Группы безопасности, учетные записи служб и разрешения в Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

В этой статье содержится исчерпывающая ссылка для каждого встроенного пользователя, группы и разрешения.

Краткий справочник по назначениям по умолчанию см. в разделе "Разрешения и доступ по умолчанию". Общие сведения об управлении разрешениями и безопасностью см. в статье "Начало работы с разрешениями, доступом и группами безопасности". Помимо групп безопасности, существуют также роли безопасности, которые предоставляют разрешения для выбора областей.

Чтобы узнать, как добавить пользователей в группу или задать определенное разрешение, которое можно управлять с помощью веб-портала, см. следующие ресурсы:

---

Пользователи и группы

• Добавление пользователей в группу Администратор istrators Project
• Добавление пользователей в группу Администратор istrator для коллекции проектов
• Добавление пользователей в организацию
• Добавление пользователей в проект или команду
• Добавление администратора команды

---

Вики

• README и Вики-сайт

DevOps

• Ветвь Git
• Репозитории Git
• TFVC
• Конвейеры сборки и выпуска
• Утверждения и утверждающие
• Группы задач
• Группы переменных
• Ресурсы на основе ролей

Отслеживание работы

• Пути к области и итерации
• Запросы и папки
• Планирование разрешений
• Настройка процесса

---

Отчеты

• Разрешения панели мониторинга
• Аналитика
• Аналитические представления

Примечание.

Изображения, отображаемые на веб-портале, могут отличаться от изображений в этой статье. Эти отличия от обновлений, сделанных в Azure DevOps. Однако основные функциональные возможности, доступные для вас, остаются неизменными, если явно упоминание.

учетные записи служб;

Существует несколько учетных записей служб, создаваемых системой для поддержки определенных операций. В следующей таблице описываются эти учетные записи пользователей, которые добавляются на уровне организации или коллекции.

User name	Description
Служба пула агентов	Имеет разрешение на прослушивание очереди сообщений для получения определенного пула. В большинстве случаев вам не нужно управлять членами этой группы. Процесс регистрации агента заботится о нем. Учетная запись службы, указанная для агента (обычно сетевая служба), автоматически добавляется при регистрации агента. Отвечает за выполнение операций чтения и записи в Azure Board и обновления рабочих элементов при обновлении объектов GitHub.
Azure Boards	Добавляется при подключении Azure Boards к GitHub. Вам не нужно управлять членами этой группы. Отвечает за управление созданием ссылок между GitHub и Azure Boards.
PipelinesSDK	Добавлен по мере необходимости для поддержки службы политик Конвейеров область маркеров. Эта учетная запись пользователя аналогична удостоверениям службы сборки, но поддерживает блокировку разрешений отдельно. На практике маркеры, связанные с этим удостоверением, предоставляются разрешения только для чтения для ресурсов конвейера и возможность единовременного утверждения запросов политики. Эта учетная запись должна обрабатываться так же, как и удостоверения службы сборки.
Служба сборки ProjectName	Имеет разрешения на запуск служб сборки для проекта и является устаревшим пользователем, используемым для сборок XAML. Он добавляется в группу служб безопасности, которая используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности.
Служба сборки коллекций проектов	Имеет разрешения на запуск служб сборки для коллекции. Он добавляется в группу служб безопасности, которая используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности.

Группы

Вы можете предоставить разрешения непосредственно отдельным лицам или группе. Использование групп упрощает работу, и система предоставляет несколько встроенных групп для этой цели. Эти группы и разрешения по умолчанию определяются на разных уровнях: сервер (только локальное развертывание), коллекция проектов, проект, проект и определенные объекты. Вы также можете создать собственные группы и предоставить им определенный набор разрешений, подходящих для определенных ролей в вашей организации.

Примечание.

Группы безопасности относятся к уровню организации, даже если они обращаются только к конкретному проекту. Некоторые группы могут быть скрыты на веб-портале в зависимости от разрешений пользователя. Все имена групп можно найти в организации с помощью средства командной строки Azure devops или интерфейсов REST API. Дополнительные сведения см. в разделе "Добавление групп безопасности и управление ими".

Группы уровня коллекции

При создании организации или коллекции проектов в Azure DevOps система создает группы уровня коллекции, имеющие разрешения в этой коллекции. Вы не можете удалить или удалить встроенные группы уровня коллекции.

Примечание.

Чтобы включить страницу предварительного просмотра Параметры "Разрешения организаций" версии 2, см. статью "Включить предварительные версии функций". Страница предварительного просмотра предоставляет страницу параметров группы, которая не поддерживает текущую страницу.

Полное имя каждой из этих групп — [{имя коллекции}]\{имя группы}. Таким образом, полное имя группы администраторов для коллекции по умолчанию — [Коллекция по умолчанию]\Project Collection Администратор istrators.

Имя группы

Разрешения

Членство

Коллекции проектов Администратор istrator

Имеет разрешения на выполнение всех операций для коллекции.

Содержит группу локальных Администратор istrator (BUILDIN\Администратор istrator) для сервера, на котором установлены службы уровня приложений. Содержит членов группы учетных записей службы CollectionName/. Эта группа должна быть ограничена наименьшим количеством пользователей, которым требуется общий административный контроль над коллекцией.

Сборка сборок project Администратор istrator

Имеет разрешения на администрирование ресурсов сборки и разрешений для коллекции.

Ограничить эту группу наименьшим количеством пользователей, которым требуется общий административный контроль над серверами и службами для этой коллекции.

Учетные записи службы сборки коллекции проектов

Имеет разрешения на запуск служб сборки для коллекции.

Ограничить эту группу учетными записями служб и группами, содержащими только учетные записи служб. Это устаревшая группа, используемая для сборок XAML. Используйте пользователь службы сборки коллекции проектов ({ваша организация}) для управления разрешениями для текущих сборок.

Учетные записи службы прокси-службы коллекции проектов

Имеет разрешения на запуск прокси-службы для коллекции.

Ограничить эту группу учетными записями служб и группами, содержащими только учетные записи служб.

Учетные записи службы коллекции проектов

Имеет разрешения уровня обслуживания для коллекции и для Azure DevOps Server.

Содержит учетную запись службы, предоставленную во время установки. Эта группа должна содержать только учетные записи служб и группы, содержащие только учетные записи служб. По умолчанию эта группа входит в группу Администратор istrators.

Учетные записи службы тестирования коллекции проектов

Имеет разрешения тестовой службы для коллекции.

Ограничить эту группу учетными записями служб и группами, содержащими только учетные записи служб.

Допустимые пользователи коллекции проектов

Имеет разрешения на доступ к проектам команд и просмотр сведений в коллекции.

Содержит всех пользователей и групп, которые были добавлены в любой точке коллекции. Вы не можете изменить членство в этой группе.

Пользователи с областью проекта

Имеет ограниченный доступ к просмотру параметров и проектов организации, отличных от этих проектов, к которых они добавляются. Кроме того, параметры выбора людей ограничены этими пользователями и группами, которые были явно добавлены в проект, к которому подключен пользователь.

Добавьте пользователей в эту группу, если вы хотите ограничить видимость и доступ к этим проектам, к которым вы явно добавляете их. Не добавляйте пользователей в эту группу, если они также добавляются в группу Администратор istratorов коллекции проектов.

Примечание.

Группа "Пользователи с областью проекта" становится доступной с ограниченным доступом при включенной предварительной версии функции уровня организации, ограничить видимость пользователей и совместную работу с определенными проектами . Дополнительные сведения, включая важные вызовы, связанные с безопасностью, см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.

Группа служб безопасности

Используется для хранения пользователей, которым были предоставлены разрешения, но не добавлены в другую группу безопасности.

Не назначайте пользователей этой группе. Если вы удаляете пользователей из всех групп безопасности, проверка, если необходимо удалить их из этой группы.

Группы уровня проекта

Для каждого создаваемого проекта система создает следующие группы на уровне проекта. Эти группы назначаются разрешения на уровне проекта.

Примечание.

Чтобы включить страницу предварительного просмотра для страницы разрешений проекта Параметры, см. статью "Включить предварительные версии функций".

Страница предварительного просмотра

Текущая страница

Совет

Полное имя каждой из этих групп — [{имя проекта}]\{имя группы}. Например, группа участник для проекта с именем "Мой проект" — [Мой проект]\Участник.

Имя группы

Разрешения

Членство

Администраторы сборки

Имеет разрешения на администрирование ресурсов сборки и разрешений сборки для проекта. Участники могут управлять средами тестирования, создавать тестовые запуски и управлять сборками.

Назначьте пользователям, которые определяют конвейеры сборки и управляют ими.

Соавторы

Имеет разрешения на полное участие в базе кода проекта и отслеживании рабочих элементов. Основные разрешения, которые у них нет, — это разрешения, которые управляют ресурсами или администрируют их.

