设置工作跟踪权限

  • 项目

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

若要有效地管理工作跟踪,可以授予或限制对不同功能的访问权限。 为此,为特定 对象、项目或集合的用户或组分配特定权限。 还可以为应用于特定用户或组的进程或项目 定义自定义规则 ,从而相应地控制其操作。 对于大多数功能,建议将用户添加到项目的 “参与者” 组,这将授予全面的访问权限,并确保无缝高效的工作跟踪体验。

注意

  • 对于公共项目,利益干系人访问权限使用户能够更好地访问工作跟踪功能,并完全访问 Azure Pipelines。 有关详细信息,请参阅利益干系人访问快速参考

先决条件

  • 若要设置工作跟踪权限,您必须是 项目管理员 的成员或具有管理工作跟踪区域的显式权限,如本文所述。

了解工作跟踪的角色和权限级别

下表汇总了可以在对象、项目或集合级别设置的不同权限。 团队管理员角色提供添加和修改团队资源的访问权限。 另请参阅本文中有关 Boards、积压工作、冲刺、交付计划、测试管理和查询的默认权限。

角色或权限级别

功能区域设置

团队管理员角色
添加团队管理员

对象级别权限

项目级别的权限

项目集合级别权限
包括可在集合级别设置的所有权限。

有关详细信息,请参阅 添加组

Boards、积压工作和冲刺的默认权限

Boards 默认权限

任务

Readers

供稿人

团队管理员
项目管理员

查看面板并打开工作项

✔️

✔️

✔️

将工作项添加到面板;通过拖放更新状态

✔️

✔️

通过拖放对工作项重新排序或重新设置子项的父级;更新卡片上的字段

✔️

✔️

将工作项添加到面板;通过拖放更新状态、重新排序或重新设置子项的父级;更新卡片上的字段

✔️

✔️

将子项添加到清单

✔️

✔️

分配给冲刺(从卡片字段)

✔️

✔️

配置面板设置

✔️

积压工作默认权限

任务

Readers

供稿人

团队管理员
项目管理员

查看积压工作和打开工作项

✔️

✔️

✔️

将工作项添加到积压工作中

✔️

✔️

使用批量编辑功能

✔️

✔️

将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格设置父项;使用“规划”窗格将项分配到冲刺

✔️

✔️

将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格设置父项;使用拖放功能将项分配到冲刺

✔️

✔️

配置团队设置、积压工作级别、显示 bug、休息日

✔️

冲刺默认权限

任务

Readers

供稿人

团队管理员项目管理员

查看冲刺积压工作、任务板和打开工作项

✔️

✔️

✔️

将工作项添加到冲刺积压工作或任务板

✔️

✔️

确定冲刺积压工作或任务板的优先级/重新排序;将子项添加到积压工作项;使用“规划”窗格将项重新分配到冲刺

✔️

✔️

查看团队产能和工作详细信息

✔️

✔️

设置团队产能

✔️

✔️

使用批量编辑功能

✔️

✔️

定义团队冲刺

✔️

创建子节点、修改区域或迭代路径下的工作项

区域路径权限允许你授予或限制编辑或修改分配给这些区域的工作项、测试用例或测试计划的访问权限。 可以限制用户或组的访问权限。 还可以为谁可以添加或修改项目的区域或迭代设置权限。

注意

有权创建或编辑 区域路径迭代路径 的项目成员无法设置团队 区域路径迭代路径。 若要配置团队设置,必须将你添加到 团队管理员角色 或成为 项目管理员的成员。

执行以下步骤,为项目定义区域和迭代。

  1. 选择 “项目设置>项目配置>”,然后选择“ 区域 ”或“ 迭代” 以修改区域路径或迭代路径。

    显示打开“项目设置”、“工作”、“项目配置”的屏幕截图。

  2. 选择要管理的节点的 “...” 上下文菜单,然后选择“ 安全性”。

    “区域路径”上下文菜单的屏幕截图,选择“安全性”。

  3. 选择组或项目成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。

    例如,我们在此处添加了 “禁止访问组”,并禁止此组的成员在 “帐户管理” 区域路径中查看、修改或编辑工作项。

    区域路径节点“安全性”、“所选组”和“拒绝权限”设置的屏幕截图。

    可以为权限指定两个显式授权状态: 拒绝允许。 此外,权限可以存在于其他三种状态之一。 有关详细信息,请参阅 关于权限、访问权限和安全组

  4. (可选) 选择 “继承 ”滑块以禁用继承。 禁用继承将所有继承的权限保留为显式访问控制项 (ACE) 。

  5. 完成后,关闭对话框。 更改会自动保存。

执行以下步骤,为项目定义区域和迭代。

  1. 选择 (1) 项目设置> (2) 项目配置> (3 个) 区域

    打开本地服务器的“项目设置”“工作>项目配置”>序列的屏幕截图。

  2. 选择要管理的节点的 “...” 上下文菜单,然后选择“ 安全性”。

    区域路径上下文菜单的屏幕截图,选择“安全性”Azure DevOps Server 2020 年。

  3. 选择组或团队成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。

    在以下示例中,我们添加了 “禁止访问组”,并禁止此组的成员在“客户服务”区域路径中查看、修改或编辑工作项。

    区域路径节点安全性、所选组和设置“拒绝权限”的屏幕截图,Azure DevOps Server 2022 及更早版本。

    可以为权限指定两个显式授权状态: 拒绝允许。 权限也可以存在于其他三种状态之一。 有关详细信息,请参阅 关于权限、访问权限和安全组

  4. (可选) 将 继承 切换为 “关闭 ”以禁用继承。 禁用继承将所有继承的权限保留为显式访问控制项 (ACE) 。

  5. 完成后,关闭对话框。 更改会自动保存。

  1. 在项目的 Web 门户中,选择“设置”。

    显示打开 Web 门户、打开管理员上下文、TFS 2018 项目级别的屏幕截图。

    如果使用的是团队上下文,请将鼠标悬停在 齿轮图标 上,然后选择“ 项目设置”。

    显示打开 TFS 2018 项目设置的屏幕截图。

  2. 选择 “工作>区域”。

  3. 选择要管理的节点的 “...” 上下文菜单,然后选择“ 安全性”。

    显示上下文菜单的屏幕截图,选择“TFS 2018 的安全性”。

工作项的默认权限

注意

可以更改工作项类型,或者将工作项移动到项目集合中的另一个项目。 这些功能需要禁用数据仓库。 在禁用了数据仓库的情况下,可以使用 Analytics Service 为报告需求提供支持。 若要详细了解如何禁用数据仓库,请参阅禁用数据仓库和多维数据集

任务或权限

Readers

供稿人

项目管理员

查看此节点中的工作项(区域路径权限)

✔️

✔️

✔️

编辑此节点中的工作项(区域路径权限)

✔️

✔️

编辑此节点中的工作项注释(区域路径权限)

✔️

✔️

创建标记定义

✔️

✔️

更改工作项类型(项目级权限)

✔️

✔️

将工作项移出此项目(项目级权限)

✔️

✔️

通过电子邮件发送工作项

✔️

✔️

✔️

应用工作项模板

✔️

✔️

删除和还原工作项(项目级权限)(能够从回收站还原)

✔️

✔️

永久删除工作项(项目级权限)

✔️

提供反馈(通过 Microsoft 反馈客户端)

✔️

✔️

请求反馈

✔️

✔️

注意

工作项要遵守适用于它们的规则。 基于用户或组成员身份的条件规则会缓存在 Web 浏览器中。 如果你发现自己被限制更新某个工作项,可能是受制于以下规则之一。 如果你认为遇到的问题并不适用,请参阅工作项表单 IndexDB 缓存问题。 有关详细信息,请参阅 规则和规则评估

使用自定义规则

自定义规则不控制权限,但它们会影响用户是否可以修改工作项或设置工作项字段的值。 Azure Boards支持以下支持业务工作流的工作跟踪自定义。

自定义 示例
在创建工作项、更改状态和指定状态时应用规则。 - 将字段设为只读
- 设为必填字段
当字段值为空、设置为特定值或更改或不更改为值时应用规则。 - 如果字段为空或满足特定条件
,则清除字段的值 - 如果字段为空或满足特定条件
,则为字段设置预定义值 - 将一个字段的值复制到另一个字段
- 根据特定条件或值隐藏字段
应用规则,规定工作项可以从给定状态移动到哪个状态。 - 基于状态更改
重新分配工作项 - 指定工作项只能从“状态 A”转换到“状态 B”
- 根据父工作项的状态更改管理父工作项的状态转换
根据修改工作项的用户或组成员身份应用规则。 指定限制组创建工作项、将工作项转换为已关闭或已完成状态或更改字段值的规则

对系统字段应用自定义规则存在一些限制。 例如,不能指定设置或清除 区域路径迭代路径 值的规则,因为它们是系统字段。 有关详细信息,请参阅 规则和规则评估 以及 示例规则方案

设置对查询或查询文件夹的权限

可以指定谁可以在对象级别添加或编辑查询文件夹或查询。 若要管理查询或查询文件夹的权限,您必须是查询或文件夹的创建者、项目管理员或项目集合管理员组的成员,或者通过对象的“ 安全 ”对话框授予显式访问权限。

“查询文件夹权限”对话框

查询文件夹的“权限”对话框的屏幕截图。

查询文件夹的权限对话框的屏幕截图,Azure DevOps Server 2022 及更早版本。

有关详细信息,请参阅 创建托管查询以列出、更新或图表工作项

查询的默认权限

提示

默认情况下,参与者无法创建和保存共享的查询。 建议项目管理员为每个团队创建一个查询文件夹,并授予团队管理员或团队组查询权限以管理其文件夹。 需要“删除”权限才能重命名或移动共享查询或文件夹,需要文件夹的“参与”权限才能将查询移动到文件夹。 若要了解详细信息,请参阅设置对查询和查询文件夹的权限

任务

Readers

供稿人

项目管理员

查看和运行托管查询、查看查询图表

✔️

✔️

✔️

创建并保存托管的“我的查询”、查询图表

✔️

✔️

创建、删除和保存“共享查询”、图表、文件夹

✔️

临时搜索 由语义搜索引擎提供支持。

设置工作项标记的权限

默认情况下,“参与者”组的所有用户都可以创建标记并将其添加到工作项。 若要为组或用户设置权限以限制此功能,可以在项目级别将“创建标记定义”设为“拒绝”。 若要了解如何操作,请参阅更改项目级组的权限级别

管理交付计划的权限

交付计划是项目中的对象。 可以管理每个计划的权限,就像管理共享查询或查询文件夹的权限一样。 交付计划的创建者以及项目集合管理员和项目管理员组的所有成员都有权编辑、管理和删除计划。

为专用项目授予 利益干系人 访问权限的用户无权访问交付计划,而被授予公共项目 利益干系人 访问权限的用户具有与授予 基本访问权限 的常规参与者相同的访问权限。 有关利益干系人与基本访问的比较图表,请参阅 功能矩阵

若要编辑交付计划的权限,你必须是计划的创建者、“项目管理员”或“项目集合管理员”组的成员,或通过计划的“安全性”对话框被授予了显式权限。

  1. 打开 Boards>交付计划

    显示用于选择以打开交付计划的按钮序列的屏幕截图。

  2. 若要向组或用户授予管理或编辑特定计划的权限,请选择“更多选项”以打开该计划的“安全性”对话框。

    显示计划的“权限”对话框的屏幕截图。

  3. 添加要向其授予权限或限制访问权限的用户、团队组或其他安全组。 有关详细信息,请参阅更改项目级权限。 默认情况下,非管理员无法删除或编辑计划。

  4. 选择用户或组后,将希望其拥有的权限设置为“允许”。 将“管理”设置为“允许”使用户能够管理计划的权限。

    显示交付计划的示例权限对话框的屏幕截图。

  5. 完成后,关闭对话框。 更改会自动保存。

  1. 打开 Boards>计划。 有关详细信息,请参阅 查看团队交付计划

  2. 若要向组或用户授予管理或编辑特定计划的权限,请选择 操作图标以打开该计划的“安全性”对话框。

    显示计划权限的“安全”按钮的屏幕截图,以红色框突出显示。

  3. 添加要向其授予权限或限制访问权限的用户、团队组或其他安全组。 有关详细信息,请参阅更改项目级权限。 默认情况下,非管理员无法删除或编辑计划。

  4. 选择用户或组后,将希望其拥有的权限设置为“允许”。 将“管理”设置为“允许”使用户能够管理计划的权限。

    例如,在这里,我们向 Raisa 授予编辑计划的权限。

    显示交付计划的权限对话框的屏幕截图。

  5. 完成后保存

  1. 选择“工作计划>”。 有关详细信息,请参阅 查看团队交付计划

  2. 若要向组或用户授予管理或编辑特定计划的权限,请选择 操作图标以打开该计划的“安全性”对话框。

    显示计划权限的“安全”按钮的屏幕截图,其中突出显示了一个红色框。

  3. 添加要向其授予权限或限制访问权限的用户、团队组或其他安全组。 (有关详细信息,请参阅更改项目级权限)。 默认情况下,非管理员无法删除或编辑计划。

  4. 选择用户或组后,将希望其拥有的权限设置为“允许”。

    显示交付计划的权限对话框的屏幕截图。

  5. 完成后保存

传递计划的默认权限

任务

Readers

供稿人

团队管理员
项目管理员

查看交付计划

✔️

✔️

✔️

创建、编辑或删除交付计划,参与者只能编辑或删除他们创建的计划

✔️

✔️

管理交付计划的权限,参与者只能管理他们创建的计划的权限

✔️

✔️

移动或永久删除工作项

默认情况下,项目管理员和参与者可以通过将工作项移动到 回收站来更改工作项类型和删除工作项。 只有项目管理员可以永久删除工作项和测试项目。 项目管理员可以根据需要向其他团队成员授予权限。

