Устранение неполадок с доступом и разрешениями
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Из-за обширной структуры безопасности и разрешений Azure DevOps вы можете исследовать, почему у пользователя нет доступа к проекту, службе или функции, которую они ожидают. Найдите пошаговые инструкции по пониманию и устранению проблем, с которыми может столкнуться член проекта при подключении к проекту или доступе к службе Или функции Azure DevOps.
Перед использованием этого руководства рекомендуется ознакомиться со следующим содержимым:
- Начало работы с разрешениями, доступом и группами безопасности
- Разрешения по умолчанию и краткий справочник по доступу.
Совет
При создании группы безопасности Azure DevOps наклейте ее таким образом, чтобы легко определить, если она создана для ограничения доступа.
Разрешения задаются на одном из следующих уровней:
- уровень объекта
- уровень проекта
- уровень организации или коллекции проектов
- роль безопасности
- Роль администратора команды
Распространенные проблемы с доступом и разрешениями
См. следующие наиболее распространенные причины, по которым член проекта не может получить доступ к проекту, службе или функции:
| Проблема | Устранение неполадок |
|---|---|
| Уровень доступа не поддерживает доступ к службе или функции. | Чтобы определить, является ли это причиной, определите уровень доступа пользователя и состояние подписки. |
| Их членство в группе безопасности не поддерживает доступ к функции или явно запрещено разрешение на функцию. | Чтобы определить, является ли это причиной, трассировка разрешения. |
| Пользователь недавно получил разрешение, однако для распознавания изменений требуется обновление. | Обновите или переоцените разрешения пользователя. |
| Пользователь пытается выполнить функцию, предоставленную только администратору команды для определенной команды, однако они не были предоставлены этой роли. | Чтобы добавить их в роль, см. статью "Добавить", удалить администратора команды. |
| Пользователь не включил функцию предварительной версии. | Откройте пользователем функции предварительной версии и определите состояние "вкл." для конкретной функции. Дополнительные сведения см. в разделе "Управление предварительными версиями функций". |
| Участник проекта добавлен в ограниченную группу безопасности область, например группу "Пользователи с областью проекта". | Чтобы определить, является ли это причиной, найдите членство в группах безопасности пользователя. |
Менее распространенные проблемы с доступом и разрешениями
Менее распространенные причины ограниченного доступа возникают при возникновении одного из следующих событий:
| Проблема | Устранение неполадок |
|---|---|
| Администратор проекта отключил службу. В этом случае никто не имеет доступа к отключенной службе. | Чтобы определить, отключена ли служба, см . раздел "Включение или отключение службы Azure DevOps". |
| Коллекция проектов Администратор istrator отключила функцию предварительной версии, которая отключает ее для всех членов проекта в организации. | См. раздел "Управление предварительными версиями функций". |
| Правила групп, управляющие уровнем доступа пользователя или членством в проекте, ограничивают доступ. | См. статью "Определение уровня доступа пользователя" и состояния подписки. |
| Пользовательские правила определены для рабочего процесса типа рабочего элемента. | См . правила, применяемые к типу рабочего элемента, ограничивающим операцию выбора. |
Определение уровня доступа пользователя и состояния подписки
Вы можете назначить пользователей или группы пользователей одному из следующих уровней доступа:
- Заинтересованное лицо
- Базовая
- План "Базовый" + планы тестирования
- Подписка Visual Studio
Дополнительные сведения об ограничении уровня доступа в Azure DevOps см. в статье "Поддерживаемые уровни доступа".
Чтобы использовать функции Azure DevOps, пользователи должны быть добавлены в группу безопасности с соответствующими разрешениями. Пользователям также нужен доступ к веб-порталу. Ограничения для выбора функций зависят от уровня доступа и группы безопасности, к которой назначается пользователь.
Пользователи могут потерять доступ по следующим причинам:
| Причина потери доступа | Устранение неполадок |
|---|---|
| Истек срок действия подписки пользователя на Visual Studio. | Между тем, этот пользователь может работать в качестве заинтересованных лиц или предоставить пользователю базовый доступ, пока пользователь не продлевает свою подписку. После входа пользователя Azure DevOps автоматически восстанавливает доступ. |
| Подписка Azure, используемая для выставления счетов, больше не активна. | Все покупки, сделанные с этой подпиской, затрагиваются, включая подписки Visual Studio. Чтобы устранить эту проблему, посетите портал учетной записи Azure. |
| Подписка Azure, используемая для выставления счетов, удалена из вашей организации. | Дополнительные сведения о связывании организации |
В противном случае в первый день календарного месяца пользователи, которые не вошли в вашу организацию в течение самого длительного времени, теряют доступ. Если у вашей организации есть пользователи, которым больше не нужен доступ, удалите их из вашей организации.
