通过

Azure DevOps 的安全命名空间和权限参考

  • 项目

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

本文介绍有效的安全命名空间,列出关联的权限,并提供指向详细信息的链接。 安全命名空间将访问控制列表(ACL)存储在令牌上,确定各种实体必须对特定资源执行特定操作的访问级别。 这些实体包括:

  • Azure DevOps 用户
  • Azure DevOps 组织所有者
  • Azure DevOps 安全组的成员
  • Azure DevOps 服务帐户
  • Azure DevOps 服务主体

每个资源系列(例如工作项或 Git 存储库)都通过唯一的命名空间进行保护。 每个安全命名空间包含零个或多个 ACL。 ACL 包括令牌、继承标志和一组零个或多个访问控制项(ACE)。 每个 ACE 都包含标识描述符、允许的权限位掩码和被拒绝的权限位掩码。 令牌是表示 Azure DevOps 中的资源的任意字符串。

注意

命名空间和令牌对所有版本的 Azure DevOps 都有效。 此处列出的版本对 Azure DevOps 2019 及更高版本有效。 命名空间可能会随时间而更改。 若要获取命名空间的最新列表,请练习其中一个命令行工具或 REST API。 某些命名空间已弃用,如本文后面的 已弃用和只读命名空间 部分所述。 有关详细信息,请参阅 安全命名空间查询

权限管理工具

管理权限的建议方法是通过 Web 门户。 但是,若要设置无法通过门户或管理精细权限的权限,请使用命令行工具或 REST API:

  • 对于 Azure DevOps Services,请使用 az devops security permission 命令。
  • 对于 Azure DevOps Server,请使用 TFSSecurity 命令。
  • 对于 Azure DevOps Git 存储库,请使用 tf git 权限命令行工具
  • 对于 Team Foundation 版本控制 (TFVC) 存储库,请使用 TFVC 权限命令行工具

对于所有 Azure DevOps 实例,还可以使用 安全 REST API

安全命名空间及其 ID

许多安全命名空间对应于通过“安全”或“权限”Web 门户页设置的权限。 其他命名空间或特定权限不通过 Web 门户可见,默认情况下授予安全组或 Azure DevOps 服务主体成员的访问权限。 这些命名空间根据如何通过 Web 门户进行管理,分组到以下类别中:

  • 对象级别
  • 项目级别
  • 组织或集合级别
  • 仅本地服务器级 ()
  • 基于角色
  • 仅供内部使用

层次结构和令牌

安全命名空间可以是分层的,也可以是平面的。 在分层命名空间中,令牌存在于有效权限从父令牌继承到子令牌的层次结构中。 相比之下,平面命名空间中的标记没有任何两个令牌之间的父子关系的概念。

分层命名空间中的标记具有每个路径部分的固定长度或可变长度。 如果标记具有可变长度的路径部分,则使用分隔符来区分一个路径部分结束和另一个路径部分开始的位置。

安全令牌不区分大小写。 以下各节提供了不同命名空间的令牌示例。

对象级命名空间和权限

下表描述了管理对象级权限的命名空间。 其中大多数权限都通过每个对象的 Web 门户页面进行管理。 权限在项目级别设置,在对象级别继承,除非显式更改。

命名空间

权限

说明

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

在项目级别和对象级别管理 Analytics 视图权限 ,以读取、编辑、删除和生成报表。 可以从用户界面管理每个分析视图的这些权限。

项目级权限的令牌格式$/Shared/PROJECT_ID
示例:$/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

IDd34d3680-dfe5-4cc6-a949-7d9c68f73cba

生成

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

管理项目级别和对象级别的生成权限

项目级生成权限的令牌格式PROJECT_ID
如果需要更新特定生成定义 ID 的权限,例如 12,该生成定义的安全令牌如下所示:
项目级特定生成权限的令牌格式PROJECT_ID/12
示例:xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID33344d9c-fc72-4d6f-aba5-fa317101a7e9

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

管理区域路径对象级权限 ,以创建、编辑和删除子节点,并设置查看或编辑节点中工作项的权限。 有关详细信息,请参阅 设置工作跟踪的权限和访问权限、创建子节点、修改区域路径下的工作项。
令牌格式示例: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID83e28ad4-2d72-4ceb-97b0-c7726d5502c3

DashboardsPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

管理仪表板对象级权限 ,以编辑和删除仪表板以及管理项目仪表板的权限。 可以通过仪表板用户界面管理这些权限

ID8adf73b7-389a-4276-b638-fe1653f7efc7

Git 存储库

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

在项目级别和对象级别管理 Git 存储库权限。 可以通过 项目设置、存储库管理界面来管理这些权限。

Administer权限在 2017 年分为多个更精细的权限,不应使用。
项目级权限的令牌格式repoV2/PROJECT_ID
需要追加 RepositoryID 以更新存储库级权限。

特定于存储库的权限的令牌格式repoV2/PROJECT_ID/REPO_ID

安全服务的 Git 存储库令牌中描述了分支级权限的令牌格式。

ID2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

迭代

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

管理迭代路径对象级权限 ,以创建、编辑和删除子节点以及查看子节点权限。 若要通过 Web 门户进行管理,请参阅 设置工作跟踪的权限和访问权限、创建子节点
令牌格式'vstfs:///Classification/Node/Iteration_Identifier/'
假设你为团队配置了以下迭代。
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

若要更新其权限 ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1,安全令牌如以下示例所示:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

IDbf7bfa03-b2b7-47db-8113-fa2e002cc5b1

MetaTask

Administer
Edit
Delete

管理任务组权限 以编辑和删除任务组,以及管理任务组权限。 若要通过 Web 门户进行管理,请参阅 管道权限和安全角色、任务组权限

项目级权限的令牌格式PROJECT_ID
metaTask 级别权限的令牌格式PROJECT_ID/METATASK_ID

如果 MetaTask 具有 parentTaskId,则安全令牌如以下示例所示:
令牌格式PROJECT_ID/PARENT_TASK_ID/METATASK_ID

IDf6a4de49-dbe2-4704-86dc-f8ec1a294436

计划

View
Edit
Delete
Manage

管理交付计划的权限 ,以查看、编辑、删除和管理交付计划。 可以通过 Web 门户为每个计划管理这些权限。

IDbed337f8-e5f3-4fb9-80da-81e17d06e7a8

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

管理项目级别和对象级别的发布定义权限

项目级权限的令牌格式PROJECT_ID
示例xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
如果需要更新特定发布定义 ID(例如 12)的权限,该发布定义的安全令牌如下所示:

特定发布定义权限的令牌格式PROJECT_ID/12
示例xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
如果发布定义 ID 位于文件夹中,则安全令牌如下所示:
令牌格式PROJECT_ID/{folderName}/12
对于阶段,标记如下所示: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}

IDc788c23e-1b46-4162-8f5e-d7585343b5de

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

管理工作项查询和查询文件夹的权限。 若要通过 Web 门户管理这些权限,请参阅 设置查询或查询文件夹的权限。 标记格式示例:POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID71356614-aad7-4757-8f2c-0fb3bff6f680

项目级命名空间和权限

下表描述了管理项目级权限的命名空间。 列出的大多数权限都通过 Web 门户管理上下文进行管理。 项目管理员被授予所有项目级权限,而其他项目级组具有特定的权限分配。

命名空间

权限

说明

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

管理项目级权限
权限AGILETOOLS_BACKLOG管理对积压工作Azure Boards的访问权限。 此设置是内部权限设置,不应更改。

根令牌格式$PROJECT
用于保护组织中每个项目的权限的令牌。
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID
假设你有一个名为 的项目 Test Project 1
可以使用 命令获取此项目az devops project show的项目 ID。
az devops project show --project "Test Project 1"
命令返回项目 ID,例如 xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
因此,用于保护项目相关权限的 Test Project 1 令牌是:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID52d39943-cb85-4d7f-8fa8-c6baac873819

标记

Enumerate
Create
Update
Delete

管理创建、删除、枚举和使用工作项标记的权限。 可以通过权限管理界面管理“创建标记定义”权限

项目级权限的令牌格式/PROJECT_ID
示例:/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

IDbb50f182-8e5e-40b8-bc21-e8752a1e7ae2

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

管理Team Foundation 版本控制 (TFVC) 存储库的权限。 项目只有一个 TFVC 存储库。 可以通过存储库管理界面管理这些权限

IDa39371cf-0841-4c16-bbd3-276e341bc052

组织级别的命名空间和权限

下表描述了管理组织级权限的命名空间。 列出的大多数权限通过 Web 门户 组织设置 上下文进行管理。 组织所有者项目集合管理员组的成员被授予其中的大部分权限。 有关详细信息,请参阅 更改项目集合级别权限

集合级命名空间和权限

下表描述了管理组织级权限的命名空间。 列出的大多数权限都通过 Web 门户 “集合设置 ”上下文进行管理。 项目集合管理员组的成员被授予其中的大部分权限。 有关详细信息,请参阅 更改项目集合级别权限

命名空间

权限

说明

AuditLog

Read
Write
Manage_Streams
Delete_Streams

管理 用于读取或写入审核日志以及管理或删除审核流的审核权限。

令牌格式/AllPermissions
IDa6cc6381-a1ca-4b36-b3c1-4e65211e82b6

BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

管理对查看、管理、使用或管理生成资源权限的访问权限

ID302acaca-b667-436d-a946-87133492041c

集合

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

管理组织或集合级别的权限

ID3e65f728-f8bc-4ecd-8764-7e378b19bfa7

过程

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

管理创建、删除和管理进程的权限
ID2dab47f9-bd70-49ed-9bd5-8eb051e59c02

工作区

Read
Use
Checkin
Administer

管理用于管理搁置更改、工作区的权限,以及创建组织或集合级别的工作区的能力。 Workspaces 命名空间适用于 TFVC 存储库。

根令牌格式/
特定工作区的令牌格式/{workspace_name};{owner_id}

ID93bafc04-9075-403a-9367-b7164eac6b5c

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

管理Team Foundation 版本控制 (TFVC) 存储库的权限。

权限 AdminConfiguration 授予用户编辑用户和组的服务器级权限的能力。 权限 AdminConnections 授予用户读取本地服务器级存储库的文件或文件夹内容的能力。

ID66312704-deb5-43f9-b51c-ab4ff5e351c3

服务器级命名空间和权限

下表描述了为 Azure DevOps Server 的本地实例定义的这些安全命名空间和权限。 可以通过 Azure DevOps Server 管理控制台管理授予 Team Foundation Administrators 组成员的这些权限。 有关这些权限的说明,请参阅 权限和组、服务器级权限

命名空间

权限

说明

CollectionManagement

CreateCollection
DeleteCollection

管理在服务器级别设置的权限,以创建和删除项目集合。

ID52d39943-cb85-4d7f-8fa8-c6baac873819

服务器

GenericRead
GenericWrite
Impersonate
TriggerEvent

管理在服务器级别设置的权限。 包括编辑实例级信息、代表他人发出请求和触发事件的权限。

ID1f4179b3-6bac-4d01-b421-71ea09171400

Warehouse

Administer

使用仓库控制 Web 服务授予处理或更改数据仓库或SQL Server分析多维数据集设置的权限。

IDb8fbab8b-69c8-4cd9-98b5-873656788efb

基于角色的命名空间和权限

下表描述了用于管理基于角色的安全性的安全命名空间和权限。 可以通过 Web 门户管理管道资源的角色分配,如所述的 管道权限和安全角色

命名空间

权限

说明

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

管理访问代理池资源的权限。 默认情况下,以下角色和权限在项目级别分配,并继承创建的每个代理池:

