使用命令行工具管理权限
Azure DevOps Services
权限授予对特定资源执行特定操作的权限,如权限、访问权限和安全组入门中所述。 可以通过 Web 门户管理大多数权限。 但是,可以使用命令行工具或 REST API 管理权限。
默认情况下,Azure DevOps 向默认安全组的成员授予许多权限。 可以使用命令在更精细的级别 az devops security permission 添加和管理权限。 使用以下命令可以:
- 查看与安全命名空间关联的权限
- 查看有关这些权限的详细信息
- 更新或重置权限
注意
命名空间和令牌对所有版本的 Azure DevOps 都有效。 此处列出的版本对 Azure DevOps 2019 及更高版本有效。 命名空间可能会随时间而更改。 若要获取命名空间的最新列表,请练习其中一个命令行工具或 REST API。 某些命名空间已弃用,如安全命名空间和权限引用、已弃用和只读命名空间中所列。
先决条件
- 若要管理令牌和命名空间,你必须是 Project Collection 管理员istrators 安全组的成员。 有关令牌的详细信息,请参阅 安全命名空间和权限参考。
- 必须已安装 Azure DevOps CLI 扩展,如 Azure DevOps CLI 入门中所述。
- 使用
az login登录到 Azure DevOps。 - 对于本文中的示例,请按如下所示设置默认组织:
- 对于 Azure DevOps Services:
az devops configure --defaults organization=YourOrganizationURL. - 对于 Azure DevOps Server:
az devops configure --defaults organization=https://ServerName/CollectionName
- 对于 Azure DevOps Services:
安全权限命令
输入以下命令列出所有可用命令。
az devops security permission -h
有关与安全权限相关的概念的详细信息,请参阅 安全 REST API 文档
| 命令 | 说明 |
|---|---|
az devops security permission list |
列出指定用户或组和命名空间的令牌。 |
az devops security permission namespace list |
列出组织的所有可用命名空间。 |
az devops security permission namespace show |
显示每个命名空间中可用权限的详细信息。 |
az devops security permission reset |
重置指定权限位的权限。 |
az devops security permission reset-all |
清除用户或组此令牌的所有权限。 |
az devops security permission show |
显示指定令牌、命名空间和用户或组的权限。 |
az devops security permission update |
为指定用户或组分配允许或拒绝权限。 |
对于所有命令,以下参数是可选的,本文中提供的示例中未列出。
- detect:自动检测组织。 接受的值:false、true。 默认值为 true。
- org:Azure DevOps 组织 URL。 可以使用 az devops configure -d organization=ORG_URL 配置默认组织。 如果未配置为默认或未通过 git 配置选取,则为必需。示例:
--org https://dev.azure.com/MyOrganizationName/。
列出安全命名空间
可以使用 az devops security permission namespace list 命令列出组织的所有可用命名空间。 有关所有安全命名空间和关联令牌的说明,请参阅 安全命名空间和权限参考。
az devops security permission namespace list [--local-only]
参数
仅限本地:可选。 如果为 true,则仅检索本地安全命名空间。
安全命名空间可能在一个微服务中掌握其数据,但仍在其他微服务中可见。 如果安全命名空间的数据在微服务 X 中掌握,则表示该微服务是本地的。 否则,据说是偏远的。
输入 az devops security permission namespace list 以列出为组织或本地服务器定义的命名空间。
注意
列出的某些命名空间已弃用,不应使用。 有关已弃用命名空间的列表,请参阅 命名空间引用、已弃用和只读命名空间。
az devops security permission namespace list --org https://dev.azure.com/OrganizationName --output table
Id Name
------------------------------------ ------------------------------
c788c23e-1b46-4162-8f5e-d7585343b5de ReleaseManagement
58450c49-b02d-465a-ab12-59ae512d6531 Analytics
d34d3680-dfe5-4cc6-a949-7d9c68f73cba AnalyticsViews
62a7ad6b-8b8d-426b-ba10-76a7090e94d5 PipelineCachePrivileges
7c7d32f7-0e86-4cd6-892e-b35dbba870bd ReleaseManagement
a6cc6381-a1ca-4b36-b3c1-4e65211e82b6 AuditLog
5a27515b-ccd7-42c9-84f1-54c998f03866 Identity
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
示例:列出本地安全命名空间
以下命令仅列出组织的本地安全命名空间,并按表格式显示结果。
az devops security permission namespace list --local-only --output table
Id Name
------------------------------------ ------------------------------
71356614-aad7-4757-8f2c-0fb3bff6f680 WorkItemQueryFolders
fa557b48-b5bf-458a-bb2b-1b680426fe8b Favorites
4ae0db5d-8437-4ee8-a18b-1f6fb38bd34c Registry
c2ee56c9-e8fa-4cdd-9d48-2c44f697a58e Graph
dc02bf3d-cd48-46c3-8a41-345094ecc94b ViewActivityPaneSecurity
2a887f97-db68-4b7c-9ae3-5cebd7add999 Job
73e71c45-d483-40d5-bdba-62fd076f7f87 WorkItemTracking
4a9e8381-289a-4dfd-8460-69028eaa93b3 StrongBox
1f4179b3-6bac-4d01-b421-71ea09171400 Server
e06e1c24-e93d-4e4a-908a-7d951187b483 TestManagement
