Предоставление или ограничение доступа с помощью разрешений
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Вы можете предоставить или ограничить доступ к ресурсам, которыми вы управляете в Azure DevOps. Вам может потребоваться открыть или закрыть доступ к выбору набора функций и для выбранного набора пользователей. Хотя встроенные группы безопасности предоставляют стандартный набор назначений разрешений, может потребоваться больше требований безопасности, которые не соответствуют этим назначениям.
Если вы не знакомы с администрированием разрешений и групп, ознакомьтесь со статьей Начало работы с разрешениями, доступом и группами безопасности, чтобы узнать о состояниях разрешений и наследовании.
В этой статье вы узнаете, как выполнить следующие задачи:
- Рекомендуемый метод предоставления и ограничения разрешений
- Делегирование задач путем назначения разрешений определенным ролям
- Ограничение видимости пользователей для сведений о организации
- Ограничение выбора пользователей для проектов и групп
- Ограничение доступа к просмотру или изменению объектов
- Ограничение изменения рабочих элементов на основе пользователя или группы
- Рекомендуемый метод предоставления и ограничения разрешений
- Делегирование задач путем назначения разрешений определенным ролям
- Ограничение доступа к просмотру или изменению объектов
- Ограничение изменения рабочих элементов на основе пользователя или группы
Совет
Так как вы устанавливаете множество разрешений на уровне объекта, например репозитории и пути к областям, структура проекта определяет области, которые можно открыть или закрыть.
Рекомендуемый метод предоставления и ограничения разрешений
В целях обслуживания рекомендуется использовать встроенные группы безопасности или пользовательские группы безопасности для управления разрешениями.
Невозможно изменить параметры разрешений для группы Администратор istrator Project или группы Администратор istrator для коллекции проектов, которая выполняется по проектированию. Однако для всех остальных групп можно изменить разрешения.
Если вы управляете несколькими пользователями, вы можете найти изменение отдельных разрешений допустимым вариантом. Однако настраиваемые группы безопасности позволяют лучше отслеживать роли и разрешения, назначенные этим ролям.
Делегировать задачи определенным ролям
Как администратор или владелец учетной записи, рекомендуется делегировать административные задачи тем участникам группы, которые ведут или управляют областью. Ниже перечислены некоторые из основных встроенных ролей, которые предоставляют разрешения по умолчанию и назначения ролей:
- Читатели
- Соавторы
- Команда Администратор istrator (роль)
- Администраторы проектов
- Коллекции проектов Администратор istrator
Сводка разрешений для указанных выше ролей см. в разделе "Разрешения и доступ по умолчанию" или "Коллекция проектов" Администратор istrators, см. в разделе "Изменение разрешений на уровне коллекции проектов".
Чтобы делегировать задачи другим членам организации, попробуйте создать пользовательскую группу безопасности, а затем предоставить разрешения, как указано в следующей таблице.
Роль
Задачи для выполнения
Разрешения для задания разрешения
Руководитель разработки (Git)
Управление политиками ветви
Изменение политик, принудительное отправка и управление разрешениями
См. раздел "Задать разрешения ветви".
Ведущий разработчик (TFVC)
Управление репозиторием и ветвями
Администратор метки, управление ветвью и управление разрешениями
См. раздел "Задать разрешения репозитория TFVC".
Архитектор программного обеспечения (Git)
Управление репозиториями
Создание репозиториев, принудительной отправки и управления разрешениями
См. раздел "Настройка разрешений репозитория Git"
Администраторы группы
Добавление путей к области для своей команды
Добавление общих запросов для своей команды
Создание дочерних узлов, удаление этого узла, изменение этого узла см. в разделе "Создание дочерних узлов", изменение рабочих элементов в пути к области
Участие, удаление, управление разрешениями (для папки запроса) см. в разделе "Настройка разрешений запроса".
Соавторы
Добавление общих запросов в папку запроса, участие в панелях мониторинга
Участие, удаление (для папки запроса) см. раздел "Настройка разрешений запроса"
Просмотр, изменение панелей мониторинга и управление ими см. в разделе "Настройка разрешений панели мониторинга".
Проект или менеджер по продуктам
Добавление путей к областям, путей итерации и общих запросов
Удаление и восстановление рабочих элементов, перемещение рабочих элементов из этого проекта, окончательное удаление рабочих элементов
Изменение сведений о уровне проекта см. в разделе "Изменение разрешений на уровне проекта".
Диспетчер шаблонов процессов (модель процесса наследования)
Настройка отслеживания работы
Администратор разрешения на процесс, создание новых проектов, создание процесса, удаление поля из учетной записи, удаление процесса, удаление проекта, изменение процесса
См. раздел "Изменение разрешений на уровне коллекции проектов".
Диспетчер шаблонов процессов (модель размещенного XML-процесса)
Настройка отслеживания работы
Изменение сведений на уровне коллекции см. в разделе "Изменение разрешений на уровне коллекции проекта".
Управление проектами (локальная модель процесса XML)
Настройка отслеживания работы
Изменение сведений о уровне проекта см. в разделе "Изменение разрешений на уровне проекта".
