默认权限快速参考
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
若要使用 Azure DevOps 功能,必须将用户添加到具有相应权限并授予对 Web 门户的访问权限的安全组。 选择功能的限制基于用户分配到的访问级别和安全组。 基本访问级别和更高版本支持完全访问大多数 Azure DevOps 服务,但 Azure 测试计划除外。 利益干系人 访问级别为 Azure Boards 和 Azure Pipelines 提供部分支持。 若要详细了解访问级别,请参阅 “关于访问级别 ”和 “利益干系人”访问快速参考。
将用户分配到安全组
最常见的内置安全组(读者、 参与者和 项目管理员)以及团队管理员角色授予对特定功能的权限。
一般情况下,将用户分配到安全组时,请使用以下指南:
- 添加到 参与代码库或管理项目的参与者 安全组全职工作人员。
- 添加到 负责管理项目资源的 Project Administrators 安全组用户。
- 添加到 负责管理组织或集合资源的 Project Collection Administrators 安全组用户。
若要了解有关管理任务的详细信息,请参阅 “关于用户”、“团队”、“项目”和组织级设置。 有关所有内置组和权限的完整参考,请参阅 “权限”和“组”。 有关访问级别的信息,请参阅 “关于访问级别”。
在本文中提供的表中,一个✔️(复选标记)指示默认情况下,相应的访问级别或安全组有权访问某个功能。
要分配或更改访问级别,请参阅添加用户和分配许可证。 如果需要向特定用户授予选定的权限,可以这样做。
Azure Boards
可以从 Web 门户 Boards 中心计划并跟踪工作,以及使用 Visual Studio、Excel 和其他客户端。 有关工作跟踪功能的概述,请参阅 关于敏捷工具。 若要更改权限,请参阅 设置工作跟踪的权限和访问权限。 除了通过内置组在项目级别设置的权限外,还可以为以下对象设置权限:区域和迭代路径以及单个查询和查询文件夹。
每个用户的访问级别或权限分配控制对以下任务的访问。 读者、参与者或项目管理员组的成员假定具有基本访问权限或更高版本。
常规工作项权限
可以使用工作项来跟踪需要跟踪的任意内容。有关详细信息,请参阅了解如何使用工作项来跟踪问题、任务和长篇故事。
注意
可以更改工作项类型,或者将工作项移动到项目集合中的另一个项目。 这些功能需要禁用数据仓库。 在禁用了数据仓库的情况下,可以使用 Analytics Service 为报告需求提供支持。 要详细了解如何禁用数据仓库,请参阅禁用数据仓库和多维数据集。
任务或权限
Readers
供稿人
项目管理员
查看此节点中的工作项(区域路径权限)
✔️
✔️
✔️
编辑此节点中的工作项(区域路径权限)
✔️
✔️
编辑此节点中的工作项注释(区域路径权限)
✔️
✔️
创建标记定义
✔️
✔️
更改工作项类型(项目级权限)
✔️
✔️
将工作项移出此项目(项目级权限)
✔️
✔️
通过电子邮件发送工作项
✔️
✔️
✔️
应用工作项模板
✔️
✔️
删除和还原工作项(项目级权限)(能够从回收站还原)
✔️
✔️
永久删除工作项(项目级权限)
✔️
提供反馈(通过 Microsoft 反馈客户端)
✔️
✔️
✔️
✔️
注意
工作项要遵守适用于它们的规则。 基于用户或组成员身份的条件规则会缓存在 Web 浏览器中。 如果你发现自己被限制更新某个工作项,可能是受制于以下规则之一。 如果你认为遇到的问题并不适用,请参阅工作项表单 IndexDB 缓存问题。 有关详细信息,请参阅规则和规则评估。
Boards
使用 Boards 实现看板/敏捷方法。 面板通过拖放功能将工作项显示为卡片,并支持快速的状态更新。
任务
Readers
供稿人
团队管理员
项目管理员
查看面板并打开工作项
✔️
✔️
✔️
将工作项添加到面板;通过拖放更新状态
✔️
✔️
通过拖放对工作项重新排序或重新设置子项的父级;更新卡片上的字段
✔️
✔️
将工作项添加到面板;通过拖放更新状态、重新排序或重新设置子项的父级;更新卡片上的字段
✔️
✔️
将子项添加到清单
✔️
✔️
分配给冲刺(从卡片字段)
✔️
✔️
配置面板设置
✔️
积压工作功能访问
积压工作将工作项显示为列表。 产品积压工作表示你的项目计划,以及你需要跟踪并与团队共享的所有信息的存储库。 使用组合积压工作,可以将积压工作分组和组织到层次结构中。
任务
Readers
供稿人
团队管理员
项目管理员
查看积压工作和打开工作项
✔️
✔️
✔️
将工作项添加到积压工作中
✔️
✔️
使用批量编辑功能
✔️
✔️
将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格设置父项;使用“规划”窗格将项分配到冲刺
✔️
✔️
配置团队设置、积压工作级别、显示 bug、休息日
✔️
冲刺 (sprint)
使用冲刺工具实现 Scrum 方法。 Sprints 工具集提供团队分配给特定迭代路径或冲刺的工作项的筛选视图。
任务
Readers
供稿人
团队管理员项目管理员
查看冲刺积压工作、任务板和打开工作项
✔️
✔️
✔️
将工作项添加到冲刺积压工作或任务板
✔️
✔️
确定冲刺积压工作或任务板的优先级/重新排序;将子项添加到积压工作项;使用“规划”窗格将项重新分配到冲刺
✔️
✔️
查看团队产能和工作详细信息
✔️
✔️
设置团队产能
✔️
使用批量编辑功能
✔️
✔️
定义团队冲刺
✔️
查询
查询是根据使用查询编辑器定义的条件筛选的工作项列表。 Adhoc 搜索 由语义搜索引擎提供支持。
任务
Readers
供稿人
项目管理员
查看和运行托管查询、查看查询图表
✔️
✔️
✔️
创建并保存托管的我的查询、查询图表
✔️
✔️
创建、删除和保存共享查询、图表、文件夹
✔️
交付计划
传递计划 将工作项显示为日历视图的卡片。 此格式可以是团队经理、合作伙伴和利益干系人的有效沟通工具。
任务
Readers
供稿人
团队管理员
项目管理员
查看交付计划
✔️
✔️
✔️
创建、编辑或删除交付计划,参与者只能编辑或删除他们创建的计划
✔️
✔️
管理交付计划的权限,参与者只能管理他们创建的计划的权限
✔️
✔️
Azure Repos
可以从 Web 门户 Repos 中心或使用 Xcode、Eclipse、IntelliJ、Android Studio、Visual Studio 或 Visual Studio Code 管理源代码。
专用项目的利益干系人无权访问 Repos。 公共项目的利益干系人对 Repos 的访问权限与 参与者相同。
Advanced Security
可以使用 高级安全性 来识别存储库中的安全漏洞。
权限
Readers
供稿人
生成管理员
项目管理员
查看警报 (能够在“高级安全”选项卡下查看所有安全警报)
✔️
✔️
✔️
管理和消除警报 (能够消除任何高级安全警报)
✔️
管理设置 (在高级安全性和/或为存储库启用推送保护)
代码:源代码管理
可以从 Web 门户 代码 中心或 Xcode、Eclipse、IntelliJ、Android Studio、Visual Studio 或 Visual Studio Code 连接到代码。 专用项目的利益干系人无权访问 Code。
Git
可以使用 Git 存储库 托管和协作处理源代码。 有关代码特性和函数的概述。
权限
Readers
供稿人
生成管理员
项目管理员
读取(克隆、提取和浏览存储库的内容);还可以创建、评论和参与拉取请求以及对其进行投票
✔️
✔️
✔️
✔️
参与、创建分支、创建标记以及管理笔记
✔️
✔️
✔️
创建存储库、删除存储库以及重命名存储库
✔️
编辑策略、管理权限、删除其他人的锁
✔️
完成拉取请求时绕过策略、推送时绕过策略、强制推送(重写历史记录、删除分支和标记)
(未为任何安全组设置)
TFVC
Team Foundation 版本控制(TFVC)提供集中式版本控制系统来管理源代码管理。
注意
不支持创建、删除或重命名 TFVC 存储库等任务。 创建 TFVC 存储库后,无法将其删除。 此外,每个项目只能有一个 TFVC 存储库。 这与支持添加、重命名和删除多个存储库的 Git 存储库不同。
权限
Readers
供稿人
生成管理员
项目管理员
签入、标记、锁定、合并、挂起服务器工作区中的更改、读取
只读
✔️
✔️
✔️
管理标签、管理分支、管理权限、修订其他用户的更改、撤消其他用户的更改、解锁其他用户的更改
✔️
Azure Pipelines
可以从 Web 门户 Pipelines 中心定义和管理生成和发布。 有关管道特性和函数的概述,请参阅 任何平台上的持续集成。
| 任务 | Readers | 作者 | 生成管理员 | 项目管理员 | 发布管理员 |
|---|---|---|---|---|---|
| 查看发布管道 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 使用持续集成定义生成 | ✔️ | ✔️ | ✔️ | ||
| 定义发布和管理部署 | ✔️ | ✔️ | ✔️ | ||
| 批准发布 | ✔️ | ✔️ | ✔️ | ✔️ | |
