Verwalten des Zugriffs auf bestimmte Features
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
Die Verwaltung des Zugriffs auf bestimmte Features in Azure DevOps kann entscheidend sein, um das richtige Gleichgewicht zwischen Offenheit und Sicherheit zu gewährleisten. Ganz gleich, ob Sie den Zugriff auf bestimmte Funktionen für eine Gruppe von Benutzern gewähren oder einschränken möchten, um die Flexibilität zu verstehen, die über die standardberechtigungen hinausgeht, die von integrierten Sicherheitsgruppen bereitgestellt werden.
Wenn Sie mit der Berechtigungs- und Gruppenlandschaft noch nicht vertraut sind, lesen Sie Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen. Dieser Artikel befasst sich mit den wichtigsten Status der Berechtigungen und wie sie vererbt werden.
Tipp
Die Struktur Ihres Projekts in Azure DevOps spielt eine wichtige Rolle bei der Bestimmung der Granularität von Berechtigungen auf Objektebene, z. B. Repositorys und Flächenpfade. Diese Struktur ist die Grundlage, mit der Sie Zugriffssteuerungen optimieren können, sodass Sie speziell definieren können, welche Bereiche zugänglich oder eingeschränkt sind. Weitere Informationen finden Sie unter Informationen zu Projekten und Skalieren Ihrer organization.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Berechtigungen | Mitglied der Gruppe Projektsammlungsadministratoren. Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. |
Verwenden von Sicherheitsgruppen
Für eine optimale Wartung empfehlen wir die Verwendung der Standardsicherheitsgruppen oder das Einrichten von benutzerdefinierten Sicherheitsgruppen, um Berechtigungenzu verwalten. Die Berechtigungseinstellungen für die Gruppen Projektadministratoren und Projektsammlungsadministratoren sind vorgegeben und können nicht geändert werden. Sie haben jedoch die Möglichkeit, Berechtigungen für alle anderen Gruppen zu ändern.
Die Verwaltung von Berechtigungen für einzelne Benutzer mag machbar erscheinen, aber angepasste Sicherheitsgruppen bieten einen besser organisierten Ansatz. Sie optimieren die Aufsicht über Rollen und die zugehörigen Berechtigungen, sorgen für Klarheit und ein einfaches Managementdesign, das nicht geändert werden kann. Sie haben jedoch die Flexibilität, Berechtigungen für alle anderen Gruppen zu ändern.
Delegieren von Aufgaben an bestimmte Rollen
Ein strategischer Ansatz besteht darin, als Administrator oder Organisationsbesitzer administrative Aufgaben an Teammitglieder zu delegieren, die für bestimmte Bereiche zuständig sind. Zu den primären integrierten Rollen, die mit vordefinierten Berechtigungen und Rollenzuweisungen ausgestattet sind, gehören:
- Leser: Haben Sie schreibgeschützten Zugriff auf das Projekt.
- Mitwirkende: Kann zum Projekt beitragen, indem Inhalte hinzugefügt oder geändert werden.
- Teamadministrator: Verwalten sie teambezogene Einstellungen und Berechtigungen.
- Projektadministratoren: Verfügen Sie über Administratorrechte für das Projekt.
- Projektsammlungsadministratoren: Überwachen Sie die gesamte Projektsammlung und verfügen über die höchste Berechtigungsstufe.
Diese Rollen erleichtern die Verteilung der Zuständigkeiten und optimieren das Management von Projektbereichen.
Weitere Informationen finden Sie unter "Standardberechtigungen und Zugriff " und "Ändern von Berechtigungen auf Projektsammlungsebene".
Um Aufgaben an andere Mitglieder in Ihrer Organisation zu delegieren, erwägen Sie, eine benutzerdefinierte Sicherheitsgruppe zu erstellen und dann Berechtigungen zu erteilen, wie in der folgenden Tabelle angegeben.
Rolle
Auszuführende Aufgaben
Berechtigungen, die auf Zulassen festgelegt werden sollen
Entwicklungsleiter (Git)
Verwalten von Branchrichtlinien
Bearbeiten von Richtlinien, Pushen erzwingen und Berechtigungen verwalten
Weitere Informationen finden Sie unter Festlegen von Branchberechtigungen.
Entwicklungsleiter (Team Foundation Version Control (TFVC))
Verwalten von Repositorys und Branches
Verwalten von Bezeichnungen, Verwalten von Branch und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von TFVC-Repositoryberechtigungen.
Softwarearchitekt (Git)
Verwalten von Repositorys
Erstellen von Repositorys, Erzwingen von Push und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.
Teamadministratoren
Hinzufügen von Bereichspfaden für ihr Team
Hinzufügen freigegebener Abfragen für ihr Team
Erstellen untergeordneter Knoten, Löschen dieses Knotens, Bearbeiten dieses Knotens Siehe Erstellen untergeordneter Knoten, Ändern von Arbeitselementen unter einem Bereichspfad
Mitwirken, Löschen, Verwalten von Berechtigungen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.
Beitragende
Hinzufügen freigegebener Abfragen unter einem Abfrageordner, Mitwirken zu Dashboards
Mitwirken, Löschen (für einen Abfrageordner), siehe Festlegen von Abfrageberechtigungen
Anzeigen, Bearbeiten und Verwalten von Dashboards finden Sie unter Festlegen von Dashboardberechtigungen.
Projekt- oder Produktmanager
Hinzufügen von Bereichspfaden, Iterationspfaden und freigegebenen Abfragen
Löschen und Wiederherstellen von Arbeitselementen, Verschieben von Arbeitselementen aus diesem Projekt, Dauerhaftes Löschen von Arbeitselementen
Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.
Prozessvorlagen-Manager (Vererbungsprozessmodell)
Anpassung der Arbeitsnachverfolgung
Verwalten von Prozessberechtigungen, Erstellen neuer Projekte, Prozess erstellen, Feld aus Konto löschen, Löschprozess, Projekt löschen, Prozess bearbeiten
Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Sammlungsebene des Projekts.
Prozessvorlagen-Manager (gehostetes XML-Prozessmodell)
Anpassung der Arbeitsnachverfolgung
Bearbeiten von Informationen auf Sammlungsebene finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.
Projektverwaltung (lokales XML-Prozessmodell)
Anpassung der Arbeitsnachverfolgung
Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.
Berechtigungs-Manager
Verwalten von Berechtigungen für ein Projekt, konto oder eine Sammlung
Bearbeiten von Informationen auf Projektebene für ein Projekt
Bearbeiten von Informationen auf Instanzebene (oder Sammlungsebene) für ein Konto oder eine Sammlung
Informationen zum Umfang dieser Berechtigungen finden Sie unter Leitfaden zur Berechtigungssuche. Informationen zum Anfordern einer Änderung der Berechtigungen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Zusätzlich zum Zuweisen von Berechtigungen zu Einzelpersonen können Sie Berechtigungen für verschiedene Objekte in Azure DevOps verwalten. Zu diesen Objekten gehören folgende:
Diese Links enthalten detaillierte Schritte und Richtlinien zum effektiven Einrichten und Verwalten von Berechtigungen für die jeweiligen Bereiche in Azure DevOps.
Einschränken der Benutzersichtbarkeit
Warnung
Beachten Sie die folgenden Einschränkungen bei der Verwendung dieses Vorschaufeatures:
- Die in diesem Abschnitt beschriebenen Features für eingeschränkte Sichtbarkeit gelten nur für Interaktionen über das Webportal. Mit den REST-APIs oder
azure devopsCLI-Befehlen können Projektmitglieder auf die eingeschränkten Daten zugreifen. - Benutzer in der eingeschränkten Gruppe können nur Benutzer auswählen, die Azure DevOps explizit hinzugefügt werden, und nicht Benutzer, die über die Microsoft Entra-Gruppenmitgliedschaft Zugriff haben.
- Gastbenutzer, die Mitglieder in der eingeschränkten Gruppe mit Standardzugriff in der Microsoft Entra-ID sind, können nicht nach Benutzern mit der Personenauswahl suchen.
Organisationen und Projekte
Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Mit der Previewfunktion Einschränken der Benutzersichtbarkeit und Zusammenarbeit für Projekte können Sie die Berechtigungen für bestimmte Benutzer, z. B. Projektbeteiligte, Microsoft Entra-Benutzer oder Mitglieder einer bestimmten Sicherheitsgruppe in Ihrer Organisation einschränken. Sobald das Feature aktiviert wurde, werden für alle Benutzer oder Gruppen, die der Gruppe Projektbezogene Benutzer hinzugefügt wurden, wie folgende Einschränkungen festgelegt:
- Der Zugriff ist nur auf die Projekte beschränkt, denen sie explizit hinzugefügt werden.
- Ansichten, die Listen von Benutzern, Projekten, Abrechnungsdetails, Nutzungsdaten und mehr anzeigen, auf die über die Organisationseinstellungen zugegriffen wird, sind eingeschränkt zugänglich.
- Die Personen oder Gruppen, die in den Personenauswahl-Suchergebnissen angezeigt werden, und die Möglichkeit, Personen zu @nennen, sind eingeschränkt.
Suche und Auswahl von Identitäten
Mit der Microsoft Entra-ID können Sie personenauswahlen verwenden, um nach einem beliebigen Benutzer oder jeder Gruppe in Ihrer Organisation zu suchen, nicht nur nach den Personen in Ihrem aktuellen Projekt. Personenauswahl unterstützt die folgenden Azure DevOps-Funktionen:
- Auswahl einer Benutzeridentität aus einem Arbeitsverfolgungsidentitätsfeld, z. B . Zugewiesen an
- Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention in einer Arbeitselementdiskodiumsdiskussion oder einem Rich-Text-Feld, einer Pull Request-Diskussion, Commitkommentaren oder Changeset- oder Regaletkommentaren
- Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention auf einer Wiki-Seite
Beginnen Sie wie in der folgenden Abbildung gezeigt, einen Benutzer- oder Sicherheitsgruppennamen in ein Personenauswahlfeld einzugeben, bis Sie eine Übereinstimmung gefunden haben.
Benutzer und Gruppen, die der Gruppe Project-Scoped Users hinzugefügt werden, können nur Benutzer und Gruppen in dem Projekt anzeigen und auswählen, mit denen sie verbunden sind.
Aktivieren des Vorschaufeatures und Hinzufügen von Benutzern zur Sicherheitsgruppe
Führen Sie die folgenden Schritte aus, um die Previewfunktion zu aktivieren und der Gruppe „Projektbezogene Benutzer“ Benutzer hinzuzufügen:
Aktivieren Sie für die Organisation die Previewfunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken.
Fügen Sie die Benutzer zu Ihrem Projekt hinzu, wie in Hinzufügen von Benutzern zu einem Projekt oder Teambeschrieben. Benutzer, die einem Team hinzugefügt werden, werden automatisch zur Projekt- und Teamgruppe hinzugefügt.
Öffnen Sie Organisationseinstellungen>Sicherheitsberechtigungen>Berechtigungen, und wählen Sie Project-Scoped Benutzeraus. Wählen Sie die Registerkarte Mitglieder aus.
Fügen Sie alle Benutzer und Gruppen hinzu, die Sie auf das Projekt, dem sie hinzugefügt wurden, beschränken möchten. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Die Gruppe Projektbezogene Benutzer wird nur dann unter Berechtigungen>Gruppen angezeigt, wenn die Previewfunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken aktiviert ist.
Alle Sicherheitsgruppen in Azure DevOps gelten als Entitäten auf Organisationsebene, auch wenn sie nur über Berechtigungen für ein bestimmtes Projekt verfügen. Dies bedeutet, dass Sicherheitsgruppen auf Organisationsebene verwaltet werden.
Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf den Berechtigungen des Benutzers eingeschränkt werden. Sie können jedoch weiterhin die Namen aller Sicherheitsgruppen innerhalb einer Organisation ermitteln, indem Sie das azure devops CLI-Tool oder die REST-APIs verwenden. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.
Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
Azure DevOps ist so konzipiert, dass alle autorisierten Benutzer alle definierten Objekte im System anzeigen können. Sie können jedoch den Zugriff auf Ressourcen anpassen, indem Sie den Berechtigungsstatus auf "Verweigern" festlegen. Sie können Berechtigungen für Mitglieder festlegen, die zu einer benutzerdefinierten Sicherheitsgruppe oder für einzelne Benutzer gehören. Weitere Informationen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Bereich, der eingeschränkt werden soll
Berechtigungen, die auf Verweigern festgelegt werden sollen
Anzeigen oder Mitwirken zu einem Repository
Anzeigen, Mitwirken
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen oder Festlegen von TFVC-Repositoryberechtigungen.
Anzeigen, Erstellen oder Ändern von Arbeitselementen innerhalb eines Bereichspfads
Bearbeiten von Arbeitselementen in diesem Knoten, Anzeigen von Arbeitselementen in diesem Knoten
Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Ändern von Arbeitselementen unter einem Bereichspfad.
Anzeigen oder Aktualisieren ausgewählter Build- und Releasepipelines
Buildpipeline bearbeiten, Buildpipeline anzeigen
Releasepipeline bearbeiten, Releasepipeline anzeigen
Sie legen diese Berechtigungen auf Objektebene fest. Weitere Informationen finden Sie unter Festlegen von Build- und Freigabeberechtigungen.
Bearbeiten eines Dashboards
Dashboards anzeigen
Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen.
Einschränken der Änderung von Arbeitselementen oder Auswählen von Feldern
Beispiele, die veranschaulichen, wie Änderungen von Arbeitselementen eingeschränkt oder Felder ausgewählt werden, finden Sie unter Beispielregelszenarien.
Nächste Schritte
Verwandte Artikel
- Standardberechtigungen und Zugriffsberechtigungen anzeigen
- Verwenden des Leitfadens zu Berechtigungen
- Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen
- Referenz zu Berechtigungen und Gruppen
- Ändern von Berechtigungen auf Projektebene
- Ändern von Berechtigungen auf Projektsammlungsebene