Поделиться через

Управление доступом к определенным функциям

  • Статья

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Управление доступом к определенным функциям в Azure DevOps может быть важным для поддержания правильного баланса открытости и безопасности. Независимо от того, хотите ли вы предоставить или ограничить доступ к определенным функциям для группы пользователей, понимание гибкости за пределами стандартных разрешений, предоставляемых встроенными группами безопасности, является ключевым.

Если вы не знакомы с разрешениями и группами, ознакомьтесь с приступая к работе с разрешениями, доступом и группами безопасности. В этой статье рассматриваются основы состояний разрешений и их наследование.

Совет

Структура проекта в Azure DevOps играет ключевую роль в определении детализации разрешений на уровне объекта, таких как репозитории и пути к областям. Эта структура является основой, которая позволяет точно настроить элементы управления доступом, что позволяет точно определить, какие области доступны или ограничены. Дополнительные сведения см. в разделе "О проектах" и масштабировании организации.

Необходимые условия

Разрешения: Состоять в группе администраторов коллекции проектов. Владельцы организации автоматически входят в эту группу.

Использование групп безопасности

Для оптимального обслуживания рекомендуется использовать группы безопасности по умолчанию или установить пользовательские группы безопасности для управления разрешениями. Настройки разрешений для групп Администраторы проектов и Администраторы коллекций проектов предопределены и не могут быть изменены. Однако у вас есть возможность изменять разрешения для всех других групп.

Управление разрешениями для нескольких пользователей по отдельности может показаться возможным, но пользовательские группы безопасности обеспечивают более упорядоченный подход. Они упрощают надзор за ролями и их связанными разрешениями, обеспечивая четкость и простоту проектирования управления и не могут быть изменены. Но у вас есть гибкость для изменения разрешений для всех других групп.

Делегировать задачи определенным ролям

Как администратор или владелец организации, делегирование административных задач членам группы, которые контролируют определенные области, является стратегическим подходом. К основным встроенным ролям, оснащенным предопределенными разрешениями и назначениями ролей, относятся:

  • Читатели: доступ только для чтения к проекту.
  • Участники. Может внести свой вклад в проект, добавив или изменив содержимое.
  • Администратор команды: управление параметрами и разрешениями, связанными с командой.
  • Администраторы проектов: имеют права администратора над проектом.
  • Администраторы коллекции проектов: контролируют всю коллекцию проектов и имеют наивысший уровень разрешений.

Эти роли упрощают распределение обязанностей и упрощают управление областями проектов.

Дополнительные сведения см. в разделе "Разрешения по умолчанию" и"Изменение разрешений на уровне коллекции проектов".

Чтобы делегировать задачи другим членам организации, попробуйте создать пользовательскую группу безопасности, а затем предоставить разрешения, как указано в следующей таблице.

Роль

Задачи для выполнения

Разрешения для задания разрешения

Руководитель разработки (Git)

Управление политиками ветви

Изменение политик, принудительное отправка и управление разрешениями
См. раздел "Задать разрешения ветви".

Руководитель по разработке (Система управления версиями Team Foundation (TFVC))

Управление репозиторием и ветвями

Администрирование меток, управление ветвью и управление разрешениями
См. раздел "Задать разрешения репозитория TFVC".

Архитектор программного обеспечения (Git)

Управление репозиториями

Создание репозиториев, принудительной отправки и управления разрешениями
См. раздел "Настройка разрешений репозитория Git"

Администраторы группы

Добавление путей к области для своей команды
Добавление общих запросов для своей команды

Создание дочерних узлов, удаление этого узла, изменение этого узла см. в разделе "Создание дочерних узлов", изменение рабочих элементов в пути к области
Участие, удаление, управление разрешениями (для папки запроса) см. в разделе "Настройка разрешений запроса".

Соавторы

Добавление общих запросов в папку запроса, участие в панелях мониторинга

Участие, удаление (для папки запроса) см. раздел "Настройка разрешений запроса"
Просмотр, изменение панелей мониторинга и управление ими см. в разделе "Настройка разрешений панели мониторинга".

Проект или менеджер по продуктам

Добавление путей к областям, путей итерации и общих запросов
Удаление и восстановление рабочих элементов, перемещение рабочих элементов из этого проекта, окончательное удаление рабочих элементов

Изменение сведений о уровне проекта см. в разделе "Изменение разрешений на уровне проекта".

Диспетчер шаблонов процессов (модель процесса наследования)

Настройка отслеживания работы

Администрирование разрешений процесса, создание проектов, создание процесса, удаление поля из учетной записи, удаление процесса, удаление проекта, процесс редактирования
См. раздел "Изменение разрешений на уровне коллекции проектов".

Диспетчер шаблонов процессов (модель размещенного XML-процесса)

Настройка отслеживания работы

Изменение сведений на уровне коллекции см. в разделе "Изменение разрешений на уровне коллекции проекта".

Управление проектами (локальная модель процесса XML)

Настройка отслеживания работы

Изменение сведений о уровне проекта см. в разделе "Изменение разрешений на уровне проекта".