  • 向“项目有效用户”组的所有成员) “读者”角色 (View 权限
  • 管理员 角色 (“生成管理员”、“项目管理员”和“发布管理员”组成员) 的所有权限。
  • 用户 角色 (ViewUseCreate 权限,) 参与者组的所有成员
  • 创建者 角色 (ViewUseCreate 权限,) 参与者组的所有成员

    ID101eae8c-1709-47f9-b228-0e476c35b3ba

环境

View
Manage
ManageHistory
Administer
Use
Create

管理创建和管理环境的权限。 默认情况下,将分配以下权限:

  • 向“项目有效用户”组的所有成员) “读者”角色 (View 权限
  • 创建者 角色 (ViewUseCreate 权限,) 参与者组的所有成员
  • 创建者 角色 (ViewUseCreate 权限) 项目管理员组的所有成员
  • 管理员 角色 () 创建特定环境的用户的所有权限。

    ID83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

“经理”角色是用于管理市场扩展安全性的唯一角色。 经理角色的成员可以安装扩展并响应要安装的扩展的请求。 其他权限会自动分配给默认安全组和服务主体的成员。 若要将用户添加到经理角色,请参阅 管理扩展权限

ID5d6d7b80-3c63-4ab0-b699-b6a5910f8029

View
Administer
Create
ViewSecrets
Use
Owner

管理创建和管理库项(包括安全文件和变量组)的权限。 单个项的角色成员身份将自动继承自库。 默认情况下,将分配以下权限:

  • 读者 角色 (View 仅) 项目有效用户组和 Project 集合生成服务帐户的所有成员的权限
  • 创建者 角色 (ViewUseCreate 权限,) 参与者组的所有成员
  • 创建者 角色 (ViewUseCreateOwner 权限) 创建库项的成员
  • 管理员 角色 (“生成管理员”、“项目管理员”和“发布管理员”组成员) 的所有权限。
    有关详细信息,请参阅 库资产安全角色

    IDb7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

管理创建和管理服务连接的权限。 单个项的角色成员身份将自动继承自项目级角色。 默认情况下,将分配以下角色:

  • 读者 角色 (View 仅) 项目有效用户组和 Project 集合生成服务帐户的所有成员的权限
  • 创建者 角色 (ViewUseCreate 权限) Endpoint Creators 服务安全组的成员。
  • 管理员 角色 (终结点管理员服务安全组成员) 的所有权限。
    角色是通过 服务连接安全角色分配的。

    ID49b48001-ca20-4adc-8111-5b60c903a50c

内部命名空间和权限

下表描述了未通过 Web 门户显示的安全命名空间和权限。 它们主要用于授予对默认安全组成员或内部资源的访问权限。 强烈建议不要以任何方式更改这些权限设置。

命名空间

权限

说明

AccountAdminSecurity

Read
Create
Modify

管理读取或修改组织帐户所有者的权限。 这些权限分配给组织所有者和 Project 集合管理员组的成员。

ID11238e09-49f2-40c7-94d0-8f0307204ce4

分析

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

管理对 Analytics 服务的读取、管理权限和执行查询的权限。

项目级权限的令牌格式$/PROJECT_ID
示例:$/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID58450c49-b02d-465a-ab12-59ae512d6531

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

设置读取、删除、创建和管理数据存储安全性的权限。 这些权限分配给多个 Azure DevOps 服务主体。

ID19F9F97D-7CB7-45F7-8160-DD308A6BD48E

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

管理对版块的权限和访问权限。

ID251e12d9-bea3-43a8-bfdb-901b98c0125e

BoardsExternalIntegration

Read
Write

管理与 Azure Boards 的外部集成的读/写权限。

ID5ab15bc8-4ea1-d0f3-8344-cab8fe976877

聊天

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

管理与 Azure DevOps 集成的聊天服务(如 Slack 和 Microsoft Teams)的权限。 有关详细信息,请参阅使用 Slack Azure Boards使用 Microsoft Teams Azure Boards使用 Slack 的 Azure Pipelines使用 Microsoft Teams 的 Azure Pipelines使用 Slack Azure Repos以及使用 Microsoft Teams Azure Repos

IDbc295513-b1a2-4663-8d1a-7017fd760d18

讨论线程

Administer
GenericRead
GenericContribute
Moderate

管理查看、管理、审查和参与 Azure Pipelines 代码评审讨论设置的权限。

ID0d140cae-8ac1-4f48-b6d1-c93ce0301a12

EventPublish

Read
Write

授予通知处理程序的读取和写入访问权限。

ID7cd317f2-adc6-4b6c-8d99-6074faeaf173

EventSubscriber

GENERIC_READ
GENERIC_WRITE

授予通知订阅者的读取和写入访问权限。

ID2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

管理查看、编辑和取消订阅通知或创建 SOAP 订阅的成员权限。

ID58b176e7-3411-457a-89d0-c6d0ccb3c52b

标识

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

管理读取、写入和删除用户帐户标识信息的权限;管理组成员身份并创建和还原标识范围。 将自动 ManageMembership 向项目管理员和项目集合管理员组的成员授予权限。

项目级权限的令牌格式PROJECT_ID
示例xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
修改组源 ID [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b] 的组级别权限:
令牌xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID5a27515b-ccd7-42c9-84f1-54c998f03866

许可

Read
Create
Modify
Delete
Assign
Revoke

管理查看、添加、修改和删除许可证级别的能力。 这些权限会自动授予项目集合管理员组的成员。

ID453e2db3-2e81-474f-874d-3bf51027f2ee

PermissionLevel

Read
Create
Update
Delete

管理创建和下载权限报表的功能。

ID25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

OrganizationLevelData

Project-Scoped Users

对支持项目范围的用户组的命名空间应用系统级拒绝权限。 组成员获得对组织级数据的可见性有限。 有关详细信息,请参阅 管理组织、限制项目的用户可见性等
IDF0003BCE-5F45-4F93-A25D-90FC33FE3AA9

PipelineCachePrivileges

Read
Write

管理读取和写入 管道缓存条目的权限。 这些权限仅分配给内部 Azure DevOps 服务原则。
ID62a7ad6b-8b8d-426b-ba10-76a7090e94d5

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

管理对Release Management用户界面元素的访问。

ID7c7d32f7-0e86-4cd6-892e-b35dbba870bd

SearchSecurity

ReadMembers ReadAnonymous

此安全命名空间用于了解用户是有效用户还是匿名/公共用户。

IDca535e7e-67ce-457f-93fe-6e53aa4e4160

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

管理查看、编辑和删除服务挂钩订阅以及发布服务挂钩事件的权限。 这些权限会自动分配给“项目集合管理员”组的成员。 DeleteSubscriptions 不再使用 ; EditSubscriptions 可以删除服务挂钩。

IDcb594ebe-87dd-4fc9-ac2c-6a10a4c92046

UtilizationPermissions

QueryUsageSummary

管理查询使用情况的权限。 默认情况下,项目集合管理员组的所有成员和授予利益干系人访问权限的用户都有权查询每个人的使用情况摘要。 有关详细信息,请参阅 速率限制

令牌格式/
ID83abde3a-4593-424e-b45f-9898af99034d

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

管理管理工作跟踪和销毁附件的权限。
ID445d2788-c5fb-4132-bbef-09c4045ad93f

WorkItemTrackingProvision

Administer
ManageLinkTypes

管理更改工作跟踪过程和管理链接类型的权限。 WorkItemTrackingProvision 命名空间是一个较旧的安全命名空间,主要用于早期本地版本。 Process 命名空间替换了此命名空间,用于管理 Azure DevOps Server 2019 及更高版本中的进程。

根令牌格式/$
特定项目的令牌格式$/PROJECT_ID

ID5a6cd233-6615-414d-9393-48dbb252bd23

已弃用和只读命名空间

以下命名空间已弃用或只读。 不应使用它们。

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration