Kom igång med behörigheter, åtkomst och säkerhetsgrupper

Azure DevOps Services-| Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

När det gäller åtkomst till en Azure DevOps-funktion är det bra att förstå följande viktiga begrepp.

  • Om behörigheter:

    • Alla användare som läggs till i Azure DevOps läggs till i en eller flera standardsäkerhetsgrupper.
    • Säkerhetsgrupper tilldelas behörigheter som antingen tillåter eller nekar åtkomst till en funktion eller uppgift.
    • Medlemmar i en säkerhetsgrupp ärver de behörigheter som tilldelats gruppen.
    • Behörigheter definieras på olika nivåer: organisation/samling, projekt eller objekt.
    • Andra behörigheter hanteras via rollbaserade tilldelningar, till exempel teamadministratör, tilläggshantering och olika pipelineresursroller.
    • Administratörer kan definiera anpassade säkerhetsgrupper för att hantera behörigheter för olika funktionsområden.
  • Om åtkomstnivåer:

    • Alla användare som läggs till i Azure DevOps tilldelas till en åtkomstnivå, vilket ger eller begränsar åtkomsten till utvalda webbportalfunktioner.
    • Det finns tre huvudsakliga åtkomstnivåer: Intressent-, Basic- och Basic + Test-planer.
    • Intressentåtkomst ger kostnadsfri åtkomst till ett obegränsat antal användare till en begränsad uppsättning funktioner. Mer information finns i Snabbreferens för intressentåtkomst.
  • Om förhandsgranskningsfunktioner:
    • När nya funktioner introduceras kan användarna aktivera eller inaktivera dem via förhandsversionsfunktioner för att få åtkomst till dem.
    • En liten delmängd av nya funktioner hanteras på organisationsnivå och aktiveras eller inaktiveras av organisationsägare.

Till exempel läggs de flesta Azure DevOps-användare till i säkerhetsgruppen Deltagare och beviljas grundläggande åtkomstnivå. Gruppen Deltagare ger läs- och skrivåtkomst till lagringsplatser, arbetsspårning, pipelines med mera. Grundläggande åtkomst ger åtkomst till alla funktioner och uppgifter för att använda Azure Boards, Azure Repos, Azure Pipelines och Azure Artifacts. Användare som behöver åtkomst för att hantera Azure-testplaner måste beviljas grundläggande + testplaner eller avancerad åtkomst.

Administratörer bör läggas till i gruppen Projektsamlingsadministratörer eller Projektadministratörer. Administratörer hanterar säkerhetsgrupper och behörigheter från webbportalen, främst från Projektinställningar. Deltagare hanterar även behörigheter för objekt som de skapar från webbportalen.

En översikt över standardbehörigheter finns i Snabbreferens för standardbehörigheter.

Säkerhetsgrupper och medlemskap

När du skapar en organisation, samling eller ett projekt skapar Azure DevOps en uppsättning standardsäkerhetsgrupper som tilldelas automatiskt standardbehörigheter. Ytterligare säkerhetsgrupper definieras med följande åtgärder:

  • När du skapar anpassade säkerhetsgrupper på följande nivåer:
    • Projektnivå
    • Organisations- eller samlingsnivå
    • Servernivå (endast lokalt)
  • När du lägger till ett team skapas en gruppsäkerhetsgrupp

Tips

Du kan inte skapa en säkerhetsgrupp på objektnivå, men du kan tilldela en anpassad grupp till en objektnivå och tilldela behörigheter till den nivån. Mer information om behörigheter på objektnivå finns i Ange behörigheter på objektnivå.

Standardsäkerhetsgrupper

Följande säkerhetsgrupper definieras som standard för varje projekt och organisation. Du lägger vanligtvis till användare eller grupper i grupperna Läsare, Deltagare eller Projektadministratörer .

Project Organisation eller samling
– Skapa administratörer
- Deltagare
– Projektadministratörer
- Projekt giltiga användare
- Läsare
– Versionsadministratörer
- TeamName Team
– Projektsamlingsadministratörer
– Byggadministratörer för projektsamling
– Skapa tjänstkonton för projektsamling
– Proxytjänstkonton för projektsamling
– Tjänstkonton för projektsamling
– Testtjänstkonton för projektsamling
– Giltiga användare i projektsamlingen
- Project-Scoped användare
– Säkerhetstjänstgrupp

En beskrivning av var och en av dessa grupper finns i Säkerhetsgrupper, tjänstkonton och behörigheter. Standardbehörighetstilldelningar som görs till de vanligaste standardsäkerhetsgrupperna finns i Standardbehörigheter och åtkomst.

Följande säkerhetsgrupper definieras som standard för varje projekt- och projektsamling. Du lägger vanligtvis till användare eller grupper i grupperna Läsare, Deltagare eller Projektadministratörer .

Anteckning

Följande lista visar de senaste grupperna som definierats för TFS 2017 och senare versioner. För tidigare versioner av Azure DevOps kan listan skilja sig åt. Lägg bara till tjänstkonton i Azure DevOps-tjänstkontogrupper. Information om giltiga användargrupper finns i Giltiga användargrupper senare i den här artikeln.

Projektnivå Samlingsnivå
– Skapa administratörer
- Deltagare
– Projektadministratörer
- Projekt giltiga användare
- Läsare
– Versionsadministratörer
- TeamName Team
– Projektsamlingsadministratörer
– Byggadministratörer för projektsamling
– Skapa tjänstkonton för projektsamling
– Proxytjänstkonton för projektsamling
– Tjänstkonton för projektsamling
– Testtjänstkonton för projektsamling
– Giltiga användare i projektsamlingen
– Säkerhetstjänstgrupp

Tips

För användare som har till uppgift att hantera funktioner på projektnivå – till exempel team, områdes- och iterationssökvägar, lagringsplatser, tjänstkrokar och tjänstslutpunkter – lägger du till dem i gruppen Projektadministratörer . För användare som har till uppgift att hantera funktioner på organisations- eller samlingsnivå – till exempel projekt, principer, processer, kvarhållningsprinciper, agent- och distributionspooler och tillägg – lägger du till dem i gruppen Administratörer för projektsamling . Mer information finns i Om inställningar på användar-, team-, projekt- och organisationsnivå.

En beskrivning av varje grupp och varje behörighet finns i Behörigheter och gruppreferens, Grupper.

Hantering av medlemskap, behörighet och åtkomstnivå

Azure DevOps styr åtkomsten via dessa tre sammankopplade funktionsområden:

  • Medlemskapshantering stöder tillägg av enskilda användarkonton och grupper i standardsäkerhetsgrupper. Varje standardgrupp är associerad med en uppsättning standardbehörigheter. Alla användare som läggs till i en säkerhetsgrupp läggs till i gruppen Giltiga användare. En giltig användare är någon som kan ansluta till ett projekt, en samling eller en organisation.

  • Behörighetshantering styr åtkomsten till specifika funktionella uppgifter på olika nivåer i systemet. Behörigheter på objektnivå anger behörigheter för en fil, mapp, bygg-pipeline eller en delad fråga. Behörighetsinställningarna motsvarar Tillåt, Neka, Ärvd tillåtelse, Ärvt nekad och Inte inställd. Mer information om arv finns i Behörighetsarv och säkerhetsgrupper senare i den här artikeln.

  • Åtkomstnivåhantering styr åtkomsten till webbportalfunktioner. Baserat på vad som har köpts för en användare anger administratörer användarens åtkomstnivå till Intressent, Basic, Basic + Test eller Visual Studio Enterprise (tidigare Avancerat).

Varje funktionsområde använder säkerhetsgrupper för att förenkla hanteringen i hela distributionen. Du lägger till användare och grupper genom webbadministrationskontexten. Behörigheterna anges automatiskt baserat på i vilken säkerhetsgrupp du lägger till användarna, eller baserat på det objekt, projekt, den samling eller servernivå där du lägger till grupper.

Medlemmar i säkerhetsgrupper kan vara en kombination av användare, andra grupper och Azure Active Directory-grupper.

Medlemmar i säkerhetsgrupper kan vara en kombination av användare, andra grupper och Active Directory-grupper eller en arbetsgrupp.

Du kan skapa lokala grupper eller Active Directory-grupper (AD) för att hantera dina användare.

Active Directory och Azure Active Directory-säkerhetsgrupper

Du kan fylla i säkerhetsgrupper genom att lägga till enskilda användare. För enkel hantering är det dock enklare om du fyller i dessa grupper med hjälp av Azure Active Directory (Azure AD) för Azure DevOps Services och Active Directory (AD) eller Windows-användargrupper för Azure DevOps Server. Med den här metoden kan du hantera gruppmedlemskap och behörigheter mer effektivt på flera datorer.

