Sdílet prostřednictvím


Referenční informace k bezpečnostnímu oboru názvů a oprávnění pro Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Tento článek popisuje platné obory názvů zabezpečení, uvádí související oprávnění a poskytuje odkazy na další informace. Obory názvů zabezpečení ukládají seznamy řízení přístupu (ACL) na tokeny a určují úroveň přístupu různých entit, které musí provádět konkrétní akce s konkrétními prostředky. Mezi tyto entity patří:

  • Uživatelé Azure DevOps
  • Vlastníci organizací Azure DevOps
  • Členové skupin zabezpečení Azure DevOps
  • Účty služby Azure DevOps
  • Instanční objekty Azure DevOps

Každá řada prostředků, jako jsou pracovní položky nebo úložiště Git, je zabezpečená prostřednictvím jedinečného oboru názvů. Každý obor názvů zabezpečení obsahuje nula nebo více seznamů ACL. Seznam ACL obsahuje token, zděděný příznak a sadu nulových nebo více položek řízení přístupu (ACL). Každá funkce ACE se skládá z popisovače identity, povoleného bitové masky oprávnění a bitové masky odepřených oprávnění. Tokeny jsou libovolné řetězce představující prostředky v Azure DevOps.

Poznámka:

Obory názvů a tokeny jsou platné pro všechny verze Azure DevOps. Uvedené tady jsou platné pro Azure DevOps 2019 a novější verze. Obory názvů se můžou v průběhu času měnit. Pokud chcete získat nejnovější seznam oborů názvů, vyzkoušejte jeden z nástrojů příkazového řádku nebo rozhraní REST API. Některé obory názvů jsou zastaralé, jak je uvedeno v části Zastaralé obory názvů a obory názvů jen pro čtení dále v tomto článku. Další informace naleznete v tématu Dotaz na obory názvů zabezpečení

Nástroje pro správu oprávnění

Doporučený způsob správy oprávnění je prostřednictvím webového portálu. Pokud ale chcete nastavit oprávnění nedostupná prostřednictvím portálu nebo spravovat podrobná oprávnění, použijte nástroje příkazového řádku nebo rozhraní REST API:

  • Pro Azure DevOps Services použijte az devops security permission příkazy.
  • Pro Azure DevOps Server použijte příkazy TFSSecurity.
  • Pro úložiště Git Azure DevOps použijte nástroj příkazového řádku oprávnění tf git.
  • Pro úložiště Správa verzí Team Foundation (TFVC) použijte nástroj příkazového řádku oprávnění TFVC.

Pro všechny instance Azure DevOps můžete také použít rozhraní REST API zabezpečení.

Obory názvů zabezpečení a jejich ID

Mnoho oborů názvů zabezpečení odpovídá oprávněním, která jste nastavili na stránce webového portálu Zabezpečení nebo Oprávnění . Jiné obory názvů nebo konkrétní oprávnění nejsou viditelné prostřednictvím webového portálu a ve výchozím nastavení udělují přístup členům skupin zabezpečení nebo instančním objektům Azure DevOps. Tyto obory názvů se seskupují do následujících kategorií podle toho, jak se spravují prostřednictvím webového portálu:

  • Úroveň objektu
  • Úroveň projektu
  • Úroveň organizace nebo kolekce
  • Úroveň serveru (pouze místní)
  • Na základě role
  • Pouze pro interní účely

Hierarchie a tokeny

Obor názvů zabezpečení může být hierarchický nebo plochý. V hierarchickém oboru názvů existují tokeny v hierarchii, kde jsou efektivní oprávnění zděděna z nadřazených tokenů do podřízených tokenů. Naproti tomu tokeny v plochém oboru názvů nemají žádný koncept vztahu nadřazený-podřízený mezi žádnými dvěma tokeny.

Tokeny v hierarchickém oboru názvů mají pevnou délku pro každou část cesty nebo proměnnou délku. Pokud mají tokeny části cesty s proměnnou délkou, použije se znak oddělovače k rozlišení, kde končí jedna část cesty a druhá začíná.

