Azure Active Directory OAuth 的細微範圍

我們引進了細微的 Azure DevOps 範圍支援，可用來限制與 Azure DevOps 整合的 Azure Active Directory OAuth 應用程式行為。

藉由在應用程式上設定範圍，您可以限制作業 (例如寫入工作專案、檢視原始程式碼、設定管線等，) 應用程式可以代表使用者連線到 Azure DevOps 時執行。 使用單一廣泛使用者模擬範圍的應用程式，可讓應用程式執行基礎使用者允許執行的任何作業，現在可以使用細微的範圍來限制其行為。 例如，只有讀取工作專案的應用程式只能指定一個workitem_read範圍，使其無法刻意執行此行為以外的任何動作，否則不會執行任何動作。

將範圍新增至應用程式需要您整合的任何應用程式，必須先預先定義這些範圍來宣告它們嘗試為您執行的動作。 這些範圍將可供您檢閱，再同意授權此應用程式代表您執行動作。 這可確保您能更瞭解應用程式使用您有權存取的資源所執行的動作。

身為應用程式開發人員，如果應用程式發出的權杖落在錯誤的手上，這有助於限制風險向量。