Dela via

Säkerhetsreferens för namnområden och behörighet i Azure DevOps

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

I den här artikeln beskrivs giltiga säkerhetsnamnområden, de associerade behörigheterna och länkar till mer information. Säkerhetsnamnområden lagrar åtkomstkontrollistor (ACL: er) på token, vilket avgör vilken åtkomstnivå olika entiteter måste utföra specifika åtgärder på specifika resurser. Dessa entiteter omfattar:

  • Azure DevOps-användare
  • Azure DevOps-organisationsägare
  • Medlemmar i Azure DevOps-säkerhetsgrupper
  • Azure DevOps-tjänstkonton
  • Azure DevOps-tjänstens huvudnamn

Varje resursfamilj, till exempel arbetsobjekt eller Git-lagringsplatser, skyddas via ett unikt namnområde. Varje säkerhetsnamnområde innehåller noll eller fler ACL:er. En ACL innehåller en token, en ärvd flagga och en uppsättning med noll eller fler åtkomstkontrollposter (ACL). Varje ACE består av en identitetsbeskrivning, en tillåten bitmask för behörigheter och en bitmask för nekad behörighet. Token är godtyckliga strängar som representerar resurser i Azure DevOps.

Kommentar

Namnrymder och token är giltiga för alla versioner av Azure DevOps. De som anges här är giltiga för Azure DevOps 2019 och senare versioner. Namnrymder kan komma att ändras över tid. Om du vill hämta den senaste listan över namnområden kan du använda något av kommandoradsverktygen eller REST-API:et. Vissa namnområden har blivit inaktuella enligt listan i avsnittet Inaktuella och skrivskyddade namnområden senare i den här artikeln. Mer information finns i Fråga om säkerhetsnamnområden

Verktyg för behörighetshantering

Den rekommenderade metoden för att hantera behörigheter är via webbportalen. Om du vill ange behörigheter som inte är tillgängliga via portalen eller för att hantera detaljerade behörigheter använder du kommandoradsverktyg eller REST-API:et:

  • Använd kommandona för az devops security permission Azure DevOps Services.
  • För Azure DevOps Server använder du TFSSecurity-kommandona.
  • För Azure DevOps Git-lagringsplatser använder du kommandoradsverktyget tf git-behörighet.
  • För Team Foundations lagringsplatser för versionskontroll (TFVC) använder du kommandoradsverktyget TFVC-behörighet.

För alla Azure DevOps-instanser kan du också använda REST API för säkerhet.

Säkerhetsnamnområden och deras ID:n

Många säkerhetsnamnområden motsvarar behörigheter som du anger via en webbportalsida för säkerhet eller behörigheter . Andra namnområden eller specifika behörigheter visas inte via webbportalen och beviljar som standard åtkomst till medlemmar i säkerhetsgrupper eller Azure DevOps-tjänstens huvudnamn. Dessa namnområden grupperas i följande kategorier baserat på hur de hanteras via webbportalen:

  • Objektnivå
  • Projektnivå
  • Organisations- eller samlingsnivå
  • Servernivå (endast lokalt)
  • Rollbaserad
  • Endast internt

Hierarki och token

Ett säkerhetsnamnområde kan vara antingen hierarkiskt eller platt. I ett hierarkiskt namnområde finns token i en hierarki där effektiva behörigheter ärvs från överordnade token till underordnade token. Token i ett platt namnområde har däremot ingen överordnad-underordnad relation.

Token i ett hierarkiskt namnområde kan ha sökvägsdelar med fast längd eller variabel längd. Om token har sökvägsdelar med variabel längd används ett avgränsartecken för att skilja mellan var en sökvägsdel slutar och en annan börjar.

Säkerhetstoken är skiftlägeskänsliga. Exempel på token för olika namnområden finns i följande avsnitt.

Namnområden och behörigheter på objektnivå

I följande tabell beskrivs de namnområden som hanterar behörigheter på objektnivå. De flesta av dessa behörigheter hanteras via webbportalsidan för varje objekt. Behörigheter anges på projektnivå och ärvs på objektnivå om de inte uttryckligen ändras.

