Hantera åtkomst till specifika funktioner
Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019
Att hantera åtkomst till specifika funktioner i Azure DevOps kan vara avgörande för att upprätthålla rätt balans mellan öppenhet och säkerhet. Oavsett om du vill bevilja eller begränsa åtkomsten till vissa funktioner för en grupp användare är det viktigt att förstå flexibiliteten utöver de standardbehörigheter som tillhandahålls av inbyggda säkerhetsgrupper.
Om du är ny inom området för behörigheter och grupper, läs Komma igång med behörigheter, åtkomst och säkerhetsgrupper. Den här artikeln beskriver det viktigaste i behörighetstillstånd och hur de ärver.
Dricks
Strukturen för ditt projekt i Azure DevOps spelar en avgörande roll för att fastställa detaljnivån för behörigheter på objektnivå, till exempel lagringsplatser och områdessökvägar. Den här strukturen är grunden som gör att du kan finjustera åtkomstkontroller, så att du specifikt kan definiera vilka områden som är tillgängliga eller begränsade. Mer information finns i Om projekt och skalning av din organisation.
Förutsättningar
Behörigheter: Vara medlem i gruppen Project Collection Administrators. Organisationsägare är automatiskt medlemmar i den här gruppen.
Använda säkerhetsgrupper
För optimalt underhåll rekommenderar vi att du använder standardsäkerhetsgrupper eller upprättar anpassade säkerhetsgrupper för att hantera behörigheter. Behörighetsinställningarna för projektadministratörer och projektsamlingsadministratörer grupper har åtgärdats avsiktligt och kan inte ändras. Du har dock flexibiliteten att ändra behörigheter för alla andra grupper.
Det kan verka möjligt att hantera behörigheter för ett fåtal användare individuellt, men anpassade säkerhetsgrupper ger en mer organiserad metod. De effektiviserar tillsynen av roller och tillhörande behörigheter, vilket säkerställer tydlighet och enkel hanteringsdesign och kan inte ändras. Men du har flexibiliteten att ändra behörigheter för alla andra grupper.
Delegera uppgifter till specifika roller
Som administratör eller organisationsägare är det en strategisk strategi att delegera administrativa uppgifter till teammedlemmar som övervakar specifika områden. De primära inbyggda rollerna som är utrustade med fördefinierade behörigheter och rolltilldelningar är:
- Läsare: Har skrivskyddad åtkomst till projektet.
- Deltagare: Kan bidra till projektet genom att lägga till eller ändra innehåll.
- Teamadministratör: Hantera teamrelaterade inställningar och behörigheter.
- Projektadministratörer: Har administrativa rättigheter för projektet.
- Projektsamlingsadministratörer: Övervaka hela projektsamlingen och ha den högsta behörighetsnivån.
Dessa roller underlättar ansvarsfördelningen och effektiviserar förvaltningen av projektområden.
Mer information finns i Standardbehörigheter och åtkomst och Ändra behörigheter på projektsamlingsnivå.
Om du vill delegera uppgifter till andra medlemmar i din organisation kan du skapa en anpassad säkerhetsgrupp och sedan bevilja behörigheter enligt följande tabell.
Roll
Uppgifter att utföra
Behörigheter som ska anges till Tillåt
Utvecklingsledare (Git)
Hantera grenprinciper
Redigera principer, framtvinga push- och hantera behörigheter
Se Ange grenbehörigheter.
Utvecklingsledare (Team Foundation Version Control (TFVC))
Hantera lagringsplats och grenar
Administrera etiketter, Hantera gren och Hantera behörigheter
Se Ange behörigheter för TFVC-lagringsplats.
Programvaruarkitekt (Git)
Hantera lagringsplatser
Skapa lagringsplatser, tvinga fram push-överföring och hantera behörigheter
Se Ange behörigheter för Git-lagringsplats
Teamadministratörer
Lägga till områdessökvägar för teamet
Lägga till delade frågor för deras team
Skapa underordnade noder, Ta bort den här noden, Redigera den här noden Se Skapa underordnade noder, ändra arbetsobjekt under en områdessökväg
Behörigheter för Contribute, Delete, Manage (för en frågemapp) finns i Ange frågebehörigheter.
Deltagare
Lägg till delade frågor under en frågemapp, Bidra till instrumentpaneler
Bidra, Ta bort (för en frågemapp), Se Ange frågebehörigheter
Visa, redigera och hantera instrumentpaneler, Se Ange instrumentpanelsbehörigheter.
Projekt- eller produktansvarig
Lägga till områdessökvägar, iterationssökvägar och delade frågor
Ta bort och återställa arbetsobjekt, Flytta arbetsobjekt från det här projektet, Ta bort arbetsobjekt permanent
Redigera information på projektnivå, se Ändra behörigheter på projektnivå.
Processmallshanterare (arvsprocessmodell)
Anpassning av arbetsspårning
Administrera processbehörigheter, Skapa nya projekt, Skapa process, Ta bort fält från konto, Ta bort process, Ta bort projekt, Redigera process
Se Ändra behörigheter på projektsamlingsnivå.
Processmallshanteraren (värdbaserad XML-processmodell)
Anpassning av arbetsspårning
Redigera information på samlingsnivå, se Ändra behörigheter på projektsamlingsnivå.
Projekthantering (lokal XML-processmodell)
Anpassning av arbetsspårning
Redigera information på projektnivå, se Ändra behörigheter på projektnivå.
Behörighetshanteraren
Hantera behörigheter för ett projekt, ett konto eller en samling
Redigera information på projektnivå för ett projekt
För ett konto eller en samling kan du redigera information på instansnivå (eller samlingsnivå)
Information om omfånget för dessa behörigheter finns i uppslagsguiden för behörigheter. Information om hur du begär en ändring av behörigheter finns i Begära en ökning av behörighetsnivåer.
Förutom att tilldela behörigheter till enskilda användare kan du hantera behörigheter för olika objekt i Azure DevOps. Dessa objekt omfattar:
De här länkarna innehåller detaljerade steg och riktlinjer för att konfigurera och hantera behörigheter effektivt för respektive områden i Azure DevOps.
Begränsa användarens synlighet till organisations- och projektinformation
Viktigt!
- Funktionerna för begränsad synlighet som beskrivs i det här avsnittet gäller endast interaktioner via webbportalen. Med REST-API:er eller
azure devopsCLI-kommandon kan projektmedlemmar komma åt begränsade data. - Gästanvändare som är medlemmar i den begränsade gruppen med standardåtkomst i Microsoft Entra-ID kan inte söka efter användare med personväljaren. När förhandsgranskningsfunktionen är inaktiveradför organisationen, eller när gästanvändare inte är medlemmar i den begränsade gruppen, kan gästanvändare som förväntat söka i alla Microsoft Entra-användare.
När användare läggs till i en organisation får de som standard insyn i all organisations- och projektinformation och alla inställningar. För att skräddarsy den här åtkomsten kan funktionen Begränsa användarens synlighet och samarbete till specifika projektförhandsgranskning aktiveras på organisationsnivå. Mer information finns i Hantera förhandsgranskningsfunktioner.
När den här funktionen har aktiverats har användare som ingår i gruppen Project-Scoped Users begränsad synlighet och kan inte se de flesta organisationsinställningar. Deras åtkomst är begränsad till de projekt som de uttryckligen läggs till i, vilket säkerställer en mer kontrollerad och säker miljö.
Varning
Om du aktiverar funktionen Begränsa användarsynlighet och samarbete till specifika projekt förhindrar du att användare med projektomfattning söker efter användare som har lagts till i organisationen via Microsoft Entra-gruppmedlemskap i stället för via en explicit användarinbjudan. Detta är ett oväntat beteende och en lösning pågår. Lös problemet genom att inaktivera funktionen Begränsa användarens synlighet och samarbete till specifika projekts förhandsversion för organisationen.
Begränsa personväljaren till projektanvändare och grupper
För organisationer som är integrerade med Microsoft Entra-ID möjliggör personväljaren en omfattande sökning över alla användare och grupper inom Microsoft Entra-ID, utan att begränsas till ett enda projekt.
personväljaren har stöd för följande Azure DevOps-funktioner:
Välja användaridentiteter: Välj användare från identitetsfält för arbetsspårning som Tilldelad till.
@mentions i diskussioner:
- Använd @mention för att välja användare eller grupper i olika diskussioner och kommentarer, inklusive:
- Diskussioner om arbetsobjekt
- Diskussioner om pull-begäranden
- Checka in kommentarer
- Kommentarer om ändringsuppsättningar och hyllor
- Använd @mention för att välja användare eller grupper i olika diskussioner och kommentarer, inklusive:
@mentions på wiki-sidor: Använd @mention för att välja användare eller grupper på wiki-sidor.
När du går in i personväljarenvisas matchande användarnamn eller säkerhetsgrupper, som du ser i följande exempel.
Notera
För användare och grupper inom grupp av projektbegränsade användare
Begränsa åtkomsten till att visa eller ändra objekt
Azure DevOps är utformat för att tillåta alla behöriga användare att visa alla definierade objekt i systemet. Du kan dock skräddarsy åtkomsten till resurser genom att ställa in behörighetstillståndet på Neka. Du kan ange behörigheter för medlemmar som tillhör en anpassad säkerhetsgrupp eller för enskilda användare. Mer information finns i Begära en ökning av behörighetsnivåer.
Område som ska begränsas
Behörigheter som ska anges till Neka
Visa eller bidra till en lagringsplats
Visa, Bidra
Se Ange Behörigheter för Git-lagringsplats eller Ange TFVC-lagringsplatsbehörigheter.
Visa, skapa eller ändra arbetsobjekt inom en områdessökväg
Redigera arbetsobjekt i den här noden, Visa arbetsobjekt i den här noden
Se Ange behörigheter och åtkomst för arbetsspårning, Ändra arbetsobjekt under en områdessökväg.
Visa eller uppdatera välj bygg- och versionspipelines
Redigera byggpipeline, Visa bygg-pipeline
Redigera versionspipeline, Visa versionspipeline
Du anger dessa behörigheter på objektnivå. Se Ange bygg- och versionsbehörigheter.
Redigera en instrumentpanel
Visa instrumentpaneler
Se Ange behörigheter för instrumentpanelen.
Begränsa ändringar av arbetsobjekt eller välj fält
Exempel som visar hur du begränsar ändringar av arbetsobjekt eller väljer fält finns i Exempel på regelscenarier.