурации тестов, связанные с наборами тестов, а также изменять иерархию наборов (переместить набор тестов).

Примечание

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп, добавленных вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле области.

Просмотр разрешений для этого узла

Может просматривать параметры безопасности для узла пути к области.

Просмотр рабочих элементов в этом узле CSS, GENERIC_READ

Могут просматривать (но не изменять) рабочие элементы в этом узле областей.

Примечание

Если для параметра Просмотр рабочих элементов в этом узлезадано значение Запретить, пользователь не сможет видеть рабочие элементы в узле этой области. Запрет переопределяет любое неявное разрешение, даже для пользователей, являющихся членами административных групп.

Путь итерации (уровень объекта)

Разрешения пути итерации предоставляют или ограничивают доступ для создания путей итерации и управления итерациями, которые также называются спринтами.

Вы управляете безопасностью каждого пути итерации с веб-портала или с помощью программы командной строки TFSSecurity.

Членам группы "Администраторы проекта" автоматически предоставляются эти разрешения для каждой итерации, определенной для проекта. Рассмотрите возможность предоставления администраторам команд, мастерам схватки или ролям разрешений на создание, изменение или удаление узлов итерации.

Диалоговое окно разрешений пути итерации

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Создание дочерних узлов
Iteration, CREATE_CHILDREN

Могут создавать узлы итераций. Пользователи с этим разрешением и разрешением Изменить этот узел могут перемещать или изменять порядок всех дочерних узлов итерации.

Примечание

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.

Удаление этого узла
Iteration, DELETE

Пользователи с этим разрешением и разрешением Изменить этот узел для другого узла могут удалять узлы итерации и переклассифицировать существующие рабочие элементы с удаленного узла. Если удаляемый узел имеет дочерние узлы, они также удаляются.

Примечание

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.

Изменение этого узла
Iteration, GENERIC_WRITE

Могут задавать разрешения для этого узла и переименовывать узлы итераций.

Примечание

Вы можете добавлять это разрешение всем добавленным вручную пользователям и группам, которым необходимо удалять, добавлять и переименовывать узлы итераций.

Просмотр разрешений для этого узла
Iteration, GENERIC_READ

Могут просматривать настройки безопасности этого узла.

Примечание

Члены коллекции проектов Допустимые пользователи, Допустимые пользователи проекта, а также любой пользователь или группа, имеющие сведения о просмотре сведений на уровне коллекции или Просмотр сведений на уровне проекта , могут просматривать разрешения для любого узла итерации.

Запрос рабочего элемента и папка запросов (уровень объекта)

Управление разрешениями для запросов и папок запросов осуществляется через веб-портал. Все эти разрешения предоставляются администраторам проекта. Участникам предоставляются только разрешения на чтение. Предоставляйте разрешения участника пользователям и группам, которым требуется возможность создания запросов рабочих элементов проекта и предоставления совместного доступа к этим запросам.

Диалоговое окно разрешений папки запроса

Рассмотрите возможность предоставления разрешений "Участие " пользователям или группам, которым требуется возможность создавать запросы рабочих элементов для проекта и предоставлять к ним общий доступ. Дополнительные сведения см. в статье Настройка разрешений для запросов.

Примечание

Для создания диаграмм запросов требуется базовый доступ.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Участие
WorkItemQueryFolders, Contribute

Может просматривать и изменять папку запросов или сохранять запросы в ней.

Delete
WorkItemQueryFolders, Delete

Могут удалить запрос или папку запросов и их содержимое.

Управление разрешениями
WorkItemQueryFolders, ManagePermissions

Могут управлять разрешениями для запроса или папки запросов.

Прочитать
WorkItemQueryFolders, Read

Могут просматривать и использовать данный запрос или запросы в папке, но не могут изменять запрос или содержимое папки запросов.

Планы доставки (на уровне объектов)

Управление разрешениями плана осуществляется через веб-портал. Управление разрешениями для каждого плана осуществляется с помощью диалогового окна "Безопасность". Администраторам проектов предоставляются все разрешения на создание, изменение планов и управление ими. Допустимым пользователям предоставляются разрешения на просмотр (только для чтения).

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Delete
Plan, Delete

Можно удалить выбранный план.

Правка
Plan, Edit

Может изменять конфигурацию и параметры, определенные для выбранного плана.

Управляющим
Plan, Manage

Может управлять разрешениями для выбранного плана.

Вид
Plan, View

Может просматривать списки планов, открывать план и взаимодействовать с ним, но не может изменять его конфигурацию или параметры.