Tokeny zabezpečení nerozlišují malá a velká písmena. Příklad tokenů pro různé obory názvů najdete v následujících částech.

Obory názvů a oprávnění na úrovni objektů

Následující tabulka popisuje obory názvů, které spravují oprávnění na úrovni objektu. Většina těchto oprávnění se spravuje prostřednictvím stránky webového portálu pro každý objekt. Oprávnění se nastavují na úrovni projektu a dědí se na úrovni objektu, pokud se explicitně nezmění.


Namespace

Oprávnění

Popis


AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Spravuje oprávnění zobrazení Analytics na úrovni projektu a na úrovni objektu ke čtení, úpravám, odstraňování a generování sestav. Tato oprávnění můžete spravovat pro každé zobrazení analýz z uživatelského rozhraní.

Formát tokenu pro oprávnění na úrovni projektu: $/Shared/PROJECT_ID
Příklad: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba


Sestavení

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Spravuje oprávnění sestavení na úrovni projektu a na úrovni objektu.

Formát tokenu pro oprávnění sestavení na úrovni projektu: PROJECT_ID
Pokud potřebujete aktualizovat oprávnění pro konkrétní ID definice sestavení, například 12, token zabezpečení pro tuto definici sestavení vypadá jako v následujícím příkladu:
Formát tokenu pro oprávnění k sestavení na úrovni projektu: PROJECT_ID/12
Příklad: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Spravuje oprávnění na úrovni objektu cesty oblasti k vytváření, úpravám a odstraňování podřízených uzlů a nastavení oprávnění k zobrazení nebo úpravě pracovních položek v uzlu. Další informace najdete v tématu Nastavení oprávnění a přístupu pro sledování práce, Vytvoření podřízených uzlů, úprava pracovních položek v cestě k oblasti.
Příklad formátu tokenu: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


Řídicí panelyPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Spravuje oprávnění na úrovni objektu řídicího panelu k úpravám a odstraňování řídicích panelů a správě oprávnění pro řídicí panel projektu. Tato oprávnění můžete spravovat prostřednictvím uživatelského rozhraní řídicích panelů.

ID: 8adf73b7-389a-4276-b638-fe1653f7efc7


Úložiště Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Spravuje oprávnění úložiště Git na úrovni projektu a na úrovni objektu. Tato oprávnění můžete spravovat prostřednictvím nastavení projektu, rozhraní pro správu úložišť.

Oprávnění Administer bylo v roce 2017 rozděleno na několik podrobnějších oprávnění a nemělo by se používat.
Formát tokenu pro oprávnění na úrovni projektu: repoV2/PROJECT_ID
K aktualizaci oprávnění na úrovni úložiště je potřeba připojit RepositoryID .

Formát tokenu pro oprávnění specifická pro úložiště: repoV2/PROJECT_ID/REPO_ID

Formát tokenu pro oprávnění na úrovni větve je popsaný v tokenech úložiště Git pro službu zabezpečení.

ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


Iterace

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Spravuje oprávnění cesty iterace na úrovni objektu k vytváření, úpravám a odstraňování podřízených uzlů a zobrazení oprávnění podřízeného uzlu. Pokud chcete spravovat prostřednictvím webového portálu, přečtěte si téma Nastavení oprávnění a přístupu pro sledování práce, vytvoření podřízených uzlů.
Formát tokenu: 'vstfs:///Classification/Node/Iteration_Identifier/'
Předpokládejme, že máte pro svůj tým nakonfigurované následující iterace.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Pokud chcete aktualizovat oprávnění ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1, token zabezpečení vypadá jako v následujícím příkladu:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

Spravuje oprávnění skupiny úkolů k úpravám a odstraňování skupin úkolů a správě oprávnění skupiny úkolů. Informace o správě prostřednictvím webového portálu najdete v tématu Oprávnění kanálu a role zabezpečení, oprávnění skupiny úloh.

