管理特定功能的存取權
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
管理 Azure DevOps 中特定功能的存取權對於保持開放和安全性的正確平衡至關重要。 無論您是要授與或限制使用者群組特定功能的存取權,瞭解內建安全組所提供之標準許可權以外的彈性是關鍵。
如果您不熟悉許可權和群組環境,請參閱 開始使用許可權、存取和安全組,其中涵蓋許可權狀態的基本概念及其繼承方式。
提示
Azure DevOps 中專案的結構在判斷物件層級的許可權粒度方面扮演了關鍵角色,例如存放庫和區域路徑。 此結構是可讓您微調訪問控制的基礎,可讓您特別劃定哪些區域可供存取或限制。 如需詳細資訊,請參閱 關於專案和調整組織。
使用安全組
為了獲得最佳維護,建議您使用預設安全組或建立 自定義安全組來管理許可權。 Project Administrators 和 Project Collection Administrators 群組的許可權設定是依設計修正的,無法變更。 但是,您可以彈性地修改所有其他群組的許可權。
個別管理少數用戶的許可權可能看似可行,但自定義安全組提供更有組織的方法來監督角色和與這些角色相關聯的許可權,確保管理清晰且容易。
將工作委派給特定角色
身為系統管理員或帳戶擁有者,將系統管理工作委派給監督特定區域的小組成員是一種策略性方法。 具備預先定義許可權和角色指派的主要內建角色包括:
- 讀取者: 具有專案的唯讀存取權。
- 參與者: 可藉由新增或修改內容來參與專案。
- 小組管理員: 管理小組相關的設定和許可權。
- 專案管理員: 具有項目的系統管理許可權。
- 專案集合管理員: 監督整個專案集合,並具有最高層級的許可權。
這些角色有助於分配責任,並簡化專案區域的管理。
如需詳細資訊,請參閱 默認許可權和存取 權和 變更專案集合層級許可權。
若要將工作委派給組織內的其他成員,請考慮建立自定義安全組,然後授與下表所示的許可權。
Role
要執行的工作
設定為 [允許] 的許可權
開發主管 (Git)
管理分支原則
編輯原則、強制推送及管理許可權
請參閱 設定分支許可權。
開發負責人(TFVC)
管理存放庫和分支
管理標籤、管理分支及管理許可權
請參閱 設定 TFVC 存放庫許可權。
軟體架構師 (Git)
管理存放庫
建立存放庫、強制推送和管理許可權
請參閱 設定 Git 存放庫許可權
小組管理員
為其小組新增區域路徑
為小組新增共享查詢
建立子節點、刪除此節點、編輯此節點請參閱 建立子節點、修改區域路徑下的工作專案
參與、刪除、管理許可權(適用於查詢資料夾),請參閱 設定查詢許可權。
參與者
在查詢資料夾下新增共用查詢,參與儀錶板
專案或產品管理員
新增區域路徑、反覆專案路徑和共享查詢
刪除和還原工作專案、將工作專案移出此專案、永久刪除工作專案
編輯專案層級資訊,請參閱 變更專案層級許可權。
行程樣本管理員 (繼承行程模型)
工作追蹤自定義
管理程式許可權、建立新專案、建立程式、從帳戶刪除欄位、刪除程式、刪除專案、編輯程式
請參閱 變更專案集合層級許可權。
行程樣本管理員 (託管的 XML 進程模型)
工作追蹤自定義
編輯集合層級資訊,請參閱 變更專案集合層級許可權。
專案管理(內部部署 XML 行程模型)
工作追蹤自定義
編輯專案層級資訊,請參閱 變更專案層級許可權。
許可權管理員
管理專案、帳戶或集合的許可權
這些連結提供詳細步驟和指導方針,可有效地為 Azure DevOps 中的個別區域設定和管理許可權。
限制使用者對組織和專案信息的可見度
重要
- 本節所述的有限可見度功能僅適用於透過入口網站進行互動。 使用 REST API 或
azure devops
CLI 命令,項目成員可以存取受限制的數據。 - 在Microsoft Entra ID 中具有預設存取權之有限群組中的來賓用戶,無法搜尋具有人員選擇器的使用者。 當組織的預覽功能關閉,或來賓使用者不是有限群組的成員時,來賓使用者可以如預期般搜尋所有Microsoft Entra 使用者。
根據預設,當使用者新增至組織時,他們能夠看到所有組織和專案資訊和設定。 若要量身打造此存取權, 可以在組織層級啟用限制用戶可見度和共同作業至特定專案 預覽功能。 如需詳細資訊,請參閱 管理預覽功能。
啟用此功能之後,屬於 專案範圍使用者 群組的使用者具有有限的可見度,無法看到大部分 的組織設定。 其存取權僅限於明確新增至的專案,以確保更受控制且安全的環境。
警告
啟用 [ 將使用者可見度和共同作業限制為特定專案 預覽功能] 可防止專案範圍使用者透過 Microsoft Entra 群組成員資格搜尋新增至組織的使用者,而不是透過明確的用戶邀請。 這是非預期的行為,且解決方案正在進行中。 若要解決此問題,請停用將 用戶可見性和共同作業限製為組織的特定專案 預覽功能。
將人員選擇器限制為專案使用者和群組
對於與 Microsoft Entra ID 整合的組織,人員選擇器功能可讓您完整搜尋Microsoft Entra ID 內的所有使用者和群組,而不限於單一專案。
人員選擇器支援下列 Azure DevOps 功能:
- 從工作追蹤身分識別欄位選取使用者身分識別,例如 [指派給]。
- 使用 @mention 在各種討論和批注中選取使用者或群組,例如工作項目討論、提取要求討論、認可批注,或變更集和擱置集上的批注。
- 利用@mention從Wiki頁面選取使用者或群組。
使用人員選擇器時,當您輸入資訊時,會顯示相符的用戶名稱或安全組,如下列範例所示。
對於專案範圍使用者群組內的使用者和群組,可見度和選取範圍僅限於其連線專案中的使用者和群組。 若要擴充所有專案成員的人員選擇器範圍,請參閱 管理您的組織、限制身分識別搜尋和選取。
限制檢視或修改物件的存取權
Azure DevOps 的設計目的是允許所有授權的用戶檢視系統中所有已定義的物件。 不過,您可以將許可權狀態設定為 [拒絕] 來量身打造資源的存取權。 您可以為屬於自訂安全組或個別使用者的成員設定許可權。 如需詳細資訊,請參閱 要求增加許可權等級。
要限制的區域
設定為 Deny 的許可權
檢視或參與存放庫
檢視、參與
請參閱 設定 Git 存放庫許可權 或 設定 TFVC 存放庫許可權。
在區域路徑內檢視、建立或修改工作專案
編輯此節點中的工作專案、檢視此節點中的工作專案
請參閱 設定工作追蹤的許可權和存取權、修改區域路徑下的工作專案。
檢視或更新選取組建和發行管線
編輯建置管線、檢視組建管線
編輯發行管線、檢視發行管線
您可以在物件層級設定這些許可權。 請參閱 設定組建和發行許可權。
編輯儀表板
檢視儀表板
請參閱 設定儀錶板許可權。
限制修改工作項目或選取欄位
如需說明如何限制修改工作專案或選取欄位的範例,請參閱 範例規則案例。