Namnområde

Behörigheter

Beskrivning

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Hanterar analysvybehörigheter på projektnivå och objektnivå för att läsa, redigera, ta bort och generera rapporter. Du kan hantera dessa behörigheter för varje analysvy från användargränssnittet.

Tokenformat för behörigheter på projektnivå: $/Shared/PROJECT_ID
Exempel: $/Shared/xxxxxxxx-aaaa-1111-bbbb-11111

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Skapa

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Hanterar byggbehörigheter på projektnivå och objektnivå.

Tokenformat för byggbehörigheter på projektnivå: PROJECT_ID
Om du behöver uppdatera behörigheter för ett visst versionsdefinitions-ID, till exempel 12, ser säkerhetstoken för den byggdefinitionen ut som följande exempel:
Tokenformat för projektnivå, specifika byggbehörigheter: PROJECT_ID/12
Exempel: xxxxxxxx-aaaa-1111-bbbb-11111/12

ID: xxxxxxxx-aaaa-1111-bbbb-11111

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Hanterar behörigheter på objektnivå för områdessökväg för att skapa, redigera och ta bort underordnade noder och ange behörigheter för att visa eller redigera arbetsobjekt i en nod. Mer information finns i Ange behörigheter och åtkomst för arbetsspårning, Skapa underordnade noder, ändra arbetsobjekt under en områdessökväg.
Exempel på tokenformat: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: xxxxxxxx-aaaa-1111-bbbb-11111

InstrumentpanelerPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Hanterar behörigheter på instrumentpanelens objektnivå för att redigera och ta bort instrumentpaneler och hantera behörigheter för en projektinstrumentpanel. Du kan hantera dessa behörigheter via användargränssnittet för instrumentpaneler.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Git-lagringsplatser

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Hanterar Git-lagringsplatsbehörigheter på projektnivå och objektnivå. Du kan hantera dessa behörigheter via administrationsgränssnittet Projektinställningar, Lagringsplatser.

Behörigheten Administer delades in i flera mer detaljerade behörigheter under 2017 och bör inte användas.
Tokenformat för behörigheter på projektnivå: repoV2/PROJECT_ID
Du måste lägga RepositoryID till för att uppdatera behörigheter på lagringsplatsnivå.

Tokenformat för lagringsplatsspecifika behörigheter: repoV2/PROJECT_ID/REPO_ID

Tokenformat för behörigheter på grennivå beskrivs i Git-lagringstoken för säkerhetstjänsten.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Iteration

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Hanterar iterationssökvägsbehörigheter på objektnivå för att skapa, redigera och ta bort underordnade noder och visa underordnade nodbehörigheter. Information om hur du hanterar via webbportalen finns i Ange behörigheter och åtkomst för arbetsspårning, Skapa underordnade noder.
Tokenformat: 'vstfs:///Classification/Node/Iteration_Identifier/'
Anta att du har följande iterationer konfigurerade för ditt team.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Om du vill uppdatera behörigheter för ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1ser säkerhetstoken ut som i följande exempel:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID: xxxxxxxx-aaaa-1111-bbbb-11111

MetaTask

Administer
Edit
Delete

Hanterar behörigheter för aktivitetsgrupp för att redigera och ta bort aktivitetsgrupper och administrera behörigheter för aktivitetsgrupp. Information om hur du hanterar via webbportalen finns i Pipelinebehörigheter och säkerhetsroller, Behörigheter för aktivitetsgrupp.

Tokenformat för behörigheter på projektnivå: PROJECT_ID
Tokenformat för metaTask-nivåbehörigheter: PROJECT_ID/METATASK_ID

Om MetaTask har parentTaskIdser säkerhetstoken ut som i följande exempel:
Tokenformat: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Planera

View
Edit
Delete
Manage

Hanterar behörigheter för leveransplaner för att visa, redigera, ta bort och hantera leveransplaner. Du kan hantera dessa behörigheter via webbportalen för varje plan.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Hanterar versionsdefinitionsbehörigheter på projekt- och objektnivå.