По умолчанию группа команд, созданная при создании проекта, добавляется в эту группу, а любой пользователь, добавляемый в команду или проект, является членом этой группы. Кроме того, в эту группу добавляется любая команда, созданная для проекта.

Читатели

Имеет разрешения на просмотр сведений о проекте, базы кода, рабочих элементов и других артефактов, но не изменяют их.

Назначьте членам вашей организации или коллекции разрешения только для просмотра для проекта. Эти пользователи могут просматривать невыполненные работы, доски, панели мониторинга и многое другое, но не добавлять или изменять ничего.

Администратор истаторы проектов

Имеет разрешения на администрирование всех аспектов команд и проектов, хотя они не могут создавать командные проекты.

Назначьте пользователям, которые управляют разрешениями пользователей, создают или редактируют команды, изменяют параметры группы, определяют области или пути итерации или настраивают отслеживание рабочих элементов. Члены группы "Проект Администратор istrator" имеют разрешения на выполнение следующих задач:

• Добавление и удаление пользователей из членства в проекте
• Добавление и удаление пользовательских групп безопасности из проекта
• Добавление и администрирование всех команд проектов и функций, связанных с командой
• Изменение списков ACL разрешений на уровне проекта
• Изменение подписок на события (электронная почта или SOAP) для команд или событий уровня проекта.

Допустимые пользователи project

Имеет разрешения на доступ и просмотр сведений о проекте.

Содержит всех пользователей и групп, добавленных в проект в любом месте. Вы не можете изменить членство в этой группе.

Примечание.

Рекомендуется не изменять разрешения по умолчанию для этой группы.

Выпуск Администратор istrator

Имеет разрешения на управление всеми операциями выпуска.

Назначьте пользователям, которые определяют конвейеры выпуска и управляют ими.

Примечание.

Группа "Выпуск Администратор istrator" создается одновременно с определением первого конвейера выпуска. Он не создается по умолчанию при создании проекта.

Имя команды

Имеет разрешения на полное участие в базе кода проекта и отслеживании рабочих элементов.

Группа команд по умолчанию создается при создании проекта и по умолчанию добавляется в группу участников проекта. Все новые команды, созданные вами, также будут иметь группу, созданную для них и добавленную в группу участников.

Добавьте участников команды в эту группу. Чтобы предоставить доступ к настройке параметров команды, добавьте участника команды в роль администратора команды.

Роль администратора команды

Для каждой добавляемой команды можно назначить одного или нескольких участников команды администраторами. Роль администратора группы не является группой с набором определенных разрешений. Вместо этого роль администратора группы выполняется с управлением ресурсами группы. Дополнительные сведения см. в разделе "Управление командами" и настройка средств группы. Сведения о добавлении пользователя в качестве администратора команды см. в разделе "Добавление администратора команды".

Примечание.

Проектные Администратор istrator могут управлять всеми административными областями команды для всех команд.

Разрешения

Система управляет разрешениями на разных уровнях — разрешениями на основе проектов, проектов, объектов и ролей, а по умолчанию назначает их одной или нескольким встроенным группам. Большинство разрешений можно управлять с помощью веб-портала. Вы можете управлять несколькими разрешениями с помощью одного или нескольких средств управления безопасностью, указав разрешение пространства имен.

В следующих разделах разрешение пространства имен предоставляется после метки разрешений, отображаемой в пользовательском интерфейсе. Например:
Создание определения тега
Tagging, Create

Дополнительные сведения см. в разделе "Пространство имен безопасности" и справочник по разрешениям.

Разрешения на уровне организации

Управление разрешениями на уровне организации с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Коллекции проектов Администратор istrator предоставляются все разрешения на уровне организации. Другие группы уровня организации имеют назначения разрешений.

Примечание.

Чтобы включить страницу предварительного просмотра для страницы разрешений проекта Параметры, см. статью "Включить предварительные версии функций".

Страница предварительного просмотра

Внимание

Разрешение на добавление или удаление групп безопасности на уровне организации или коллекции, добавление и управление организацией или членством в группах уровня коллекции, а также изменение списков управления разрешениями на уровне проекта назначается всем членам группы "Коллекция проектов" Администратор istrator. Он не контролируется разрешениями, отображаемыми в пользовательском интерфейсе.

Невозможно изменить разрешения для группы Администратор istratorов коллекции проектов. Кроме того, в то время как можно изменить назначения разрешений для члена этой группы, их действующие разрешения по-прежнему соответствуют назначенным группе администраторов, для которой они являются членами.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Общие

Изменение параметров трассировки
Collection, DIAGNOSTIC_TRACE

Можно изменить параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.

Создание новых проектов
(прежнее название — создание командных проектов)
Collection, CREATE_PROJECTS

Может добавить проект в коллекцию организаций или проектов. Дополнительные разрешения могут потребоваться в зависимости от локального развертывания.

Удаление командного проекта
Project, DELETE

Может удалить проект. При удалении проекта удаляются все данные, связанные с проектом. Вы не можете отменить удаление проекта, за исключением восстановления коллекции до точки перед удалением проекта.

Изменение сведений на уровне экземпляра
Collection, GENERIC_WRITE

Может задавать параметры организации и уровня проекта.

Примечание.

Изменение сведений на уровне экземпляра включает возможность выполнять эти задачи для всех проектов, определенных в организации или коллекции:

• Изменение параметров обзора организации, расширений и параметров идентификатора Microsoft Entra
• Изменение разрешений управления версиями и параметров репозитория
• Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и уровня команды
• Измените все параметры проекта и уровня команды для проектов, определенных в коллекциях.

Просмотр сведений об уровне экземпляра
Collection, GENERIC_READ

Может просматривать разрешения на уровне организации для пользователя или группы.

Организация сервиса

Выполнение запросов от имени других пользователей
Server, Impersonate

Может выполнять операции от имени других пользователей или служб. Назначьте это разрешение только учетным записям служб.

События триггера
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Может активировать события оповещения проекта в коллекции. Назначение только учетным записям служб.

Просмотр сведений о синхронизации системы Collection, SYNCHRONIZE_READ

Может вызывать интерфейсы программирования приложений синхронизации. Назначение только учетным записям служб.

Boards

разрешения процесса Администратор ister
Process, AdministerProcessPermissions

Может изменять разрешения для настройки отслеживания работы, создавая и настраивая унаследованные процессы.

• Настройка проекта
• Добавление процессов и управление ими

Создание процесса
Process, Create

Может создать унаследованный процесс , используемый для настройки отслеживания работы и Azure Boards. Пользователи, которым предоставлен базовый доступ и доступ заинтересованных лиц, предоставляются по умолчанию.

Удаление поля из организации
Collection, DELETE_FIELD

Может удалить настраиваемое поле, которое было добавлено в процесс.

Процесс удаления
Process, Delete

Может удалить унаследованный процесс , используемый для настройки отслеживания работы и Azure Boards.

Процесс редактирования
Process, Edit

Может изменять пользовательский унаследованный процесс.

Repos

Применяется только к управлению версиями Team Foundation (TFVC)

Администратор выложенные изменения
VersionControlPrivileges, AdminWorkspaces

Может удалять наборы полок, созданные другими пользователями.

Администратор рабочих областей
Workspaces, Administer

Может создавать и удалять рабочие области для других пользователей.

Создайте рабочую область
VersionControlPrivileges, CreateWorkspace

Может создать рабочую область управления версиями. Разрешение на создание рабочей области предоставляется всем пользователям в рамках их членства в группе допустимых пользователей коллекции проектов.

Pipelines

разрешения на сборку Администратор ister
BuildAdministration, AdministerBuildResourcePermissions

Может изменять разрешения для ресурсов сборки на уровне организации или коллекции проектов, включая:

• Настройка политик хранения
• Установка ограничений ресурсов для конвейеров
• Добавление пулов агентов и управление ими
• Добавление пулов развертывания и управление ими

Примечание.

Помимо этого разрешения Azure DevOps предоставляет разрешения на основе ролей, управляющие безопасностью пулов агентов. Другие параметры уровня объекта переопределяют эти параметры на уровне организации или проекта.

Управление ресурсами сборки
BuildAdministration, ManageBuildResources

Может управлять компьютерами сборки, агентами сборки и контроллерами сборки.

Управление политиками конвейера
BuildAdministration, ManagePipelinePolicies

Может управлять параметрами конвейера, заданными с помощью параметров организации, конвейеров, Параметры.

Использование ресурсов сборки
BuildAdministration, UseBuildResources

Может резервировать и выделять агенты сборки. Назначение только учетным записям служб для служб сборки.

Просмотр ресурсов сборки
BuildAdministration, ViewBuildResources

Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.

Test Plans

Управление контроллерами тестирования
Collection, MANAGE_TEST_CONTROLLERS

Может регистрировать и отменять регистрацию контроллеров тестирования.

Аудит

Удаление потоков аудита
AuditLog, Delete_Streams

Может удалить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе "Создание потоковой передачи аудита".