Дополнительные сведения о разрешениях см. в разделе "Разрешения и группы" и в руководстве по поиску разрешений.
Трассировка разрешения
Используйте трассировку разрешений, чтобы определить, почему разрешения пользователя не разрешают им доступ к определенной функции или функции. Узнайте, как пользователь или администратор могут исследовать наследование разрешений. Чтобы отследить разрешение на веб-портале, откройте страницу разрешений или безопасности соответствующего уровня. Дополнительные сведения см. в статье "Запрос на увеличение уровней разрешений".
Если у пользователя возникли проблемы с разрешениями и вы используете группы безопасности по умолчанию или настраиваемые группы для разрешений, вы можете изучить, откуда эти разрешения приходят с помощью трассировки разрешений. Проблемы с разрешениями могут возникать из-за задержки изменений. Это может занять до 1 часа для членства в группах Microsoft Entra или изменений разрешений для распространения по всему Azure DevOps. Если у пользователя возникли проблемы, которые не устраняются немедленно, подождите день, чтобы узнать, устраните ли они проблемы. Дополнительные сведения об управлении пользователями и доступом см. в статье "Управление пользователями и доступом в Azure DevOps".
Если у пользователя возникли проблемы с разрешениями и вы используете группы безопасности по умолчанию или настраиваемые группы для разрешений, вы можете изучить, откуда эти разрешения приходят с помощью трассировки разрешений. Проблемы с разрешениями могут быть вызваны тем, что у пользователя нет необходимого уровня доступа.
Пользователи могут получать свои действующие разрешения напрямую или через группы.
Выполните следующие действия, чтобы администраторы могли понять, откуда именно эти разрешения приходят, и настроить их по мере необходимости.
Выберите "Пользователи>>разрешений проекта" и выберите пользователя.
Теперь у вас должно быть представление, определяющее, какие разрешения у них есть.
Чтобы отследить, почему у пользователя есть или нет указанных разрешений, выберите значок сведений рядом с разрешением.
Результирующая трассировка позволяет узнать, как они наследуют указанные разрешения. Затем вы можете настроить разрешения пользователя, изменив разрешения, предоставленные для групп, в которых они находятся.
Выберите "Безопасность параметров>проекта" и введите имя пользователя в поле фильтра.
Теперь у вас должно быть представление, определяющее, какие разрешения у них есть.
Трассировка того, почему у пользователя нет разрешений, указанных в списке. Наведите указатель мыши на разрешение и выберите "Почему".
Результирующая трассировка позволяет узнать, как они наследуют указанные разрешения. Затем вы можете настроить разрешения пользователя, изменив разрешения, предоставленные для групп, в которых они находятся.
Дополнительные сведения см. в разделе "Предоставление или ограничение доступа" для выбора функций и функций или запроса увеличения уровней разрешений.
Обновление или повторное вычисление разрешений
См. следующий сценарий, в котором может потребоваться обновление или повторное вычисление разрешений.
Проблема
Пользователи добавляются в группу Azure DevOps или Microsoft Entra. Это действие предоставляет унаследованный доступ к организации или проекту. Но они не получают доступ немедленно. Пользователи должны ждать или выходить, закрывать браузер, а затем выполнять вход, чтобы обновить свои разрешения.
Пользователи добавляются в группу Azure DevOps. Это действие предоставляет унаследованный доступ к организации или проекту. Но они не получают доступ немедленно. Пользователи должны ждать или выходить, закрывать браузер, а затем выполнять вход, чтобы обновить свои разрешения.
Решение
В параметрах пользователя на странице "Разрешения" можно выбрать повторную оценку разрешений. Эта функция повторно оценивает членство в группах и разрешения, а затем все последние изменения вступили в силу немедленно.
Правила, применяемые к типу рабочего элемента, ограничивающим операции выбора
Перед настройкой процесса рекомендуется ознакомиться с настройкой и настройкой Досок Azure, которая содержит рекомендации по настройке Azure Boards в соответствии с вашими бизнес-потребностями.