6ec4592e-048c-434e-8e6c-8671753a8418 SettingEntries
302acaca-b667-436d-a946-87133492041c BuildAdministration
2725d2bc-7520-4af4-b0e3-8d876494731f Location
83abde3a-4593-424e-b45f-9898af99034d UtilizationPermissions
c0e7a722-1cad-4ae6-b340-a8467501e7ce WorkItemsHub
0582eb05-c896-449a-b933-aa3d99e121d6 WebPlatform
66312704-deb5-43f9-b51c-ab4ff5e351c3 VersionControlPrivileges
93bafc04-9075-403a-9367-b7164eac6b5c Workspaces
093cbb02-722b-4ad6-9f88-bc452043fa63 CrossProjectWidgetView
35e35e8e-686d-4b01-aff6-c369d6e36ce0 WorkItemTrackingConfiguration
0d140cae-8ac1-4f48-b6d1-c93ce0301a12 Discussion Threads
5ab15bc8-4ea1-d0f3-8344-cab8fe976877 BoardsExternalIntegration
7ffa7cf4-317c-4fea-8f1d-cfda50cfa956 DataProvider
81c27cc8-7a9f-48ee-b63f-df1e1d0412dd Social
9a82c708-bfbe-4f31-984c-e860c2196781 Security
a60e0d84-c2f8-48e4-9c0c-f32da48d5fd1 IdentityPicker
84cc1aa4-15bc-423d-90d9-f97c450fc729 ServicingOrchestration
33344d9c-fc72-4d6f-aba5-fa317101a7e9 Build
8adf73b7-389a-4276-b638-fe1653f7efc7 DashboardsPrivileges
445d2788-c5fb-4132-bbef-09c4045ad93f WorkItemTrackingAdministration
101eae8c-1709-47f9-b228-0e476c35b3ba DistributedTask
2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87 Git Repositories
a39371cf-0841-4c16-bbd3-276e341bc052 VersionControlItems
3c15a8b7-af1a-45c2-aa97-2cb97078332e VersionControlItems2
2bf24a2b-70ba-43d3-ad97-3d9e1f75622f EventSubscriber
5a6cd233-6615-414d-9393-48dbb252bd23 WorkItemTrackingProvision
49b48001-ca20-4adc-8111-5b60c903a50c ServiceEndpoints
cb594ebe-87dd-4fc9-ac2c-6a10a4c92046 ServiceHooks
bc295513-b1a2-4663-8d1a-7017fd760d18 Chat
3e65f728-f8bc-4ecd-8764-7e378b19bfa7 Collection
cb4d56d2-e84b-457e-8845-81320a133fbb Proxy
bed337f8-e5f3-4fb9-80da-81e17d06e7a8 Plan
2dab47f9-bd70-49ed-9bd5-8eb051e59c02 Process
11238e09-49f2-40c7-94d0-8f0307204ce4 AccountAdminSecurity
b7e84409-6553-448a-bbb2-af228e07cbeb Library
83d4c2e6-e57d-4d6e-892b-b87222b7ad20 Environment
52d39943-cb85-4d7f-8fa8-c6baac873819 Project
58b176e7-3411-457a-89d0-c6d0ccb3c52b EventSubscription
83e28ad4-2d72-4ceb-97b0-c7726d5502c3 CSS
9e4894c3-ff9a-4eac-8a85-ce11cafdc6f1 TeamLabSecurity
fc5b7b85-5d6b-41eb-8534-e128cb10eb67 ProjectAnalysisLanguageMetrics
bb50f182-8e5e-40b8-bc21-e8752a1e7ae2 Tagging
f6a4de49-dbe2-4704-86dc-f8ec1a294436 MetaTask
bf7bfa03-b2b7-47db-8113-fa2e002cc5b1 Iteration
列出安全命名空间的令牌
可以使用 az devops security permission list 命令列出指定命名空间和用户或组的令牌。
az devops security permission list --id
--subject
[--recurse]
[--token]
参数
-
- id 或 namespace-id:必需。 安全命名空间的 ID。 若要获取 ID,请使用 az devops security permission namespace list 命令。
- 主题:必需。 用户的电子邮件地址或组描述符。
- recurse:可选。 如果为 true,并且命名空间是分层的,则此参数返回令牌的子 ACL。
- 标记:可选。 指定单个安全令牌。
示例
以下命令以表格式列出指定命名空间的令牌,这些标记对应于 Analytics,并与用户 contoso@contoso.com关联。
az devops security permission list --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --output table
Token Effective Allow Effective Deny
-------------------------------------- ----------------- ----------------
$/0611925a-b287-4b0b-90a1-90f1a96e9f1f 0 0
$/087572e2-5569-49ec-af80-d3caf22b446c 0 0
$/131271e0-a6ad-49ba-837e-2d475ab2b169 0 0
$/14c92f9d-9fff-48ec-8171-9d1106056ab3 0 0
$/1965830d-5fc4-4412-8c71-a1c39c939a42 0 0
$/4b80d122-a5ca-46ec-ba28-e03d37e53404 0 0
$/4fa8e9de-e86b-4986-ac75-f421881a7664 0 0
$/5417a1c3-4b04-44d1-aead-50774b9dbf5f 0 0
$/56af920d-393b-4236-9a07-24439ccaa85c 0 0