Управление потоками аудита
AuditLog, Manage_Streams

Может добавить поток аудита. Потоки аудита доступны в предварительной версии. Дополнительные сведения см. в разделе "Создание потоковой передачи аудита".

Просмотр журнала аудита
AuditLog, Read

Может просматривать и экспортировать журналы аудита. Журналы аудита находятся в предварительной версии. Дополнительные сведения см. в статьях "Доступ", "Экспорт" и "Фильтрация журналов аудита".

Политики

Управление корпоративными политиками
Collection, MANAGE_ENTERPRISE_POLICIES

Может включать и отключать политики подключения приложений, как описано в разделе "Изменение политик подключения приложения".

Текущая страница

Внимание

Разрешение на добавление или удаление групп безопасности на уровне организации или коллекции, добавление и управление организацией или членством в группах уровня коллекции, а также изменение списков управления разрешениями на уровне проекта назначается всем членам группы "Коллекция проектов" Администратор istrator. Он не контролируется разрешениями, отображаемыми в пользовательском интерфейсе.

Невозможно изменить разрешения для группы Администратор istratorов коллекции проектов. Кроме того, в то время как можно изменить назначения разрешений для члена этой группы, их действующие разрешения по-прежнему соответствуют назначенным группе администраторов, для которой они являются членами.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

разрешения на сборку Администратор ister
BuildAdministration, AdministerBuildResourcePermissions

Может изменять разрешения для конвейеров сборки на уровне коллекции проекта. К ним относятся следующие артефакты:

• Настройка политик хранения
• Установка ограничений ресурсов для конвейеров
• Добавление пулов агентов и управление ими
• Добавление пулов развертывания и управление ими

разрешения процесса Администратор ister
Process, AdministerProcessPermissions

Может изменять разрешения для настройки отслеживания работы, создавая и настраивая унаследованные процессы. Требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса. См. также:

• Настройка проекта
• Добавление процессов и управление ими

Администратор выложенные изменения
VersionControlPrivileges, AdminWorkspaces

Может удалять наборы полок, созданные другими пользователями. Применяется, если TFVC используется в качестве системы управления версиями.

Администратор рабочих областей
Workspaces, Administer

Может создавать и удалять рабочие области для других пользователей. Применяется, если TFVC используется в качестве системы управления версиями.

Изменение параметров трассировки
Collection, DIAGNOSTIC_TRACE

Можно изменить параметры трассировки для сбора более подробных диагностических сведений о веб-службах Azure DevOps.

Создание рабочей области
VersionControlPrivileges, CreateWorkspace

Может создать рабочую область управления версиями. Применяется, если TFVC используется в качестве системы управления версиями. Это разрешение предоставляется всем пользователям в рамках их членства в группе допустимых пользователей коллекции проектов.

Создание новых проектов (ранее — создание командных проектов)
Collection, CREATE_PROJECTS

Может добавлять проекты в коллекцию проектов. Дополнительные разрешения могут потребоваться в зависимости от локального развертывания.

Создание процесса
Process, Create

Может создать унаследованный процесс , используемый для настройки отслеживания работы и Azure Boards. Требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса.

Удаление поля из организации
(прежнее название — удаление поля из учетной записи)
Collection, DELETE_FIELD

Может удалить настраиваемое поле, которое было добавлено в процесс. Для локальных развертываний требуется настроить коллекцию для поддержки унаследованной модели процессов.

Удаление процесса "Процесс, удаление"

Может удалить унаследованный процесс , используемый для настройки отслеживания работы и Azure Boards. Требуется, чтобы коллекция была настроена для поддержки унаследованной модели процессов.

Удаление командного проекта
Project, DELETE

Может удалить проект. При удалении проекта удаляются все данные, связанные с проектом. Вы не можете отменить удаление проекта, за исключением восстановления коллекции до точки перед удалением проекта.

Изменение сведений уровня коллекции "Коллекция, GENERIC_WRITE"

Может задавать параметры организации и уровня проекта.

Примечание.

Изменение сведений на уровне экземпляра включает возможность выполнять эти задачи для всех проектов, определенных в организации или коллекции:

• Изменение параметров обзора организации, расширений и параметров идентификатора Microsoft Entra
• Изменение разрешений управления версиями и параметров репозитория
• Изменение подписок на события или оповещений для глобальных уведомлений, событий уровня проекта и уровня команды
• Измените все параметры проекта и уровня команды для проектов, определенных в коллекциях.

Процесс редактирования
Process, Edit

Может изменять пользовательский унаследованный процесс. Требуется, чтобы коллекция была настроена для поддержки модели наследуемого процесса.

Выполнение запросов от имени других пользователей
Server, Impersonate

Может выполнять операции от имени других пользователей или служб. Назначьте это разрешение только локальным учетным записям служб.

Управление ресурсами сборки
BuildAdministration, ManageBuildResources

Может управлять компьютерами сборки, агентами сборки и контроллерами сборки.

Управление корпоративными политиками
Collection, MANAGE_ENTERPRISE_POLICIES

Может включать и отключать политики подключения приложений, как описано в разделе "Изменение политик подключения приложения".

Управление политиками конвейера
BuildAdministration, ManagePipelinePolicies

Может управлять параметрами конвейера, заданными с помощью параметров организации, конвейеров, Параметры.

Управление шаблоном процесса
Collection, MANAGE_TEMPLATE

Может скачать, создать, изменить и отправить шаблоны процессов. Шаблон процесса определяет стандартные блоки системы отслеживания рабочих элементов, а также другие подсистемы, к которые вы обращаетесь через Azure Boards. Требуется, чтобы коллекция была настроена для поддержки локальной модели XML-процессов ON=.

Управление контроллерами тестирования
Collection, MANAGE_TEST_CONTROLLERS

Может регистрировать и отменять регистрацию контроллеров тестирования.

События триггера
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Может активировать события оповещения проекта в коллекции. Назначение только учетным записям служб. Пользователи с этим разрешением не могут удалять встроенные группы уровней коллекции, такие как коллекция проектов Администратор istrators.

Использование ресурсов сборки
BuildAdministration, UseBuildResources

Может резервировать и выделять агенты сборки. Назначение только учетным записям служб для служб сборки.

Просмотр ресурсов сборки
BuildAdministration, ViewBuildResources

Может просматривать, но не использовать контроллеры сборки и агенты сборки, настроенные для организации или коллекции проектов.

Просмотр сведений об уровне экземпляра
Collection, GENERIC_READ

Может просматривать разрешения на уровне организации для пользователя или группы.

Просмотр сведений о синхронизации системы
Collection, SYNCHRONIZE_READ

Может вызывать интерфейсы программирования приложений синхронизации. Назначение только учетным записям служб.

Внимание

Разрешение на добавление или удаление групп безопасности на уровне организации или коллекции, добавление и управление организацией или членством в группах уровня коллекции, а также изменение списков управления разрешениями на уровне проекта назначается всем членам группы "Коллекция проектов" Администратор istrator. Он не контролируется разрешениями, отображаемыми в пользовательском интерфейсе.

Невозможно изменить разрешения для группы Администратор istratorов коллекции проектов. Кроме того, в то время как можно изменить назначения разрешений для члена этой группы, их действующие разрешения по-прежнему соответствуют назначенным группе администраторов, для которой они являются членами.

Разрешения на уровне проекта

Управление разрешениями на уровне проекта с помощью контекста администрирования веб-портала или с помощью команд az devops security group . Администратор istratorы проекта предоставляются все разрешения на уровне проекта. Другие группы уровня проекта имеют назначения разрешений.

Примечание.

Чтобы включить страницу предварительного просмотра разрешений проекта Параметры страницы, см. статью "Включить предварительные версии функций".

Страница предварительного просмотра

Внимание

Разрешение на добавление или удаление групп безопасности на уровне проекта и добавление членства в группе уровня проекта и управление ими назначается всем членам группы Project Администратор istrator. Он не контролируется разрешениями, отображаемыми в пользовательском интерфейсе.

Невозможно изменить разрешения для группы project Администратор istrator. Кроме того, в то время как можно изменить назначения разрешений для члена этой группы, их действующие разрешения по-прежнему соответствуют назначенным группе администраторов, для которой они являются членами.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Общие

Удаление командного проекта
Project, DELETE

Может удалить проект из коллекции организаций или проектов.

Примечание.

Даже если это разрешение задано как "Запретить", пользователи, которым предоставлено разрешение на уровне проекта, могут удалить проект, для которого у них есть разрешение. Чтобы убедиться, что пользователь не может удалить проект, убедитесь, что командный проект Delete на уровне проекта также имеет значение "Запретить".

Изменение сведений о уровне проекта
Project, MANAGE_PROPERTIES

Может выполнять следующие задачи для выбранного проекта, определенного в организации или коллекции.

• Изменение описания проекта
• Изменение видимости управление проектом.

Примечание.

