Hantera behörigheter med kommandoradsverktyget
Azure DevOps Services
Behörigheter beviljar åtkomst för att utföra en specifik åtgärd på en specifik resurs enligt beskrivningen i Kom igång med behörigheter, åtkomst och säkerhetsgrupper. Du hanterar de flesta behörigheter via webbportalen. Du kan dock hantera behörigheter med hjälp av kommandoradsverktyg eller REST-API:et.
Azure DevOps beviljar som standard ett antal behörigheter till medlemmar i standardsäkerhetsgrupper. Du kan lägga till och hantera behörigheter på en mer detaljerad nivå med kommandona az devops security permission . Använd följande kommandon för att:
- Visa de behörigheter som är associerade med säkerhetsnamnområden
- Visa information om dessa behörigheter
- Uppdatera eller återställa behörigheter
Kommentar
Namnrymder och token är giltiga för alla versioner av Azure DevOps. De som anges här är giltiga för Azure DevOps 2019 och senare versioner. Namnrymder kan komma att ändras över tid. Om du vill hämta den senaste listan över namnområden kan du använda något av kommandoradsverktygen eller REST-API:et. Vissa namnområden har blivit inaktuella enligt listan i säkerhetsnamnområdet och behörighetsreferensen, Inaktuella och skrivskyddade namnområden..
Förutsättningar
- Om du vill hantera token och namnområden måste du vara medlem i säkerhetsgruppen Administratörer för projektsamling. Mer information om token finns i Säkerhetsnamnrymd och behörighetsreferens.
- Du måste ha installerat Azure DevOps CLI-tillägget enligt beskrivningen i Kom igång med Azure DevOps CLI.
- Logga in på Azure DevOps med .
az login - För exemplen i den här artikeln anger du standardorganisationen på följande sätt:
- För Azure DevOps Services:
az devops configure --defaults organization=YourOrganizationURL. - För Azure DevOps Server:
az devops configure --defaults organization=https://ServerName/CollectionName
- För Azure DevOps Services:
Kommandon för säkerhetsbehörighet
Ange följande kommando för att visa en lista över alla tillgängliga kommandon.
az devops security permission -h
Mer information om begrepp som rör säkerhetsbehörigheter finns i dokumentationen om REST API för säkerhet
| Kommando | beskrivning |
|---|---|
az devops security permission list |
Visa en lista över token för angiven användare eller grupp och namnrymd. |
az devops security permission namespace list |
Visa en lista över alla tillgängliga namnområden för en organisation. |
az devops security permission namespace show |
Visa information om behörigheter som är tillgängliga i varje namnområde. |
az devops security permission reset |
Återställ behörighet för angivna behörighetsbitar. |
az devops security permission reset-all |
Rensa alla behörigheter för den här token för en användare eller grupp. |
az devops security permission show |
Visa behörigheter för angiven token, namnrymd och användare eller grupp. |
az devops security permission update |
Tilldela behörighet att tillåta eller neka till angiven användare eller grupp. |
Följande parametrar är valfria för alla kommandon och visas inte i exemplen i den här artikeln.
- detect: Identifiera organisationen automatiskt. Accepterade värden: false, true. Standard är sant.
- org: Url för Azure DevOps-organisationen. Du kan konfigurera standardorganisationen med az devops configure -d organization=ORG_URL. Krävs om det inte har konfigurerats som standard eller hämtats via git-konfiguration. Exempel:
--org https://dev.azure.com/MyOrganizationName/.
Lista säkerhetsnamnområden
Du kan lista alla tillgängliga namnområden för en organisation med kommandot az devops security permission namespace list . En beskrivning av alla säkerhetsnamnområden och associerade token finns i Säkerhetsnamnområde och behörighetsreferens.
az devops security permission namespace list [--local-only]
Parametrar
endast lokalt: Valfritt. Om det är sant hämtar du endast lokala säkerhetsnamnområden.
Säkerhetsnamnområden kan ha sina data i en mikrotjänst, men de visas fortfarande i andra mikrotjänster. Om ett säkerhetsnamnområdes data hanteras i mikrotjänst X, sägs de vara lokala för den mikrotjänsten. Annars sägs det vara fjärranslutet.
Ange az devops security permission namespace list för att visa en lista över de namnområden som definierats för din organisation eller lokala server.
Kommentar
Vissa namnområden i listan är inaktuella och bör inte användas. En lista över inaktuella namnområden finns i Namnområdesreferens, Inaktuella och skrivskyddade namnområden.
az devops security permission namespace list --org https://dev.azure.com/OrganizationName --output table
Id Name
------------------------------------ ------------------------------
c788c23e-1b46-4162-8f5e-d7585343b5de ReleaseManagement
58450c49-b02d-465a-ab12-59ae512d6531 Analytics
d34d3680-dfe5-4cc6-a949-7d9c68f73cba AnalyticsViews
62a7ad6b-8b8d-426b-ba10-76a7090e94d5 PipelineCachePrivileges
7c7d32f7-0e86-4cd6-892e-b35dbba870bd ReleaseManagement
a6cc6381-a1ca-4b36-b3c1-4e65211e82b6 AuditLog
5a27515b-ccd7-42c9-84f1-54c998f03866 Identity
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
Exempel: Lista lokala säkerhetsnamnområden
Följande kommando visar endast de lokala säkerhetsnamnrymderna för din organisation och visar resultatet i tabellformat.
az devops security permission namespace list --local-only --output table
Id Name
------------------------------------ ------------------------------
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
Lista token för ett säkerhetsnamnområde
Du kan visa en lista över token för ett angivet namnområde och en användare eller grupp med kommandot az devops security permission list .
az devops security permission list --id
--subject
[--recurse]
[--token]
Parametrar
-
- ID eller namnområdes-ID: Krävs. ID för säkerhetsnamnområdet. Använd kommandot az devops security permission namespace list för att hämta ID:t.
- ämne: Obligatoriskt. Användarens e-postadress eller gruppbeskrivning.
- recurse: Valfritt. Om true och namnområdet är hierarkiskt returnerar den här parametern de underordnade ACL:erna för token.
- token: Valfritt. Ange en enskild säkerhetstoken.
Exempel
Följande kommando visar token i tabellformat för det angivna namnområdet, som motsvarar Analytics och som är associerat med användaren contoso@contoso.com.
az devops security permission list --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --output table
Token Effective Allow Effective Deny
-------------------------------------- ----------------- ----------------
$/0611925a-b287-4b0b-90a1-90f1a96e9f1f 0 0
$/087572e2-5569-49ec-af80-d3caf22b446c 0 0
$/131271e0-a6ad-49ba-837e-2d475ab2b169 0 0
$/14c92f9d-9fff-48ec-8171-9d1106056ab3 0 0
$/1965830d-5fc4-4412-8c71-a1c39c939a42 0 0
$/4b80d122-a5ca-46ec-ba28-e03d37e53404 0 0
$/4fa8e9de-e86b-4986-ac75-f421881a7664 0 0
$/5417a1c3-4b04-44d1-aead-50774b9dbf5f 0 0
$/56af920d-393b-4236-9a07-24439ccaa85c 0 0
$/69265579-a1e0-4a30-a141-ac9e3bb82572 0 0
Visa namnområdesinformation
Du kan visa information om behörigheter som är tillgängliga i varje namnområde med kommandot az devops security permission namespace show .
az devops security permission namespace show --namespace-id <NAMESPACE_ID>
Parametrar
- ID eller namnområdes-ID: Krävs. ID för säkerhetsnamnområdet.
Exempel
Följande kommando visar information om de tillgängliga behörigheterna för det angivna namnområdes-ID:t och returnerar resultatet i tabellformat.
az devops security permission namespace show --namespace-id 58450c49-b02d-465a-ab12-59ae512d6531 --output table
Name Permission Description Permission Bit
------------------------ -------------------------------------------------------- ----------------
Read View analytics 1
Administer Manage analytics permissions 2
Stage Push the data to staging area 4
ExecuteUnrestrictedQuery Execute query without any restrictions on the query form 8
ReadEuii Read EUII data 16
Återställ behörigheter
Du kan återställa behörighetsbitarna för en angiven användare eller grupp med kommandot az devops security permission reset .
az devops security permission reset --id
--permission-bit
--subject
--token
Parametrar
- ID eller namnområdes-ID: Krävs. ID för säkerhetsnamnområdet.
- permission-bit: Krävs. Behörighetsbit eller tillägg av behörighetsbitar som måste återställas för en viss användare eller grupp och token.
- ämne: Obligatoriskt. Användarens e-postadress eller gruppbeskrivning.
- token: Krävs. Enskild säkerhetstoken.
Exempel
Följande kommando återställer en tokens behörighetsbit 8 för användaren contoso@contoso.com i det angivna namnområdet och returnerar resultatet i tabellformat.
az devops security permission reset --id 58450c49-b02d-465a-ab12-59ae512d6531 --permission-bit 8 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
Återställ alla behörigheter
Du kan rensa alla behörigheter för en token för en användare eller grupp med kommandot az devops security permission reset-all .
az devops security permission reset-all --id
--subject
--token
[--yes]
Parametrar
- ID eller namnområdes-ID: Krävs. ID för säkerhetsnamnområdet.
- ämne: Obligatoriskt. Användarens e-postadress eller gruppbeskrivning.
- token: Krävs. Enskild säkerhetstoken.
- Ja: Valfritt. Fråga inte efter bekräftelse.
Exempel
Följande kommando rensar alla behörigheter för användaren contoso@contoso.com i det angivna namnområdet utan att det krävs någon bekräftelse. Resultatet visas i CLI.
az devops security permission reset-all --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --yes --output table
Result
--------
True
Visa behörigheter
Du kan visa behörigheterna för en angiven token, namnrymd och användare eller grupp med kommandot az devops security permission show .
az devops security permission show --id
--subject
--token
Parametrar
- ID eller namnområdes-ID: Krävs. ID för säkerhetsnamnområdet.
- ämne: Obligatoriskt. Användarens e-postadress eller gruppbeskrivning.
- token: Krävs. Enskild säkerhetstoken.
Exempel
Följande kommando visar en tokens behörighetsinformation för användaren contoso@contoso.com i det angivna namnområdet och returnerar resultatet i tabellformat.
az devops security permission show --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
Read 1 View analytics Not set
Administer 2 Manage analytics permissions Allow
Stage 4 Push the data to staging area Not set
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
ReadEuii 16 Read EUII data Deny
Uppdatera behörigheter
Du kan tilldela behörigheter för att tillåta eller neka till en angiven användare eller grupp med kommandot az devops security permission update .
az devops security permission update --id
--subject
--token
[--allow-bit]
[--deny-bit]
[--merge {false, true}]
Parametrar
- ID eller namnområdes-ID: Krävs. ID för säkerhetsnamnområdet.
- ämne: Obligatoriskt. Användarens e-postadress eller gruppbeskrivning.
- token: Krävs. Enskild säkerhetstoken.
- allow-bit: Valfritt. Tillåt bit eller tillägg av bitar. Krävs om --deny-bit saknas.
- neka-bit: Valfritt. Neka bit eller tillägg av bitar. Krävs om --allow-bit saknas.
- merge: Valfritt. Om den har angetts har den befintliga åtkomstkontrollposten (ACE) sin tillåtna och nekande sammanfogad med inkommande ACE:s tillåtna och nekande. Om det tas bort flyttas det befintliga ACE:et. De godkända värdena är falska eller sanna.
Exempel
Följande kommando uppdaterar behörigheterna för ExecuteUnrestrictedQuery (bit 8) för användaren contoso@contoso.com i det angivna namnområdet och visar resultatet i tabellformat.
az devops security permission update --allow-bit 8 --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 56af920d-393b-4236-9a07-24439ccaa85c --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Allow
Säkerhetsnamnområden och deras ID:n
Se Säkerhetsnamnområde och behörighetsreferens för Azure DevOps.