Formát tokenu pro oprávnění na úrovni projektu: PROJECT_ID
Formát tokenu pro oprávnění na úrovni metaTask: PROJECT_ID/METATASK_ID

Pokud metatask obsahuje parentTaskId, token zabezpečení vypadá jako v následujícím příkladu:
Formát tokenu: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436


Plánování

View
Edit
Delete
Manage

Spravuje oprávnění pro plány doručení k zobrazení, úpravám, odstranění a správě plánů doručení. Tato oprávnění můžete spravovat prostřednictvím webového portálu pro každý plán.

ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Spravuje oprávnění definice vydané verze na úrovni projektu a objektu.

Formát tokenu pro oprávnění na úrovni projektu: PROJECT_ID
Příklad: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Pokud potřebujete aktualizovat oprávnění pro konkrétní ID definice verze, například 12, token zabezpečení pro tuto definici verze vypadá takto:

Formát tokenu pro konkrétní oprávnění definice vydané verze: PROJECT_ID/12
Příklad: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Pokud ID definice vydané verze žije ve složce, tokeny zabezpečení vypadají takto:
Formát tokenu: PROJECT_ID/{folderName}/12
Ve fázích vypadají tokeny takto: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID: c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Spravuje oprávnění pro dotazy na pracovní položky a složky dotazů. Pokud chcete tato oprávnění spravovat prostřednictvím webového portálu, přečtěte si téma Nastavení oprávnění pro dotazy nebo složky dotazů. Příklad formátu tokenu: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680


Obory názvů a oprávnění na úrovni projektu

Následující tabulka popisuje obory názvů, které spravují oprávnění na úrovni projektu. Většina uvedených oprávnění se spravuje prostřednictvím kontextu správce webového portálu. Správci projektů mají udělená všechna oprávnění na úrovni projektu, zatímco ostatní skupiny na úrovni projektu mají specifická přiřazení oprávnění.


Namespace

Oprávnění

Popis


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Spravuje oprávnění na úrovni projektu.
Oprávnění AGILETOOLS_BACKLOG spravuje přístup k backlogům Azure Boards. Toto nastavení je interní nastavení oprávnění a nemělo by se měnit.

Formát kořenového tokenu: $PROJECT
Token pro zabezpečení oprávnění pro každý projekt ve vaší organizaci
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Předpokládejme, že máte projekt s názvem Test Project 1.
ID projektu pro tento projekt můžete získat pomocí az devops project show příkazu.
az devops project show --project "Test Project 1"
Příkaz vrátí například xxxxxxxx-a1de-4bc8-b751-188eea17c3baID projektu .
Token pro zabezpečení oprávnění Test Project 1 souvisejících s projektem je proto následující:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Označování

Enumerate
Create
Update
Delete

Spravuje oprávnění k vytváření, odstraňování, výčtu a používání značek pracovních položek. Oprávnění k vytvoření definice značky můžete spravovat prostřednictvím rozhraní pro správu oprávnění.

Formát tokenu pro oprávnění na úrovni projektu: /PROJECT_ID
Příklad: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Spravuje oprávnění pro úložiště Správa verzí Team Foundation (TFVC). Pro projekt existuje jenom jedno úložiště TFVC. Tato oprávnění můžete spravovat prostřednictvím rozhraní pro správu úložišť.

ID: a39371cf-0841-4c16-bbd3-276e341bc052


Obory názvů a oprávnění na úrovni organizace

Následující tabulka popisuje obory názvů, které spravují oprávnění na úrovni organizace. Většina uvedených oprávnění se spravuje prostřednictvím kontextu nastavení organizace webového portálu. Většina těchto oprávnění má vlastník organizace a členové skupiny Správci kolekcí projektů. Další informace najdete v tématu Změna oprávnění skupiny na úrovni kolekce projektů.

Obory názvů a oprávnění na úrovni kolekce

Následující tabulka popisuje obory názvů, které spravují oprávnění na úrovni organizace. Většina uvedených oprávnění se spravuje prostřednictvím kontextu nastavení kolekce webového portálu. Většina těchto oprávnění jsou udělena členům skupiny Správci kolekce projektů. Další informace najdete v tématu Změna oprávnění skupiny na úrovni kolekce projektů.