Разрешение на добавление или удаление групп безопасности на уровне проекта и добавление членства в группе уровня проекта и управление ими назначается всем членам группы Project Администратор istrator. Он не контролируется разрешениями, отображаемыми в пользовательском интерфейсе.

Управление свойствами проекта
Project, MANAGE_SYSTEM_PROPERTIES

Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить высокоуровневую информацию о содержимом проекта. Изменение метаданных поддерживается с помощью REST API свойств проекта Set.

Переименование проекта
Project, RENAME

Может изменить имя проекта.

Подавление уведомлений для обновлений рабочих элементов
Project, SUPPRESS_NOTIFICATIONS

Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при миграции массовых обновлений средствами и требуется пропустить создание уведомлений.

Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым были предоставлены правила обхода разрешений на обновления рабочих элементов. Параметр можно задать при обновлении suppressNotificationstrue рабочих элементов — обновить REST API.

Обновление видимости проекта
Project, UPDATE_VISIBILITY

Может изменить видимость проекта с частной на общедоступную или общедоступную. Применяется только к Azure DevOps Services.

Просмотр сведений о уровне проекта
Project, GENERIC_READ

Может просматривать сведения на уровне проекта, включая членство в группе безопасности и разрешения. Если для пользователя задано разрешение "Запретить ", он не сможет просмотреть проект или войти в проект.

Boards

Обход правил обновления рабочих элементов
Project, BYPASS_RULES

Пользователи с этим разрешением могут сохранить рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Полезные сценарии — это миграции, в которых не требуется обновлять поля даты и даты при импорте или если требуется пропустить проверку рабочего элемента.

Правила можно обойти одним из двух способов. Первый — через рабочие элементы — обновите REST API и задайте bypassRules для параметра значение true. Второй — это клиентская объектная модель, инициализация в режиме правил обхода (инициализация WorkItemStore с WorkItemStoreFlags.BypassRules).

Процесс изменения проекта
Project, CHANGE_PROCESS

При сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в разделе "Создание унаследованных процессов и управление ими".

Создание определения тега
Tagging, Create

Может добавлять теги в рабочий элемент. По умолчанию все члены группы участников имеют это разрешение. Кроме того, можно задать дополнительные разрешения для тегов с помощью средств управления безопасностью. См. справочник по пространству имен безопасности и ссылке на разрешения, тег.

Примечание.

Все пользователи, которым предоставлен доступ заинтересованных лиц для частного проекта, могут добавлять только существующие теги. Даже если для разрешения на определение тега create задано значение Allow, заинтересованные лица не могут добавлять теги. Это часть параметров доступа заинтересованных лиц. Пользователи Azure DevOps Services предоставили доступ заинтересованным лицам для общедоступного проекта по умолчанию. Дополнительные сведения см. в кратком справочнике по правам доступа для заинтересованных лиц.
Несмотря на то, что разрешение "Создать определение тега" отображается в параметрах безопасности на уровне проекта, разрешения на теги фактически являются разрешениями уровня коллекции, которые область на уровне проекта при их отображении в пользовательском интерфейсе. Чтобы область разрешения на добавление тегов в один проект при использовании команды TFSSecurity, необходимо указать GUID проекта в рамках синтаксиса команды. В противном случае изменение будет применяться ко всей коллекции. Помните об этом при изменении или настройке этих разрешений.

Удаление и восстановление рабочих элементов

или удаление рабочих элементов в этом проекте
Project, WORK_ITEM_DELETE

Может пометить рабочие элементы в проекте как удаленные. Пользователи Azure DevOps Services предоставили доступ заинтересованным лицам для общедоступного проекта по умолчанию.

Перемещение рабочих элементов из этого проекта
Project, WORK_ITEM_MOVE

Может переместить рабочий элемент из одного проекта в другой проект в коллекции.

Окончательное удаление рабочих элементов в этом проекте
Project, WORK_ITEM_PERMANENTLY_DELETE

Может окончательно удалить рабочие элементы из этого проекта.

Аналитика

Помимо AnalyticsView разрешений пространства имен, перечисленных в этом разделе, можно задать разрешения на уровне объектов для каждого представления.

Удаление представления общей аналитики
AnalyticsViews, Delete

Можно удалить представления Аналитики, сохраненные в общей области.

Изменение представления общей аналитики
AnalyticsViews, Edit

Может создавать и изменять общие аналитические представления.

Просмотр аналитики
AnalyticsViews, Read

Может получить доступ к данным, доступным из службы Аналитики. Дополнительные сведения см. в разделе "Разрешения", необходимые для доступа к службе Аналитики.

Test Plans

Создание тестового запуска
Project, PUBLISH_TEST_RESULTS

Может добавлять и удалять результаты теста и добавлять или изменять тестовые запуски. Дополнительные сведения см. в разделе "Управление сроком хранения результатов теста" и выполнение ручных тестов.

Удаление тестового запуска
Project, DELETE_TEST_RESULTS

Может удалить тестовое выполнение.

Управление конфигурациями тестов
Project, MANAGE_TEST_CONFIGURATIONS

Может создавать и удалять конфигурации тестов.

Управление тестовой средой
Project, MANAGE_TEST_ENVIRONMENTS

Может создавать и удалять тестовые среды.

Просмотр тестового запуска
Project, VIEW_TEST_RESULTS

Может просматривать тестовые планы в пути к области проекта.

Текущая страница

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Обход правил обновления рабочих элементов
Project, BYPASS_RULES

Пользователи с этим разрешением могут сохранить рабочий элемент, который игнорирует правила, такие как копирование, ограничение или условные правила, определенные для типа рабочего элемента. Сценарии, в которых это полезно, это миграции, в которых не требуется обновлять поля даты и даты при импорте, или если требуется пропустить проверку рабочего элемента.
Правила можно обойти одним из двух способов. Первый — через рабочие элементы — обновите REST API и задайте bypassRules для параметра значение true. Второй — это клиентская объектная модель, инициализировав в режиме обхода (инициализация WorkItemStore с WorkItemStoreFlags.BypassRules).

Процесс изменения проекта
Project, CHANGE_PROCESS

При сочетании с разрешением "Изменение сведений на уровне проекта" позволяет пользователям изменять процесс наследования для проекта. Дополнительные сведения см. в статье "Создание унаследованных процессов и управление ими".

Создание определения тега
Tagging, Create

Может добавлять теги в рабочий элемент. По умолчанию все члены группы участников имеют это разрешение. Кроме того, можно задать дополнительные разрешения для тегов с помощью средств управления безопасностью. См. справочник по пространству имен безопасности и ссылке на разрешения, тег.

Примечание.

Все пользователи, которым предоставлен доступ заинтересованных лиц, могут добавлять только существующие теги. Даже если для разрешения на определение тега create задано значение Allow, заинтересованные лица не могут добавлять теги. Это часть параметров доступа заинтересованных лиц. Дополнительные сведения см . в кратком справочнике по доступу заинтересованных лиц. Несмотря на то, что разрешение "Создать определение тега" отображается в параметрах безопасности на уровне проекта, разрешения на теги фактически являются разрешениями уровня коллекции, которые область на уровне проекта при их отображении в пользовательском интерфейсе. Чтобы область разрешения на добавление тегов в один проект при использовании команды TFSSecurity, необходимо указать GUID проекта в рамках синтаксиса команды. В противном случае изменение будет применяться ко всей коллекции. Помните об этом при изменении или настройке этих разрешений.

Создание тестового запуска
Project, PUBLISH_TEST_RESULTS

Может добавлять и удалять результаты теста и добавлять или изменять тестовые запуски. Дополнительные сведения см. в разделе "Управление сроком хранения результатов теста" и "Выполнение ручных тестов".

Удаление и восстановление рабочих элементов

или удаление рабочих элементов в этом проекте
Project, WORK_ITEM_DELETE

Может пометить рабочие элементы в проекте как удаленные. Группа участников содержит рабочие элементы на уровне проекта, для параметра "Разрешить " по умолчанию.

Удаление представления общей аналитики
AnalyticsViews, Delete

Можно удалить представления Аналитики, сохраненные в общей области.

Удаление проекта
Project, DELETE

Может удалить проект из коллекции организаций или проектов.

Удаление тестового запуска
Project, DELETE_TEST_RESULTS

Может удалить тестовое выполнение.

Изменение сведений о уровне проекта Project, MANAGE_PROPERTIES

Может изменять разрешения уровня проекта для пользователей и групп, описания проекта и управление проектом видимости. Может изменять разрешения на уровне проекта для пользователей и групп.

Примечание.

Изменение сведений на уровне проекта включает возможность выполнения следующих задач для проекта:

• Создание и изменение областей и итераций
• Изменение политик проверка
• Изменение запросов общих рабочих элементов
• Изменение списков ACL разрешений на уровне проекта
• Управление шаблонами процессов
• Настройка проекта (только в локальной среде)
• Создание и изменение глобальных списков (только в локальной среде)
• Изменение подписок на события (электронная почта или SOAP) на событиях уровня проекта
• В сочетании с процессом изменения разрешения проекта пользователи могут изменить процесс наследования проекта.