Процесс (уровень объекта)

Вы можете управлять разрешениями для каждого унаследованного процесса, создаваемого с помощью веб-портала. Управление разрешениями для каждого процесса осуществляется с помощью диалогового окна "Безопасность". Администраторам коллекции проектов предоставляются все разрешения на создание, изменение процессов и управление ими. Допустимым пользователям предоставляются разрешения на просмотр (только для чтения).

Разрешение (пользовательский интерфейс)

Namespace permission

Описание

Администрирование разрешений процесса
Process, AdministerProcessPermissions

Может задавать или изменять разрешения для наследуемого процесса.

Процесс удаления
Process, Delete

Может удалить унаследованный процесс.

Процесс редактирования
Process, Edit

Может создать унаследованный процесс из системного процесса, а также копировать или изменять унаследованный процесс.

Теги рабочих элементов

Разрешениями на добавление тегов можно управлять с помощью разрешения az devops security или средств командной строки TFSSecurity . Участники могут добавлять теги к рабочим элементам и использовать их для быстрой фильтрации невыполненной работы, доски или представления результатов запроса.

Вы можете управлять разрешениями тегов с помощью программы командной строки TFSSecurity. Участники могут добавлять теги к рабочим элементам и использовать их для быстрой фильтрации невыполненной работы, доски или представления результатов запроса.

Разрешение (пользовательский интерфейс)

Namespace permission

Описание


Создание определения тега
Tagging, Create

Могут создавать новые теги и применять их к рабочим элементам. Пользователи без этого разрешения могут выбрать только существующий набор тегов для проекта.

Примечание

По умолчанию участникам назначается разрешение На создание определения тега . Хотя разрешение Создание определения тега отображается в параметрах безопасности на уровне проекта, разрешения на добавление тегов на самом деле являются разрешениями уровня коллекции, которые находятся на уровне проекта, когда они отображаются в пользовательском интерфейсе. Чтобы ограничить разрешения тегов для одного проекта при использовании программы командной строки, необходимо указать GUID для проекта в рамках синтаксиса команды. В противном случае изменение будет применено ко всей коллекции. Об этом следует помнить при изменении или установке этих разрешений.

Удаление определения тега
Tagging, Delete

Могут удалять теги из списка доступных тегов проекта.

Примечание

Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки. Кроме того, отсутствует пользовательский интерфейс для явного удаления тега. Вместо этого, если тег не использовался в течение 3 дней, система автоматически удаляет его.

Определение тега перечисления
Tagging, Enumerate

Может просматривать список тегов, доступных для рабочего элемента в проекте. Пользователи без этого разрешения не будут иметь доступа к списку тегов, из которых можно выбирать, в форме рабочего элемента или в редакторе запросов.

Примечание

Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки. Просмотр сведений на уровне проекта неявно позволяет пользователям просматривать существующие теги.

Обновление определения тега
Tagging, Update

Могут переименовывать теги с помощью API REST.

Примечание

Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью программы командной строки.

Выпуск (уровень объекта)

Вы управляете разрешениями для каждого выпуска, определенного на веб-портале. Администраторам проектов и администраторам выпусков предоставляются все разрешения на управление выпусками. Эти разрешения могут быть предоставлены или запрещены в иерархической модели на уровне проекта, для определенного конвейера выпуска или для определенной среды в конвейере выпуска. В этой иерархии разрешения могут наследоваться от родительского объекта или переопределяться.

Освобождает разрешения на уровне объекта.

Примечание

Группа администраторов выпуска уровня проекта создается одновременно с определением первого конвейера выпуска.

Кроме того, вы можете назначить утверждающих определенным шагам в конвейере выпуска, чтобы обеспечить соответствие развертываемых приложений стандартам качества.

В Release Management определены следующие разрешения. В столбце scope объясняется, можно ли задать разрешение на уровне проекта, конвейера выпуска или среды.

Разрешение

Описание

Области действия

Администрирование разрешений на выпуск

Можно изменить любые другие разрешения, перечисленные здесь.

Проект, конвейер выпуска, среда

Создание выпусков

Может создавать новые выпуски.

Проект, конвейер выпуска

Удаление конвейера выпуска

Может удалять конвейеры выпуска.

Проект, конвейер выпуска

Удаление среды выпуска

Может удалять среды в конвейерах выпуска.

Проект, конвейер выпуска, среда

Удаление выпусков

Может удалять выпуски для конвейера.

Проект, конвейер выпуска

Изменение конвейера выпуска

Может добавлять и изменять конвейер выпуска, включая переменные конфигурации, триггеры, артефакты и политику хранения, а также конфигурацию в среде конвейера выпуска. Чтобы внести изменения в определенную среду в конвейере выпуска, пользователю также требуется разрешение Изменить среду выпуска .

