Sicherheitsnamespace und Berechtigungsreferenz für Azure DevOps
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
In diesem Artikel werden die gültigen Sicherheitsnamespaces beschrieben, die zugehörigen Berechtigungen aufgelistet und Links zu weiteren Informationen bereitgestellt. Sicherheitsnamespaces speichern Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) für Token, die bestimmen, auf welcher Ebene verschiedene Entitäten bestimmte Aktionen für bestimmte Ressourcen ausführen müssen. Zu diesen Entitäten gehören:
- Azure DevOps-Benutzer
- Azure DevOps Organisationsbesitzer s
- Mitglieder von Azure DevOps-Sicherheitsgruppen
- Azure DevOps-Dienstkonten
- Azure DevOps-Dienstprinzipale
Jede Ressourcenfamilie, z. B. Arbeitselemente oder Git-Repositorys, wird durch einen eindeutigen Namespace geschützt. Jeder Sicherheitsnamespace enthält null oder mehr ACLs. Eine ACL enthält ein Token, eine Vererbungskennzeichnung und eine Gruppe von Null- oder mehr Zugriffssteuerungseinträgen (Access Control Entries, ACEs). Jede ACE besteht aus einer Identitätsbeschreibung, einer zulässigen Berechtigungsbitmaske und einer verweigerten Berechtigungsbitmaske. Token sind beliebige Zeichenfolgen, die Ressourcen in Azure DevOps darstellen.
Hinweis
Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Die hier aufgeführten sind für Azure DevOps 2019 und höhere Versionen gültig. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, verwenden Sie eines der Befehlszeilentools oder die REST-API. Einige Namespaces sind veraltet, wie im Abschnitt Veraltete und schreibgeschützte Namespaces weiter unten in diesem Artikel aufgeführt. Weitere Informationen finden Sie unter Sicherheitsnamespaces-Abfrage
Tools für die Berechtigungsverwaltung
Die empfohlene Methode zum Verwalten von Berechtigungen erfolgt über das Webportal. Um jedoch Berechtigungen festzulegen, die über das Portal nicht verfügbar sind, oder um präzise Berechtigungen zu verwalten, verwenden Sie Befehlszeilentools oder die REST-API:
- Verwenden Sie für Azure DevOps Services die
az devops security permission
Befehle. - Verwenden Sie für Azure DevOps Server die TFSSecurity-Befehle.
- Verwenden Sie für Azure DevOps Git-Repositorys das Befehlszeilentool tf git permission.
- Verwenden Sie für Team Foundation-Versionskontrolle-Repositorys (TFVC) das Befehlszeilentool TFVC-Berechtigung.
Für alle Azure DevOps-Instanzen können Sie auch die Sicherheits-REST-API verwenden.
Sicherheitsnamespaces und deren IDs
Viele Sicherheitsnamespaces entsprechen Berechtigungen, die Sie über eine Webportalseite für Sicherheit oder Berechtigungen festlegen. Andere Namespaces oder bestimmte Berechtigungen sind nicht über das Webportal sichtbar und gewähren standardmäßig Zugriff auf Mitglieder von Sicherheitsgruppen oder Azure DevOps-Dienstprinzipale. Diese Namespaces werden in die folgenden Kategorien gruppiert, je nachdem, wie sie über das Webportal verwaltet werden:
- Objektebene
- Projektebene
- Organisation oder Sammlungsebene
- Serverebene (nur lokal)
- Rollenbasiert
- Nur intern
Hierarchie und Token
Ein Sicherheitsnamespace kann entweder hierarchisch oder flach sein. In einem hierarchischen Namespace sind Token in einer Hierarchie vorhanden, in der effektive Berechtigungen von übergeordneten Token zu untergeordneten Token geerbt werden. Im Gegensatz dazu haben Token in einem flachen Namespace kein Konzept einer Beziehung zwischen zwei Token, die übergeordnet und untergeordnet sind.
Token in einem hierarchischen Namespace haben entweder eine feste Länge für jeden Pfadteil oder eine variable Länge. Wenn die Token Pfadteile variabler Länge aufweisen, wird ein Trennzeichen verwendet, um zu unterscheiden, wo ein Pfadteil endet und ein anderer beginnt.
Bei Sicherheitstoken wird die Groß-/Kleinschreibung nicht beachtet. Ein Beispiel für Token für verschiedene Namespaces wird in den folgenden Abschnitten bereitgestellt.