Диспетчер разрешений
Управление разрешениями для проекта, учетной записи или коллекции
Изменение сведений о уровне проекта для проекта
Изменение сведений об уровне экземпляра (или уровне коллекции) для учетной записи или коллекции
Сведения о область этих разрешений см. в руководстве по поиску разрешений. Чтобы запросить изменение разрешений, см . запрос на увеличение уровней разрешений.
Вы также можете предоставить разрешения для управления разрешениями для следующих объектов:
Ограничение видимости пользователей для сведений о организации и проекте
Внимание
- Функции ограниченной видимости, описанные в этом разделе, применяются только к взаимодействиям через веб-портал. С помощью команд REST API или
azure devopsCLI члены проекта могут получить доступ к ограниченным данным. - Гостевые пользователи, являющиеся членами ограниченной группы с доступом по умолчанию в идентификаторе Microsoft Entra ID, не могут искать пользователей с помощью средства выбора людей. Если функция предварительной версии отключена для организации или когда гостевые пользователи не являются членами ограниченной группы, гостевые пользователи могут выполнять поиск всех пользователей Microsoft Entra, как ожидалось.
По умолчанию пользователи, добавленные в организацию, могут просматривать все сведения о организации и проекте и параметры. Чтобы ограничить доступ только к тем проектам, к которым вы добавляете пользователей, можно включить ограничение видимости пользователей и совместную работу с определенными проектами в предварительной версии функции для организации. Дополнительные сведения см. в разделе "Управление предварительными версиями функций".
С включенной функцией пользователи, добавленные в группу "Пользователи с областью проекта", не могут просматривать большинство параметров организации и могут подключаться только к этим проектам, к которым они были добавлены.
Предупреждение
Если для организации включена функция "Ограничить видимость пользователей и совместная работа с определенными проектами", пользователи область проекта не могут искать пользователей, которые были добавлены в организацию через членство в группах Microsoft Entra, а не через явное приглашение пользователя. Это непредвиденное поведение, и решение работает. Чтобы самостоятельно устранить эту проблему, отключите функцию ограничения видимости пользователей и совместной работы в определенных проектах предварительной версии для организации.
Ограничение выбора пользователей для проектов и групп
Для организаций, которые управляют своими пользователями и группами с помощью идентификатора Microsoft Entra ID, средства выбора людей поддерживают поиск всех пользователей и групп, добавленных в идентификатор Microsoft Entra, а не только тех пользователей или групп, добавленных в проект. Люди средства выбора поддерживают следующие функции Azure DevOps:
- Выбор удостоверения пользователя из поля удостоверения отслеживания работы, например "Назначено"
- Выбор пользователя или группы с помощью @упоминание в обсуждении рабочего элемента или поле с форматированным текстом, обсуждение запроса на вытягивание, фиксация примечаний или набор изменений или примечаний с набором полок
- Выбор пользователя или группы с помощью @упоминание на вики-странице
Как показано на следующем рисунке, вы просто начинаете вводить в поле выбора людей, пока не найдете совпадение с именем пользователя или группой безопасности.
Пользователи и группы, добавленные в группу "Пользователи с областью проекта" , могут просматривать и выбирать пользователей и группы в проекте, к которому они подключены из средства выбора людей. Чтобы область средства выбора людей для всех участников проекта, см. статью "Управление организацией", "Ограничить поиск удостоверений" и "Выбор".
Ограничение доступа к просмотру или изменению объектов
Azure DevOps предназначен для того, чтобы все допустимые пользователи могли просматривать все объекты, определенные в системе. Вы можете ограничить доступ к ресурсам, задав для разрешения значение "Запретить". Вы можете задать разрешения для участников, принадлежащих пользовательской группе безопасности или для отдельного пользователя. Дополнительные сведения о настройке этих типов разрешений см. в статье "Запрос на увеличение уровней разрешений".
Область для ограничения
Разрешения для задания запрета
Просмотр или участие в репозитории
Просмотр, участие
См. раздел "Установка разрешений репозитория Git" или "Задать разрешения репозитория TFVC".
Просмотр, создание или изменение рабочих элементов в пути к области
Изменение рабочих элементов в этом узле, просмотр рабочих элементов в этом узле
См. раздел "Настройка разрешений и доступа для отслеживания работы", "Изменение рабочих элементов" в пути к области.
Просмотр или обновление конвейеров сборки и выпуска
Изменение конвейера сборки, просмотр конвейера сборки
Изменение конвейера выпуска, просмотр конвейера выпуска
Эти разрешения задаются на уровне объекта. См. раздел "Установка разрешений на сборку и выпуск".
Изменение панели мониторинга
Просмотр панелей мониторинга
См. раздел "Настройка разрешений панели мониторинга".
Ограничение изменения рабочих элементов или выбор полей
Примеры, демонстрирующие ограничение изменения рабочих элементов или выбор полей, см . в примерах сценариев правил.
Следующие шаги
Связанные статьи
- Устранение неполадок с разрешениями
- Правила и оценка правил
- Разрешения и доступ по умолчанию
- Руководство по поиску разрешений
- Начало работы с разрешениями, доступом и группами безопасности
- Справочник по разрешениям и группам
- Изменение разрешений на уровне проекта
- Изменение разрешений на уровне коллекции проектов
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по