設定管線權限
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
管線權限和角色可協助您安全地管理管線。 您可以針對專案中所有管線或個別管線的組織、專案和物件層級設定階層式權限。 您可以使用安全組或新增個別使用者來更新管線許可權。
管線權限和角色可協助您安全地管理管線。 您可以在專案中的所有管線或個別管線,設定組織、伺服器、專案和物件層級的階層許可權。 您可以使用安全組或新增個別使用者來更新管線許可權。
物件層級許可權比組織層級許可權更細微,因此您可以增加管線的安全性。 例如,用戶可以透過其組織層級許可權存取您的 Azure Repos 存放庫。 不過,因為該物件/管線的許可權,因此無法手動執行管線。
在本文中,我們會將許可權細分為下列許可權層級:
如需詳細資訊,請參閱 開始使用許可權、存取權和安全組、 保護 Azure Pipelines 和 驗證參與者的許可權。
如需使用 Azure CLI 設定許可權的相關信息,請參閱 Azure CLI 參考。
必要條件
- 若要管理許可權並將使用者新增至專案層級群組的 Azure Pipelines,您必須是 Project 管理員 istrator。 如需詳細資訊,請參閱 專案層級群組許可權。
- 若要管理集合群組的許可權,您必須是 Project Collection 管理員 istrator。 如需詳細資訊,請參閱 集合層級群組許可權。
- 當您設定管線許可權時,請記住下列資訊。
- 在許多情況下,您可能想要將 [刪除組建管線] 設定為 [允許]。 否則,這些小組成員無法刪除自己的組建管線。
- 如果沒有 [ 刪除組建 ] 許可權,使用者就無法刪除自己的已完成組建。 不過,他們可以使用保留原則自動刪除舊的不需要的組建。
- 我們建議您不要直接將許可權授與使用者。 更好的做法是將使用者新增至組建系統管理員群組或其他群組,以及管理該群組的許可權。
如需詳細資訊和最佳做法,請參閱 保護 Azure Pipelines。
指派給內建安全組的默認許可權
組建
| Task | 讀取者 | 參與者 | 組建 管理員 | 專案 管理員 |
|---|---|---|---|---|
| 檢視組建 | ✔️ | ✔️ | ✔️ | ✔️ |
| 檢視組建管線 | ✔️ | ✔️ | ✔️ | ✔️ |
| 管理員 註冊組建許可權 | ✔️ | ✔️ | ||
| 刪除或編輯組建管線 | ✔️ | ✔️ | ✔️ | |
| 刪除或終結組建 | ✔️ | ✔️ | ||
| 編輯組建品質 | ✔️ | ✔️ | ✔️ | |
| 管理組建品質 | ✔️ | ✔️ | ||
| 管理組件佇列 | ✔️ | ✔️ | ||
| 覆寫由組件所進行的簽入驗證 | ✔️ | |||
| 佇列組建 | ✔️ | ✔️ | ✔️ | |
| 無限期保留 | ✔️ | ✔️ | ✔️ | ✔️ |
| 停止組建 | ✔️ | ✔️ | ||
| 更新組建資訊 | ✔️ |
版本
| Task | 利害關係人 | 讀取者 | 參與者 | 專案 管理員 | 發行 管理員 |
|---|---|---|---|---|---|
| 核准發行 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 檢視發行版本 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 檢視發行管線 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 管理員 註冊版本許可權 | ✔️ | ✔️ | |||
| 刪除發行管線或階段 | ✔️ | ✔️ | ✔️ | ||
| 刪除版本 | ✔️ | ✔️ | ✔️ | ||
| 編輯發行管線 | ✔️ | ✔️ | |||
| 編輯發行階段 | ✔️ | ✔️ | ✔️ | ||
| 管理部署 | ✔️ | ✔️ | |||
| 管理發行核准者 | ✔️ | ✔️ | ✔️ | ||
| 管理版本 | ✔️ | ✔️ |
工作群組
| Task | 讀取者 | 參與者 | 組建 管理員 | 專案 管理員 | 發行 管理員 |
|---|---|---|---|---|---|
| 管理員 註冊工作組許可權 | ✔️ | ✔️ | ✔️ | ||
| 刪除工作組 | ✔️ | ✔️ | ✔️ | ||
| 編輯工作組 | ✔️ | ✔️ | ✔️ |
設定專案層級管線權限
請執行下列步驟來設定所有管線的專案層級許可權。
登入您的組織 (
https://dev.azure.com/{yourorganization})。從您的專案內,選取 [管線管線>]。
![顯示已排序 [管線] 選單選取項目的螢幕快照。](media/pipelines-navigation-from-project.png?view=azure-devops)
選取 [更多動作
>管理安全性]。
修改與 Azure DevOps 群組相關聯的許可權,例如建置 管理員 istrators 或個別使用者。
針對安全組或個別使用者的許可權選取 [允許 ] 或 [拒絕 ],然後結束畫面。
您的專案層級管線許可權已設定。
建置和 YAML 管線許可權遵循階層式模型。 您可以在專案層級設定所有許可權的預設值,並覆寫個別建置管線的許可權。
若要設定專案中所有管線的專案層級許可權,請從建置中樞主頁面上的動作列選擇 [安全性]。
設定個別管線許可權
請執行下列步驟來設定個別管線的許可權。
從您的專案內,選取 [管線管線>]。
選取個別管線,然後選取 [更多動作>
管理安全性]。![顯示從個別管線的 [更多動作] 功能選取 [管理安全性] 選項的螢幕快照。](media/individual-pipeline-more-actions-menu.png?view=azure-devops)
設定許可權,然後 儲存 變更。
若要設定或覆寫個別管線的許可權,請從個別管線的操作功能表中選擇 [安全性 ]。
管線許可權參考
您可以設定專案中所有管線或個別管線的下列許可權。 預設值是針對專案集合和專案群組所設定。 例如,Project Collection 管理員 istrators、Project 管理員 istrators 和 Build 管理員 istrators 預設具有所有這些許可權。
| 權限 | 描述 |
|---|---|
| 管理員 註冊組建許可權 | 可以變更這裡所列的任何其他許可權。 |
| 刪除組建管線 | 可以刪除組建管線。。 |
| 刪除組建 | 可以刪除管線的組建。 已刪除的組建會在 [已刪除] 索引標籤中保留一段時間,再終結。 |
| 終結組建 | 可以從 [ 已刪除 ] 索引標籤中移除組建。 |
| 編輯組建管線 | 可以建立管線,並將任何變更儲存至組建管線,包括組態變數、觸發程式、存放庫和保留原則。 |
| 編輯組建品質 | 可以將標籤新增至組建。 |
| 管理組建品質 | 僅適用於 XAML 組建 |
| 管理組建佇列 | 僅適用於 XAML 組建 |
| 依組建覆寫簽入驗證 | 適用於 TFVC 閘道簽入組建。 不適用於提取要求組建。 |
| 佇列組建 | 可以將新組建排入佇列。 |
| 編輯佇列組建組態 | 可以在將新組建排入佇列時,指定自由文字參數的值(例如 類型 object為 的 )和管線變數。 |
| 無限期保留 | 可以在組建上無限期切換保留旗標。 |
| 停止組建 | 可以停止由其他小組成員或系統排入佇列的組建。 |
| 更新組建資訊 | 建議只留下這個。 它的目的是要啟用服務帳戶,而不是小組成員。 |
| 檢視組建管線 | 可以檢視組建管線。。 |
| 檢視組建 | 可以檢視屬於組建管線的組建。 |
所有小組成員都是參與者群組的成員。 此群組許可權可讓您定義及管理組建和發行。 最常見的內建群組包括讀者、參與者和專案管理員。
如需詳細資訊,請參閱下列文章:
設定發行許可權
發行管線的許可權會遵循階層式模型。 您可以在專案層級設定預設許可權,而且您可以在個別發行管線上覆寫這些許可權。
設定所有發行許可權
請執行下列步驟來更新所有版本的許可權。
選取檔案檢視。
選取 [ 所有管線] 資料夾。
選取 [更多動作
],然後選取 [安全性]。設定許可權,然後 儲存 變更。
設定個別發行許可權
請執行下列步驟來更新個別版本的許可權。
選取您想要修改的版本。
選取 [更多動作
>安全性]。設定許可權,然後 儲存 變更。
若要設定專案中所有發行定義之專案層級的許可權,請從 開啟快捷方式功能表 
若要設定或覆寫特定發行管線的許可權,請從 該管線名稱旁邊的圖示開啟快捷方式功能表。 然後選擇 [ 安全性 ] 以開啟 [ 許可權] 對話框。
若要在發行管線中指定個別階段的安全性設定,請在發行管線編輯器中從階段上的 [更多動作] 開啟的快捷方式功能表上選擇 [安全性] 來開啟 [許可權] 對話框。
版本許可權參考
下表定義發行的許可權。 範圍數據行說明許可權是否可以在專案、發行管線或階段層級設定。
| 權限 | 描述 |
|---|---|
| 管理員 註冊版本許可權 | 可以變更這裡所列的任何其他許可權。 範圍:項目、發行管線、階段 |
| 建立版本 | 可以建立新版本。 範圍:項目、發行管線 |
| 刪除發行管線 | 可以刪除發行管線(s)。 範圍:項目、發行管線 |
| 刪除發行階段 | 可以在發行管線中刪除階段(s)。 範圍:項目、發行管線、階段 |
| 刪除版本 | 可以刪除管線的版本。 範圍:項目、發行管線 |
| 編輯發行管線 | 可以將任何變更儲存至發行管線,包括組態變數、觸發程式、成品和保留原則,以及發行管線階段內的設定。 若要更新發行管線中的特定階段,使用者也需要 [編輯發行階段 ] 許可權。 範圍:項目、發行管線 |
| 編輯發行階段 | 可以在發行管線中編輯階段(s)。 若要將變更儲存至發行管線,使用者也需要 編輯發行管線 許可權。 此許可權也會控制使用者是否可以在特定發行實例的階段內編輯組態。 使用者也需要 管理發行 許可權,才能儲存修改的版本。 範圍:項目、發行管線、階段 |
| 管理部署 | 可以起始發行至階段的部署。 此許可權僅適用於在版本中選取 [部署] 或 [重新部署] 動作以手動起始的部署。 如果階段的條件設定為任何類型的自動部署,系統會自動起始部署,而不需要檢查建立發行的用戶許可權。 如果條件設定為在某些階段之後啟動,手動起始的部署不會等待這些階段成功。 範圍:項目、發行管線、階段 |
| 管理發行核准者 | 可以在發行管線中新增或編輯階段的核准者。 此許可權也會控制使用者是否可以在特定發行實例的階段內編輯核准者。 範圍:項目、發行管線、階段 |
| 管理版本 | 可以在版本中編輯組態。 若要編輯發行實例中特定階段的組態(包括標示為 settable at release time的變數),使用者也需要 [編輯發行階段 ] 許可權。 範圍:項目、發行管線 |
| 檢視發行管線 | 可以檢視發行管線。 範圍:項目、發行管線 |
| 檢視版本 | 可以檢視屬於發行管線的發行。 範圍:項目、發行管線 |
針對小組專案集合和專案群組設定所有許可權的預設值。 例如,Project Collection 管理員 istrators、Project 管理員 istrators 和 Release 管理員 istrators 預設會獲得所有先前列出的許可權。 除了 管理員 註冊版本許可權之外,參與者會獲得所有許可權。 根據預設,讀取者會拒絕檢視發行管線和檢視版本以外的所有許可權。
設定工作組許可權
使用 工作組 將管線中已定義的工作序列合併成單一可重複使用的工作。
工作組許可權遵循階層式模型。 您可以在專案層級設定預設許可權,而且您可以在個別工作組管線上覆寫這些許可權。
設定專案層級工作組許可權
請執行下列步驟來更新專案層級工作組的許可權。
注意
YAML 管線不支援工作組,但樣本為 。 如需詳細資訊,請參閱 YAML 架構參考。
從您的專案中,選取 [管線>] [工作組]。
選取安全性。
![選取工作組的 [安全性] 選項。](media/task-group-security-project.png?view=azure-devops)
針對安全組或個別使用者的許可權,選取 [允許 ] 或 [拒絕 ]。
設定管線層級工作組許可權
請執行下列步驟來更新管線層級工作組的許可權。
從您的專案中,選取 [管線>] [工作組]。
選取工作組。
選取 [更多動作
>安全性]。針對安全組或個別使用者的許可權,選取 [允許 ] 或 [拒絕 ]。
工作組許可權參考
| 權限 | 描述 |
|---|---|
| 管理員 註冊工作組許可權 | 可以將使用者或群組新增和移除至工作組安全性。 |
| 刪除工作組 | 可以刪除工作組。 |
| 編輯工作組 | 可以建立、修改或刪除工作組。 |
設定代理程式集區許可權
您可以使用預先定義的角色, 針對所有集區或個別集區,以階層式方式設定代理程式集區 的安全性。 執行下列步驟來設定所有集區的代理程式集區許可權。
設定所有代理程式集區許可權
請執行下列步驟來更新所有代理程式集區的許可權。
從您的專案中,選取 [專案設定
>代理程式集區]。選取安全性。
設定許可權,然後 儲存 變更。
設定個別代理程式集區許可權
請執行下列步驟來設定個別代理程式集區的許可權。
從代理程式集區中,選取代理程式。
選取安全性。
設定許可權,然後 儲存 變更。
設定連結庫許可權
使用變數群組來儲存您想要跨多個組建和發行管線提供的值。 定義角色,以協助您設定共用連結 庫實體的安全性。 您也可以設定角色的繼承。
![開啟 [連結庫] 功能表選項。](media/pipeline-library-permissions.png?view=azure-devops)
連結庫許可權參考
| 角色 | 描述 |
|---|---|
| 系統管理員 | 可以編輯/刪除及管理連結庫項目的安全性。 |
| 建立者 | 可以建立連結庫專案。 |
| 讀取者 | 只能讀取連結庫專案。 |
| 使用者 | 可以取用管線中的連結庫專案。 |
設定服務連線許可權
設定所有 服務連線 或個別連線的許可權。
設定所有服務連線許可權
請執行下列步驟來設定所有服務連線的許可權。
- 從您的專案內,選取 [項目設定]。
- 選取 [管線] 底下的 [服務連線 ]。
- 設定許可權,然後 儲存 變更。
設定個別服務連線許可權
請執行下列步驟來設定個別服務連線的許可權。
從您的項目內開啟服務連線。
選取 [更多動作
>安全性]。設定許可權,然後 儲存 變更。
![選取 [安全性服務連線] 選項。](media/security-option-service-connection.png?view=azure-devops)
從專案層級管理員內容 [服務] 頁面,將使用者新增至下列角色。 如需如何建立和管理這些資源的詳細資訊,請參閱 建置和發行的服務連線。
如果您在許可權和服務連線時遇到問題,請參閱 針對 Azure Resource Manager 服務連線進行疑難解答。
服務連線許可權參考
| 角色 | 描述 |
|---|---|
| 使用者 | 撰寫組建或發行管線時,可以使用端點。 |
| 系統管理員 | 可以管理服務連線之所有其他角色的成員資格,以及使用端點來撰寫組建或發行管線。 系統會自動將建立服務連線的使用者新增至該集區的 管理員 istrator 角色。 |
設定部署集區許可權
您可以設定所有部署群組的預設安全性角色,以及管理個別部署群組的安全性角色。
設定所有部署集區許可權
從您的專案內,選取 [項目設定
]。選取 [管線] 底下的 [部署群組 ]。
設定許可權,然後 儲存 變更。
![選取 [安全性] 以管理預設部署群組許可權。](media/deployment-groups-permissions.png?view=azure-devops)
設定個別部署群組許可權
- 從您的專案內,開啟部署集區。
- 選取 [更多動作>安全性]。
- 設定許可權,然後 儲存 變更。
部署集區許可權參考
| 角色 | 描述 |
|---|---|
| 讀取者 | 只能檢視部署集區。 |
| 服務帳戶 | 可以檢視代理程式、建立會話,以及接聽代理程式集區中的作業。 |
| 使用者 | 可以檢視及使用部署集區來建立部署群組。 |
| 系統管理員 | 可以管理、管理、檢視和使用部署集區。 |
設定環境許可權
您可以使用角色和用戶權力來控制誰 可以建立、檢視和管理環境。 將角色階層套用至所有環境或一個環境。
設定所有環境許可權
從您的專案內,選取 [項目設定
]。選取 [管線] 底下的 [環境 ]。
設定許可權,然後 儲存 變更。
設定個別環境許可權
從 [其他動作] 中選取 [安全性],以變更所有環境的許可權。
- 從您的項目內開啟環境。
- 選取 [更多動作>安全性]。
- 設定許可權,然後 儲存 變更。
環境許可權參考
| 角色 | 描述 |
|---|---|
| 建立者 | 全域角色,可從環境中樞安全性選項取得。 此角色的成員可以在專案中建立環境。 參與者預設會新增為成員。 環境不存在時觸發 YAML 管線的必要專案。 |
| 讀取者 | 此角色的成員可以檢視環境。 |
| 使用者 | 建立或編輯 YAML 管線時,此角色的成員可以使用環境。 |
| 系統管理員 | 此角色的成員可以管理許可權、建立、管理、檢視和使用環境。 針對特定環境,其建立者預設會新增為 管理員 inistrator。 管理員 istrators 也可以開啟所有管線的環境存取權。 |
重要
當您建立環境時,只有建立者具有系統管理員角色。
| 角色 | 描述 |
|---|---|
| 建立者 | 全域角色,可從環境中樞安全性選項取得。 此角色的成員可以在專案中建立環境。 參與者預設會新增為成員。 環境不存在時觸發 YAML 管線的必要專案。 |
| 讀取者 | 此角色的成員可以檢視環境。 |
| 使用者 | 建立或編輯 YAML 管線時,此角色的成員可以使用環境。 |
| 系統管理員 | 除了使用環境之外,此角色的成員還可以管理環境所有其他角色的成員資格。 建立者預設會新增為成員。 |
常見問題集
請參閱下列關於管線許可權的常見問題(常見問題)。
問:為什麼我無法建立新的管線?
答:您需要 編輯組建管線 許可權,才能建立新的管線。 若要新增權限,請開啟所有管線的安全性設定,並確認安全性群組的 [編輯建置管線] 已設定為 [允許]。
如果您仍然無法建立管線,請檢查存取層級是否設定為 [專案關係人]。 如果您有專案關係人存取權,請將您的存取權變更為 [基本]。
問:為什麼我在執行可以繼續之前看到需要授權資源的訊息?
答:您必須先授權資源,才能使用資源。 此規則的例外狀況是當您第一次建立管線,且 YAML 檔案中參考的所有資源都會自動獲得授權。 只要執行管線的使用者可以存取資源,資源就會獲得管線的授權。
若要授權 所有管線 存取代理程式集區之類的資源,請執行下列步驟。
從您的專案中,選取 [設定
> Pipelines>代理程式集區]。選取 特定代理程式集區的安全性 ,然後更新許可權以授與所有管線的存取權。
如需詳細資訊,請參閱 YAML 中的資源。
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應