Проект, конвейер выпуска

Изменение среды выпуска

Может изменять среды в конвейерах выпуска. Чтобы сохранить изменения в конвейере выпуска, пользователю также требуется разрешение Изменить конвейер выпуска . Это разрешение также определяет, может ли пользователь изменять конфигурацию в среде конкретного экземпляра выпуска. Пользователю также требуется разрешение Управление выпусками для сохранения измененного выпуска.

Проект, конвейер выпуска, среда

Управление развертываниями

Может инициировать прямое развертывание выпуска в среде. Это разрешение доступно только для прямых развертываний, которые инициируются вручную, выбрав действие Развернуть в выпуске. Если для условия среды задан любой тип автоматического развертывания, система автоматически инициирует развертывание без проверки разрешения пользователя, создавшего выпуск.

Проект, конвейер выпуска, среда

Управление утверждающими выпусками

Может добавлять или изменять утверждающих для сред в конвейерах выпуска. Это разрешение также определяет, может ли пользователь изменять утверждающих лиц в среде конкретного экземпляра выпуска.

Проект, конвейер выпуска, среда

Управление выпусками

Может изменять конфигурацию выпуска, например этапы, утверждающие и переменные. Чтобы изменить конфигурацию конкретной среды в экземпляре выпуска, пользователю также требуется разрешение Изменить среду выпуска .

Проект, конвейер выпуска

Просмотр конвейера выпуска

Может просматривать конвейеры выпуска.

Проект, конвейер выпуска

Просмотр выпусков

Может просматривать выпуски, относящиеся к конвейерам выпуска.

Проект, конвейер выпуска

Значения по умолчанию для всех этих разрешений устанавливаются для коллекций командных проектов и групп проектов. Например, администраторам коллекции проектов, администраторам проектов и администраторам выпуска по умолчанию предоставляются все указанные выше разрешения. Участникам предоставляются все разрешения, кроме разрешений на администрирование выпуска. По умолчанию для читателей отказано во всех разрешениях, кроме просмотра конвейера выпуска и просмотра выпусков.

Разрешения группы задач (сборка и выпуск)

Управление разрешениями для групп задач выполняется из центра сборки и выпуска веб-портала. Администраторы проектов, сборки и выпуска получают все разрешения. Разрешения группы задач следуют иерархической модели. Значения по умолчанию для всех разрешений можно задать на уровне проекта и переопределить в отдельном определении группы задач.

Группы задач используются для инкапсуляции последовательности задач, уже определенных в определении сборки или выпуска, в одну повторно используемую задачу. Вы определяете группы задач и управляете ими на вкладке Группы задач в центре сборки и выпуска .

Разрешение Описание
Администрирование разрешений группы задач Может добавлять и удалять пользователей или группы для обеспечения безопасности группы задач.
Удаление группы задач Может удалить группу задач.
Изменение группы задач Может создавать, изменять или удалять группы задач.

Уведомления или оповещения

Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями по электронной почте или оповещениями. Вместо этого вы можете управлять ими с помощью команды az devops security permission или средств командной строки TFSSecurity .

Нет разрешений пользовательского интерфейса, связанных с управлением уведомлениями по электронной почте или оповещениями. Вместо этого вы можете управлять ими с помощью программы командной строки TFSSecurity .

  • По умолчанию участники группы "Участники " уровня проекта могут подписаться на оповещения для себя.
  • Члены группы "Администраторы коллекции проектов " или пользователи, у которых есть сведения об изменении уровня коллекции , могут задавать оповещения в этой коллекции для других пользователей или для команды.
  • Члены группы "Администраторы проекта" или пользователи, у которых есть сведения об изменении уровня проекта , могут задавать оповещения в этом проекте для других пользователей или для команды.

Вы можете управлять разрешениями оповещений с помощью TFSSecurity.

Действие TFSSecurity

Пространство имен TFSSecurity

Описание

Администраторы коллекции проектов &
Учетные записи службы коллекции проектов

CREATE_SOAP_SUBSCRIPTION

EventSubscription

Могут создать подписку на веб-службу на базе SOAP.

✔️

GENERIC_READ

EventSubscription

Может просматривать события подписки, определенные для проекта.

✔️

GENERIC_WRITE

EventSubscription

Могут создать оповещения для других пользователей или для команды.

✔️

UNSUBSCRIBE

EventSubscription

Могут отменить подписку на события.

✔️