Изменение представления общей аналитики
AnalyticsViews, Edit

Может создавать и изменять общие аналитические представления.

Управление свойствами проекта
Project, MANAGE_SYSTEM_PROPERTIES

Может предоставлять или изменять метаданные для проекта. Например, пользователь может предоставить высокоуровневую информацию о содержимом проекта. Изменение метаданных поддерживается с помощью REST API свойств проекта Set.

Управление конфигурациями тестов
Project, MANAGE_TEST_CONFIGURATIONS

Может создавать и удалять конфигурации тестов.

Управление тестовой средой
Project, MANAGE_TEST_ENVIRONMENTS

Может создавать и удалять тестовые среды.

Перемещение рабочих элементов из этого проекта
Project, WORK_ITEM_MOVE

Может переместить рабочий элемент из одного проекта в другой проект в коллекции.

Окончательное удаление рабочих элементов в этом проекте Project, WORK_ITEM_PERMANENTLY_DELETE

Может окончательно удалить рабочие элементы из этого проекта.

Переименование проекта Project, RENAME

Может изменить имя проекта.

Подавление уведомлений для обновлений рабочих элементов Project, SUPPRESS_NOTIFICATIONS

Пользователи с этим разрешением могут обновлять рабочие элементы без создания уведомлений. Это полезно при миграции массовых обновлений средствами и требуется пропустить создание уведомлений.

Рассмотрите возможность предоставления этого разрешения учетным записям служб или пользователям, которым были предоставлены правила обхода разрешений на обновления рабочих элементов. Параметр можно задать при обновлении suppressNotificationstrue рабочих элементов — обновить REST API.

Обновление видимости проекта
Project, UPDATE_VISIBILITY

Может изменить видимость проекта с частной на общедоступную или общедоступную. Применяется только к Azure DevOps Services.

Просмотр аналитики
AnalyticsViews, Read

Может получить доступ к данным, доступным из службы Аналитики. Дополнительные сведения см. в разделе "Разрешения", необходимые для доступа к службе Аналитики.

Просмотр сведений о уровне проекта
Project, GENERIC_READ

Может просматривать членство и разрешения группы на уровне проекта.

Просмотр тестового запуска
Project, VIEW_TEST_RESULTS

Может просматривать тестовые планы в пути к области проекта.

Представления аналитики (уровень объекта)

С помощью общих представлений Аналитики можно предоставить определенные разрешения для просмотра, редактирования или удаления создаваемого представления. Управление безопасностью представлений Аналитики с веб-портала.

Для каждого представления общей аналитики определены следующие разрешения. Все допустимые пользователи автоматически предоставляют все разрешения для управления представлениями Аналитики. Рассмотрите возможность предоставления разрешений для определенных общих представлений другим участникам команды или группе безопасности, которые вы создаете. См. также: что такое представления Аналитики? Дополнительные разрешения пространства имен поддерживаются, как определено в пространстве имен безопасности и справочнике по разрешениям.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Удаление представлений общей аналитики
AnalyticsViews, Delete

Может удалить представление общей аналитики.

Изменение представлений общей аналитики AnalyticsViews, Edit

Может изменить параметры представления общей аналитики.

Просмотр представлений общей аналитики AnalyticsViews, Read

Может просматривать и использовать общее представление аналитики из Power BI Desktop.

Панели мониторинга (уровень объекта)

Разрешения для панелей мониторинга групп и проектов можно задать по отдельности. Разрешения по умолчанию для команды можно задать для проекта. Управление безопасностью панелей мониторинга на веб-портале. Дополнительные разрешения пространства имен поддерживаются, как определено в пространстве имен безопасности и справочнике по разрешениям.

Разрешения панели мониторинга проекта

По умолчанию создатель панели мониторинга проекта является владельцем панели мониторинга и предоставляет все разрешения для этой панели мониторинга.

Разрешение Namespace permission	Description
Удаление панели мониторинга DashboardsPrivileges, Delete	Может удалить панель мониторинга проекта.
Изменение панели мониторинга DashboardsPrivileges, Edit	Может добавлять мини-приложения и изменять макет панели мониторинга проекта.
Управление разрешениями DashboardsPrivileges, ManagePermissions	Может управлять разрешениями для панели мониторинга проекта.

Разрешения панели мониторинга группы по умолчанию

По умолчанию администраторы команд предоставляют все разрешения для панелей мониторинга команды, включая управление разрешениями по умолчанию и отдельными панелями мониторинга.

Разрешение Namespace permission	Description
создание панелей мониторинга; DashboardsPrivileges, Create	Может создать панель мониторинга группы.
Удаление панелей мониторинга DashboardsPrivileges, Delete	Может удалить панель мониторинга группы.
Изменение панелей мониторинга DashboardsPrivileges, Edit	Может добавлять мини-приложения и изменять макет панели мониторинга группы.

Разрешения на панель мониторинга отдельных групп

Администраторы групп могут изменить разрешения для отдельных панелей мониторинга группы, изменив следующие два разрешения.

Разрешение Namespace permission	Description
Удаление панели мониторинга DashboardsPrivileges, Delete	Может удалить определенную панель мониторинга группы.
Изменение панели мониторинга DashboardsPrivileges, Edit	Может добавлять мини-приложения и изменять макет определенной панели мониторинга группы.

Конвейер или сборка (уровень объекта)

Управление разрешениями конвейера для каждого конвейера, определенного на веб-портале или с помощью средства командной строки TFSSecurity. Все разрешения конвейера предоставляются Администратор istratorами проекта, а большинство этих разрешений назначаются Администратор istratorами сборки. Вы можете задать разрешения конвейера для всех конвейеров, определенных для проекта или для каждого определения конвейера.

Разрешения в сборке соответствуют иерархической модели. По умолчанию для всех разрешений можно задать на уровне проекта и переопределить определение отдельной сборки.

Чтобы задать разрешения на уровне проекта для всех определений сборки в проекте, выберите "Безопасность " на главной странице центра сборки.

Чтобы задать или переопределить разрешения для определенного определения сборки, выберите "Безопасность " в контекстном меню определения сборки.

Вы можете определить следующие разрешения в сборке на обоих уровнях.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

разрешения на сборку Администратор ister
Build, AdministerBuildPermissions

Может администрировать разрешения сборки для других пользователей.

Удаление определения сборки
Build, DeleteBuildDefinition

Может удалять определения сборки для этого проекта.

Удаление сборок
Build, DeleteBuilds

Может удалить завершенную сборку. Сборки, удаленные, хранятся на вкладке "Удаленные" в течение некоторого времени, прежде чем они будут уничтожены.

Уничтожение сборок
Build, DestroyBuilds

Может окончательно удалить завершенную сборку.

Изменение определения сборки для редактирования конвейера
сборки
Build, EditBuildDefinition

Изменение конвейера сборки может сохранять любые изменения в конвейере сборки, включая переменные конфигурации, триггеры, репозитории и политику хранения. Доступно в Azure DevOps Services, Azure DevOps Server 2019 1.1 и более поздних версиях. Заменяет определение сборки изменением.
Изменение определения сборки может создавать и изменять определения сборки для этого проекта.

Примечание.

Вы отключите наследование для определения сборки, если требуется управлять разрешениями для определенных определений сборки.

При наследовании включено определение сборки учитывает разрешения сборки, определенные на уровне проекта или группы или пользователя. Например, пользовательская группа диспетчеров сборок имеет разрешения, заданные для ручной очереди сборки для проекта Fabrikam. Любое определение сборки с наследованием для проекта Fabrikam позволит членам группы диспетчеров сборки вручную ставить очередь сборки.

Тем не менее, выключив наследование для проекта Fabrikam, можно задать разрешения, которые разрешают только обработчикам project Администратор istrator вручную очередь сборки для определенного определения сборки. Затем это позволит мне задать разрешения для этого определения сборки.

Изменение качества сборки
Build, EditBuildQuality

Можно добавить сведения о качестве сборки с помощью Team Обозреватель или веб-портала.

Управление качествами сборки
Build, ManageBuildQualities

Может добавлять или удалять качества сборки. Применяется только к сборкам XAML.

Управление очередью сборки
Build, ManageBuildQueue

Может отменять, переоритизировать или откладывать сборки из очереди. Применяется только к сборкам XAML.

Переопределение проверки проверка путем сборки
Build, OverrideBuildCheckInValidation

Может зафиксировать набор изменений TFVC, который влияет на определение вложенной сборки, не активируя систему, чтобы отложить и сначала создать их изменения.

Примечание.

Назначьте проверку переопределения проверка путем разрешения на сборку только учетным записям служб для служб и создания администраторов, ответственных за качество кода. Применяется к встроенным проверка сборкам TFVC. Это не относится к сборкам PR. Дополнительные сведения см. в статье "Вход в папку" под управлением шлюза проверка процесса сборки.