$/69265579-a1e0-4a30-a141-ac9e3bb82572 0 0
显示命名空间详细信息
可以使用 az devops security permission namespace show 命令显示每个命名空间中可用的权限的详细信息。
az devops security permission namespace show --namespace-id <NAMESPACE_ID>
参数
- id 或 namespace-id:必需。 安全命名空间的 ID。
示例
以下命令显示指定命名空间 ID 的可用权限的详细信息,并返回表格式的结果。
az devops security permission namespace show --namespace-id 58450c49-b02d-465a-ab12-59ae512d6531 --output table
Name Permission Description Permission Bit
------------------------ -------------------------------------------------------- ----------------
Read View analytics 1
Administer Manage analytics permissions 2
Stage Push the data to staging area 4
ExecuteUnrestrictedQuery Execute query without any restrictions on the query form 8
ReadEuii Read EUII data 16
重置权限
可以使用 az devops security permission reset 命令重置指定用户或组的权限位。
az devops security permission reset --id
--permission-bit
--subject
--token
参数
- id 或 namespace-id:必需。 安全命名空间的 ID。
- permission-bit:必需。 需要为给定用户或组和令牌重置的权限位或添加权限位。
- 主题:必需。 用户的电子邮件地址或组描述符。
- token:必需。 单个安全令牌。
示例
以下命令重置指定命名空间中用户的 contoso@contoso.com 令牌的权限位 8,并返回表格式的结果。
az devops security permission reset --id 58450c49-b02d-465a-ab12-59ae512d6531 --permission-bit 8 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
重置所有权限
可以使用 az devops security permission reset-all 命令清除用户或组令牌的所有权限。
az devops security permission reset-all --id
--subject
--token
[--yes]
参数
- id 或 namespace-id:必需。 安全命名空间的 ID。
- 主题:必需。 用户的电子邮件地址或组描述符。
- token:必需。 单个安全令牌。
- yes:可选。 不提示确认。
示例
以下命令清除指定命名空间中用户 contoso@contoso.com 的所有权限,而无需确认。 结果显示在 CLI 中。
az devops security permission reset-all --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --yes --output table
Result
--------
True
显示权限
可以使用 az devops security permission show 命令显示指定令牌、命名空间和用户或组的权限。
az devops security permission show --id
--subject
--token
参数
- id 或 namespace-id:必需。 安全命名空间的 ID。
- 主题:必需。 用户的电子邮件地址或组描述符。
- token:必需。 单个安全令牌。
示例
以下命令显示指定命名空间中用户 contoso@contoso.com 令牌的权限详细信息,并返回表格式的结果。
az devops security permission show --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 0611925a-b287-4b0b-90a1-90f1a96e9f1f --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
Read 1 View analytics Not set
Administer 2 Manage analytics permissions Allow
Stage 4 Push the data to staging area Not set
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Not set
ReadEuii 16 Read EUII data Deny
更新权限
可以使用 az devops security permission update 命令向指定用户或组分配允许或拒绝权限。
az devops security permission update --id
--subject
--token
[--allow-bit]
[--deny-bit]
[--merge {false, true}]
参数
- id 或 namespace-id:必需。 安全命名空间的 ID。
- 主题:必需。 用户的电子邮件地址或组描述符。
- token:必需。 单个安全令牌。
- allow-bit:可选。 允许位或添加位。 如果 缺少 --deny-bit ,则为必需。
- deny-bit:可选。 拒绝位或添加位。 如果 缺少 --allow-bit ,则为必需。
- merge:可选。 如果已设置,现有访问控制项(ACE)将允许和拒绝与传入的 ACE 允许和拒绝合并。 如果未设置,现有 ACE 将流离失所。 接受的值为 false 或 true。
示例
以下命令将更新指定命名空间中用户的 contoso@contoso.com ExecuteUnrestrictedQuery (位 8)的权限,并按表格式显示结果。
az devops security permission update --allow-bit 8 --id 58450c49-b02d-465a-ab12-59ae512d6531 --subject contoso@contoso.com --token 56af920d-393b-4236-9a07-24439ccaa85c --output table
Name Bit Permission Description Permission Value
------------------------ ----- -------------------------------------------------------- ------------------
ExecuteUnrestrictedQuery 8 Execute query without any restrictions on the query form Allow
安全命名空间及其 ID
请参阅 Azure DevOps 的安全命名空间和权限参考。