Диспетчер разрешений

Управление разрешениями для проекта, учетной записи или коллекции

Изменение сведений о уровне проекта для проекта
Изменение сведений об уровне экземпляра (или уровне коллекции) для учетной записи или коллекции
Сведения о области этих разрешений см . в руководстве по поиску разрешений. Чтобы запросить изменение разрешений, см . запрос на увеличение уровней разрешений.

Помимо назначения разрешений отдельным лицам, вы можете управлять разрешениями для различных объектов в Azure DevOps. К этим объектам относятся:

Эти ссылки содержат подробные инструкции и рекомендации по настройке и управлению разрешениями для соответствующих областей в Azure DevOps.

Ограничение видимости пользователей для сведений о организации и проекте

Внимание

  • Функции ограниченной видимости, описанные в этом разделе, применяются только к взаимодействиям через веб-портал. С помощью команд REST API или azure devops CLI члены проекта могут получить доступ к ограниченным данным.
  • Гостевые пользователи, являющиеся членами ограниченной группы с доступом по умолчанию в идентификаторе Microsoft Entra ID, не могут искать пользователей с помощью средства выбора людей. Если функция предварительной версии отключена для организации или когда гостевые пользователи не являются членами ограниченной группы, гостевые пользователи могут выполнять поиск всех пользователей Microsoft Entra, как ожидалось.

По умолчанию, когда пользователи добавляются в организацию, они получают представление обо всех сведениях и параметрах организации и проекта. Чтобы настроить этот доступ, можно включить функцию "Ограничить видимость пользователей и совместную работу с конкретными проектами " на уровне организации. Дополнительные сведения см. в разделе "Управление предварительными версиями функций".

После активации этой функции пользователи, которые входят в группу "Пользователи с областью проекта", имеют ограниченную видимость, не могут видеть большинство параметров организации. Их доступ ограничен проектами, к которым они явно добавляются, что обеспечивает более контролируемую и безопасную среду.

Предупреждение

Включение ограничения видимости пользователей и совместной работы для определенных проектов предварительной версии не позволяет пользователям, находящимся в области проекта, искать пользователей, добавленных в организацию через членство в группе Microsoft Entra, а не через явное приглашение пользователя. Это непредвиденное поведение, и решение выполняется. Чтобы устранить эту проблему, отключите функцию ограничения видимости пользователей и совместной работы в конкретных проектах предварительной версии для организации.

Ограничьте выбор людей только пользователями и группами проектов

Для организаций, интегрированных с идентификатором Microsoft Entra, элемент выбора пользователей обеспечивает комплексный поиск по всем пользователям и группам в идентификаторе Microsoft Entra, не ограничиваясь одним проектом.

Средство выбора пользователей поддерживает следующие возможности Azure DevOps:

  • Выбор удостоверений пользователей: Выберите пользователей из полей идентификации отслеживания работы, таких как Назначено.

  • @mentions в обсуждениях:

    • Используйте @mention для выбора пользователей или групп в различных обсуждениях и комментариях, в том числе:
      • Обсуждения рабочих задач
      • Обсуждения запросов на слияние
      • Фиксация комментариев
      • Комментарии по наборам изменений и наборам полок

  • @mentions на вики-страницах: использовать @mention для выбора пользователей или групп на вики-страницах.

Когда вы начинаете вводить в окно выбора людей, он отображает соответствующие имена пользователей или группы безопасности, как показано в следующем примере.

снимок экрана выбора пользователей.

Заметка

Для пользователей и групп в , относящихся к пользователям проекта, и в групп, видимость и выбор ограничены пользователями и группами их подключенного проекта. Чтобы расширить область выбора людей, чтобы включить всех участников проекта, см. Управление организацией: ограничение поиска удостоверений и выбора.

Ограничение доступа к просмотру или изменению объектов

Azure DevOps предназначен для просмотра всех авторизованных пользователей всех определенных объектов в системе. Однако вы можете настроить доступ к ресурсам, задав состояние разрешения "Запретить". Вы можете задать разрешения для участников, принадлежащих к пользовательской группе безопасности или отдельным пользователям. Дополнительные сведения см. в статье "Запрос на увеличение уровней разрешений".

Область для ограничения

Разрешения для задания запрета

Просмотр или участие в репозитории

Просмотр, участие

См. раздел "Установка разрешений репозитория Git" или "Задать разрешения репозитория TFVC".

Просмотр, создание или изменение рабочих элементов в пути к области

Изменение рабочих элементов в этом узле, просмотр рабочих элементов в этом узле
См. раздел "Настройка разрешений и доступа для отслеживания работы", "Изменение рабочих элементов" в пути к области.

Просмотр или обновление конвейеров сборки и выпуска

Изменение конвейера сборки, просмотр конвейера сборки
Изменение конвейера выпуска, просмотр конвейера выпуска
Эти разрешения задаются на уровне объекта. См. раздел "Установка разрешений на сборку и выпуск".

Изменение панели мониторинга

Просмотр панелей мониторинга
См. раздел "Настройка разрешений панели мониторинга".

Ограничение изменения рабочих элементов или выбор полей

Примеры, демонстрирующие ограничение изменения рабочих элементов или выбор полей, см . в примерах сценариев правил.

Следующие шаги

Удаление учетных записей пользователей