Сборки очередей
Build, QueueBuilds

Может поместить сборку в очередь через интерфейс для Team Foundation Build или в командной строке. Они также могут остановить сборки, которые они застроили.

Изменение конфигурации сборки очереди Build, EditPipelineQueueConfigurationPermission

Может указывать значения для параметров свободного текста (например, типа object или array) и переменных конвейера при очередях новых сборок.

Хранение на неопределенный срок
Build, RetainIndefinitely

Может переключать сохраняющийся неограниченное время флага в сборке. Эта функция помечает сборку, чтобы система не автоматически удалила ее на основе любой применимой политики хранения.

Остановка сборок
Build, StopBuilds

Может остановить любую сборку, которая выполняется, включая сборки в очереди и запущенные другим пользователем.

Обновление сведений о сборке
Build, UpdateBuildInformation

Может добавлять в систему узлы сведений о сборке, а также добавлять сведения о качестве сборки. Назначение только учетным записям служб.

Просмотр определения сборки
Build, ViewBuildDefinition

Можно просмотреть определения сборки, созданные для проекта.

Просмотр сборок
Build, ViewBuilds

Может просматривать очереди и завершенные сборки для этого проекта.

Репозиторий Git (уровень объекта)

Управление безопасностью каждого репозитория или ветви Git на веб-портале, средстве командной строки TF или с помощью средства командной строки TFSSecurity. Большинство этих разрешений предоставляются Администратор istratorами проекта (которые отображаются только для проекта, настроенного с помощью репозитория Git). Вы можете управлять этими разрешениями для всех репозиториев Git или для определенного репозитория Git.

Примечание.

Задайте разрешения для всех репозиториев Git, внося изменения в запись репозиториев Git верхнего уровня. Отдельные репозитории наследуют разрешения от записи репозиториев Git верхнего уровня. Ветви наследуют разрешения от назначений, сделанных на уровне репозитория. По умолчанию группы читателей уровня проекта имеют только разрешения на чтение.

Сведения об управлении разрешениями репозитория и ветви Git см. в разделе "Настройка разрешений ветви".

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Обход политик при выполнении запросов на вытягивание
GitRepositories, PullRequestBypassPolicy

Может отказаться от переопределения политик ветви, проверка политики переопределения ветви и включить слияние при завершении pr.

Примечание.

Обход политик при выполнении запросов на вытягивание и обход политик при отправке замены , освобожденной от применения политик. Применяется к Azure DevOps Server 2019 и более поздним версиям.

Обход политик при отправке

Может отправляться в ветвь с включенными политиками ветви. Когда пользователь с этим разрешением делает push-запрос, который переопределяет политику ветви, отправка автоматически передает политику ветви без шага или предупреждения.

Примечание.

Обход политик при выполнении запросов на вытягивание и обход политик при отправке замены , освобожденной от применения политик. Применяется к Azure DevOps Server 2019 и более поздним версиям.

Способствуют
GitRepositories, GenericContribute

На уровне репозитория может отправлять изменения в существующие ветви в репозитории и выполнять запросы на вытягивание. Пользователи, не имеющие этого разрешения, но имеющие разрешение "Создать ветвь ", могут отправлять изменения в новые ветви. Не переопределяет ограничения из политик ветви.

На уровне ветви можно отправить изменения в ветвь и заблокировать ветвь. Блокировка ветви блокирует любые новые фиксации от других пользователей и запрещает другим пользователям изменять существующий журнал фиксаций.

Участие в запросах на вытягивание
GitRepositories, PullRequestContribute

Может создавать, комментировать и голосовать за запросы на вытягивание.

Создание ветви
GitRepositories, CreateBranch

Может создавать и публиковать ветви в репозитории. Отсутствие этого разрешения не ограничивает пользователей созданием ветвей в локальном репозитории; он просто предотвращает публикацию локальных ветвей на сервере.

Примечание.

Когда пользователь создает новую ветвь на сервере, он имеет права на участие, изменение политик, принудительное отправка, управление разрешениями и удаление разрешений других пользователей для этой ветви по умолчанию. Это означает, что пользователи могут добавлять новые фиксации в репозиторий через свою ветвь.

Создание репозитория
GitRepositories, CreateRepository

Может создавать новые репозитории. Это разрешение доступно только в диалоговом окне "Безопасность" для объекта репозиториев Git верхнего уровня.

Создание тега
GitRepositories, CreateTag

Может отправлять теги в репозиторий.

Удаление репозитория GitRepositories, DeleteRepository

Может удалить репозиторий. На уровне репозиториев Git верхнего уровня можно удалить любой репозиторий.

Изменение политик
GitRepositories, EditPolicies

Может изменять политики для репозитория и ее ветвей.

Исключение из применения политики
GitRepositories, PolicyExempt

Применимо к TFS 2018 с обновлением 2. Может обходить политики ветви и выполнять следующие два действия:

• Переопределить политики ветви и завершить PR, которые не удовлетворяют политике ветви
• Отправка непосредственно в ветви с установленными политиками ветви

Примечание.

В Azure DevOps он заменен следующими двумя разрешениями: обход политик при выполнении запросов на вытягивание и обхода политик при отправке.

Принудительное принудительное отправка (перезапись журнала, удаление ветвей и тегов)
GitRepositories, ForcePush

Может принудительно обновить ветвь, удалить ветвь и изменить журнал фиксации ветви. Может удалять теги и заметки.

Управление заметками
GitRepositories, ManageNote

Может отправлять и изменять заметки Git.

Управление разрешениями
GitRepositories, ManagePermissions

Может задать разрешения для репозитория.

Прочитать GitRepositories, GenericRead

Может клонировать, извлекать, извлекать, извлекать и изучать содержимое репозитория.

Удаление блокировок других пользователей
GitRepositories, RemoveOthersLocks

Может удалять блокировки ветви, заданные другими пользователями. Блокировка ветви блокирует добавление новых фиксаций в ветвь другими пользователями и запрещает другим пользователям изменять существующий журнал фиксаций.

Переименование репозитория
GitRepositories, RenameRepository

Может изменить имя репозитория. Если задано в записи репозиториев Git верхнего уровня, можно изменить имя любого репозитория.

TFVC (уровень объекта)

Управление безопасностью каждой ветви TFVC на веб-порталеили с помощью средства командной строки TFSSecurity. Большинство этих разрешений предоставляются Администратор istrators, которые отображаются только для проекта, настроенного для использования система управления версиями Team Foundation в качестве системы управления версиями. В разрешениях управления версиями явное отклонение имеет приоритет над разрешениями группы администраторов.

Эти разрешения отображаются только для установки проекта, чтобы использовать система управления версиями Team Foundation в качестве системы управления версиями.

В разрешениях управления версиями явное отклонение имеет приоритет над разрешениями группы администраторов.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Администратор метки
VersionControlItems, LabelOther

Может изменять или удалять метки, созданные другим пользователем.

Вернуть
VersionControlItems, Checkin

Может проверка в элементах и пересмотреть любые зафиксированные примечания набора изменений. Ожидающие изменения фиксируются в проверка.

Примечание.

Рассмотрите возможность добавления этих разрешений для любых пользователей или групп вручную, которые способствуют разработке проекта; все пользователи, которые должны иметь возможность проверка в и проверка изменения, вносить ожидающие изменения в элементы в папке или изменять любые зафиксированные примечания к набору изменений.

Проверка изменений других пользователей
VersionControlItems, CheckinOther

Может проверка в изменениях, внесенных другими пользователями. Ожидающие изменения фиксируются в проверка.

Поверх изменения в рабочей области сервера
VersionControlItems, PendChange

Может проверка и внести ожидающие изменения в элементы в папке. Примеры ожидающих изменений включают добавление, редактирование, переименование, удаление, удаление, ветвление и слияние файла. Ожидающие изменения должны быть проверка в, поэтому пользователям также требуется разрешение на вход для обмена своими изменениями с командой.

Примечание.

Рассмотрите возможность добавления этих разрешений для любых пользователей или групп вручную, которые способствуют разработке проекта; все пользователи, которые должны иметь возможность проверка в и проверка изменения, вносить ожидающие изменения в элементы в папке или изменять любые зафиксированные примечания к набору изменений.

Этикетка
VersionControlItems, Label

Может метка элементов.

Блокировки
VersionControlItems, Lock

Может блокировать и разблокировать папки или файлы. Папка или файл, отслеживаемые, могут быть заблокированы или разблокированы, чтобы запретить или восстановить права пользователя. Привилегии включают проверка выхода элемента для редактирования в другую рабочую область или проверка в ожидающих изменениях элемента из другой рабочей области. Дополнительные сведения см. в разделе "Команда блокировки".

Управление ветвью
VersionControlItems, ManageBranch

Может преобразовать любую папку под этим путем в ветвь, а также выполнить следующие действия в ветви: изменить его свойства, повторно и преобразовать его в папку. Пользователи, имеющие это разрешение, могут ветвить эту ветвь только в том случае, если у них есть разрешение на слияние для целевого пути. Пользователи не могут создавать ветви из ветви, для которой у них нет разрешения manage Branch.