Namespaces und Berechtigungen auf Objektebene
In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Objektebene verwalten. Die meisten dieser Berechtigungen werden über die Webportalseite für jedes Objekt verwaltet. Berechtigungen werden auf Projektebene festgelegt und auf Objektebene geerbt, es sei denn, dies wurde explizit geändert.
Namespace
Berechtigungen
Beschreibung
Read
Edit
Delete
Execute
ManagePermissions
Verwaltet Berechtigungen für Analytics-Ansichten auf Projekt- und Objektebene zum Lesen, Bearbeiten, Löschen und Generieren von Berichten. Sie können diese Berechtigungen für jede Analyseansicht über die Benutzeroberfläche verwalten.
Tokenformat für Berechtigungen auf Projektebene: $/Shared/PROJECT_ID
Beispiel: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba
Erstellen
ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions
Verwaltet Buildberechtigungen auf Projekt- und Objektebene.
Tokenformat für Buildberechtigungen auf Projektebene: PROJECT_ID
Wenn Sie Berechtigungen für eine bestimmte Builddefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Builddefinition wie im folgenden Beispiel aus:
Tokenformat für bestimmte Buildberechtigungen auf Projektebene: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9
CSS
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES
Verwaltet Berechtigungen auf Objektebene für den Bereichspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten sowie zum Festlegen von Berechtigungen zum Anzeigen oder Bearbeiten von Arbeitselementen in einem Knoten. Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Erstellen untergeordneter Knoten, Ändern von Arbeitsaufgaben unter einem Bereichspfad.
Beispiel für das Tokenformat: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3
Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards
Verwaltet Berechtigungen auf Dashboardobjektebene zum Bearbeiten und Löschen von Dashboards und zum Verwalten von Berechtigungen für ein Projektdashboard. Sie können diese Berechtigungen über die Dashboards-Benutzeroberfläche verwalten.
ID: 8adf73b7-389a-4276-b638-fe1653f7efc7
Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy
Verwaltet Git-Repositoryberechtigungen auf Projekt- und Objektebene. Sie können diese Berechtigungen über die Verwaltungsschnittstelle "Projekteinstellungen", "Repositorys" verwalten.
Die Administer
Berechtigung wurde 2017 in mehrere differenziertere Berechtigungen unterteilt und sollte nicht verwendet werden.
Tokenformat für Berechtigungen auf Projektebene: repoV2/PROJECT_ID
Sie müssen Anfügen RepositoryID
, um Berechtigungen auf Repositoryebene zu aktualisieren.
Tokenformat für repositoryspezifische Berechtigungen: repoV2/PROJECT_ID/REPO_ID
Das Tokenformat für Berechtigungen auf Verzweigungsebene wird in Git-Repositorytoken für den Sicherheitsdienst beschrieben.
ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87
Iteration
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
Verwaltet Berechtigungen auf Objektebene auf Iterationspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten und anzeigen von Berechtigungen für untergeordnete Knoten. Informationen zum Verwalten über das Webportal finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Erstellen untergeordneter Knoten.
Tokenformat: 'vstfs:///Classification/Node/Iteration_Identifier/'
Angenommen, Sie haben die folgenden Iterationen für Ihr Team konfiguriert.
– ProjectIteration1
TeamIteration1
– TeamIteration1ChildIteration1
– TeamIteration1ChildIteration2
– TeamIteration1ChildIteration3
TeamIteration2
– TeamIteration2ChildIteration1
– TeamIteration2ChildIteration2
Zum Aktualisieren von ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1
Berechtigungen sieht das Sicherheitstoken wie im folgenden Beispiel aus:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier
ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1
MetaTask
Administer
Edit
Delete
Verwaltet Aufgabengruppenberechtigungen zum Bearbeiten und Löschen von Aufgabengruppen und zum Verwalten von Aufgabengruppenberechtigungen. Informationen zum Verwalten über das Webportal finden Sie unter Pipelineberechtigungen und Sicherheitsrollen, Aufgabengruppenberechtigungen.
Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Tokenformat für Berechtigungen auf metaTask-Ebene: PROJECT_ID/METATASK_ID
Wenn MetaTask über parentTaskId verfügt, sieht das Sicherheitstoken wie im folgenden Beispiel aus:
Tokenformat: PROJECT_ID/PARENT_TASK_ID/METATASK_ID
ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436
Plan
View
Edit
Delete
Manage
Verwaltet Berechtigungen für Übermittlungspläne zum Anzeigen, Bearbeiten, Löschen und Verwalten von Übermittlungsplänen. Sie können diese Berechtigungen über das Webportal für jeden Plan verwalten.
ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8
ReleaseManagement
ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension
Verwaltet Freigabedefinitionsberechtigungen auf Projekt- und Objektebene.
Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Wenn Sie Berechtigungen für eine bestimmte Releasedefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Releasedefinition wie folgt aus:
Tokenformat für bestimmte Releasedefinitionsberechtigungen: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Wenn sich die Releasedefinitions-ID in einem Ordner befindet, sehen die Sicherheitstoken wie folgt aus:
Tokenformat: PROJECT_ID/{folderName}/12
Für Phasen sehen Token wie folgt aus: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}
.
ID: c788c23e-1b46-4162-8f5e-d7585343b5de
WorkItemQueryFolders
Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo
Verwaltet Berechtigungen für Arbeitselementabfragen und Abfrageordner. Informationen zum Verwalten dieser Berechtigungen über das Webportal finden Sie unter "Berechtigungen für Abfragen oder Abfrageordner festlegen".
Beispiel für das Tokenformat: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }
.
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680
Namespaces und Berechtigungen auf Projektebene
In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Projektebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Verwaltungskontext des Webportals verwaltet. Projektadministratoren erhalten alle Berechtigungen auf Projektebene, während andere Gruppen auf Projektebene bestimmte Berechtigungszuweisungen besitzen.
Namespace
Berechtigungen
Beschreibung
Project
GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS
Verwaltet Berechtigungen auf Projektebene.
Die AGILETOOLS_BACKLOG
Berechtigung verwaltet den Zugriff auf Azure Boards Backlogs. Diese Einstellung ist eine interne Berechtigungseinstellung und sollte nicht geändert werden.
Stammtokenformat: $PROJECT
Token zum Sichern von Berechtigungen für jedes Projekt in Ihrer Organisation.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID
.
Angenommen, Sie verfügen über ein Projekt mit dem Namen Test Project 1
.
Sie können die Projekt-ID für dieses Projekt mithilfe des az devops project show
Befehls abrufen.
az devops project show --project "Test Project 1"
Der Befehl gibt eine Projekt-ID zurück, z. B xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
. .
Daher lautet das Token, für Test Project 1
das projektbezogene Berechtigungen gesichert werden sollen:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819
Enumerate
Create
Update
Delete
Verwaltet Berechtigungen zum Erstellen, Löschen, Aufzählen und Verwenden von Arbeitselementtags. Sie können die Berechtigung "Tagdefinition erstellen" über die Administrative Benutzeroberfläche für Berechtigungen verwalten.
Tokenformat für Berechtigungen auf Projektebene: /PROJECT_ID
Beispiel: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2
VersionControlItems
Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch
Verwaltet Berechtigungen für ein Team Foundation-Versionskontrolle-Repository (TFVC). Es gibt nur ein TFVC-Repository für ein Projekt. Sie können diese Berechtigungen über die Verwaltungsschnittstelle für Repositorys verwalten.
ID: a39371cf-0841-4c16-bbd3-276e341bc052
Namespaces und Berechtigungen auf Organisationsebene
In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Organisationsebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Organisationseinstellungskontext des Webportals verwaltet. Dem Organisationsbesitzer und den Mitgliedern der Gruppe "Projektsammlungsadministratoren " werden die meisten dieser Berechtigungen erteilt. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.
Namespaces und Berechtigungen auf Sammlungsebene
In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Organisationsebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Kontext der Sammlungseinstellungen im Webportal verwaltet. Mitgliedern der Gruppe "Projektsammlungsadministratoren " werden die meisten dieser Berechtigungen erteilt. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.
Namespace
Berechtigungen
Beschreibung
AuditLog
Read
Write
Manage_Streams
Delete_Streams
Verwaltet Überwachungsberechtigungen zum Lesen oder Schreiben in das Überwachungsprotokoll und zum Verwalten oder Löschen von Überwachungsdatenströmen.
Tokenformat: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6
BuildAdministration
ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies
Verwaltet den Zugriff zum Anzeigen, Verwalten, Verwenden oder Verwalten von Berechtigungen für Buildressourcen.
ID: 302acaca-b667-436d-a946-87133492041c
Sammlung
GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES
Verwaltet Berechtigungen auf Organisations- oder Sammlungsebene.
ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7
Prozess
Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions
Verwaltet Berechtigungen zum Erstellen, Löschen und Verwalten von Prozessen.