Tokenformat för behörigheter på projektnivå: PROJECT_ID
Exempel: xxxxxxxx-aaaa-1111-bbbb-11111
Om du behöver uppdatera behörigheter för ett visst versionsdefinitions-ID, till exempel 12, ser säkerhetstoken för den versionsdefinitionen ut som följande exempel:

Tokenformat för specifika behörigheter för versionsdefinition: PROJECT_ID/12
Exempel: xxxxxxxx-aaaa-1111-bbbb-11111/12
Om versionsdefinitions-ID:t finns i en mapp ser säkerhetstoken ut så här:
Tokenformat: PROJECT_ID/{folderName}/12
För faser ser token ut så här: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Hanterar behörigheter för arbetsobjektsfrågor och frågemappar. Information om hur du hanterar dessa behörigheter via webbportalen finns i Ange behörigheter för frågor eller frågemappar. Exempel på tokenformat: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID: xxxxxxxx-aaaa-1111-bbbb-11111

Namnområden och behörigheter på projektnivå

I följande tabell beskrivs de namnområden som hanterar behörigheter på projektnivå. De flesta av de angivna behörigheterna hanteras via webbportalens administratörskontext. Projektadministratörer beviljas alla behörigheter på projektnivå, medan andra grupper på projektnivå har specifika behörighetstilldelningar.

Namnområde

Behörigheter

Beskrivning

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Hanterar behörigheter på projektnivå.
Behörigheten AGILETOOLS_BACKLOG hanterar åtkomst till Azure Boards-kvarvarande uppgifter. Den här inställningen är en intern behörighetsinställning och bör inte ändras.

Rottokenformat: $PROJECT
Token för att skydda behörigheter för varje projekt i din organisation.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.

Anta att du har ett projekt med namnet Test Project 1.
Du kan hämta projekt-ID:t för det här projektet med hjälp az devops project show av kommandot .
az devops project show --project "Test Project 1"
Kommandot returnerar ett project-id, till exempel xxxxxxxx-aaaa-1111-bbbb-11111.
Därför är token för att skydda projektrelaterade behörigheter för Test Project 1 :
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-aaaa-1111-bbbb-11111'


**ID:** "xxxxxxxx-aaaa-1111-bbbb-11111"

Märkning

Enumerate
Create
Update
Delete

Hanterar behörigheter för att skapa, ta bort, räkna upp och använda arbetsobjekttaggar. Du kan hantera behörigheten Skapa taggdefinition via det administrativa gränssnittet för behörigheter.

Tokenformat för behörigheter på projektnivå: /PROJECT_ID
Exempel: /xxxxxxxx-aaaa-1111-bbbb-11111

ID: xxxxxxxx-aaaa-1111-bbbb-11111

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Hanterar behörigheter för en TFVC-lagringsplats (Team Foundation Version Control). Det finns bara en TFVC-lagringsplats för ett projekt. Du kan hantera dessa behörigheter via lagringsplatsernas administrativa gränssnitt.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Namnområden och behörigheter på organisationsnivå

I följande tabell beskrivs de namnområden som hanterar behörigheter på organisationsnivå. De flesta av de angivna behörigheterna hanteras via webbportalens kontext för organisationsinställningar . Organisationens ägare och medlemmar i gruppen Projektsamlingsadministratörer beviljas de flesta av dessa behörigheter. Mer information finns i Ändra behörigheter på projektsamlingsnivå.

Namnområden och behörigheter på samlingsnivå

I följande tabell beskrivs de namnområden som hanterar behörigheter på organisationsnivå. De flesta av de angivna behörigheterna hanteras via webbportalens inställningskontext för samling. Medlemmar i gruppen Administratörer för projektsamling beviljas de flesta av dessa behörigheter. Mer information finns i Ändra behörigheter på projektsamlingsnivå.

Namnområde

Behörigheter

Beskrivning

Granskningslogg

Read
Write
Manage_Streams
Delete_Streams

Hanterar granskningsbehörigheter för att läsa eller skriva till granskningsloggen och hantera eller ta bort granskningsströmmar.

Tokenformat: /AllPermissions
ID: xxxxxxxx-aaaa-1111-bbbb-11111

BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

Hanterar åtkomst för att visa, hantera, använda eller administrera behörigheter för byggresurser.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Samling

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Hanterar behörigheter på organisations- eller samlingsnivå.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Process

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

Hanterar behörigheter för att skapa, ta bort och administrera processer.
ID: xxxxxxxx-aaaa-1111-bbbb-11111

Arbetsytor

Read
Use
Checkin
Administer

Hanterar behörigheter för att administrera ändringar på hyllan, arbetsytor och möjligheten att skapa en arbetsyta på organisations- eller samlingsnivå. Namnområdet Arbetsytor gäller för TFVC-lagringsplatsen.

Rottokenformat: /
Tokenformat för en specifik arbetsyta: /{workspace_name};{owner_id}

ID: xxxxxxxx-aaaa-1111-bbbb-11111

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Hanterar behörigheter för TFVC-lagringsplatsen (Team Foundation Version Control).

Behörigheten AdminConfiguration ger användarna möjlighet att redigera behörigheter på servernivå för användare och grupper. Behörigheten AdminConnections ger användarna möjlighet att läsa innehållet i en fil eller mapp på en lokal lagringsplats på servernivå.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Namnområden och behörigheter på servernivå

I följande tabell beskrivs de säkerhetsnamnområden och behörigheter som definierats för lokala instanser. Du kan hantera dessa behörigheter, som beviljas medlemmar i gruppen Team Foundation-administratörer, via Administrationskonsolen för Azure DevOps Server. Beskrivningar av dessa behörigheter finns i Behörigheter och grupper, behörigheter på servernivå.

Namnområde

Behörigheter

Beskrivning

CollectionManagement

CreateCollection
DeleteCollection

Hanterar behörigheter som angetts på servernivå för att skapa och ta bort projektsamlingar.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Server

GenericRead
GenericWrite
Impersonate
TriggerEvent

Hanterar behörigheter som angetts på servernivå. Innehåller behörigheter för att redigera information på instansnivå, göra begäranden åt andra och utlösa händelser.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Distributionslager

Administer

Ger behörighet att bearbeta eller ändra inställningar för informationslagret eller SQL Server Analysis-kuben med hjälp av webbtjänsten Lagerkontroll.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Rollbaserade namnområden och behörigheter

I följande tabell beskrivs de säkerhetsnamnområden och behörigheter som används för att hantera rollbaserad säkerhet. Du kan hantera rolltilldelningar via webbportalen för pipelineresurser enligt beskrivningen Pipelinebehörigheter och säkerhetsroller.

Namnområde

Behörigheter

Beskrivning

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Hanterar behörigheter för åtkomst till agentpoolresurser. Som standard tilldelas följande roller och behörigheter på projektnivå och ärvs för varje agentpool som skapas:

  • Läsarroll (View endast behörigheter) till alla medlemmar i gruppen Project Valid Users
  • Administratörsroll (alla behörigheter) för medlemmar i grupperna Byggadministratörer, Projektadministratörer och Versionsadministratörer.
  • Användarroll (View, Useoch Create behörigheter) för alla medlemmar i deltagargruppen
  • Skaparroll (View, Useoch Create behörigheter) till alla medlemmar i deltagargruppen

    ID: xxxxxxxx-aaaa-1111-bbbb-11111

Environment

View
Manage
ManageHistory
Administer
Use
Create

Hanterar behörigheter för att skapa och hantera miljöer. Som standard tilldelas följande behörigheter:

  • Läsarroll (View endast behörigheter) till alla medlemmar i gruppen Project Valid Users
  • Skaparroll (View, Useoch Create behörigheter) till alla medlemmar i deltagargruppen
  • Skaparroll (View, Useoch Create behörigheter) till alla medlemmar i gruppen Projektadministratörer
  • Administratörsroll (alla behörigheter) för den användare som skapade en specifik miljö.

    ID: xxxxxxxx-aaaa-1111-bbbb-11111

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Rollen Manager är den enda roll som används för att hantera säkerheten för Marketplace-tillägg. Medlemmar i rollen Chef kan installera tillägg och svara på begäranden om att tillägg ska installeras. De andra behörigheterna tilldelas automatiskt till medlemmar i standardsäkerhetsgrupper och tjänstens huvudnamn. Information om hur du lägger till användare i rollen Chef finns i Hantera tilläggsbehörigheter.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Bibliotek

View
Administer
Create
ViewSecrets
Use
Owner

Hanterar behörigheter för att skapa och hantera biblioteksobjekt, som innehåller säkra filer och variabelgrupper. Rollmedlemskap för enskilda objekt ärvs automatiskt från biblioteket. Som standard tilldelas följande behörigheter:

  • Läsarroll (View endast behörigheter) till alla medlemmar i gruppen Project Valid Users och project collection build service-kontot
  • Skaparroll (View, Useoch Create behörigheter) för alla medlemmar i gruppen Deltagare
  • Skaparroll (View, Use, Createoch Owner behörigheter) till den medlem som skapade biblioteksobjektet
  • Administratörsroll (alla behörigheter) för medlemmar i grupperna Byggadministratörer, Projektadministratörer och Versionsadministratörer.
    Mer information finns i Bibliotekstillgångssäkerhetsroller.

    ID: xxxxxxxx-aaaa-1111-bbbb-11111

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Hanterar behörigheter för att skapa och hantera tjänstanslutningar. Rollmedlemskap för enskilda objekt ärvs automatiskt från rollerna på projektnivå. Som standard tilldelas följande roller:

  • Läsarroll (View endast behörigheter) till alla medlemmar i gruppen Project Valid Users och project collection build service-kontot
  • Skaparroll (View, Useoch Create behörigheter) till medlemmar i tjänstsäkerhetsgruppen Endpoint Creators.
  • Administratörsroll (alla behörigheter) för medlemmar i tjänstsäkerhetsgruppen Slutpunktsadministratörer.
    Roller tilldelas via tjänstanslutningssäkerhetsroller.

    ID: xxxxxxxx-aaaa-1111-bbbb-11111

Interna namnområden och behörigheter

I följande tabell beskrivs säkerhetsnamnområden och behörigheter som inte visas via webbportalen. De används främst för att bevilja åtkomst till medlemmar i standardsäkerhetsgrupper eller till interna resurser. Vi rekommenderar starkt att du inte ändrar dessa behörighetsinställningar på något sätt.

Namnområde

Behörigheter

Beskrivning

AccountAdminSecurity

Read
Create
Modify

Hanterar behörigheter för att läsa eller ändra ägaren till organisationskontot. Dessa behörigheter tilldelas organisationens ägare och medlemmar i gruppen Projektsamlingsadministratör.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Analys

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Hanterar behörigheter för att läsa, administrera behörigheter och köra frågor mot Analytics-tjänsten.

Tokenformat för behörigheter på projektnivå: $/PROJECT_ID
Exempel: $/xxxxxxxx-aaaa-1111-bbbb-11111

ID: xxxxxxxx-aaaa-1111-bbbb-11111

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Anger behörigheter för att läsa, ta bort, skapa och hantera säkerheten för datalagret. Dessa behörigheter tilldelas till flera Azure DevOps-tjänstens huvudnamn.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Hanterar behörigheter och åtkomst till tavlor.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

BoardsExternalIntegration

Read
Write

Hanterar läs-/skrivbehörigheter för externa integreringar med Azure Boards.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Chatt

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Hanterar behörigheter för chatttjänster som är integrerade med Azure DevOps, till exempel Slack och Microsoft Teams. Mer information finns i Azure Boards med Slack, Azure Boards med Microsoft Teams, Azure Pipelines med Slack, Azure Pipelines med Microsoft Teams, Azure Repos med Slack och Azure Repos med Microsoft Teams.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Diskussionstrådar

Administer
GenericRead
GenericContribute
Moderate

Hanterar behörigheter för att visa, hantera, moderera och bidra till konfigurationen av diskussioner om kodgranskning för Azure Pipelines.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

EventPublish

Read
Write

Beviljar läs- och skrivåtkomst för meddelandehanteraren.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Beviljar läs- och skrivåtkomst för meddelandeprenumeranter.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Hanterar medlemsbehörigheter för att visa, redigera och avbryta prenumerationer på meddelanden eller skapa en SOAP-prenumeration.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Identitet

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Hanterar behörigheter för att läsa, skriva och ta bort identitetsinformation för användarkonton. hantera gruppmedlemskap och skapa och återställa identitetsomfång. Behörigheten ManageMembership beviljas automatiskt till medlemmar i grupperna Projektadministratörer och Projektsamlingsadministratörer.
Tokenformat för behörigheter på projektnivå: PROJECT_ID
Exempel: xxxxxxxx-aaaa-1111-bbbb-11111
Så här ändrar du behörigheter på gruppnivå för grupp origin-ID [xxxxxxxx-aaaa-1111-bbbb-11111]:
Token: xxxxxxxx-aaaa-1111-bbbb-11111\xxxxxxxx-aaaa-1111-bbbb-11111

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Licensiering

Read
Create
Modify
Delete
Assign
Revoke

Hanterar möjligheten att visa, lägga till, ändra och ta bort licensnivåer. Dessa behörigheter beviljas automatiskt till medlemmar i gruppen Projektsamlingsadministratörer.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

PermissionLevel

Read
Create
Update
Delete

Hanterar möjligheten att skapa och ladda ned behörighetsrapporter.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

OrganizationLevelData

Project-Scoped Users

Tillämpar en nekandebehörighet på systemnivå på namnområdet, som stöder den projektomfattande användargruppen. Medlemmar i gruppen får begränsad insyn i data på organisationsnivå. Mer information finns i Hantera din organisation, Begränsa användarnas synlighet för projekt med mera.
ID: xxxxxxxx-aaaa-1111-bbbb-11111

PipelineCachePrivileges

Read
Write

Hanterar behörigheter för att läsa och skriva cacheposter för pipeline. Dessa behörigheter tilldelas endast till interna Azure DevOps-tjänstprinciper.
ID: xxxxxxxx-aaaa-1111-bbbb-11111

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Hanterar åtkomst till användargränssnittselement för Versionshantering.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

SearchSecurity

ReadMembers ReadAnonymous

Det här säkerhetsnamnområdet används för att veta om en användare är giltig eller anonym/offentlig.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Hanterar behörigheter för att visa, redigera och ta bort tjänstkrokprenumerationer och publicera service hook-händelser. Dessa behörigheter tilldelas automatiskt till medlemmar i gruppen Administratörer för projektsamling. DeleteSubscriptions används inte längre. EditSubscriptions kan ta bort tjänstkrokar.

ID: xxxxxxxx-aaaa-1111-bbbb-11111

UtilizationPermissions

QueryUsageSummary

Hanterar behörigheter för att fråga efter användning. Som standard beviljas alla medlemmar i gruppen Projektsamlingsadministratörer och användare som beviljats åtkomst till intressenter behörighet att fråga efter användningssammanfattning för alla. Mer information finns i Hastighetsbegränsningar.

Tokenformat: /
ID: xxxxxxxx-aaaa-1111-bbbb-11111

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Hanterar behörigheter för att administrera arbetsspårning och förstöra bifogade filer.
ID: xxxxxxxx-aaaa-1111-bbbb-11111

WorkItemTrackingProvision

Administer
ManageLinkTypes

Hanterar behörigheter för att ändra arbetsspårningsprocesser och hantera länktyper. Namnområdet WorkItemTrackingProvision är ett äldre säkerhetsnamnområde som främst används för tidigare lokala versioner. Namnområdet Process ersätter det här namnområdet för att hantera processer i Azure DevOps Server 2019 och senare versioner.

Rottokenformat: /$
Tokenformat för ett visst projekt: $/PROJECT_ID

ID: xxxxxxxx-aaaa-1111-bbbb-11111

Inaktuella och skrivskyddade namnområden

Följande namnområden är antingen inaktuella eller skrivskyddade. Använd dem inte.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration