管理对特定功能的访问权限

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

管理对 Azure DevOps 中特定功能的访问权限对于保持开放和安全性的正确平衡至关重要。 无论你希望授予或限制对一组用户的某些功能的访问权限,了解内置安全组提供的标准权限之外的灵活性都是关键。

如果你不熟悉权限和组布局,请参阅 权限、访问权限和安全组入门,其中包括权限状态的基础知识及其继承方式。

提示

Azure DevOps 中项目的结构在确定对象级别的权限粒度(例如存储库和区域路径)方面起着关键作用。 此结构是使你可以微调访问控制的基础,使你能够专门描述可访问或限制哪些区域。 有关详细信息,请参阅 关于项目和缩放组织

使用安全组

为了获得最佳维护,我们建议使用默认安全组或建立 自定义安全组来管理权限。 项目管理员和项目集合管理员组的权限设置是设计固定的,无法更改。 但是,你可以灵活地修改所有其他组的权限。

单独管理少数用户的权限可能看起来可行,但自定义安全组提供了一种更有条理的方法,用于监督角色以及与这些角色关联的权限,确保管理清晰且易于管理。

将任务委托给特定角色

作为管理员或帐户所有者,将管理任务委派给监督特定领域的团队成员是一种战略方法。 配备预定义权限和角色分配的主要内置角色包括:

  • 读取者: 对项目具有只读访问权限。
  • 参与者: 可以通过添加或修改内容来参与项目。
  • 团队管理员: 管理与团队相关的设置和权限。
  • 项目管理员: 对项目具有管理权限。
  • 项目集合管理员: 监督整个项目集合,并具有最高级别的权限。

这些角色有助于分配职责并简化项目区域的管理。

有关详细信息,请参阅 默认权限和访问权限 以及 更改项目集合级别权限

若要将任务委托给组织中的其他成员,请考虑创建自定义安全组,然后授予权限,如下表所示。

角色

要执行的任务

要设置为“允许”的权限

开发主管 (Git)

管理分支策略

编辑策略、强制推送和管理权限
请参阅 设置分支权限

开发主管 (TFVC)

管理存储库和分支

管理标签、管理分支和管理权限
请参阅 设置 TFVC 存储库权限

软件架构师 (Git)

管理存储库

创建存储库、强制推送和管理权限
请参阅 设置 Git 存储库权限

团队管理员

为其团队添加区域路径
为其团队添加共享查询

创建子节点、删除此节点、编辑此节点 请参阅 创建子节点,修改区域路径下的工作项
参与、删除、管理查询文件夹的权限 () ,请参阅 设置查询权限

作者

在查询文件夹“参与仪表板”下添加共享查询

参与、删除查询文件夹) (,请参阅 设置查询权限
查看、编辑和管理仪表板,请参阅设置仪表板权限

项目或产品经理

添加区域路径、迭代路径和共享查询
删除和还原工作项、将工作项移出此项目、永久删除工作项

编辑项目级信息,请参阅 更改项目级权限

进程模板管理器 (继承过程模型)

工作跟踪自定义

管理进程权限、创建新项目、创建流程、从帐户中删除字段、删除进程、删除项目、编辑流程
请参阅 更改项目集合级别权限

进程模板管理器 (托管 XML 进程模型)

工作跟踪自定义

编辑集合级别信息,请参阅 更改项目集合级别权限

项目管理 (本地 XML 过程模型)

工作跟踪自定义

编辑项目级信息,请参阅 更改项目级权限

权限管理器

管理项目、帐户或集合的权限

对于项目,请编辑项目级信息
对于帐户或集合,编辑实例级 (或集合级) 信息
若要了解这些权限的范围,请参阅 权限查找指南。 若要请求更改权限,请参阅 请求提高权限级别

除了向个人分配权限外,还可以管理 Azure DevOps 中各种对象的权限。 这些对象包括:

这些链接提供了有关为 Azure DevOps 中相应区域有效地设置和管理权限的详细步骤和指南。

限制用户对组织和项目信息的可见性

重要

  • 本部分所述的有限可见性功能仅适用于通过 Web 门户的交互。 使用 REST API 或 azure devops CLI 命令,项目成员可以访问受限数据。
  • 在Microsoft Entra ID 中具有默认访问权限的受限组中具有成员的来宾用户无法搜索具有人员选取器的用户。 当预览功能组织关闭或来宾用户不是受限组的成员时,来宾用户可以按预期搜索所有Microsoft Entra 用户。

默认情况下,当用户添加到组织时,他们可查看所有组织和项目信息和设置。 若要定制此访问权限, 可以在组织级别启用对特定项目 预览功能的“限制用户可见性和协作”。 有关详细信息,请参阅 管理预览功能

激活此功能后,属于 项目范围用户组 的用户的可见性有限,无法看到大多数 组织设置。 其访问权限仅限于显式添加到的项目,确保更受控和安全的环境。

警告

启用 限制用户可见性和协作到特定项目 预览功能可防止项目范围内的用户通过Microsoft Entra 组成员身份(而不是显式用户邀请)搜索添加到组织的用户。 这是一种意外行为,并且正在进行解决方案。 若要解决此问题,请禁用将 用户可见性和协作限制为组织的特定项目 预览功能。

将人员选取器限制为项目用户和组

对于与 Microsoft Entra ID 集成的组织,人员选取器功能允许在 Microsoft Entra ID 内的所有用户和组中进行全面搜索,而不局限于单个项目。

人员选取器支持以下 Azure DevOps 功能:

  • 从工作跟踪标识字段中选择用户标识,例如“已分配给”。
  • 使用@mention在各种讨论和批注中选择用户或组,例如工作项讨论、拉取请求讨论、提交批注或对更改集和货架集的批注。
  • 利用@mention从 Wiki 页面中选择用户或组。

使用人员选取器时,输入信息时,会显示匹配的用户名或安全组,如以下示例所示。

人员选取器屏幕截图

对于项目范围内的用户组中的用户和组,可见性和选择仅限于其连接项目中的用户和组。 若要扩展所有项目成员的人员选取器的范围,请参阅 “管理组织”、“限制标识搜索”和“选择”。

限制对查看或修改对象的访问

Azure DevOps 旨在允许所有授权用户查看系统中的所有已定义对象。 但是,可以通过将权限状态设置为“拒绝来定制对资源的访问。 可以为属于自定义安全组的成员或单个用户设置权限。 有关详细信息,请参阅 请求增加权限级别

要限制的区域

要设置为“拒绝”的权限

查看存储库或参与存储库

查看、参与
请参阅 设置 Git 存储库权限设置 TFVC 存储库权限

查看、创建或修改区域路径内的工作项

编辑此节点中的工作项,查看此节点中的工作项
请参阅 设置工作跟踪的权限和访问权限,修改区域路径下的工作项

查看或更新选择的生成和发布管道

编辑生成管道,查看生成管道
编辑发布管道,查看发布管道
可以在对象级别设置这些权限。 请参阅 设置生成和发布权限

编辑仪表板

查看仪表板
请参阅设置仪表板权限

限制修改工作项或选择字段

有关演示如何限制修改工作项或选择字段的示例,请参阅 示例规则方案

后续步骤