例如,作为项目管理员,你可以授予用户、团队组或你创建的其他组具有这些权限。 打开项目的“安全性”页,然后选择要授予权限的用户或组。 若要了解如何访问项目级 安全性,请参阅 更改项目级权限

注意

将工作项移出此项目 ”权限需要项目的 “继承”进程模型

在以下示例中,我们向分配到团队管理员角色的成员以及属于团队管理员组的成员授予了将工作项移到另一个项目和永久删除工作项的权限。

显示为自定义安全组设置项目级权限的屏幕截图。

管理测试计划和测试套件

除了上一部分中设置的项目级权限外,团队成员还需要权限来管理为区域路径设置的测试项目。

打开区域路径 的“安全性 ”页 ,然后选择要授予权限的用户或组。

显示项目的已打开区域路径权限的屏幕截图。

“管理测试计划”“管理测试套件” 的权限设置为 “允许”。

显示测试计划和套件的访问权限设置为“允许”的屏幕截图。

若要具有对测试功能集的完全访问权限,必须将访问级别设置为“基本 + Test Plans”。 具有基本访问权限且有权永久删除工作项和管理测试项目的用户只能删除孤立的测试用例。

测试管理的默认权限

测试计划、测试套件、测试用例和其他测试项目是支持手动和探索性测试的特定工作项类型。 有关详细信息,请参阅 在项目级别设置测试权限

权限

级别

Readers

供稿人

项目管理员

查看测试运行

项目级别

✔️

✔️

✔️

创建测试运行
删除测试运行

项目级别

✔️

✔️

管理测试配置
管理测试环境

项目级别

✔️

✔️

创建标记定义
删除和还原工作项

项目级别

✔️

✔️

永久删除工作项

项目级别

✔️

查看此节点中的工作项

区域路径

✔️

✔️

✔️

编辑此节点中的工作项
管理测试计划
管理测试套件

区域路径

✔️

✔️

注意

“更改工作项类型”权限不适用于特定于测试的工作项。 即使从工作项窗体中选择此功能,也不允许更改工作项类型。

基于 Web 的测试用例管理和测试执行的区域权限控制对以下操作的访问。

管理测试套件” 权限使用户能够执行以下任务:

  • 创建和修改测试套件
  • 向/从测试套件添加或删除测试用例
  • 更改与测试套件相关的配置
  • 通过移动测试套件修改套件层次结构

管理测试计划 ”权限使用户能够执行以下任务:

  • 创建和修改测试计划
  • 在测试计划中添加或删除测试套件
  • 更改测试计划属性,例如生成和测试设置

自定义继承的进程

默认情况下,只有项目集合管理员可以创建和编辑进程。 但是,这些管理员可以通过将“创建流程”、“删除流程”或“编辑流程”显式设置为特定用户的集合级别权限,从而授予其他团队成员权限。

若要自定义进程,需要向用户帐户授予特定进程的“编辑进程”权限。

注意

如果为组织启用了“将用户可见性和协作限制为特定项目”预览功能,则添加到“项目范围用户”组的用户无法访问进程设置。 有关详细信息,包括重要的安全相关标注,请参阅 管理组织、限制项目的用户可见性等

  1. 打开…… 继承进程的上下文菜单,然后选择 “安全性”。 若要打开此页面,请参阅 使用继承的进程自定义项目

    显示打开的“进程”、“打开安全”对话框的屏幕截图。

  2. 输入用户名,将适用的权限设置为 “允许”,然后退出。 页面会自动保存。

    显示进程对话框权限的屏幕截图。

注意

每个进程都是一个安全单元, (控制创建、编辑和删除继承进程的 ACL) 具有单独的访问控制列表。 在集合级别,项目集合管理员可以选择继承的进程。 创建新的继承进程时,进程创建者和项目集合管理员可完全控制该过程,还可以为其他用户和组设置单独的 ACL 以编辑和删除该过程。

工作项的更多访问选项

有关自定义工作项类型以支持限制的选项的详细信息,请参阅 限制访问、限制基于用户或组修改工作项

向团队成员授予其他权限

若要使团队能够自主工作,你可能希望为其提供默认不具有的权限。 建议的任务包括向团队管理员或团队主管提供用于执行以下操作的权限:

默认情况下,团队成员继承向项目参与者组成员提供的权限。 该组成员可以添加和修改源代码、创建和删除测试运行以及创建和修改工作项。 他们可以协作处理 Git 项目或与其他团队成员协作,并检查团队的代码库 (TFVC)

分配给团队参与者的默认权限的屏幕截图。

如果本地部署包含报表,请将用户添加到这些资源。 请参阅授予查看或创建SQL Server报表的权限