Дополнительные сведения о правилах типов рабочих элементов, применяемых к ограничению операций, см. в следующих статье:
- Применение правил к состояниям рабочего процесса (процесс наследования)
- Примеры сценариев правил
- Определение путей к областям и назначение их команде
Скрытие параметров организации от пользователей
Если пользователь ограничен просмотром только своих проектов или просмотром параметров организации, то следующие сведения могут объяснить, почему. Чтобы ограничить доступ пользователей к параметрам организации, можно включить ограничение видимости пользователей и совместную работу с определенными проектами . Дополнительные сведения, включая важные вызовы, связанные с безопасностью, см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
Примеры ограниченных пользователей включают заинтересованных лиц, гостевых пользователей Microsoft Entra или членов группы безопасности. После включения любой пользователь или группа, добавленная в группу "Пользователи с областью проекта", ограничена доступом к страницам организации Параметры, кроме обзора и проектов. Они ограничены доступом только к тем проектам, к которым они были добавлены.
Примеры ограниченных пользователей включают заинтересованных лиц или членов группы безопасности. После включения любой пользователь или группа, добавленная в группу "Пользователи с областью проекта", ограничена доступом к страницам организации Параметры, кроме обзора и проектов. Они ограничены доступом только к тем проектам, к которым они были добавлены.
Дополнительные сведения о скрытии параметров организации от пользователей см. в статье "Управление организацией", "Ограничение видимости пользователей" для проектов и т. д.
Просмотр, добавление и управление разрешениями с помощью CLI
Вы можете просматривать, добавлять и управлять разрешениями на более детальном уровне с помощью az devops security permission команд. Дополнительные сведения см. в разделе "Управление разрешениями" с помощью средства командной строки.
Группы правил с меньшими разрешениями
Типы правил групп получают ранжирование в следующем порядке: подписчик > базовый и тестовый план основных > заинтересованных > лиц. Пользователи всегда получают лучший уровень доступа между всеми правилами группы, включая подписку Visual Studio (VS).
Примечание.
- Изменения, внесенные в средства чтения проектов с помощью правил группы, не сохраняются. Если необходимо настроить средства чтения проектов, рассмотрите альтернативные методы, такие как прямое назначение или пользовательские группы безопасности.
- Рекомендуется регулярно просматривать правила, перечисленные на вкладке "Правила группы" страницы "Пользователи". Если какие-либо изменения вносятся в членство в группе идентификаторов Microsoft Entra, эти изменения отображаются в следующей повторной оценке правил группы, которые можно выполнить по запросу, когда правило группы изменяется или автоматически каждые 24 часа. Azure DevOps обновляет членство в группе Microsoft Entra каждый час, но для обновления динамического членства в группах может потребоваться до 24 часов.
В следующих примерах показано, как факторы обнаружения подписчиков в правила группы.
Пример 1. Правило группы дает мне больше доступа
Если у меня есть подписка VS Pro, и я в групповом правиле, которое дает мне базовые и тестовые планы - что происходит?
Ожидается: я получаю базовые и тестовые планы, так как правило группы дает мне больше, чем моя подписка. Назначение правила группы всегда обеспечивает больший доступ, а не ограничение доступа.
Пример 2. Правило группы дает мне тот же доступ
У меня есть подписка Visual Studio Test Pro, и я в групповом правиле, которое дает мне базовые и тестовые планы — что происходит?
Ожидается: я обнаружен в качестве подписчика Visual Studio Test Pro, так как доступ совпадает с правилом группы. Я уже платю за Visual Studio Test Pro, поэтому я не хочу платить еще раз.
Работа с GitHub
Ознакомьтесь со следующими сведениями об устранении неполадок при попытке развернуть код в Azure DevOps с помощью GitHub.
Проблема
Вы не можете перенести остальную часть вашей команды в организацию и проект, несмотря на добавление их в качестве участников организации и проектов. Они получают сообщения электронной почты, но при входе они получают ошибку 401.
Решение
Скорее всего, вы вошли в Azure DevOps с неправильным удостоверением. Выполните следующие шаги.
Закройте все браузеры, включая браузеры, не работающие под управлением Azure DevOps.
Откройте частный или инкогнито сеанс просмотра.
Перейдите по следующему URL-адресу: https://aka.ms/vssignout
В сообщении отображается сообщение "Выйдите в процессе выполнения". После выхода вы будете перенаправлены на dev.azure.microsoft.com.
Снова войдите в Azure DevOps . Выберите другое удостоверение.
Другие области, в которых могут применяться разрешения
- Разрешения пути к области
- Теги рабочих элементов
- Перемещение рабочих элементов из проекта
- Удаленные рабочие элементы
- Краткое руководство по разрешениям по умолчанию и доступу к Azure Boards
- Пользовательские правила
- Примеры сценариев настраиваемых правил
- Пользовательские невыполненные работы и доски
- Пользовательские элементы управления
Связанные статьи
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по