Azure DevOps 的默认权限快速参考
Azure DevOps Services |Azure DevOps Server 2022 - Azure DevOps Server 2019 |TFS 2018
若要使用 Azure DevOps 功能,必须将用户添加到具有相应权限并授予对 Web 门户的访问权限的安全组。 选择功能的限制基于用户分配到 的访问级别 和 安全组 。 基本访问级别和更高级别支持对大多数Azure DevOps Services进行完全访问,但Azure Test Plans除外。 利益干系人访问级别为 Azure Boards 和 Azure Pipelines 提供部分支持。 若要详细了解访问级别,请参阅 关于访问级别 和 利益干系人访问快速参考。
将用户分配到安全组
最常见的内置安全组(读者、 参与者和 项目管理员)以及团队管理员角色向特定功能授予权限。
一般情况下,在将用户分配到安全组时,请使用以下指南:
- 向 参与者 安全组添加参与代码库或管理项目的全职工作人员。
- 将任务是管理项目资源的用户添加到项目 管理员 安全组。 I
- 将 添加到负责管理组织或 集合资源的 Project 集合管理员 安全组用户。
若要了解有关管理任务的详细信息,请参阅 关于用户、团队、项目和组织级别的设置。 有关所有内置组和权限的完整参考,请参阅 权限和组。 有关访问级别的信息,请参阅 关于访问级别。
在本文提供的表中,✔️ (复选标记) 指示相应的访问级别或安全组默认有权访问某个功能。
若要分配或更改访问级别,请参阅 添加用户和分配许可证。 如果需要 向特定用户授予选择权限,可以执行此操作。
Azure Boards
可以从 Web 门户 Boards 中心以及 Visual Studio、Excel 和其他客户端规划和跟踪工作。 有关工作跟踪功能的概述,请参阅 关于敏捷工具。 若要更改权限,请参阅 设置工作跟踪的权限和访问权限。 除了 通过内置组在项目级别设置的权限外,还可以为以下对象设置权限: 区域和迭代路径 以及单个 查询和查询文件夹。
跟踪工作
可以从 Web 门户 Work hub 以及使用 Eclipse、Visual Studio、Excel、Project 和其他客户端来计划和跟踪工作。
对以下任务的访问由每个用户的访问级别或权限分配控制。 “读者”、“参与者”或“项目管理员”组的成员假定具有基本访问权限或更高版本。
常规工作项权限
可以使用工作项跟踪需要跟踪的任何内容。若要了解详细信息,请参阅 了解如何使用工作项跟踪问题、任务和长篇故事。
注意
没有与 管理标记关联的 UI 权限。 相反,可以使用 TFSSecurity 命令行工具对其进行管理。
注意
您可以更改工作项类型或将工作项移动到项目集合中的另一个项目。 这些功能需要禁用数据仓库。 禁用数据仓库后,可以使用 Analytics 服务 来支持报告需求。 若要详细了解如何禁用数据仓库,请参阅 禁用数据仓库和多维数据集。
任务或权限
Readers
供稿人
项目管理员
(区域路径权限) 查看此节点中的工作项
✔️
✔️
✔️
编辑此节点中的工作项 (区域路径权限)
✔️
✔️
编辑此节点中的工作项注释 (区域路径权限)
✔️
✔️
创建标记定义
✔️
✔️
(项目级权限) 更改工作项类型
✔️
✔️
将工作项移出此项目 (项目级权限)
✔️
✔️
Email工作项
✔️
✔️
✔️
应用工作项模板
✔️
✔️
删除和还原 ( 项目级权限) (能够从回收站还原的工作项)
✔️
✔️
(项目级权限) 永久删除工作项
✔️
通过 Microsoft 反馈客户端) (提供反馈
✔️
✔️
✔️
✔️
注意
工作项受其应用的规则约束。 基于用户或组成员身份的条件规则是为 Web 浏览器缓存的。 如果你发现自己被限制更新工作项,则可能遇到其中一个规则。 如果你认为遇到不适用于你的问题,请参阅 工作项表单 IndexDB 缓存问题。 若要详细了解条件规则,请参阅 规则和规则评估。
Boards
使用 Boards 实现看板方法。 版块将工作项显示为卡片,并支持通过拖放快速更新状态。
任务
Readers
供稿人
团队管理员
项目管理员
查看版块并打开工作项
✔️
✔️
✔️
将工作项添加到开发板;通过拖放更新状态
✔️
✔️
通过拖放对工作项重新排序或重新父级子项;更新卡片上的字段
✔️
✔️
将工作项添加到开发板;通过拖放更新状态、重新排序或重新父级子项;更新卡片上的字段
✔️
✔️
将子项添加到清单
✔️
✔️
从卡片字段) 分配给冲刺 (
✔️
✔️
配置开发板设置
✔️
积压工作功能访问
积压工作将 工作项显示为列表。 产品积压工作代表项目计划,以及跟踪并与团队共享所需的所有信息的存储库。 项目组合积压工作允许你将积压工作分组和组织到层次结构中。
任务
Readers
供稿人
团队管理员
项目管理员
查看积压工作和打开的工作项
✔️
✔️
✔️
将工作项添加到积压工作
✔️
✔️
使用批量编辑功能
✔️
✔️
将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格的父项;使用“规划”窗格将项分配到冲刺
✔️
✔️
将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格的父项;使用拖放将项目分配到冲刺
✔️
✔️
配置团队设置、积压工作级别、显示 bug、休息日
✔️
冲刺 (sprint)
使用冲刺工具实现 Scrum 方法。 Sprints 工具集提供团队分配给特定迭代路径或冲刺的工作项的筛选视图。
任务
Readers
供稿人
团队管理员项目管理员
查看冲刺积压工作、任务板和打开的工作项
✔️
✔️
✔️
将工作项添加到冲刺积压工作或任务板
✔️
✔️
确定冲刺积压工作或任务板的优先级/重新排序;将子项添加到积压工作项;使用“规划”窗格将项重新分配到冲刺
✔️
✔️
查看团队容量和工作详细信息
✔️
✔️
设置团队容量
✔️
✔️
使用批量编辑功能
✔️
✔️
定义团队冲刺
✔️
查询
查询 是基于使用查询编辑器定义的条件筛选的工作项列表。 临时搜索 由语义搜索引擎提供支持。
任务
Readers
供稿人
项目管理员
查看和运行托管查询,查看查询图表
✔️
✔️
✔️
创建并保存托管 的“我的查询”、“查询图表”
✔️
✔️
创建、删除和保存 共享查询、图表、文件夹
✔️
交付计划
交付计划 将工作项显示为日历视图的卡片。 此格式可以是团队经理、合作伙伴和利益干系人的有效沟通工具。
任务
Readers
供稿人
团队管理员
项目管理员
查看交付计划
✔️
✔️
✔️
创建、编辑或删除交付计划,参与者只能编辑或删除他们创建的计划
✔️
✔️
管理交付计划的权限,参与者只能管理他们创建的计划的权限
✔️
✔️
Azure Repos
可以从 Web 门户 Repos 中心或使用 Xcode、Eclipse、IntelliJ、Android Studio、Visual Studio 或 Visual Studio Code管理源代码。
专用项目的利益干系人无权访问 Repos。 公共项目的利益干系人对 Repos 的访问权限与 参与者相同。
代码:源代码管理
可以从 Web 门户代码中心或使用 Xcode、Eclipse、IntelliJ、Android Studio、Visual Studio 或 Visual Studio Code 连接到代码。 专用项目的利益干系人无权访问 Code。
Git
可以使用 Git 存储库 托管和协作处理源代码。 有关代码功能和函数的概述。
权限
Readers
供稿人
生成管理员
项目管理员
读取 (克隆、提取和浏览存储库) 的内容;还可以创建、评论、投票和 参与拉取请求
✔️
✔️
✔️
✔️
参与、创建分支、创建标记和管理笔记
✔️
✔️
✔️
创建存储库、 删除存储库和 重命名存储库
✔️
编辑策略、 管理权限、 删除他人的锁
✔️
强制推送 (重写历史记录、删除分支和标记)
✔️
完成拉取请求时绕过策略
未为任何安全组设置 ()
完成拉取请求时绕过策略、 推送时绕过策略、 强制推送 (重写历史记录、删除分支和标记)
未为任何安全组设置 ()
TFVC
Team Foundation 版本控制 (TFVC) 提供集中式版本控制系统来管理源代码管理。
注意
不支持创建、删除或重命名 TFVC 存储库等任务。 创建 TFVC 存储库后,无法将其删除。 此外,每个项目只能有一个 TFVC 存储库。 这不同于允许添加、重命名和删除多个存储库的 Git 存储库。
权限
Readers
供稿人
生成管理员
项目管理员
签入、 标签、 锁定、 合并、 在服务器工作区中更改、 读取
只读
✔️
✔️
✔️
管理标签、 管理分支、 管理权限、 修改其他用户的更改、 撤消其他用户的更改、 解锁其他用户的更改
✔️
Azure Pipelines
可以从 Web 门户 Pipelines 中心定义和管理生成和发布。 有关管道特性和功能的概述,请参阅 任何平台上的持续集成。
| 任务 | Readers | 作者 | 生成管理员 | 项目管理员 | 发布管理员 |
|---|---|---|---|---|---|
| 查看发布管道 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 使用持续集成定义生成 | ✔️ | ✔️ | ✔️ | ||
| 定义发布和管理部署 | ✔️ | ✔️ | ✔️ | ||
| 批准发布 | ✔️ | ✔️ | ✔️ | ✔️ | |
| Azure Artifacts (5 个用户免费) | ✔️ | ✔️ | ✔️ | ||
| 排队生成,编辑生成质量 | ✔️ | ✔️ | ✔️ | ||
| 管理生成队列和生成质量 | ✔️ | ✔️ | |||
| 管理生成保留策略,删除和销毁生成 | ✔️ | ✔️ | ✔️ | ||
| 管理生成权限 | ✔️ | ✔️ | |||
| 管理发布权限 | ✔️ | ✔️ | |||
| 创建和编辑任务组 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 管理任务组权限 | ✔️ | ✔️ | ✔️ | ||
| 可以查看库项,如变量组 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 使用和管理库项,如变量组 | ✔️ | ✔️ | ✔️ |
构建
| 任务 | Readers | 作者 | 生成管理员 | 项目管理员 |
|---|---|---|---|---|
| 查看生成 | ✔️ | ✔️ | ✔️ | ✔️ |
| 查看生成管道 | ✔️ | ✔️ | ✔️ | ✔️ |
| 管理生成权限 | ✔️ | ✔️ | ||
| 删除或编辑生成管道 | ✔️ | ✔️ | ✔️ | |
| 删除或销毁生成 | ✔️ | ✔️ | ||
| 编辑版本质量 | ✔️ | ✔️ | ✔️ | |
| 管理生成质量 | ✔️ | ✔️ | ||
| 管理生成队列 | ✔️ | ✔️ | ||
| 重写由生成执行的签入验证 | ✔️ | |||
| 对生成进行排队 | ✔️ | ✔️ | ✔️ | |
| 无限期保留 | ✔️ | ✔️ | ✔️ | ✔️ |
| 停止生成 | ✔️ | ✔️ | ||
| 更新生成信息 | ✔️ |
发布
| 任务 | 利益干系人 | Readers | 作者 | 项目管理员 | 发布管理员 |
|---|---|---|---|---|---|
| 批准发布 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 查看版本 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 查看发布管道 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 管理发布权限 | ✔️ | ✔️ | |||
| 删除发布管道或阶段 | ✔️ | ✔️ | ✔️ | ||
| 删除版本 | ✔️ | ✔️ | ✔️ | ||
| 编辑发布管道 | ✔️ | ✔️ | |||
| 编辑发布阶段 | ✔️ | ✔️ | ✔️ | ||
| 管理部署 | ✔️ | ✔️ | |||
| 管理发布审批者 | ✔️ | ✔️ | ✔️ | ||
| 管理版本 | ✔️ | ✔️ |
任务组
使用任务组将生成或发布管道中已定义的一系列任务封装到单个可重用任务中。 任务组权限遵循分层模型。 可以为项目级的所有权限设置默认值,并针对单个任务组管道进行过度写入。 可在 Azure Pipelines 的“任务组”选项卡中定义和管理任务组。
| 任务 | Readers | 作者 | 生成管理员 | 项目管理员 | 发布管理员 |
|---|---|---|---|---|---|
| 管理任务组权限 | ✔️ | ✔️ | ✔️ | ||
| 删除任务组 | ✔️ | ✔️ | ✔️ | ||
| 编辑任务组 | ✔️ | ✔️ | ✔️ |
生成和发布
可以从 Web 门户“生成和发布”定义和管理生成 和发布。 有关管道特性和功能的概述,请参阅 任何平台上的持续集成。 在 Web 门户中,可以为所有或单个生成和发布设置权限。 请参阅 设置生成和发布权限。
构建
任务
Readers
作者
构建
管理员
项目管理员
查看生成
✔️
✔️
✔️
✔️
查看生成定义
✔️
✔️
✔️
✔️
管理生成权限
✔️
✔️
删除或编辑生成定义
✔️
✔️
✔️
删除或销毁生成
✔️
✔️
编辑版本质量
✔️
✔️
✔️
管理生成质量
✔️
✔️
管理生成队列
✔️
✔️
重写由生成执行的签入验证
✔️
对生成进行排队
✔️
✔️
✔️
无限期保留
✔️
✔️
停止生成
✔️
✔️
更新生成信息
✔️
发布
任务
Readers
作者
项目管理员
发布
管理员
批准发布
✔️
✔️
✔️
查看版本
✔️
✔️
✔️
✔️
查看发布定义
✔️
✔️
✔️
✔️
管理发布权限
✔️
✔️
删除发布定义或发布阶段
✔️
✔️
✔️
删除版本
✔️
✔️
✔️
编辑发布定义
✔️
✔️
编辑发布阶段
✔️
✔️
✔️
管理部署
✔️
✔️
管理发布审批者
✔️
✔️
✔️
管理版本
✔️
✔️
Azure Test Plans
被授予基本 + Test Plans或Visual Studio Enterprise访问级别的用户可以从 Web 门户定义和管理手动测试。 有关手动测试特性和功能的概述,请参阅 测试概述。 从“项目设置权限”>在项目级别设置多个测试权限。
测试
被授予Visual Studio Enterprise或高级访问级别的用户可以从 Web 门户定义和管理手动测试。 有关手动测试特性和功能的概述,请参阅 测试概述。 从“项目设置权限”>在项目级别设置多个测试权限。
权限
Level
Readers
供稿人
项目管理员
查看测试运行
项目级别
✔️
✔️
✔️
创建测试运行
删除测试运行
项目级别
✔️
✔️
管理测试配置
管理测试环境
项目级别
✔️
✔️
创建标记定义
删除和还原工作项
项目级别
✔️
✔️
永久删除工作项
项目级别
✔️
查看此节点中的工作项
区域路径
✔️
✔️
✔️
编辑此节点中的工作项
管理测试计划
管理测试套件
区域路径
✔️
✔️
注意
“更改工作项类型”权限不适用于特定于测试的工作项。 即使从工作项窗体中选择此功能,也不允许更改工作项类型。
Azure Artifacts
可以从 Web 门户 “项目”管理源。 被授予利益干系人或基本访问权限或更高权限的用户可以访问 Azure Artifacts 功能。 若要设置权限,请参阅 使用权限保护源。
可以从 Web 门户 “项目”管理源。 被授予基本访问权限或更高版本的用户可以访问 Azure Artifacts 功能。 被授予利益干系人访问权限的用户无权访问 Azure Artifacts。 若要设置权限,请参阅 使用权限保护源。
包管理
可以从 Web 门户管理源, 生成和发布 > 包。 被授予基本访问权限或更高版本的用户可以访问包管理功能。 被授予利益干系人访问权限的用户没有访问权限。 若要设置权限,请参阅 使用权限保护源。
源具有四个权限角色:读者、协作者、参与者和所有者。 所有者可以将用户帐户或安全组添加到任何角色。
| 权限 | 读者 | 协作者 | 参与者 | “所有者” |
|---|---|---|---|---|
| 列出、安装和还原包 | ✔️ | ✔️ | ✔️ | ✔️ |
| 推送包 | ✔️ | ✔️ | ||
| 取消列出/弃用包 | ✔️ | ✔️ | ||
| 删除/取消发布包 | ✔️ | |||
| 将包提升为视图 | ✔️ | ✔️ | ||
| 添加/删除上游源 | ✔️ | |||
| 从上游源保存包 | ✔️ | ✔️ | ✔️ | |
| 编辑源权限 | ✔️ |
默认情况下,项目集合生成服务为参与者,项目团队为读者。
注意
若要访问其他组织中的源,必须向用户授予对托管该源的项目的访问权限。
源具有三个权限角色:读者、参与者和所有者。 所有者可以将用户帐户或安全组添加到任何角色。
| 权限 | 读取器 | 参与者 | “所有者” |
|---|---|---|---|
| 列出并还原/安装包 | ✔️ | ✔️ | ✔️ |
| 推送包 | ✔️ | ✔️ | |
| 取消列出/弃用包 | ✔️ | ✔️ | |
| 删除/取消发布包 | ✔️ | ||
| 编辑源权限 | ✔️ | ||
| 重命名和删除源 | ✔️ |
默认情况下,项目集合生成服务为参与者,项目团队为读者。
注意
若要访问其他组织中的源,必须向用户授予对托管该源的项目的访问权限。
通知、警报和团队协作工具
注意
没有与管理通知关联的 UI 权限。 相反,可以使用 TFSSecurity 命令行工具对其进行管理。
任务
Readers
供稿人
团队管理员
项目管理员项目集合管理员
查看项目页,使用项目页导航
✔️
✔️
✔️
✔️
编辑项目页
✔️
设置个人通知或警报
✔️
✔️
✔️
设置团队通知或警报
✔️
✔️
设置项目级通知或警报
✔️
查看项目 READM
✔️
✔️
✔️
✔️
查看 Project Wiki 或代码 Wiki
✔️
✔️
✔️
✔️
预配或创建项目 Wiki
✔️
✔️
✔️
将代码发布为 Wiki
✔️
✔️
✔️
请求反馈
✔️
✔️
✔️
提供反馈
✔️
✔️
✔️
✔️
跨项目、组织、集合搜索
✔️
✔️
✔️
✔️
仪表板、图表、报表和小组件
可以从 Web 门户仪表板定义和管理团队和项目 仪表板。 有关仪表板和图表功能的概述,请参阅 仪表板。 可以设置 单个仪表板权限 ,以授予或限制编辑或删除仪表板的能力。
授予利益干系人对专用项目的访问权限的用户无法查看或创建查询图表。 利益干系人对公共项目的访问权限可以查看和创建查询图表。
可以从 Web 门户仪表板定义和管理团队 仪表板。 有关仪表板和图表功能的概述,请参阅 仪表板。 从 团队仪表板页面在团队级别 设置仪表板权限。
任务
Readers
供稿人
团队管理员
项目管理员
查看团队和项目仪表板
✔️
✔️
✔️
✔️
查看团队仪表板
✔️
✔️
✔️
添加和配置项目仪表板
✔️
✔️
添加和配置团队仪表板
✔️
✔️
✔️
Power BI 集成和分析视图
从 Web 门户 分析视图,可以创建和管理分析视图。 分析视图提供了一种简化的方法,用于指定基于 Analytics Service 数据存储的 Power BI 报表的筛选条件。 分析服务是 Azure DevOps 的报告平台。 若要了解详细信息,请参阅 什么是 Analytics 服务?。
在项目级别为服务设置权限,在对象级别为共享分析视图设置 权限 。 具有 利益干系人 访问权限的用户无权查看或编辑 Analytics 视图。
任务
Readers
供稿人
项目管理员
查看分析
✔️
✔️
✔️
查看共享分析视图
✔️
✔️
添加专用或共享分析视图
✔️
✔️
编辑和删除共享分析视图
✔️