ID: 2dab47f9-bd70-49ed-9bd5-8eb051e59c02
Arbeitsbereiche
Read
Use
Checkin
Administer
Verwaltet Berechtigungen für die Verwaltung von änderungen, Arbeitsbereichen und die Möglichkeit, einen Arbeitsbereich auf Organisations- oder Sammlungsebene zu erstellen. Der Workspaces-Namespace gilt für das TFVC-Repository.
Stammtokenformat: /
Tokenformat für einen bestimmten Arbeitsbereich: /{workspace_name};{owner_id}
ID: 93bafc04-9075-403a-9367-b7164eac6b5c
VersionControlPrivileges
CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration
Verwaltet Berechtigungen für Team Foundation-Versionskontrolle-Repository (TFVC).
Die
AdminConfiguration
Berechtigung gewährt Benutzern die Möglichkeit, Berechtigungen auf Serverebene für Benutzer und Gruppen zu bearbeiten. DieAdminConnections
Berechtigung gewährt Benutzern die Möglichkeit, den Inhalt einer Datei oder eines Ordners eines lokalen Repositorys auf Serverebene zu lesen.
ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3
Namespaces und Berechtigungen auf Serverebene
In der folgenden Tabelle werden diese Sicherheitsnamespaces und Berechtigungen beschrieben, die für lokale Instanzen von Azure DevOps Server definiert sind. Sie können diese Berechtigungen, die Mitgliedern der Gruppe "Team Foundation-Administratoren" erteilt werden, über die Azure DevOps Server-Verwaltungskonsole verwalten. Beschreibungen dieser Berechtigungen finden Sie unter Berechtigungen und Gruppen, Berechtigungen auf Serverebene.
Namespace
Berechtigungen
Beschreibung
CollectionManagement
CreateCollection
DeleteCollection
Verwaltet Berechtigungen, die auf Serverebene festgelegt sind, um Projektsammlungen zu erstellen und zu löschen.
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819
Server
GenericRead
GenericWrite
Impersonate
TriggerEvent
Verwaltet berechtigungen, die auf Serverebene festgelegt sind. Umfasst Berechtigungen zum Bearbeiten von Informationen auf Instanzebene, Zum Senden von Anforderungen im Namen anderer Personen und zum Auslösen von Ereignissen.
ID: 1f4179b3-6bac-4d01-b421-71ea09171400
Warehouse
Administer
Gewährt die Berechtigung zum Verarbeiten oder Ändern von Einstellungen für das Data Warehouse oder SQL Server Analysis-Cube mithilfe des Warehouse Control-Webdiensts.
ID: b8fbab8b-69c8-4cd9-98b5-873656788efb
Rollenbasierte Namespaces und Berechtigungen
In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die zum Verwalten der rollenbasierten Sicherheit verwendet werden. Sie können Rollenzuweisungen über das Webportal für Pipelineressourcen verwalten, wie in der Beschreibung Pipelineberechtigungen und Sicherheitsrollen beschrieben.
Namespace
Berechtigungen
Beschreibung
DistributedTask
View
Manage
Listen
AdministerPermissions
Use
Create
Verwaltet Berechtigungen für den Zugriff auf Agentpoolressourcen. Standardmäßig werden die folgenden Rollen und Berechtigungen auf Projektebene zugewiesen und für jeden erstellten Agentpool geerbt:
- Leserrolle (
View
nur Berechtigungen) für alle Mitglieder der Gruppe Gültige Benutzer des Projekts - Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen Buildadministratoren, Projektadministratoren und Releaseadministratoren.
- Benutzerrolle (
View
,Use
, undCreate
Berechtigungen) für alle Mitglieder der Mitwirkendengruppe - Erstellerrolle (
View
,Use
, undCreate
Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
ID:101eae8c-1709-47f9-b228-0e476c35b3ba
Environment
View
Manage
ManageHistory
Administer
Use
Create
Verwaltet Berechtigungen zum Erstellen und Verwalten von Umgebungen. Standardmäßig werden die folgenden Berechtigungen zugewiesen:
- Leserrolle (
View
nur Berechtigungen) für alle Mitglieder der Gruppe Gültige Benutzer des Projekts - Erstellerrolle (
View
,Use
, undCreate
Berechtigungen) für alle Mitglieder der Mitwirkendengruppe - Erstellerrolle (
View
,Use
undCreate
Berechtigungen) für alle Mitglieder der Gruppe "Projektadministratoren" - Administratorrolle (alle Berechtigungen) für den Benutzer, der eine bestimmte Umgebung erstellt hat.