| Azure Artifacts (5 个免费用户) | ✔️ | ✔️ | ✔️ | ||
| 队列生成,编辑生成质量 | ✔️ | ✔️ | ✔️ | ||
| 管理生成队列和生成质量 | ✔️ | ✔️ | |||
| 管理生成保留策略、删除和销毁生成 | ✔️ | ✔️ | ✔️ | ||
| 管理生成权限 | ✔️ | ✔️ | |||
| 管理发布权限 | ✔️ | ✔️ | |||
| 创建和编辑任务组 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 管理任务组权限 | ✔️ | ✔️ | ✔️ | ||
| 可以查看库项,如变量组 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 使用和管理库项,例如变量组 | ✔️ | ✔️ | ✔️ |
构建
| 任务 | Readers | 作者 | 生成管理员 | 项目管理员 |
|---|---|---|---|---|
| 查看生成 | ✔️ | ✔️ | ✔️ | ✔️ |
| 查看生成管道 | ✔️ | ✔️ | ✔️ | ✔️ |
| 管理生成权限 | ✔️ | ✔️ | ||
| 创建生成管道 | ✔️ | ✔️ | ✔️ | |
| 删除或编辑生成管道 | ✔️ | ✔️ | ✔️ | |
| 删除或销毁生成 | ✔️ | ✔️ | ||
| 编辑版本质量 | ✔️ | ✔️ | ✔️ | |
| 管理生成质量 | ✔️ | ✔️ | ||
| 管理生成队列 | ✔️ | ✔️ | ||
| 重写由生成执行的签入验证 | ✔️ | |||
| 对生成进行排队 | ✔️ | ✔️ | ✔️ | |
| 无限期保留 | ✔️ | ✔️ | ✔️ | ✔️ |
| 停止生成 | ✔️ | ✔️ | ||
| 更新生成信息 | ✔️ |
发布
| 任务 | 利益干系人 | Readers | 作者 | 项目管理员 | 发布管理员 |
|---|---|---|---|---|---|
| 批准发布 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 查看发布 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
| 查看发布管道 | ✔️ | ✔️ | ✔️ | ✔️ | |
| 管理发布权限 | ✔️ | ✔️ | |||
| 删除发布管道或阶段 | ✔️ | ✔️ | ✔️ | ||
| 删除发布 | ✔️ | ✔️ | ✔️ | ||
| 编辑发布管道 | ✔️ | ✔️ | ✔️ | ||
| 编辑发布阶段 | ✔️ | ✔️ | ✔️ | ||
| 管理部署 | ✔️ | ✔️ | ✔️ | ||
| 管理发布审批者 | ✔️ | ✔️ | ✔️ | ||
| 管理版本 | ✔️ | ✔️ | ✔️ |
任务组
使用任务组将已在生成或发布管道中定义的一系列任务封装到单个可重用任务中。 任务组权限遵循分层模型。 可以在项目级别设置所有权限的默认值,并在单个任务组管道上过度写入。 可以在 Azure Pipelines 的“任务组”选项卡中定义和管理任务组。
| 任务 | Readers | 作者 | 生成管理员 | 项目管理员 | 发布管理员 |
|---|---|---|---|---|---|
| 管理任务组权限 | ✔️ | ✔️ | ✔️ | ||
| 删除任务组 | ✔️ | ✔️ | ✔️ | ||
| 编辑任务组 | ✔️ | ✔️ | ✔️ | ✔️ |
Azure Test Plans
授予 基本 + 测试计划 或 Visual Studio Enterprise 访问级别的用户可以从 Web 门户定义和管理手动测试。 有关手动测试特性和函数的概述,请参阅 测试概述。 可通过项目设置>权限在项目级别设置多个测试权限。
权限
Level
Readers
供稿人
项目管理员
查看测试运行
项目级别
✔️
✔️
✔️
创建测试运行
删除测试运行
项目级别
✔️
✔️
管理测试配置
管理测试环境
项目级别
✔️
✔️
创建标记定义
删除和还原工作项
项目级别
✔️
✔️
永久删除工作项
项目级别
✔️
查看此节点中的工作项
区域路径
✔️
✔️
✔️
编辑此节点中的工作项
管理测试计划
管理测试套件
区域路径
✔️
✔️
注意
“更改工作项类型”权限不适用于特定于测试的工作项。 即使从工作项窗体中选择此功能,也不允许更改工作项类型。
