Sicherheitsnamespace und Berechtigungsreferenz für Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

In diesem Artikel werden die gültigen Sicherheitsnamespaces beschrieben, die zugehörigen Berechtigungen aufgelistet und Links zu weiteren Informationen bereitgestellt. Sicherheitsnamespaces speichern Zugriffssteuerungslisten (ACLs) für Token, um die Zugriffsebene verschiedener Entitäten zu bestimmen, um bestimmte Aktionen für bestimmte Ressourcen auszuführen. Zu diesen Entitäten gehören:

• Azure DevOps-Benutzer
• Besitzer der Azure DevOps-Organisation
• Mitglieder von Azure DevOps-Sicherheitsgruppen
• Azure DevOps-Dienstkonten
• Azure DevOps-Dienstprinzipale

Jede Ressourcenfamilie, z. B. Arbeitsaufgaben oder Git-Repositorys, wird über einen eindeutigen Namespace gesichert. Jeder Sicherheitsnamespace enthält null oder mehr ACLs. Eine ACL enthält ein Token, eine Vererbungskennzeichnung und eine Gruppe von Null- oder mehr Zugriffssteuerungseinträgen (Access Control Entries, ACEs). Jede ACE besteht aus einer Identitätsbeschreibung, einer zulässigen Berechtigungsbitmaske und einer verweigerten Berechtigungsbitmaske. Token sind beliebige Zeichenfolgen, die Ressourcen in Azure DevOps darstellen.

Hinweis

Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Die hier aufgeführten gelten für Azure DevOps 2019 und höhere Versionen. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, üben Sie eines der Befehlszeilentools oder der REST-API aus. Einige Namespaces sind veraltet, wie im Abschnitt veraltete und schreibgeschützte Namespaces Abschnitt weiter unten in diesem Artikel aufgeführt. Weitere Informationen finden Sie unter Sicherheitsnamespaces-Abfrage

Berechtigungsverwaltungstools

Die empfohlene Methode zum Verwalten von Berechtigungen erfolgt über das Webportal. Um jedoch Berechtigungen festzulegen, die über das Portal nicht verfügbar sind, oder um präzise Berechtigungen zu verwalten, verwenden Sie Befehlszeilentools oder die REST-API:

• Verwenden Sie für Azure DevOps Services die az devops security permission Befehle.
• Verwenden Sie für Azure DevOps Server die TFSSecurity-Befehle.
• Verwenden Sie für Git-Repositorys für Azure DevOps das Befehlszeilentool tf git.
• Verwenden Sie für TFVC-Repositorys (Team Foundation Version Control) das Befehlszeilentool TFVC-Berechtigungs-Befehlszeilentool.

Für alle Azure DevOps-Instanzen können Sie auch die Security REST APIverwenden.

Sicherheitsnamespaces und deren IDs

Viele Sicherheitsnamespaces entsprechen Berechtigungen, die Sie über eine Sicherheits- oder Berechtigungen Webseite festgelegt haben. Andere Namespaces oder bestimmte Berechtigungen sind nicht über das Webportal sichtbar und gewähren standardmäßig Zugriff auf Mitglieder von Sicherheitsgruppen oder Azure DevOps-Dienstprinzipale. Diese Namespaces werden in die folgenden Kategorien gruppiert, je nachdem, wie sie über das Webportal verwaltet werden:

• Objektebene
• Projektebene
• Organisation oder Sammlungsebene
• Serverebene (nur lokal)
• Rollenbasiert
• Nur intern

Hierarchie und Token

Ein Sicherheitsnamespace kann hierarchisch oder flach sein. In einem hierarchischen Namespace sind Token in einer Hierarchie vorhanden, in der effektive Berechtigungen von übergeordneten Token zu untergeordneten Token geerbt werden. Im Gegensatz dazu haben Token in einem flachen Namespace kein Konzept einer Beziehung zwischen zwei Token, die übergeordnet und untergeordnet sind.

Token in einem hierarchischen Namespace weisen entweder eine feste Länge für jeden Pfadteil oder eine variable Länge auf. Wenn die Token über Pfadteile mit variabler Länge verfügen, wird ein Trennzeichen verwendet, um zu unterscheiden, wo ein Pfadteil endet und ein anderer beginnt.

Bei Sicherheitstoken wird die Groß-/Kleinschreibung nicht beachtet. Ein Beispiel für Token für verschiedene Namespaces wird in den folgenden Abschnitten bereitgestellt.

Namespaces und Berechtigungen auf Objektebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Objektebene verwalten. Die meisten dieser Berechtigungen werden über die Webportalseite für jedes Objekt verwaltet. Berechtigungen werden auf Projektebene festgelegt und auf Objektebene geerbt, es sei denn, dies wurde explizit geändert.

---

Namespace

Berechtigungen

Beschreibung

---

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

verwaltet Berechtigungen für Analyseansichten auf Projektebene und Objektebene zum Lesen, Bearbeiten, Löschen und Generieren von Berichten. Sie können diese Berechtigungen für jede Analyseansicht über die Benutzeroberflächeverwalten.

Tokenformat für Berechtigungen auf Projektebene: $/Shared/PROJECT_ID
Beispiel: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

-ID:d34d3680-dfe5-4cc6-a949-7d9c68f73cba

---

Bauen

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Verwaltet Buildberechtigungen auf Projekt- und Objektebene.

Tokenformat für Buildberechtigungen auf Projektebene: PROJECT_ID
Wenn Sie Berechtigungen für eine bestimmte Builddefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Builddefinition wie im folgenden Beispiel aus:
Tokenformat für Projektebene, spezifische Buildberechtigungen: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

-ID:33344d9c-fc72-4d6f-aba5-fa317101a7e9

---

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Verwaltet Berechtigungen auf Bereichspfadobjektebene zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten und Festlegen von Berechtigungen zum Anzeigen oder Bearbeiten von Arbeitsaufgaben in einem Knoten. Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Erstellen untergeordneter Knoten, Ändern von Arbeitsaufgaben unter einem Bereichspfad.
Tokenformatbeispiel:POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
-ID:83e28ad4-2d72-4ceb-97b0-c7726d5502c3

---

DashboardsPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Verwaltet Berechtigungen auf Dashboardobjektebene zum Bearbeiten und Löschen von Dashboards und Verwalten von Berechtigungen für ein Projektdashboard. Sie können diese Berechtigungen über die Dashboards-Benutzeroberflächeverwalten.

-ID:8adf73b7-389a-4276-b638-fe1653f7efc7

---

Git-Repositorys

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Verwaltet Git-Repositoryberechtigungen auf Projekt- und Objektebene. Sie können diese Berechtigungen über die Project-Einstellungen, Repository-Verwaltungsschnittstelleverwalten.

Die Administer Berechtigung wurde 2017 in mehrere differenziertere Berechtigungenunterteilt und sollte nicht verwendet werden.
Tokenformat für Berechtigungen auf Projektebene: repoV2/PROJECT_ID
Sie müssen RepositoryID anfügen, um Berechtigungen auf Repositoryebene zu aktualisieren.

Tokenformat für repositoryspezifische Berechtigungen: repoV2/PROJECT_ID/REPO_ID

Tokenformat für Berechtigungen auf Verzweigungsebene wird in Git-Repositorytoken für den Sicherheitsdienstbeschrieben.

-ID:2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

---

Iteration

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Verwaltet Berechtigungen auf Objektebene auf Iterationspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten und Anzeigen untergeordneter Knotenberechtigungen. Informationen zum Verwalten über das Webportal finden Sie unter Festlegen von Berechtigungen und Zugriff für die Nachverfolgung von Arbeiten, Erstellen untergeordneter Knoten.
Tokenformat: 'vstfs:///Classification/Node/Iteration_Identifier/'
Angenommen, Sie haben die folgenden Iterationen für Ihr Team konfiguriert.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Zum Aktualisieren von Berechtigungen für ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1sieht das Sicherheitstoken wie im folgenden Beispiel aus:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

-ID:bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

---

MetaTask

Administer
Edit
Delete

Verwaltet Aufgabengruppenberechtigungen zum Bearbeiten und Löschen von Aufgabengruppen und Verwalten von Aufgabengruppenberechtigungen. Informationen zum Verwalten über das Webportal finden Sie unter Pipelineberechtigungen und Sicherheitsrollen, Aufgabengruppenberechtigungen.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Tokenformat für Berechtigungen auf MetaTask-Ebene: PROJECT_ID/METATASK_ID

Wenn MetaTask über parentTaskId verfügt, sieht das Sicherheitstoken wie im folgenden Beispiel aus:
Tokenformat: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

-ID:f6a4de49-dbe2-4704-86dc-f8ec1a294436

---

Plan

View
Edit
Delete
Manage

Verwaltet Berechtigungen für Übermittlungspläne zum Anzeigen, Bearbeiten, Löschen und Verwalten von Übermittlungsplänen. Sie können diese Berechtigungen über das -Webportal für jeden Planverwalten.

-ID:bed337f8-e5f3-4fb9-80da-81e17d06e7a8

---

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Verwaltet Freigabedefinitionsberechtigungen auf Projekt- und Objektebene.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Wenn Sie Berechtigungen für eine bestimmte Versionsdefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Releasedefinition wie folgt aus:

Tokenformat für bestimmte Versionsdefinitionsberechtigungen: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Wenn sich die Releasedefinitions-ID in einem Ordner befindet, sehen die Sicherheitstoken wie folgt aus:
Tokenformat: PROJECT_ID/{folderName}/12
Bei Phasen sehen Token wie folgt aus: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

-ID:c788c23e-1b46-4162-8f5e-d7585343b5de

---

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Verwaltet Berechtigungen für Arbeitsaufgabenabfragen und Abfrageordner. Informationen zum Verwalten dieser Berechtigungen über das Webportal finden Sie unter Festlegen von Berechtigungen für Abfragen oder Abfrageordner. Tokenformatbeispiel:POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
-ID:71356614-aad7-4757-8f2c-0fb3bff6f680

---

Namespaces und Berechtigungen auf Projektebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Projektebene verwalten. Die meisten aufgelisteten Berechtigungen werden über den Webportal-Administratorkontextverwaltet. Projektadministratoren erhalten alle Berechtigungen auf Projektebene, während andere Gruppen auf Projektebene bestimmte Berechtigungszuweisungen besitzen.

---

Namespace

Berechtigungen

Beschreibung

---

Projekt

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Verwaltet Berechtigungen auf Project-Ebene.
Die AGILETOOLS_BACKLOG Berechtigung verwaltet den Zugriff auf Azure Boards-Backlogs. Diese Einstellung ist eine interne Berechtigungseinstellung und sollte nicht geändert werden.

Stammtokenformat: $PROJECT
Token zum Sichern von Berechtigungen für jedes Projekt in Ihrer Organisation.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Angenommen, Sie haben ein Projekt mit dem Namen Test Project 1.
Sie können die Projekt-ID für dieses Projekt mit dem az devops project show Befehlabrufen.
az devops project show --project "Test Project 1"
Der Befehl gibt eine Projekt-ID zurück, z. B. xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
Daher lautet das Token zum Sichern von projektbezogenen Berechtigungen für Test Project 1:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
-ID:52d39943-cb85-4d7f-8fa8-c6baac873819

---

Tagging

Enumerate
Create
Update
Delete

Verwaltet Berechtigungen zum Erstellen, Löschen, Aufzählen und Verwenden von Arbeitsaufgabentags. Sie können die Erstellen einer Tagdefinition Berechtigung über die Administrative Schnittstelle für Berechtigungenverwalten.

Tokenformat für Berechtigungen auf Projektebene: /PROJECT_ID
Beispiel: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

-ID:bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

---

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Verwaltet Berechtigungen für ein Team Foundation Version Control (TFVC)-Repository. Es gibt nur ein TFVC-Repository für ein Projekt. Sie können diese Berechtigungen über die administrative Schnittstelle Repositorysverwalten.

-ID:a39371cf-0841-4c16-bbd3-276e341bc052

---

Namespaces und Berechtigungen auf Organisationsebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Organisationsebene verwalten. Die meisten aufgelisteten Berechtigungen werden über das Webportal Organisationseinstellungen Kontext verwaltet. Dem Organisationsbesitzer und Mitglieder der Project Collection Administrators Gruppe werden die meisten dieser Berechtigungen gewährt. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.

---

Namespace

Berechtigungen

Beschreibung

---

AuditLog

Read
Write
Manage_Streams
Delete_Streams

Verwaltet Überwachungsberechtigungen zum Lesen oder Schreiben in das Überwachungsprotokoll und zum Verwalten oder Löschen von Überwachungsdatenströmen.

Tokenformat: /AllPermissions
-ID:a6cc6381-a1ca-4b36-b3c1-4e65211e82b6

---

BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

Verwaltet den Zugriff auf das Anzeigen, Verwalten, Verwenden oder Verwalten von Berechtigungen für Buildressourcen.

-ID:302acaca-b667-436d-a946-87133492041c

---

Sammlung

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Verwaltet Berechtigungen auf Organisationsebene oder auf Sammlungsebene.

-ID:3e65f728-f8bc-4ecd-8764-7e378b19bfa7

---

Prozess

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

Verwaltet Berechtigungen zum Erstellen, Löschen und Verwalten von Prozessen.
-ID:2dab47f9-bd70-49ed-9bd5-8eb051e59c02

---

Arbeitsbereiche

Read
Use
Checkin
Administer

Verwaltet Berechtigungen für die Verwaltung von Änderungen, Arbeitsbereichen und der Möglichkeit zum Erstellen eines Arbeitsbereichs auf Organisation oder Sammlungsebene. Der Workspaces-Namespace gilt für das TFVC-Repository.

Stammtokenformat: /
Tokenformat für einen bestimmten Arbeitsbereich: /{workspace_name};{owner_id}

-ID:93bafc04-9075-403a-9367-b7164eac6b5c

---

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Verwaltet Berechtigungen für Team Foundation Version Control (TFVC)-Repository.

-ID:66312704-deb5-43f9-b51c-ab4ff5e351c3

---

Rollenbasierte Namespaces und Berechtigungen

In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die zum Verwalten der rollenbasierten Sicherheit verwendet werden. Sie können Rollenzuweisungen über das Webportal für Pipelineressourcen verwalten, wie Pipelineberechtigungen und Sicherheitsrollenbeschrieben.

---

Namespace

Berechtigungen

Beschreibung

---

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Verwaltet Berechtigungen für den Zugriff auf Agentpoolressourcen. Standardmäßig werden die folgenden Rollen und Berechtigungen auf Projektebene zugewiesen und für jeden erstellten Agentpool geerbt:

• Rolle "Reader" (nurView Berechtigungen) für alle Mitglieder der Gruppe "Project Valid Users"
• Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen "Buildadministratoren", "Projektadministratoren" und "Versionsadministratoren".
• Rolle "Benutzer-" (View, Useund berechtigungen Create) für alle Mitglieder der Mitwirkendengruppe
• Creator Rolle (View, Useund Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
  
  -ID:101eae8c-1709-47f9-b228-0e476c35b3ba

---

Umwelt

View
Manage
ManageHistory
Administer
Use
Create

Verwaltet Berechtigungen zum Erstellen und Verwalten von Umgebungen. Standardmäßig werden die folgenden Berechtigungen zugewiesen:

• Rolle "Reader" (nurView Berechtigungen) für alle Mitglieder der Gruppe "Project Valid Users"
• Creator Rolle (View, Useund Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
• Creator Rolle (View, Useund berechtigungen Create) für alle Mitglieder der Gruppe "Projektadministratoren"
• Administrator Rolle (alle Berechtigungen) für den Benutzer, der eine bestimmte Umgebung erstellt hat.
  
  -ID:83d4c2e6-e57d-4d6e-892b-b87222b7ad20

---

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Die rolle Manager ist die einzige Rolle, die zum Verwalten der Sicherheit von Marketplace-Erweiterungen verwendet wird. Mitglieder der Managerrolle können Erweiterungen installieren und auf Anforderungen reagieren, für die Erweiterungen installiert werden sollen. Die anderen Berechtigungen werden Mitgliedern von Standardsicherheitsgruppen und Dienstprinzipalen automatisch zugewiesen. Informationen zum Hinzufügen von Benutzern zur Rolle "Manager" finden Sie unter Verwalten von Erweiterungsberechtigungen.

-ID:5d6d7b80-3c63-4ab0-b699-b6a5910f8029

---

Bibliothek

View
Administer
Create
ViewSecrets
Use
Owner

Verwaltet Berechtigungen zum Erstellen und Verwalten von Bibliothekselementen, einschließlich sicherer Dateien und Variablengruppen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von der Bibliothek geerbt. Standardmäßig werden die folgenden Berechtigungen zugewiesen:

• Rolle "Reader" (nurView Berechtigungen) für alle Mitglieder der Gruppe "Project Valid Users" und des Project Collection Build Service-Kontos
• Creator Rolle (View, Useund Create Berechtigungen) für alle Mitglieder der Gruppe "Mitwirkende"
• Creator Rolle (View, Use, Createund Owner Berechtigungen) für das Mitglied, das das Bibliothekselement erstellt hat
• Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen "Buildadministratoren", "Projektadministratoren" und "Versionsadministratoren".
  Weitere Informationen finden Sie unter Sicherheitsrollen für Bibliotheksobjekten.
  
  -ID:b7e84409-6553-448a-bbb2-af228e07cbeb

---

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Verwaltet Berechtigungen zum Erstellen und Verwalten von Dienstverbindungen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von den Rollen auf Projektebene geerbt. Standardmäßig werden die folgenden Rollen zugewiesen:

• Rolle "Reader" (nurView Berechtigungen) für alle Mitglieder der Gruppe "Project Valid Users" und des Project Collection Build Service-Kontos
• Creator Rolle (View, Useund berechtigungen Create) für Mitglieder der Endpoint Creators-Dienstsicherheitsgruppe.
• Administratorrolle (alle Berechtigungen) für Mitglieder der Sicherheitsgruppe "Endpunktadministratoren".
  Rollen werden über Dienstverbindungssicherheitsrollenzugewiesen.
  
  -ID:49b48001-ca20-4adc-8111-5b60c903a50c

---

Interne Namespaces und Berechtigungen

In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die nicht über das Webportal angezeigt werden. Sie werden hauptsächlich verwendet, um Mitgliedern von Standardsicherheitsgruppen oder internen Ressourcen Zugriff zu gewähren. Es wird dringend empfohlen, diese Berechtigungseinstellungen in keiner Weise zu ändern.

---

Namespace

Berechtigungen

Beschreibung

---

AccountAdminSecurity

Read
Create
Modify

Verwaltet Berechtigungen zum Lesen oder Ändern des Organisationskontobesitzers. Diese Berechtigungen werden dem Organisationsbesitzer und den Mitgliedern der Gruppe "Projektsammlungsadministrator" zugewiesen.

-ID:11238e09-49f2-40c7-94d0-8f0307204ce4

---

Analytik

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Verwaltet Berechtigungen zum Lesen, Verwalten von Berechtigungen und Ausführen von Abfragen für den Analysedienst.

Tokenformat für Berechtigungen auf Projektebene: $/PROJECT_ID
Beispiel: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

-ID:58450c49-b02d-465a-ab12-59ae512d6531

---

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Legt Berechtigungen zum Lesen, Löschen, Erstellen und Verwalten der Sicherheit des Datenspeichers fest. Diese Berechtigungen werden mehreren Azure DevOps-Dienstprinzipalen zugewiesen.

-ID:19F9F97D-7CB7-45F7-8160-DD308A6BD48E

---

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Verwaltet Berechtigungen und Zugriff auf Boards.

-ID:251e12d9-bea3-43a8-bfdb-901b98c0125e

---

BoardsExternalIntegration

Read
Write

Verwaltet Lese-/Schreibberechtigungen für externe Integrationen in Azure Boards.

-ID:5ab15bc8-4ea1-d0f3-8344-cab8fe976877

---

Plaudern

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Verwaltet Berechtigungen für Chatdienste, die in Azure DevOps integriert sind, z. B. Slack und Microsoft Teams. Weitere Informationen finden Sie unter Azure Boards mit Slack, Azure Boards mit Microsoft Teams, Azure Pipelines mit Slack, Azure Pipelines mit Microsoft Teams, Azure Repos mit Slackund Azure Repos mit Microsoft Teams.

-ID:bc295513-b1a2-4663-8d1a-7017fd760d18

---

Diskussionsthreads

Administer
GenericRead
GenericContribute
Moderate

Verwaltet Berechtigungen zum Anzeigen, Verwalten, Moderieren und Beitragen zu Codeüberprüfungsdiskussionssetup für Azure Pipelines.

-ID:0d140cae-8ac1-4f48-b6d1-c93ce0301a12

---

EventPublish

Read
Write

Gewährt Lese- und Schreibzugriff für den Benachrichtigungshandler.

-ID:7cd317f2-adc6-4b6c-8d99-6074faeaf173

---

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Gewährt Lese- und Schreibzugriff für Benachrichtigungsabonnenten.

-ID:2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

---

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Verwaltet Mitgliedsberechtigungen zum Anzeigen, Bearbeiten und Abmelden von Benachrichtigungen oder Erstellen eines SOAP-Abonnements.

-ID:58b176e7-3411-457a-89d0-c6d0ccb3c52b

Identität

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Verwaltet Berechtigungen zum Lesen, Schreiben und Löschen von Benutzerkontoidentitätsinformationen; Verwalten der Gruppenmitgliedschaft und Erstellen und Wiederherstellen von Identitätsbereichen. Die ManageMembership Berechtigung wird automatisch Mitgliedern der Gruppen "Projektadministratoren" und "Projektsammlungsadministratoren" erteilt.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
So ändern Sie Berechtigungen auf Gruppenebene für die Gruppenursprung-ID [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token-: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

-ID:5a27515b-ccd7-42c9-84f1-54c998f03866

---

Lizenzierung

Read
Create
Modify
Delete
Assign
Revoke

Verwaltet die Möglichkeit, Lizenzstufen anzuzeigen, hinzuzufügen, zu ändern und zu entfernen. Diese Berechtigungen werden automatisch Mitgliedern der Projektsammlungsadministratorgruppen erteilt.

-ID:453e2db3-2e81-474f-874d-3bf51027f2ee

---

PermissionLevel

Read
Create
Update
Delete

Verwaltet die Möglichkeit zum Erstellen und Herunterladen von Berechtigungsberichten.

-ID:25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

---

OrganizationLevelData

Project-Scoped Users

Wendet eine Berechtigung auf Systemebene für den Namespace an, die die Project-Scoped Benutzergruppe unterstützt. Mitglieder der Gruppe erhalten eingeschränkte Sichtbarkeit für Daten auf Organisationsebene. Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
-ID:F0003BCE-5F45-4F93-A25D-90FC33FE3AA9

---

PipelineCachePrivileges

Read
Write

Verwaltet Berechtigungen zum Lesen und Schreiben von Pipelinecacheeinträgen. Diese Berechtigungen werden nur internen Azure DevOps-Dienstprinzipien zugewiesen.
-ID:62a7ad6b-8b8d-426b-ba10-76a7090e94d5

---

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Verwaltet den Zugriff auf Elemente der Releaseverwaltungs-Benutzeroberfläche.

-ID:7c7d32f7-0e86-4cd6-892e-b35dbba870bd

---

SearchSecurity

ReadMembers ReadAnonymous

Dieser Sicherheitsnamespace wird verwendet, um zu wissen, ob ein Benutzer gültig oder anonym/öffentlich ist.

-ID:ca535e7e-67ce-457f-93fe-6e53aa4e4160

---

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Verwaltet Berechtigungen zum Anzeigen, Bearbeiten und Löschen von Diensthakenabonnements und Veröffentlichen von Diensthakenereignissen. Diese Berechtigungen werden automatisch Mitgliedern der Gruppe "Projektsammlungsadministratoren" zugewiesen. DeleteSubscriptions wird nicht mehr verwendet; EditSubscriptions können Dienst-Hooks löschen.

-ID:cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

---

UtilizationPermissions

QueryUsageSummary

Verwaltet Berechtigungen für die Abfrageverwendung. Standardmäßig werden allen Mitgliedern der Project Collection-Administratorengruppen und Benutzern, denen der Stakeholder-Zugriff gewährt wurde, die Berechtigung zum Abfragen der Verwendungszusammenfassung für alle erteilt. Weitere Informationen finden Sie unter Ratenlimits.

Tokenformat: /
-ID:83abde3a-4593-424e-b45f-9898af99034d

---

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Verwaltet Berechtigungen für die Verwaltung der Arbeitsnachverfolgung und -zerstörung von Anlagen.
-ID:445d2788-c5fb-4132-bbef-09c4045ad93f

---

WorkItemTrackingProvision

Administer
ManageLinkTypes

Verwaltet Berechtigungen zum Ändern von Arbeitverfolgungsprozessen und verwalten von Linktypen. Der WorkItemTrackingProvision-Namespace ist ein älterer Sicherheitsnamespace, der hauptsächlich für frühere lokale Versionen verwendet wird. Der Process Namespace ersetzt diesen Namespace für die Verwaltung von Prozessen in Azure DevOps Server 2019 und höheren Versionen.

Stammtokenformat: /$
Tokenformat für ein bestimmtes Projekt: $/PROJECT_ID

-ID:5a6cd233-6615-414d-9393-48dbb252bd23

---

Veraltete und schreibgeschützte Namespaces

Die folgenden Namespaces sind entweder veraltet oder schreibgeschützt. Sie sollten sie nicht verwenden.

• CrossProjectWidgetView
• DataProvider
• Favorites
• Graph
• Identity2
• IdentityPicker
• Job
• Location
• ProjectAnalysisLanguageMetrics
• Proxy
• Publish
• Registry
• Security

• ServicingOrchestration
• SettingEntries
• Social
• StrongBox
• TeamLabSecurity
• TestManagement
• VersionControlItems2
• ViewActivityPaneSecurity
• WebPlatform
• WorkItemsHub
• WorkItemTracking
• WorkItemTrackingConfiguration

---

Verwandte Artikel

• Informationen zu Sicherheit, Authentifizierung und Autorisierung
• Verwenden der REST-API- der Sicherheitsnamespaces
• TFSSecurity- verwenden
• Verstehen von Sicherheitsbegriffen mit dem Sicherheits glossar