Управление разрешениями
VersionControlItems, AdminProjectRights

Может управлять разрешениями других пользователей для папок и файлов в элементе управления версиями.

Примечание.

Рассмотрите возможность добавления этого разрешения для любых пользователей или групп вручную, которые способствуют разработке проекта и которые должны иметь возможность создавать частные ветви, если проект не находится под более строгими методами разработки.

Объединить
VersionControlItems, AdminProjectRights

Может объединить изменения в этот путь.

Примечание.

Рассмотрите возможность добавления этого разрешения для любых пользователей или групп вручную, которые способствуют разработке проекта, и которые должны иметь возможность объединить исходные файлы, если проект не находится под более строгими рекомендациями по разработке.

Читать
VersionControlItems, Read

Может считывать содержимое файла или папки. Если у пользователя есть разрешения на чтение папки, пользователь может просмотреть содержимое папки и свойства файлов в ней, даже если у пользователя нет разрешения на открытие файлов.

Изменение изменений других пользователей
VersionControlItems, ReviseOther

Может изменять примечания к файлам проверка, даже если другой пользователь проверка в файле.

Примечание.

Рассмотрите возможность добавления этого разрешения для любых пользователей или групп, которые отвечают за контроль или мониторинг проекта, и могут или должны изменить комментарии к файлам проверка, даже если другой пользователь проверка в файле.

Отмена изменений других пользователей
VersionControlItems, UndoOther

Может отменить ожидающие изменения, внесенные другим пользователем.

Примечание.

Рассмотрите возможность добавления этого разрешения для любых пользователей или групп, которые отвечают за контроль или мониторинг проекта, и могут или должны изменить комментарии к файлам проверка, даже если другой пользователь проверка в файле.

Разблокировать изменения других пользователей
VersionControlItems, UnlockOther

Может разблокировать файлы, заблокированные другими пользователями.

Примечание.

Рассмотрите возможность добавления этого разрешения для любых пользователей или групп, которые отвечают за контроль или мониторинг проекта, и могут или должны изменить комментарии к файлам проверка, даже если другой пользователь проверка в файле.

Путь к области (уровень объекта)

Разрешения пути к области предоставляют или ограничивают доступ к ветвям иерархии областей и рабочим элементам в этих областях. Управление безопасностью каждого пути к области с веб-портала или с помощью средства командной строки TFSSecurity. Разрешения области предоставляют или ограничивают доступ для создания путей к областям и управления ими, а также создания и изменения рабочих элементов, определенных в путях области.

Члены группы Администратор istrator Project автоматически предоставляют разрешения на управление путями областей для проекта. Рекомендуется предоставить администраторам команды или командам разрешения на создание, изменение или удаление узлов областей.

Примечание.

Несколько команд могут внести свой вклад в проект. В этом случае можно настроить команды, связанные с областью. Разрешения для рабочих элементов группы назначаются путем назначения разрешений для области. Существуют другие параметры команды, которые настраивают средства гибкого планирования команды.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Создание дочерних узлов
CSS, CREATE_CHILDREN

Может создавать узлы области. Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел ", могут перемещать или изменять порядок всех дочерних узлов. Рекомендуется добавить это разрешение для всех пользователей или групп, которые могут потребоваться вручную удалить, добавить или переименовать узлы области.

Удаление этого узла
CSS, CREATE_CHILDREN

Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел " для другого узла, могут удалять узлы области и переклассифицировать существующие рабочие элементы из удаленного узла. Если удаленный узел имеет дочерние узлы, эти узлы также удаляются.

Примечание.

Рекомендуется добавить это разрешение для всех пользователей или групп, которые могут потребоваться вручную удалить, добавить или переименовать узлы области.

Изменение этого узла
CSS, CREATE_CHILDREN

Может задать разрешения для этого узла и переименовать узлы области.

Примечание.

Рекомендуется добавить это разрешение для всех пользователей или групп, которые могут потребоваться вручную удалить, добавить или переименовать узлы области.

Изменение рабочих элементов в этом узле
CSS, WORK_ITEM_WRITE

Может изменять рабочие элементы в этом узле.

Примечание.

Рекомендуется добавить это разрешение для всех пользователей или групп вручную, которые могут потребоваться изменить рабочие элементы в узле области.

Управление планами тестирования
CSS, MANAGE_TEST_PLANS

Может изменять свойства плана тестирования, такие как параметры сборки и тестирования.

Примечание.

Рекомендуется добавить это разрешение для всех пользователей или групп вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле.

Управление наборами тестов
CSS, MANAGE_TEST_SUITES

Может создавать и удалять наборы тестов, добавлять и удалять тестовые варианты из наборов тестов, изменять конфигурации тестов, связанные с наборами тестов, и изменять иерархию наборов (переместить набор тестов).

Примечание.

Рекомендуется добавить это разрешение для всех пользователей или групп вручную, которым может потребоваться управлять планами тестирования или наборами тестов в этом узле.

Просмотр разрешений для этого узла

Можно просмотреть параметры безопасности для узла пути к области.

Просмотр рабочих элементов на этом узле CSS, GENERIC_READ

Может просматривать, но не изменять рабочие элементы в этом узле.

Примечание.

Если в этом узлезадано значение "Вид рабочих элементов", пользователь не сможет видеть рабочие элементы в этом узле. Запрет переопределяет любое неявное разрешение, даже для пользователей, являющихся членами административных групп.

Путь итерации (уровень объекта)

Разрешения пути итерации предоставляют или ограничивают доступ к созданию путей итерации и управлению итерацией, а также называются спринтами.

Управление безопасностью каждого пути итерации с веб-портала или с помощью средства командной строки TFSSecurity.

Члены группы "Проект Администратор istrator" автоматически предоставляются эти разрешения для каждой итерации, определенной для проекта. Рекомендуется предоставить администраторам групп, мастерам scrum или командам разрешения на создание, изменение или удаление узлов итерации.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Создание дочерних узлов
Iteration, CREATE_CHILDREN

Может создавать узлы итерации. Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел ", могут перемещать или изменять порядок всех дочерних узлов итерации.

Примечание.

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп вручную, которые могут потребоваться удалить, добавить или переименовать узлы итерации.

Удаление этого узла
Iteration, DELETE

Пользователи, имеющие как это разрешение, так и разрешение "Изменить этот узел " для другого узла, могут удалять узлы итерации и переклассифицировать существующие рабочие элементы из удаленного узла. Если удаленный узел имеет дочерние узлы, эти узлы также удаляются.

Примечание.

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп вручную, которые могут потребоваться удалить, добавить или переименовать узлы итерации.

Изменение этого узла
Iteration, GENERIC_WRITE

Может задать разрешения для этого узла и переименовать узлы итерации.

Примечание.

Рассмотрите возможность добавления этого разрешения для всех пользователей или групп вручную, которые могут потребоваться удалить, добавить или переименовать узлы итерации.

Просмотр разрешений для этого узла
Iteration, GENERIC_READ

Можно просмотреть параметры безопасности для этого узла.

Примечание.

Члены коллекции проектов допустимых пользователей, допустимых пользователей проекта или любой пользователь или группа, имеющие сведения о уровне коллекции или просмотр сведений о уровне проекта, могут просматривать разрешения любого узла итерации.

Запрос рабочего элемента и папка запроса (уровень объекта)

Управление разрешениями папки запросов и запросов с помощью веб-портала. Все эти разрешения предоставляются Администратор istratorами проекта. Участники предоставляются только разрешения на чтение. Рассмотрите возможность предоставления разрешений на участие пользователям или группам, которым требуется возможность создавать и совместно использовать запросы рабочих элементов для проекта.

Рассмотрите возможность предоставления разрешений на участие пользователям или группам, которым требуется возможность создавать и совместно использовать запросы рабочих элементов для проекта. Дополнительные сведения см. в разделе "Настройка разрешений для запросов".

Примечание.

Для создания диаграмм запросов требуется базовый доступ.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Способствуют
WorkItemQueryFolders, Contribute

Может просматривать и изменять папку запроса или сохранять запросы в папке.

Delete
WorkItemQueryFolders, Delete

Может удалить папку запроса или запроса и ее содержимое.

Управление разрешениями
WorkItemQueryFolders, ManagePermissions

Может управлять разрешениями для этой папки запроса или запроса.

Прочитать
WorkItemQueryFolders, Read

Может просматривать и использовать запрос или запросы в папке, но не может изменять содержимое запроса или папки запроса.

Планы доставки (уровень объекта)

Управление разрешениями плана с помощью веб-портала. Управление разрешениями для каждого плана с помощью диалогового окна "Безопасность". Средства Администратор istrator проекта предоставляют все разрешения на создание, изменение и управление планами. Допустимые пользователи предоставляют разрешения на просмотр (только для чтения).

Разрешение (пользовательский интерфейс)

Namespace permission

Description

Delete
Plan, Delete

Может удалить выбранный план.

Правка
Plan, Edit

Может изменять конфигурацию и параметры, определенные для выбранного плана.

Управляющим
Plan, Manage

Может управлять разрешениями для выбранного плана.

Вид
Plan, View

Может просматривать списки планов, открывать и взаимодействовать с планом, но не может изменять конфигурацию плана или параметры.

Процесс (уровень объекта)

Вы можете управлять разрешениями для каждого наследуемого процесса, создаваемого на веб-портале. Управление разрешениями для каждого процесса с помощью диалогового окна "Безопасность". Коллекции проектов Администратор istrators предоставляются все разрешения на создание, редактирование и управление процессами. Допустимые пользователи предоставляют разрешения на просмотр (только для чтения).

Разрешение (пользовательский интерфейс)

Namespace permission

Description

разрешения процесса Администратор ister
Process, AdministerProcessPermissions

Может задать или изменить разрешения для наследуемого процесса.

Процесс удаления
Process, Delete

Может удалить унаследованный процесс.

Процесс редактирования
Process, Edit

Может создавать унаследованный процесс из системного процесса или копировать или изменять унаследованный процесс.

Теги рабочих элементов

Вы можете управлять разрешениями тегов с помощью разрешения безопасности az devops или средств командной строки TFSSecurity . Участники могут добавлять теги в рабочие элементы и использовать их для быстрого фильтрации невыполненной работы, доски или представления результатов запроса.

Разрешение (пользовательский интерфейс)

Namespace permission

Description

---

Создание определения тега
Tagging, Create

Может создавать новые теги и применять их к рабочим элементам. Пользователи без этого разрешения могут выбрать только существующий набор тегов для проекта.

Примечание.

По умолчанию участникам назначено разрешение на определение тега create. Несмотря на то, что разрешение "Создать определение тега" отображается в параметрах безопасности на уровне проекта, разрешения тегов на самом деле являются разрешениями уровня коллекции, которые область на уровне проекта, когда они отображаются в пользовательском интерфейсе. Чтобы область разрешения на добавление тегов в один проект при использовании средства командной строки, необходимо указать GUID проекта в рамках синтаксиса команды. В противном случае изменение будет применяться ко всей коллекции. Помните об этом при изменении или настройке этих разрешений.

Удаление определения тега
Tagging, Delete

Может удалить тег из списка доступных тегов для этого проекта.

Примечание.

Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью средства командной строки. Кроме того, не существует пользовательского интерфейса для явного удаления тега. Вместо этого, если тег не используется в течение 3 дней, система автоматически удаляет его.

Перечисление определения тега
Tagging, Enumerate

Может просмотреть список тегов, доступных для рабочего элемента в проекте. Пользователи без этого разрешения не будут иметь список доступных тегов, из которых можно выбрать в форме рабочего элемента или в редакторе запросов.

Примечание.

Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью средства командной строки. Сведения о уровне проекта неявно позволяют пользователям просматривать существующие теги.

Обновление определения тега
Tagging, Update

Может переименовать тег с помощью REST API.

Примечание.

Это разрешение не отображается в пользовательском интерфейсе. Его можно задать только с помощью средства командной строки.

Выпуск (уровень объекта)

Управление разрешениями для каждого выпуска, определенного на веб-портале. Администратор истаторы проекта и Администратор истаторы выпуска предоставляются всем разрешениям на управление выпусками. Эти разрешения работают в иерархической модели на уровне проекта, для определенного конвейера выпуска или для определенной среды в конвейере выпуска. В этой иерархии разрешения можно наследовать от родительского или переопределенного.

Примечание.

Группа выпуска Администратор istrator уровня проекта создается одновременно с первым конвейером выпуска.

Кроме того, вы можете назначить утверждающих определенным шагам в конвейере выпуска, чтобы убедиться, что развернутые приложения соответствуют стандартам качества.

В разделе "Управление выпусками" определены следующие разрешения. В столбце область объясняется, можно ли задать разрешение на уровне проекта, конвейера выпуска или среды.

Разрешение

Description

Области действия

разрешения на выпуск Администратор

Может изменить любой из других разрешений, перечисленных здесь.

Проект, конвейер выпуска, среда

Создание выпусков

Может создавать новые выпуски.

Проект, конвейер выпуска

Удаление конвейера выпуска

Может удалять конвейеры выпуска.

Проект, конвейер выпуска

Удаление среды выпуска

Может удалять среды в конвейерах выпуска.

Проект, конвейер выпуска, среда

Удаление выпусков

Может удалять выпуски для конвейера.

Проект, конвейер выпуска

Изменение конвейера выпуска

Может добавлять и изменять конвейер выпуска, включая переменные конфигурации, триггеры, артефакты и политику хранения, а также конфигурацию в среде конвейера выпуска. Чтобы внести изменения в определенную среду в конвейере выпуска, пользователю также требуется разрешение на изменение среды выпуска.

Проект, конвейер выпуска

Изменение среды выпуска

Может изменять среды в конвейерах выпуска. Чтобы сохранить изменения в конвейере выпуска, пользователю также требуется разрешение на изменение конвейера выпуска. Это разрешение также определяет, может ли пользователь изменять конфигурацию в среде определенного экземпляра выпуска. Пользователю также требуется разрешение "Управление выпусками " для сохранения измененного выпуска.

Проект, конвейер выпуска, среда

Управление развертываниями

Может инициировать прямое развертывание выпуска в среде. Это разрешение предназначено только для прямых развертываний, инициируемых вручную, выбрав действие "Развернуть " в выпуске. Если для среды задано условие любого типа автоматического развертывания, система автоматически инициирует развертывание без проверка разрешения пользователя, создавшего выпуск.

Проект, конвейер выпуска, среда

Управление утверждающие выпуски

Может добавлять или изменять утверждающие для сред в конвейерах выпуска. Это разрешение также определяет, может ли пользователь изменять утверждающих в среде определенного экземпляра выпуска.

Проект, конвейер выпуска, среда

Управление выпусками

Может изменять конфигурацию выпуска, например этапы, утверждающие и переменные. Чтобы изменить конфигурацию конкретной среды в экземпляре выпуска, пользователю также требуется разрешение на изменение среды выпуска.

Проект, конвейер выпуска

Просмотр конвейера выпуска

Может просматривать конвейеры выпуска.

Проект, конвейер выпуска

Просмотр выпусков

Может просматривать выпуски, принадлежащие конвейерам выпуска.

Проект, конвейер выпуска

Значения по умолчанию для всех этих разрешений задаются для коллекций командных проектов и групп проектов. Например, коллекции проектов Администратор istrator, Project Администратор istrator и release Администратор istrators по умолчанию предоставляются все указанные выше разрешения. Участники получают все разрешения, кроме Администратор разрешений на выпуск. По умолчанию читатели запрещают все разрешения, кроме конвейера выпуска View и View release.

Разрешения группы задач (сборка и выпуск)

Управление разрешениями для групп задач из центра сборки и выпуска веб-портала. Все разрешения предоставляются Администратор строек, сборок и выпусков. Разрешения группы задач соответствуют иерархической модели. По умолчанию для всех разрешений можно задать на уровне проекта и переопределить определение отдельной группы задач.

Используйте группы задач, чтобы инкапсулировать последовательность задач, уже определенных в сборке или определении выпуска, в одну многократно используемую задачу. Определение групп задач и управление ими на вкладке "Группы задач" центра сборки и выпуска.

Разрешение	Description
разрешения группы задач Администратор	Может добавлять и удалять пользователей или группы в безопасность группы задач.
Удаление группы задач	Может удалить группу задач.
Изменение группы задач	Может создавать, изменять или удалять группу задач.

Уведомления или оповещения

Нет разрешений пользовательского интерфейса, связанных с управлением Уведомления по электронной почте или оповещениями. Вместо этого вы можете управлять ими с помощью разрешений безопасности az devops или средств командной строки TFSSecurity .

• По умолчанию члены группы участников уровня проекта могут подписываться на оповещения самостоятельно.
• Члены группы Администратор istrators коллекции проектов или пользователи, имеющие сведения об изменении уровня коллекции, могут задавать оповещения в этой коллекции для других пользователей или команды.
• Члены группы Администратор istrators Project или пользователи, имеющие сведения об изменении уровня проекта, могут задавать оповещения в этом проекте для других пользователей или команды.

Связанные статьи

• Начало работы с разрешениями, доступом и группами безопасности
• Средства управления безопасностью и разрешениями
• Справочник по пространству имен безопасности и разрешениям для Azure DevOps
• Учетные записи служб и зависимости
• Добавление пользователей в организацию (Azure DevOps Services)
• Добавление пользователей в команду или проект
• Добавление пользователей в роль администратора
• Создание пользователя администратором команды
• Устранение неполадок с разрешениями