Om du bara behöver hantera en liten uppsättning användare kan du hoppa över det här steget. Men om du förutser att din organisation kan växa kanske du vill konfigurera AD eller Azure AD. Om du planerar att betala för extra tjänster måste du också konfigurera Azure AD för användning med Azure DevOps för att stödja fakturering.

Anteckning

Utan Azure AD måste alla Azure DevOps-användare logga in med Microsoft-konton och du måste hantera kontoåtkomst för enskilda användarkonton. Även om du hanterar kontoåtkomst med Microsoft-konton måste du konfigurera en Azure-prenumeration för att kunna hantera faktureringen.

Information om hur du konfigurerar Azure Active Directory för användning med Azure DevOps Services finns i Ansluta din organisation till Azure Active Directory.

Anteckning

När din organisation är ansluten till Azure Active Directory finns det ett antal organisationsprinciper som du kan aktivera eller inaktivera för att skydda din organisation. Mer information finns i Om säkerhet, autentisering och auktorisering, Säkerhetsprinciper.

Information om hur du hanterar organisationsåtkomst med Azure AD finns i följande artiklar:

Information om hur du konfigurerar Active Directory för användning med Azure DevOps Server finns i följande artiklar:

Normalt bör du installera Active Directory innan du installerar Azure DevOps Server.

Giltiga användargrupper

När du lägger till konton för användare direkt i en säkerhetsgrupp läggs de automatiskt till i en av de giltiga användargrupperna.

  • Giltiga användare för projektsamling: Alla medlemmar har lagts till i en grupp på organisationsnivå.
  • Giltiga projektanvändare: Alla medlemmar har lagts till i en grupp på projektnivå.
  • Server\Azure DevOps Giltiga användare: Alla medlemmar har lagts till i grupper på servernivå.
  • ProjectCollectionName\Project Collection Giltiga användare: Alla medlemmar har lagts till i grupper på samlingsnivå.
  • ProjectName\Project Valid Users: Alla medlemmar har lagts till i grupper på projektnivå.
  • Server\Team Foundation Giltiga användare: Alla medlemmar har lagts till i grupper på servernivå.
  • ProjectCollectionName\Project Collection Giltiga användare: Alla medlemmar har lagts till i grupper på samlingsnivå.
  • ProjectName\Project Valid Users: Alla medlemmar har lagts till i grupper på projektnivå.

Standardbehörigheterna som tilldelas dessa grupper är främst begränsade till läsåtkomst, till exempel Visa byggresurser, Visa information på projektnivå och Visa information på samlingsnivå.

Det innebär att alla användare som du lägger till i ett projekt kan visa objekten i andra projekt i en samling. Om du behöver begränsa visningsåtkomsten kan du ange begränsningar via noden områdessökväg.

Om du tar bort eller nekar behörigheten Visa information på instansnivå för en av de giltiga användargrupperna kan inga medlemmar i gruppen komma åt projektet, samlingen eller distributionen, beroende på vilken grupp du anger.

Projektomfattande användargrupp

Som standard kan användare som läggs till i en organisation visa all organisations- och projektinformation och inställningar. Detta inkluderar visningslista över användare, lista över projekt, faktureringsinformation, användningsdata och mer som nås via Organisationsinställningar.

Om du vill begränsa utvalda användare, till exempel Intressenter, Azure Active Directory-gästanvändare eller medlemmar i en viss säkerhetsgrupp, kan du aktivera funktionen Begränsa användarnas synlighet och samarbete till specifika projektförhandsgranskning för organisationen. När detta är aktiverat begränsas alla användare eller grupper som läggs till i gruppen Project-Scoped Users från att komma åt sidorna Organisationsinställningar , förutom Översikt och Projekt. och är begränsade till att endast komma åt de projekt som de har lagts till i.

Information om hur du aktiverar den här funktionen finns i Hantera eller aktivera funktioner.

Anteckning

Alla säkerhetsgrupper är entiteter på organisationsnivå, även de grupper som bara har behörighet till ett visst projekt. Från webbportalen kan synligheten för vissa säkerhetsgrupper begränsas baserat på användarbehörigheter. Du kan dock identifiera namnen på alla grupper i en organisation med hjälp av cli-verktyget azure devops eller våra REST-API:er. Mer information finns i Lägga till och hantera säkerhetsgrupper.

Anteckning

Alla säkerhetsgrupper är entiteter på samlingsnivå, även de grupper som bara har behörighet till ett visst projekt. Från webbportalen kan synligheten för vissa säkerhetsgrupper begränsas baserat på användarbehörigheter. Du kan dock identifiera namnen på alla grupper i en organisation med hjälp av cli-verktyget azure devops eller våra REST-API:er. Mer information finns i Lägga till och hantera säkerhetsgrupper.

Anteckning

Alla säkerhetsgrupper är entiteter på samlingsnivå, även de grupper som bara har behörighet till ett visst projekt. Från webbportalen kan synligheten för vissa säkerhetsgrupper begränsas baserat på användarbehörigheter. Du kan dock identifiera namnen på alla grupper i en organisation med hjälp av REST-API:erna. Mer information finns i Lägga till och hantera säkerhetsgrupper.

Åtkomstnivåer

Åtkomstnivåer styr vilka funktioner som är synliga för användare i webbportalen och är beroende av användarlicenser. behörigheter styr en användares möjlighet att ansluta till Azure DevOps och använda funktioner i Azure DevOps. Om du försöker ge någon åtkomst till funktioner för agil portföljhantering eller hantering av testfall vill du ändra åtkomstnivåer, inte behörigheter.

Om du anger åtkomstnivån för användare eller grupper får de inte åtkomst till ett projekt eller webbportalen. Endast användare eller grupper som läggs till i ett team eller en säkerhetsgrupp kan ansluta till ett projekt och webbportalen. Kontrollera att användarna har både de behörigheter och den åtkomstnivå de behöver. Det gör du genom att se till att de läggs till i projektet eller ett team.

Behörigheter

Som du ser i följande bild kan säkerhetsgrupper som definierats på projekt- och samlingsnivå tilldelas behörigheter som tilldelats på objekt-, projekt- och organisationsnivå.

Konceptuell bildmappning av standardsäkerhetsgrupper till behörighetsnivåer, moln

Som du ser i följande bild kan säkerhetsgrupper som definierats på projekt- och samlingsnivå tilldelas behörigheter som tilldelats på objekt-, projekt- och samlingsnivå. Du kan bara definiera säkerhetsgrupper på servernivå till behörigheter på servernivå.

Konceptuell bildmappning av standardsäkerhetsgrupper till behörighetsnivåer lokalt

Konceptbild av säkerhetsgrupper och behörighetsnivåer, TFS-2018 och tidigare versioner

En beskrivning av varje standardsäkerhetsgrupp finns i Säkerhetsgrupper, tjänstkonton och behörigheter.

Behörighetstillstånd

Det finns fem möjliga tilldelningar till en behörighet. De beviljar eller begränsar åtkomst som anges.

  • Användare eller grupp har behörighet att utföra en uppgift:
    • Tillåt
    • Ärvd tillåt
  • Användare eller grupp har inte behörighet att utföra en uppgift:
    • Neka
    • Ärvd neka
    • Anges inte

Här är vad du behöver veta om behörighetsinställningar:

  • Tillåt eller neka uttryckligen beviljar eller begränsar användare från att utföra specifika uppgifter och ärvs vanligtvis från gruppmedlemskap.

  • Inte ange implicit nekar användarna möjligheten att utföra uppgifter som kräver den behörigheten, men tillåter medlemskap i en grupp som har den behörigheten inställd att ha företräde, även kallat Tillåt (ärvd) eller Ärvd tillåt och Neka (ärvd) eller Ärvdneka.

  • För de flesta grupper och nästan alla behörigheter åsidosätter NekaTillåt. Om en användare tillhör två grupper och en av dem har en specifik behörighet inställd på Neka, kan användaren inte utföra uppgifter som kräver den behörigheten även om de tillhör en grupp som har den behörigheten inställd på Tillåt.

    I vissa fall kan medlemmar i grupperna Administratörer för projektsamling eller Team Foundation-administratörer alltid få behörighet även om de nekas behörigheten i en annan grupp. I andra fall, till exempel borttagning av arbetsobjekt eller pipelines, kringgår inte nekandebehörigheter som angetts någon annanstans om du är medlem i projektsamlingsadministratörer.

  • Om du ändrar en behörighet för en grupp ändras behörigheten för alla användare som är medlemmar i den gruppen. Med andra ord kan du, beroende på gruppens storlek, påverka möjligheten för hundratals användare att utföra sina jobb genom att bara ändra en behörighet. Så se till att du förstår effekten innan du gör en ändring.

Behörighetsarv och säkerhetsgrupper

Vissa behörigheter hanteras via en hierarki. I den här hierarkin kan behörigheter ärvas från den överordnade eller åsidosättas. Säkerhetsgrupper tilldelar en uppsättning behörigheter till medlemmarna i gruppen. Till exempel tilldelas medlemmar i gruppen Deltagare eller Gruppen Projektadministratörer de behörigheter som anges som Tillåtna för dessa grupper.

Om en behörighet inte tillåts direkt eller nekas för en användare kan den ärvas på två sätt.

  • Användare ärver behörigheter från de grupper som de tillhör. När en behörighet tillåts för en användare direkt eller via medlemskap i en grupp som har den behörigheten och den nekas, antingen direkt eller via gruppmedlemskap, nekas behörigheten.

    Medlemmar i Projektsamlingsadministratörer eller Team Foundation-administratörer behåller de flesta tillåtna behörigheter, även om de tillhör andra grupper som nekar dessa behörigheter. Behörigheter för arbetsobjektsåtgärder är undantaget från den här regeln.

  • Behörigheter på objektnivå som är tilldelade för noder i en hierarki – områden, iterationer, mappar för versionskontroll, arbetsobjektsfrågemappar – ärvs nedåt i hierarkin. En användares behörigheter som anges på area-1 ärvs alltså av area-1/sub-area-1, om samma behörighet inte uttryckligen tillåts eller nekas för area-1/sub-area-1. Om en behörighet anges uttryckligen för ett objekt, till exempel area-1/sub-area-1, ärvs inte den överordnade noden, oavsett om den nekas eller tillåts. Om den inte har angetts ärvs behörigheterna för den noden från den närmast överordnade noden som uttryckligen har behörigheten angivna. Slutligen, i objekthierarkin trumfar specificitet arv. Till exempel får en användare vars behörigheter uttryckligen är Neka för "area-1" men som också uttryckligen anges till Tillåt för "area-1/sub-area-1" i slutändan en Tillåt på "area-1/sub-area-1".

För att förstå varför en behörighet ärvs kan du pausa över en behörighetsinställning och sedan välja Varför? Information om hur du öppnar en säkerhetssida finns i Visa behörigheter.

Anteckning

Om du vill aktivera det nya användargränssnittet för sidan Inställningar för projektbehörigheter läser du Aktivera förhandsgranskningsfunktioner.

Dialogrutan Behörigheter, förhandsgranskningssidan, varför länken har kommenterats.

En ny dialogruta öppnas som visar arvsinformationen för den behörigheten.

Användargränssnittet för förhandsversionen för sidan Inställningar för projektbehörigheter är inte tillgängligt för Azure DevOps Server 2020 och tidigare versioner.

När du tilldelar behörigheter

Göra:

  • Använd Azure Active Directory, Active Directory eller Windows-säkerhetsgrupper när du hanterar många användare.
  • När du lägger till team bör du överväga vilka behörigheter du vill tilldela teamledare, scrum-huvudservrar och andra teammedlemmar som kan behöva skapa och ändra områdessökvägar, iterationssökvägar och frågor.
  • När du lägger till många team bör du överväga att skapa en anpassad grupp för teamadministratörer där du allokerar en delmängd av de behörigheter som är tillgängliga för projektadministratörer.
  • Överväg att ge arbetsobjektets frågemappar behörighet att bidra till användare eller grupper som kräver möjligheten att skapa och dela arbetsobjektsfrågor för projektet.

Gör inte:

  • Lägg inte till användare i flera säkerhetsgrupper som innehåller olika behörighetsnivåer. I vissa fall kan behörighetsnivån Neka åsidosätta behörighetsnivån Tillåt .
  • Ändra inte standardtilldelningarna för de giltiga användargrupperna. Om du tar bort eller anger behörigheten Visa information på instansnivå till Neka för någon av grupperna Giltiga användare kan inga användare i gruppen komma åt projektet, samlingen eller distributionen, beroende på vilken grupp du anger.
  • Tilldela inte behörigheter som anges som "Tilldela endast till tjänstkonton" till användarkonton.

Rollbaserade behörigheter

Med rollbaserade behörigheter tilldelar du användarkonton eller säkerhetsgrupper till en roll, där varje roll har tilldelats en eller flera behörigheter. Här är de primära rollerna och länkarna för mer information.

Förhandsgranskningsfunktioner

Åtkomst till att välja. Nya funktioner styrs av funktionsflaggor. Med jämna mellanrum introducerar Azure DevOps Services nya funktioner genom att placera dem bakom en funktionsflagga. Förhandsgranskningsfunktioner kan aktiveras eller inaktiveras av projektmedlemmar eller organisationsägare. Mer information finns i Hantera eller aktivera funktioner.

Nästa steg