Azure Artifacts
可以从 Web 门户 项目管理源。 具有利益干系人或基本访问权限或更高访问权限的用户可以访问 Azure Artifacts 功能。 若要设置权限,请参阅 使用权限的安全源。
可以从 Web 门户 项目管理源。 具有基本访问权限或更高版本的用户可以访问 Azure Artifacts 功能。 具有利益干系人访问权限的用户不能。 若要设置权限,请参阅 使用权限的安全源。
源具有四个权限角色:源读取者、源和上游读取者(协作者)、源发布者(参与者)和源所有者。 源所有者可以将用户帐户或安全组添加到任何角色。
| 权限 | 源读取器 | 源和上游读取器(协作者) | 源发布者(参与者) | 源所有者 |
|---|---|---|---|---|
| 列出源中的包 | ✔️ | ✔️ | ✔️ | ✔️ |
| 下载/安装/还原包 | ✔️ | ✔️ | ✔️ | ✔️ |
| 从上游源保存包 | ✔️ | ✔️ | ✔️ | |
| 发布包 | ✔️ | ✔️ | ||
| 将包提升到视图 | ✔️ | ✔️ | ||
| 弃用/取消列出/洋基包 | ✔️ | ✔️ | ||
| 删除/取消发布包 | ✔️ | |||
| 添加/删除上游源 | ✔️ | |||
| 允许外部包版本 | ✔️ | |||
| 编辑源设置和权限 | ✔️ |
默认情况下,项目集合生成服务为参与者,项目团队为读者。
注意
在 Azure Artifacts 中,源可以限定为单个项目或整个组织。 若要访问项目范围的源,用户还必须有权访问包含该源的项目。
源具有三个权限角色:读者、参与者和所有者。 所有者可以将用户帐户或安全组添加到任何角色。
| 权限 | 读者 | 参与者 | “所有者” |
|---|---|---|---|
| 列出和还原/安装包 | ✔️ | ✔️ | ✔️ |
| 推送包 | ✔️ | ✔️ | |
| 取消列出/弃用包 | ✔️ | ✔️ | |
| 删除/取消发布包 | ✔️ | ||
| 编辑源权限 | ✔️ | ||
| 重命名和删除源 | ✔️ |
默认情况下,项目集合生成服务为参与者,项目团队为读者。
注意
在 Azure Artifacts 中,源可以限定为单个项目或整个组织。 若要访问项目范围的源,用户还必须有权访问包含该源的项目。
通知、警报和团队协作工具
若要管理通知,请参阅 “管理个人通知 ”和 “管理团队通知”。
注意
没有与管理通知关联的 UI 权限。 相反,可以使用 TFSSecurity 命令行工具管理它们。
任务
Readers
供稿人
团队管理员
项目管理员项目集合管理员
查看项目页,使用项目页导航
✔️
✔️
✔️
✔️
编辑项目页
✔️
设置个人通知或警报
✔️
✔️
✔️
设置团队通知或警报
✔️
✔️
设置项目级通知或警报
✔️
查看项目 README
✔️
✔️
✔️
✔️
查看项目 Wiki 或代码 Wiki
✔️
✔️
✔️
✔️
预配或创建项目 Wiki
✔️
✔️
✔️
将代码发布为 Wiki
✔️
✔️
✔️
请求反馈
✔️
✔️
✔️
提供反馈
✔️
✔️
✔️
✔️
跨项目、组织、集合进行搜索
✔️
✔️
✔️
✔️
仪表板、图表、报表和小组件
可以从 Web 门户 仪表板、仪表板定义和管理团队和项目仪表板。 有关仪表板和图表功能的概述,请参阅 仪表板。 可以设置 单个仪表板权限 ,以授予或删除仪表板的能力。
授予利益干系人对专用项目的访问权限的用户无法查看或创建查询图表。 利益干系人对公共项目的访问权限可以查看和创建查询图表。
任务
Readers
供稿人
团队管理员
项目管理员
查看团队和项目仪表板
✔️
✔️
✔️
✔️
查看团队仪表板
✔️
✔️
✔️
添加和配置项目仪表板
✔️
✔️
添加和配置团队仪表板
✔️
✔️
✔️
Power BI 集成和分析视图
在 Web 门户 Analytics 视图中,可以创建和管理 Analytics 视图。 Analytics 视图提供了一种简化的方法,用于根据 Analytics Service 数据存储指定 Power BI 报表的筛选条件。 Analytics Service 是 Azure DevOps 的报告平台。 有关详细信息,请参阅什么是分析服务?
在项目级别为服务设置权限,并在对象级别为共享分析视图设置 权限 。 具有 利益干系人 访问权限的用户无权查看或编辑 Analytics 视图。
任务
Readers
供稿人
项目管理员
查看分析
✔️
✔️
✔️
查看共享分析视图
✔️
✔️
添加专用或共享分析视图
✔️
✔️
编辑和删除共享分析视图
✔️