Namespace

Oprávnění

Popis


AuditLog

Read
Write
Manage_Streams
Delete_Streams

Spravuje oprávnění auditování ke čtení nebo zápisu do protokolu auditu a spravuje nebo odstraňuje streamy auditu.

Formát tokenu: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


Kolekce

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Spravuje oprávnění na úrovni organizace nebo kolekce.

ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7


Zpracovat

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Pracovní prostory

Read
Use
Checkin
Administer

Spravuje oprávnění ke správě změn, pracovních prostorů a možnosti vytvořit pracovní prostor na úrovni organizace nebo kolekce. Obor názvů Pracovních prostorů platí pro úložiště TFVC.

Formát kořenového tokenu: /
Formát tokenu pro konkrétní pracovní prostor: /{workspace_name};{owner_id}

ID: 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Spravuje oprávnění pro úložiště Správa verzí Team Foundation (TFVC).

Oprávnění AdminConfiguration uživatelům uděluje možnost upravovat oprávnění na úrovni serveru pro uživatele a skupiny. Oprávnění AdminConnections uživatelům umožňuje číst obsah souboru nebo složky místního úložiště na úrovni serveru.

ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3


Obory názvů a oprávnění na úrovni serveru

Následující tabulka popisuje tyto obory názvů zabezpečení a oprávnění definovaná pro místní instance Azure DevOps Serveru. Tato oprávnění můžete spravovat, která jsou udělena členům skupiny Team Foundation Administrators, prostřednictvím konzoly pro správu Azure DevOps Serveru. Popis těchto oprávnění najdete v tématu Oprávnění a skupiny, oprávnění na úrovni serveru.


Namespace

Oprávnění

Popis


CollectionManagement

CreateCollection
DeleteCollection

Spravuje oprávnění nastavená na úrovni serveru pro vytváření a odstraňování kolekcí projektů.

ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Server

GenericRead
GenericWrite
Impersonate
TriggerEvent

Spravuje oprávnění nastavená na úrovni serveru. Zahrnuje oprávnění k úpravě informací na úrovni instance, provádění požadavků jménem ostatních a aktivačních událostí.

ID: 1f4179b3-6bac-4d01-b421-71ea09171400


Sklad

Administer

Udělí oprávnění ke zpracování nebo změně nastavení datového skladu nebo datové krychle SQL Serveru Analysis pomocí webové služby Řízení skladu.

ID: b8fbab8b-69c8-4cd9-98b5-873656788efb


Obory názvů a oprávnění založené na rolích

Následující tabulka popisuje obory názvů zabezpečení a oprávnění použitá ke správě zabezpečení na základě rolí. Přiřazení rolí můžete spravovat prostřednictvím webového portálu pro prostředky kanálu podle popisu oprávnění kanálu a rolí zabezpečení.


Namespace

Oprávnění

Popis


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Spravuje oprávnění pro přístup k prostředkům fondu agentů. Ve výchozím nastavení jsou na úrovni projektu přiřazeny následující role a oprávnění a dědí se pro každý vytvořený fond agentů:

  • Role čtenáře (View pouze oprávnění) pro všechny členy skupiny Platné uživatele projektu
  • Role správce (všechna oprávnění) členům skupin Správci sestavení, Správci projektů a Správci vydaných verzí.
  • Role uživatele (View, Usea Create oprávnění) pro všechny členy skupiny Přispěvatel
  • Role tvůrce (View, Usea Create oprávnění) pro všechny členy skupiny Přispěvatel

    ID: 101eae8c-1709-47f9-b228-0e476c35b3ba

Prostředí

View
Manage
ManageHistory
Administer
Use
Create

Spravuje oprávnění k vytváření a správě prostředí. Ve výchozím nastavení jsou přiřazena následující oprávnění:

  • Role čtenáře (View pouze oprávnění) pro všechny členy skupiny Platné uživatele projektu
  • Role tvůrce (View, Usea Create oprávnění) pro všechny členy skupiny Přispěvatel
  • Role tvůrce (View, Usea Create oprávnění) pro všechny členy skupiny Správci projektu
  • Role správce (všechna oprávnění) pro uživatele, který vytvořil konkrétní prostředí.

    ID: 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Role Správce je jediná role, která slouží ke správě zabezpečení rozšíření Marketplace. Členové role Správce mohou instalovat rozšíření a odpovídat na žádosti o instalaci rozšíření. Ostatní oprávnění se automaticky přiřazují členům výchozích skupin zabezpečení a instančních objektů. Pokud chcete přidat uživatele do role Správce, přečtěte si téma Správa oprávnění rozšíření.

ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


Knihovna

View
Administer
Create
ViewSecrets
Use
Owner

Spravuje oprávnění k vytváření a správě položek knihovny, mezi které patří zabezpečené soubory a skupiny proměnných. Členství rolí pro jednotlivé položky se automaticky dědí z knihovny. Ve výchozím nastavení jsou přiřazena následující oprávnění:

  • Role čtenáře (View pouze oprávnění) pro všechny členy skupiny Platné uživatele projektu a účet služby sestavení kolekce projektů
  • Role tvůrce (View, Usea Create oprávnění) pro všechny členy skupiny Přispěvatelé
  • Role tvůrce (View, Use, Createa Owner oprávnění) pro člena, který vytvořil položku knihovny
  • Role správce (všechna oprávnění) členům skupin Správci sestavení, Správci projektů a Správci vydaných verzí.
    Další informace najdete v tématu Role zabezpečení prostředků knihovny.

    ID: b7e84409-6553-448a-bbb2-af228e07cbeb

Koncové body služby

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Spravuje oprávnění k vytváření a správě připojení služeb. Členství rolí pro jednotlivé položky se automaticky dědí z rolí na úrovni projektu. Ve výchozím nastavení jsou přiřazeny následující role:

  • Role čtenáře (View pouze oprávnění) pro všechny členy skupiny Platné uživatele projektu a účet služby sestavení kolekce projektů
  • Role tvůrce (ViewUsea Create oprávnění) pro členy skupiny zabezpečení služby Endpoint Creators
  • Role správce (všechna oprávnění) pro členy skupiny zabezpečení služby Endpoint Administrators
    Role se přiřazují prostřednictvím rolí zabezpečení připojení služby.

    ID: 49b48001-ca20-4adc-8111-5b60c903a50c

Interní obory názvů a oprávnění

Následující tabulka popisuje obory názvů zabezpečení a oprávnění, která se nezobrazují prostřednictvím webového portálu. Primárně se používají k udělení přístupu členům výchozích skupin zabezpečení nebo interním prostředkům. Důrazně doporučujeme, abyste tato nastavení oprávnění žádným způsobem nezměnili.


Namespace

Oprávnění

Popis


AccountAdminSecurity

Read
Create
Modify

Spravuje oprávnění ke čtení nebo úpravě vlastníka účtu organizace. Tato oprávnění jsou přiřazena vlastníkovi organizace a členům skupiny Správce kolekce projektů.

ID: 11238e09-49f2-40c7-94d0-8f0307204ce4


Analýzy

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Spravuje oprávnění ke čtení, správě oprávnění a spouštění dotazů ve službě Analytics.

Formát tokenu pro oprávnění na úrovni projektu: $/PROJECT_ID
Příklad: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Nastaví oprávnění ke čtení, odstraňování, vytváření a správě zabezpečení úložiště dat. Tato oprávnění se přiřazují několika instančním objektům Azure DevOps.

ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Spravuje oprávnění a přístup k panelům.

ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Spravuje oprávnění ke čtení a zápisu externích integrací s Azure Boards.

ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


Chat

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Spravuje oprávnění pro chatovací služby integrované s Azure DevOps, jako je Slack a Microsoft Teams. Další informace najdete v tématu Azure Boards se Slackem, Azure Boards s Microsoft Teams, Azure Pipelines se Slackem, Azure Pipelines s Microsoft Teams, Azure Repos s Slack a Azure Repos s Microsoft Teams.

ID: bc295513-b1a2-4663-8d1a-7017fd760d18


Diskuzní vlákna

Administer
GenericRead
GenericContribute
Moderate

Spravuje oprávnění k zobrazení, správě, moderování a přispívání do nastavení diskuzí ke kontrole kódu pro Azure Pipelines.

ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

Uděluje přístup pro čtení a zápis pro obslužnou rutinu oznámení.

ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

Uděluje pro předplatitele oznámení přístup pro čtení a zápis.

ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


Odběr události

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Spravuje oprávnění členů k zobrazení, úpravám a odhlášení odběru oznámení nebo vytvoření odběru PROTOKOLU SOAP.

ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b

Identita

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Spravuje oprávnění ke čtení, zápisu a odstraňování informací o identitě uživatelského účtu; umožňuje spravovat členství ve skupinách a vytvářet a obnovovat obory identit. Oprávnění ManageMembership se automaticky uděluje členům skupin Správců projektů a správců kolekcí projektů.

Formát tokenu pro oprávnění na úrovni projektu: PROJECT_ID
Příklad: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Úprava oprávnění na úrovni skupiny pro ID původu skupiny [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID: 5a27515b-ccd7-42c9-84f1-54c998f03866


Licencování

Read
Create
Modify
Delete
Assign
Revoke

Spravuje možnost zobrazovat, přidávat, upravovat a odebírat úrovně licencí. Tato oprávnění jsou automaticky udělena členům skupin Správců kolekcí projektů.

ID: 453e2db3-2e81-474f-874d-3bf51027f2ee


Úroveň oprávnění

Read
Create
Update
Delete

Spravuje možnost vytvářet a stahovat sestavy oprávnění.

ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

Použije oprávnění odepření na úrovni systému pro obor názvů, který podporuje skupinu uživatelů s oborem projektu. Členové skupiny získají omezenou viditelnost dat na úrovni organizace. Další informace najdete v tématu Správa organizace, omezení viditelnosti uživatelů pro projekty a další.
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

Spravuje oprávnění ke čtení a zápisu položek mezipaměti kanálu. Tato oprávnění se přiřazují jenom k interním principům služby Azure DevOps.
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Spravuje přístup k prvkům uživatelského rozhraní Release Management.

ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


SearchSecurity

ReadMembers ReadAnonymous

Tento obor názvů zabezpečení slouží ke zjištění, jestli je uživatel platný nebo anonymní nebo veřejný.

ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160


ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Spravuje oprávnění k zobrazení, úpravám a odstraňování odběrů háku služby a publikování událostí háku služby. Tato oprávnění jsou automaticky přiřazena členům skupiny Správci kolekce projektů. DeleteSubscriptions již se nepoužívá; EditSubscriptions může odstranit háky služby.

ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


UtilizationPermissions

QueryUsageSummary

Spravuje oprávnění k používání dotazů. Ve výchozím nastavení mají všichni členové skupin Správců kolekcí projektů a uživatelům udělený přístup účastníka oprávnění k dotazování na souhrn využití pro všechny uživatele. Další informace najdete v tématu Omezení rychlosti.

Formát tokenu: /
ID: 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Spravuje oprávnění pro správu sledování práce a zničení příloh.
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

Spravuje oprávnění ke změně procesů sledování práce a správě typů propojení. Obor názvů WorkItemTrackingProvision je starší obor názvů zabezpečení, který se většinou používá pro dřívější místní verze. Obor názvů proces nahrazuje tento obor názvů pro správu procesů v Azure DevOps Serveru 2019 a novějších verzích.

Formát kořenového tokenu: /$
Formát tokenu pro konkrétní projekt: $/PROJECT_ID

ID: 5a6cd233-6615-414d-9393-48dbb252bd23


Zastaralé a jen pro čtení – obory názvů

Následující obory názvů jsou zastaralé nebo jen pro čtení. Neměli byste je používat.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration