Bevilja eller begränsa åtkomst med hjälp av behörigheter

  • Artikel

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Du kan bevilja eller begränsa åtkomsten till resurser som du hanterar i Azure DevOps. Du kanske vill öppna eller stänga åtkomsten till en utvald uppsättning funktioner och för en viss uppsättning användare. Även om de inbyggda säkerhetsgrupperna tillhandahåller en standarduppsättning behörighetstilldelningar kan du behöva fler säkerhetskrav som inte uppfylls av dessa tilldelningar.

Om du är en ny på att administrera behörigheter och grupper kan du läsa Kom igång med behörigheter, åtkomst och säkerhetsgrupper för att lära dig mer om behörighetstillstånd och arv.

I den här artikeln får du lära dig hur du utför följande uppgifter:

  • Rekommenderad metod för att bevilja och begränsa behörigheter
  • Delegera uppgifter genom att tilldela valda behörigheter till specifika roller
  • Begränsa användarens synlighet till organisationsinformation
  • Begränsa personväljaren till projektanvändare och grupper
  • Begränsa åtkomsten till att visa eller ändra objekt
  • Begränsa ändringar av arbetsobjekt baserat på en användare eller grupp
  • Rekommenderad metod för att bevilja och begränsa behörigheter
  • Delegera uppgifter genom att tilldela valda behörigheter till specifika roller
  • Begränsa åtkomsten till att visa eller ändra objekt
  • Begränsa ändringar av arbetsobjekt baserat på en användare eller grupp

Dricks

Eftersom du anger många behörigheter på objektnivå, till exempel lagringsplatser och områdessökvägar, avgör hur du strukturerar projektet vilka områden du kan öppna eller stänga.

I underhållssyfte rekommenderar vi att du använder antingen de inbyggda säkerhetsgrupperna eller anpassade säkerhetsgrupper för att hantera behörigheter.

Du kan inte ändra behörighetsinställningarna för gruppen Projektadministratörer eller gruppen Administratörer för projektsamling, vilket är avsiktligt. För alla andra grupper kan du dock ändra behörigheterna.

Om du hanterar några användare kan det vara ett giltigt alternativ att ändra enskilda behörigheter. Med anpassade säkerhetsgrupper kan du dock bättre spåra roller och behörigheter som tilldelats till dessa roller.

Delegera uppgifter till specifika roller

Som administratör eller kontoägare är det en bra idé att delegera administrativa uppgifter till de gruppmedlemmar som leder eller hanterar ett område. Flera av de viktigaste inbyggda rollerna som medföljer standardbehörigheter och rolltilldelningar är:

  • Läsare
  • Deltagare
  • Teamadministratör (roll)
  • Projektadministratörer
  • Projektsamlingsadministratörer

En sammanfattning av behörigheter för ovanstående roller finns i Standardbehörigheter och åtkomst, eller för Projektsamlingsadministratörer, se Ändra behörigheter på projektsamlingsnivå.

Om du vill delegera uppgifter till andra medlemmar i din organisation kan du skapa en anpassad säkerhetsgrupp och sedan bevilja behörigheter enligt följande tabell.

Roll

Uppgifter att utföra

Behörigheter som ska anges till Tillåt

Utvecklingsledare (Git)

Hantera grenprinciper

Redigera principer, framtvinga push- och hantera behörigheter
Se Ange grenbehörigheter.

Utvecklingsledare (TFVC)

Hantera lagringsplats och grenar

Administrera etiketter, Hantera gren och Hantera behörigheter
Se Ange behörigheter för TFVC-lagringsplats.

Programvaruarkitekt (Git)

Hantera lagringsplatser

Skapa lagringsplatser, tvinga fram push-överföring och hantera behörigheter
Se Ange behörigheter för Git-lagringsplats

Teamadministratörer

Lägga till områdessökvägar för teamet
Lägga till delade frågor för deras team

Skapa underordnade noder, Ta bort den här noden, Redigera den här noden Se Skapa underordnade noder, ändra arbetsobjekt under en områdessökväg
Behörigheter för Contribute, Delete, Manage (för en frågemapp) finns i Ange frågebehörigheter.

Deltagare

Lägg till delade frågor under en frågemapp, Bidra till instrumentpaneler

Bidra, Ta bort (för en frågemapp), Se Ange frågebehörigheter
Visa, redigera och hantera instrumentpaneler, Se Ange instrumentpanelsbehörigheter.

Projekt- eller produktansvarig

Lägga till områdessökvägar, iterationssökvägar och delade frågor
Ta bort och återställa arbetsobjekt, Flytta arbetsobjekt från det här projektet, Ta bort arbetsobjekt permanent

Redigera information på projektnivå, se Ändra behörigheter på projektnivå.

Processmallshanterare (arvsprocessmodell)

Anpassning av arbetsspårning

Administrera processbehörigheter, Skapa nya projekt, Skapa process, Ta bort fält från konto, Ta bort process, Ta bort projekt, Redigera process
Se Ändra behörigheter på projektsamlingsnivå.

Processmallshanteraren (värdbaserad XML-processmodell)

Anpassning av arbetsspårning

Redigera information på samlingsnivå, se Ändra behörigheter på projektsamlingsnivå.

Projekthantering (lokal XML-processmodell)

Anpassning av arbetsspårning

Redigera information på projektnivå, se Ändra behörigheter på projektnivå.

Behörighetshanteraren

Hantera behörigheter för ett projekt, ett konto eller en samling

Redigera information på projektnivå för ett projekt
För ett konto eller en samling kan du redigera information på instansnivå (eller samlingsnivå)
Information om omfånget för dessa behörigheter finns i uppslagsguiden för behörigheter. Information om hur du begär en ändring av behörigheter finns i Begära en ökning av behörighetsnivåer.

Du kan också bevilja behörigheter för att hantera behörigheter för följande objekt:

Begränsa användarens synlighet till organisations- och projektinformation

Viktigt!

  • Funktionerna för begränsad synlighet som beskrivs i det här avsnittet gäller endast interaktioner via webbportalen. Med REST-API:er eller azure devops CLI-kommandon kan projektmedlemmar komma åt begränsade data.
  • Gästanvändare som är medlemmar i den begränsade gruppen med standardåtkomst i Microsoft Entra-ID kan inte söka efter användare med personväljaren. När förhandsgranskningsfunktionen är inaktiveradför organisationen, eller när gästanvändare inte är medlemmar i den begränsade gruppen, kan gästanvändare som förväntat söka i alla Microsoft Entra-användare.

Som standard kan användare som läggs till i en organisation visa all information och inställningar för organisationen och projektet. Om du bara vill begränsa åtkomsten till de projekt som du lägger till användare i kan du aktivera funktionen Begränsa användarnas synlighet och samarbete till specifika projekts förhandsversionsfunktion för organisationen. Mer information finns i Hantera förhandsgranskningsfunktioner.

Med den här funktionen aktiverad kan användare som lagts till i gruppen Project-Scoped Users inte visa de flesta organisationsinställningar och kan bara ansluta till de projekt som de har lagts till i.

Varning

När funktionen Begränsa användarens synlighet och samarbete för specifika projektförhandsgranskning är aktiverad för organisationen kan användare med projektomfattning inte söka efter användare som har lagts till i organisationen via Microsoft Entra-gruppmedlemskap, i stället för via en explicit användarinbjudan. Detta är ett oväntat beteende och en lösning bearbetas. Om du vill lösa problemet själv inaktiverar du funktionen Begränsa användarens synlighet och samarbete till specifika projektförhandsgranskning för organisationen.

Begränsa personväljaren till projektanvändare och grupper

För organisationer som hanterar sina användare och grupper med hjälp av Microsoft Entra-ID stöder personväljare sökning efter alla användare och grupper som lagts till i Microsoft Entra-ID, inte bara de användare eller grupper som har lagts till i ett projekt. Personer-väljare stöder följande Azure DevOps-funktioner:

  • Val av en användaridentitet från ett identitetsfält för arbetsspårning, till exempel Tilldelad till
  • Val av en användare eller grupp med hjälp av @mention i ett arbetsobjektsdiskussion eller rtF-fält, en pull-begärandediskussion, incheckningskommenterar eller kommentarer för ändringsuppsättningar eller hyllor
  • Val av användare eller grupp med @mention från en wiki-sida

Som du ser i följande bild börjar du helt enkelt skriva in i en personväljare tills du hittar en matchning till ett användarnamn eller en säkerhetsgrupp.

Skärmbild av personväljare

Användare och grupper som läggs till i gruppen Project-Scoped Users kan bara se och välja användare och grupper i projektet som de är anslutna till från en personväljare. Information om hur du omfångsbegränsar personväljare för alla projektmedlemmar finns i Hantera din organisation, Begränsa identitetssökning och val.

Begränsa åtkomsten till att visa eller ändra objekt

Azure DevOps är utformat för att göra det möjligt för alla giltiga användare att visa alla objekt som definierats i systemet. Du kan begränsa åtkomsten till resurser genom att ange behörighetstillståndet till Neka. Du kan ange behörigheter för medlemmar som tillhör en anpassad säkerhetsgrupp eller för en enskild användare. Mer information om hur du anger dessa typer av behörigheter finns i Begära en ökning av behörighetsnivåer.

Område som ska begränsas

Behörigheter som ska anges till Neka

Visa eller bidra till en lagringsplats

Visa, Bidra
Se Ange Behörigheter för Git-lagringsplats eller Ange TFVC-lagringsplatsbehörigheter.

Visa, skapa eller ändra arbetsobjekt inom en områdessökväg

Redigera arbetsobjekt i den här noden, Visa arbetsobjekt i den här noden
Se Ange behörigheter och åtkomst för arbetsspårning, Ändra arbetsobjekt under en områdessökväg.

Visa eller uppdatera välj bygg- och versionspipelines

Redigera byggpipeline, Visa bygg-pipeline
Redigera versionspipeline, Visa versionspipeline
Du anger dessa behörigheter på objektnivå. Se Ange bygg- och versionsbehörigheter.

Redigera en instrumentpanel

Visa instrumentpaneler
Se Ange behörigheter för instrumentpanelen.

Begränsa ändringar av arbetsobjekt eller välj fält

Exempel som visar hur du begränsar ändringar av arbetsobjekt eller väljer fält finns i Exempel på regelscenarier.

Nästa steg

Ta bort användarkonton