权限和访问权限入门
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
本文介绍如何通过 Azure DevOps 中的继承、安全组、角色等来管理访问级别和权限。 首先了解以下关键概念。
关于权限:
- 添加到 Azure DevOps 的所有用户都会添加到一个或多个默认 安全组。
- 安全组分配的权限,允许或拒绝访问功能或任务。
- 安全组 的成员继承分配给该组的权限 。
- 权限在不同级别定义:组织/集合、项目或对象。
- 其他权限通过 基于角色的分配进行管理,例如团队管理员、扩展管理和各种管道资源角色。
- 管理员istrators 可以定义自定义安全组来管理不同功能区域的权限。
-
- 添加到 Azure DevOps 的所有用户都分配到 访问级别,该级别授予或限制对选择 Web 门户功能的访问权限。
- 有三个主要的访问级别: 利益干系人、 基本和 基本 + 测试计划。
- 利益干系人访问权限为一组有限的功能提供对无限数量的用户的免费访问权限。 有关详细信息,请参阅利益干系人访问快速参考。
- 关于预览功能:
- 随着新功能的引入,用户可以通过预览功能启用或禁用这些功能来访问它们。
- 一小部分新功能在组织级别进行管理,组织所有者启用或禁用。
例如,大多数 Azure DevOps 用户将添加到 参与者 安全组并被授予 基本 访问级别。 参与者组提供对存储库、工作跟踪、管道等的读取和写入访问权限。 基本 访问权限提供对使用 Azure Boards、Azure Repos、Azure Pipelines 和 Azure Artifacts 的所有功能和任务的访问权限。 需要有权管理 Azure 测试计划的用户必须被授予 基本 + 测试计划 或 高级 访问权限。
应将管理员添加到项目集合管理员或项目管理员组。 管理员管理员从 Web 门户管理安全组和权限,主要来自项目设置。 参与者还管理他们从 Web 门户创建的对象的权限。
有关默认权限的概述,请参阅默认权限快速参考。
安全组和成员身份
通过创建组织、集合或项目,Azure DevOps 会创建一组默认安全组,这些安全组会自动分配默认权限。 使用下列操作定义了更多安全组:
- 在以下级别创建自定义安全组时:
- 项目级别
- 组织级别或集合级别
- 服务器级(仅限本地部署)
- 添加团队时,将创建团队安全组
不能创建对象级安全组,但可以将自定义组分配给对象级别,并将权限分配给该级别。 有关详细信息,请参阅 “设置对象级权限”。
默认安全组
默认情况下为每个项目和组织定义以下安全组。 通常将用户或组添加到读者、参与者或 Project 管理员istrators 组。
| 集成 | 组织或集合 |
|---|---|
| - 生成管理员istrators -贡献 - Project 管理员istrators - 项目有效用户 -读者 - 发布管理员istrators - TeamName 团队 |
- 项目集合管理员istrators - 项目集合生成管理员istrators - 项目集合生成服务帐户 - 项目集合代理服务帐户 - 项目收集服务帐户 - 项目集合测试服务帐户 - 项目集合有效用户 - 项目范围内的用户 - 安全服务组 |
有关其中每个组的说明,请参阅 安全组、服务帐户和权限。 有关对最常见的默认安全组进行的默认权限分配,请参阅 默认权限和访问权限。
默认情况下,为每个项目和项目集合定义以下安全组。 通常将用户或组添加到读者、参与者或 Project 管理员istrators 组。
以下列表指示为 TFS 2017 及更高版本定义的最新组。 对于早期版本的 Azure DevOps,列表可能有所不同。 仅将服务帐户添加到 Azure DevOps 服务帐户组。 若要了解有效的用户组,请参阅 本文后面的有效用户组 。
| 项目级别 | 集合级别 |
|---|---|
| - 生成管理员istrators -贡献 - Project 管理员istrators - 项目有效用户 -读者 - 发布管理员istrators - TeamName 团队 |
- 项目集合管理员istrators - 项目集合生成管理员istrators - 项目集合生成服务帐户 - 项目集合代理服务帐户 - 项目收集服务帐户 - 项目集合测试服务帐户 - 项目集合有效用户 - 安全服务组 |
对于负责管理项目级功能(例如团队、区域和迭代路径、存储库、服务挂钩和服务终结点)的用户,请将它们添加到 Project 管理员istrators 组。 对于负责管理组织或集合级别功能(如项目、策略、流程、保留策略、代理和部署池和扩展)的用户,请将它们添加到 Project Collection 管理员istrators 组。 有关详细信息,请参阅 “关于用户”、“团队”、“项目”和组织级设置。
有关每个组和每个权限的说明,请参阅 权限和组参考、组。
成员身份、权限和访问级别管理
Azure DevOps 通过以下三个相互连接的功能区域控制访问权限:
成员管理支持将个人用户帐户和组添加到默认安全组。 每个默认组都与一组默认权限相关联。 添加到任何安全组的所有用户都会添加到“有效用户组”。 有效用户是可以连接到项目、集合或组织的人。
权限管理可控制处于系统不同级别的特定功能任务的访问权限。 对象级权限设置对文件、文件夹、生成管道或共享查询的权限。 权限设置对应于“允许”、“拒绝”、“继承的允许”、“继承的拒绝”、“系统允许”、“系统拒绝”和“未设置”。 有关详细信息,请参阅 本文后面的权限继承和安全组 。
访问级别管理 控制对 Web 门户功能的访问。 根据为用户购买的内容,管理员将用户的访问权限级别设置为利益干系人、基本、基本 + 测试或 Visual Studio Enterprise(以前为高级)。
每个功能区域都使用安全组来简化整个部署的管理。 可以通过 Web 管理上下文添加用户和组。 权限将根据你向其添加用户的安全组自动设置。 或权限基于要向其添加组的对象、项目、集合或服务器级别获取。
安全组成员可以是用户、其他组和 Microsoft Entra 组的组合。
安全组成员可以是用户、其他组和 Active Directory 组或工作组的组合。
Active Directory 和 Microsoft Entra 安全组
可以通过添加单个用户来填充安全组。 但是,为了便于管理,如果使用适用于 Azure DevOps Services 和 Active Directory 的 Microsoft Entra ID 或 Azure DevOps Server 的 Windows 用户组填充这些组,则更容易。 使用此方法可以更有效地跨多台计算机管理组成员身份和权限。
如果只需要管理一小部分用户,则可以跳过此步骤。 但是,如果预见组织可能会增长,可能需要设置 Active Directory 或 Microsoft Entra ID。 此外,如果计划为额外服务付费,则需要设置 Microsoft Entra ID,以便与 Azure DevOps 一起使用以支持计费。
注意
如果没有 Microsoft Entra ID,所有 Azure DevOps 用户都必须使用 Microsoft 帐户登录,并且必须由单个用户帐户管理帐户访问权限。 即使使用 Microsoft 帐户管理帐户访问权限,也需要设置 Azure 订阅来管理计费。
若要设置用于 Azure DevOps Services 的 Microsoft Entra ID,请参阅将组织连接到 Microsoft Entra ID。
当组织连接到 Microsoft Entra ID 时,可以启用或禁用许多组织策略来保护组织。 有关详细信息,请参阅 关于安全、身份验证和授权、安全策略。
若要使用 Microsoft Entra ID 管理组织访问权限,请参阅以下文章:
Azure DevOps 在 Microsoft Entra ID 中注册在更改后的一小时内对 Microsoft Entra 组所做的更改。 通过组成员身份继承的任何权限将刷新。 如果要刷新 Azure DevOps 中的 Microsoft Entra 成员身份和继承的权限,请注销,然后重新登录,或触发 刷新以重新评估权限。
若要设置 Active Directory 以用于 Azure DevOps Server,请参阅以下文章:
在安装 Azure DevOps Server 之前安装 Active Directory。
有效的用户组
将用户帐户直接添加到安全组时,会自动将其添加到有效用户组之一。
- 项目集合有效用户:添加到组织级别组的所有成员。
- 项目有效用户:添加到项目级组的所有成员。
- Server\Azure DevOps 有效用户:添加到服务器级组的所有成员。
- ProjectCollectionName\Project Collection Valid Users: All members added to collection-level groups.
- ProjectName\Project Valid Users:添加到项目级组的所有成员。
分配给这些组的默认权限主要仅限于读取访问权限,例如查看生成资源、查看项目级信息和查看集合级别信息。
添加到一个项目的所有用户都可以在集合中的其他项目中查看对象。 如果需要限制视图访问,则可以 通过区域路径节点设置限制。
如果删除或拒绝 某个有效用户组的“查看实例级信息 ”权限,则组的成员将无法访问项目、集合或部署,具体取决于设置的组。
Project-Scoped用户组
默认情况下,添加到组织的用户可以查看所有组织和项目信息和设置。 这些设置包括用户列表、项目列表、计费详细信息、使用情况数据,以及通过 组织设置访问的更多设置。
重要
- 本部分所述的有限可见性功能仅适用于通过 Web 门户的交互。 使用 REST API 或
azure devopsCLI 命令,项目成员可以访问受限数据。 - 在 Microsoft Entra ID 中具有默认访问权限的受限组中具有成员的来宾用户无法搜索具有人员选取器的用户。 当预览功能为组织关闭或来宾用户不是受限组的成员时,来宾用户可以按预期搜索所有 Microsoft Entra 用户。
若要限制所选用户(如利益干系人、Microsoft Entra 来宾用户或特定安全组的成员),可以启用 “限制用户可见性”和“协作”到组织的特定项目 预览功能。 启用后,添加到 Project-Scoped 用户组的任何用户或组将受限于访问组织设置页(“概述”和“项目”除外);只能访问已添加到的那些项目。
警告
为组织启用特定项目预览功能的“限制用户可见性和协作”时,项目范围内的用户无法通过 Microsoft Entra 组成员身份(而不是显式用户邀请)搜索已添加到组织的用户。 这是一种意外的行为,正在处理解决方法。 若要自行解决此问题,请禁用组织的 “将用户可见性和协作限制为特定项目 ”预览功能。
有关详细信息,请参阅 管理预览功能。
注意
安全组属于组织级别,即使它们仅访问特定项目也是如此。 某些组可能会根据用户权限隐藏在 Web 门户中。 可以使用 Azure devops CLI 工具或 REST API 在组织中查找所有组名称。 有关详细信息,请参阅 “添加和管理安全组”。
注意
安全组属于集合级别,即使它们仅访问特定项目也是如此。 某些组可能会根据用户权限隐藏在 Web 门户中。 可以使用 Azure devops CLI 工具或 REST API 在组织中查找所有组名称。 有关详细信息,请参阅 “添加和管理安全组”。
注意
安全组属于集合级别,即使它们仅访问特定项目也是如此。 某些组可能会根据用户权限隐藏在 Web 门户中。 但是,可以使用 REST API 发现组织中所有组的名称。 有关详细信息,请参阅 “添加和管理安全组”。
访问级别
访问级别控制 Web 门户中用户可以看到哪些功能。 访问权限取决于用户许可证。
如果要向用户授予对 Agile 项目组合管理或测试用例管理功能的访问权限, 请更改访问级别,而不是权限。
为用户或组设置访问级别不提供对项目或 Web 门户的访问权限。 只有添加到团队或安全组的用户或组才能连接到项目和 Web 门户。 确保用户拥有所需的权限和访问级别。 为此,请确保它们已 添加到项目或团队。
权限
如下图所示,可以在项目和集合级别定义的安全组分配给在对象、项目和组织级别分配的权限。
如下图所示,可以在项目和集合级别定义的安全组分配给在对象、项目和集合级别分配的权限。 只能将服务器级安全组定义为服务器级权限。
有关每个默认安全组的说明,请参阅 安全组、服务帐户和权限。
权限状态
权限可以具有以下分配。 如前所述,它们授予或限制访问权限。
用户或组 有权 执行任务:
- 允许
- 允许(继承)
- 允许(系统)
用户或组 无权 执行任务:
- 拒绝
- 拒绝(继承)
- 拒绝 (系统)
- 未设置
| 权限状态 | 说明 |
|---|---|
| 允许 | 显式授予用户执行特定任务的权限,并且不会继承自组成员身份。 |
| 允许(继承) | 授予组成员以执行特定任务。 |
| 允许(系统) | 授予在用户权限之前优先的权限。 不可编辑并存储在配置数据库中,对用户不可见。 |
| 拒绝 | 显式限制用户执行特定任务,并且不会从组成员身份继承。 对于大多数组和几乎所有权限,“拒绝”优先于“允许”。 如果用户属于两个组,其中一个组具有特定权限集“ 拒绝”,则即使用户属于该权限设置为 “允许”的组,该用户也不能执行需要该权限的任务。 |
| 拒绝(继承) | 限制组成员执行特定任务。 重写显式 允许。 |
| 拒绝 (系统) | 限制在用户权限之前优先的权限。 不可编辑并存储在配置数据库中,对用户不可见。 |
| 未设置 | 隐式拒绝用户执行需要该权限的任务的能力,但允许具有该权限的组中的成员身份优先,也称为“允许”(继承的)或“拒绝”(继承的)。 |
在某些情况下,Project Collection 管理员istrators 或 Team Foundation 管理员istrators 组的成员可能始终获得权限,即使他们被拒绝在不同的组中获得该权限也是如此。 在其他情况下(如工作项删除或管道),作为 Project Collection 管理员istrators 组的成员不会绕过在其他位置设置的拒绝权限。
警告
更改组的权限时,它会更改属于该组成员的所有用户的权限。 根据组的大小,可以通过更改一个权限来影响数百个用户执行其作业的能力。 因此,在进行更改之前,请确保了解潜在影响。
权限继承和安全组
某些权限通过层次结构进行管理。 在此层次结构中,权限可以继承自父级或重写。 安全组为组成员分配一组权限。 例如,为参与者组或 Project 管理员istrators 组的成员分配设置为“允许”的权限。
如果用户未直接允许或拒绝某个权限,则可以通过以下方式继承该权限。
用户从其所属的组继承权限。 当用户具有直接成员身份或组成员身份 “允许 ”权限时,直接成员身份或组成员身份 拒绝 权限将替代它。
Project Collection 管理员istrators 或 Team Foundation 管理员istrators 的成员保留大多数允许的权限,即使它们属于拒绝这些权限的其他组。 工作项操作权限是此规则的例外。
为层次结构节点(区域、迭代、版本控制文件夹、工作项查询文件夹)分配的对象级权限将继承到层次结构中。 也就是说,如果未显式允许或拒绝
area-1/sub-area-1相同的权限,则用户的权限在area-1获取时被继承area-1/sub-area-1。 如果为对象显式设置权限,例如area-1/sub-area-1,则不继承父节点,而不考虑是拒绝还是允许。 如果未设置,则该节点的权限将从具有显式设置权限的最接近的上级继承。 最后,在对象层次结构中,特定性胜过继承。 例如,权限在“area-1”上显式设置为“拒绝”但同时显式设置为“area-1/sub-area-1”的用户接收“area-1/sub-area-1”上的“允许”。
若要了解为何继承权限,可以暂停权限设置,然后选择“ 原因”? 若要打开 “安全 ”页,请参阅 “查看权限”。
注意
若要启用 “项目权限设置”页预览页 ,请参阅 “启用预览功能”。
权限的最佳做法
应做事项:
- 管理大量用户时,请使用 Microsoft Entra ID、Active Directory 或 Windows 安全组。
- 添加团队时,请考虑要分配给团队主管、scrum 大师和其他团队成员的权限。 请考虑创建和修改区域路径、迭代路径和查询的人员。
- 添加多个团队时,请考虑创建团队管理员istrators 自定义组,可在其中分配 Project 管理员istrators 可用的权限子集。
- 请考虑向工作项查询文件夹授予“参与”权限的用户或组,这些用户或组需要为项目创建和共享工作项查询。
禁止事项:
- 不要将用户添加到包含不同权限级别的多个安全组。 在某些情况下,“拒绝”权限级别可能会覆盖“允许”权限级别。
- 不要更改对有效用户组进行的默认分配。 如果你移除某个有效用户组的“查看实例级别信息”权限或将其设置为“拒绝”,则根据你设置的组,此组中的任何用户都不能访问项目、集合或部署。
- 不要将标注为“仅分配给服务账户”的权限分配给用户账户。
基于角色的权限
使用基于角色的权限,可将用户帐户或安全组分配给角色,每个角色分配了一个或多个权限。 下面是主要角色和详细信息的链接。
- 项目或包源安全角色:角色支持各种权限级别来编辑和管理包源。
- 市场扩展管理器角色:管理器角色的成员可以安装扩展并响应要安装的扩展的请求。
- 管道安全角色:多个角色用于管理库资源、项目级和集合级管道资源。
- 团队管理员角色 团队管理员可以管理所有团队工具。
Project 管理员istrators 或 Project Collection 管理员istrators 组的成员可以管理所有团队的所有团队工具。
预览功能
功能标志控制对选择、新功能的访问。 Azure DevOps 定期将新功能置于功能标志后面来引入新功能。 项目成员和组织所有者可以启用或禁用预览功能。 有关详细信息,请参阅 “管理”或“启用功能”。
后续步骤
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