ID:83d4c2e6-e57d-4d6e-892b-b87222b7ad20
ExtensionManagement
ViewExtensions
ManageExtensions
ManageSecurity
Die Rolle "Manager " ist die einzige Rolle, die zum Verwalten der Sicherheit von Marketplace-Erweiterungen verwendet wird. Mitglieder der Manager-Rolle können Erweiterungen installieren und auf Anforderungen für die Installation von Erweiterungen reagieren. Die anderen Berechtigungen werden Mitgliedern von Standardsicherheitsgruppen und Dienstprinzipalen automatisch zugewiesen. Informationen zum Hinzufügen von Benutzern zur Rolle "Manager" finden Sie unter Verwalten von Erweiterungsberechtigungen.
ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029
Bibliothek
View
Administer
Create
ViewSecrets
Use
Owner
Verwaltet Berechtigungen zum Erstellen und Verwalten von Bibliothekselementen, einschließlich sicherer Dateien und Variablengruppen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von der Bibliothek geerbt. Standardmäßig werden die folgenden Berechtigungen zugewiesen:
- Leserrolle (
View
nur Berechtigungen) für alle Mitglieder der Gruppe "Gültige Project-Benutzer" und des Kontos "Project Collection Build Service" - Erstellerrolle (
View
,Use
, undCreate
Berechtigungen) für alle Mitglieder der Gruppe Mitwirkende - Erstellerrolle (
View
,Use
,Create
undOwner
) für das Mitglied, das das Bibliothekselement erstellt hat - Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen Buildadministratoren, Projektadministratoren und Releaseadministratoren.
Weitere Informationen finden Sie unter Bibliotheksobjektsicherheitsrollen.
ID:b7e84409-6553-448a-bbb2-af228e07cbeb
ServiceEndpoints
Use
Administer
Create
ViewAuthorization
ViewEndpoint
Verwaltet Berechtigungen zum Erstellen und Verwalten von Dienstverbindungen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von den Rollen auf Projektebene geerbt. Standardmäßig werden die folgenden Rollen zugewiesen:
- Leserrolle (
View
nur Berechtigungen) für alle Mitglieder der Gruppe "Gültige Project-Benutzer" und des Kontos "Project Collection Build Service" - Erstellerrolle (
View
,Use
undCreate
Berechtigungen) für Mitglieder der Dienstensicherheitsgruppe "Endpunktersteller". - Administratorrolle (alle Berechtigungen) für Mitglieder der Dienstensicherheitsgruppe "Endpunktadministratoren".
Rollen werden über Dienstverbindungssicherheitsrollen zugewiesen.
ID:49b48001-ca20-4adc-8111-5b60c903a50c
Interne Namespaces und Berechtigungen
In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die nicht über das Webportal angezeigt werden. Sie werden hauptsächlich verwendet, um Mitgliedern von Standardsicherheitsgruppen oder internen Ressourcen Zugriff zu gewähren. Es wird dringend empfohlen, diese Berechtigungseinstellungen in keiner Weise zu ändern.
Namespace
Berechtigungen
Beschreibung
AccountAdminSecurity
Read
Create
Modify
Verwaltet Berechtigungen zum Lesen oder Ändern des Organisationskontobesitzers. Diese Berechtigungen werden dem Organisationsbesitzer und mitgliedern der Gruppe "Project Collection Administrator" zugewiesen.
ID: 11238e09-49f2-40c7-94d0-8f0307204ce4
Analyse
Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii
Verwaltet Berechtigungen zum Lesen, Verwalten von Berechtigungen und Ausführen von Abfragen für den Analytics-Dienst.
Tokenformat für Berechtigungen auf Projektebene: $/PROJECT_ID
Beispiel: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
ID: 58450c49-b02d-465a-ab12-59ae512d6531
BlobStoreBlobPrivileges
Read
Delete
Create
SecurityAdmin
Legt Berechtigungen zum Lesen, Löschen, Erstellen und Verwalten der Sicherheit des Datenspeichers fest. Diese Berechtigungen werden mehreren Azure DevOps-Dienstprinzipalen zugewiesen.
ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E
Boards
View
Create
ChangeMetadata
MoveCard
Delete
Manage
Verwaltet Berechtigungen und Zugriff auf Boards.
ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e
BoardsExternalIntegration
Read
Write
Verwaltet Lese-/Schreibberechtigungen für externe Integrationen mit Azure Boards.
ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877
Chat
ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions
Verwaltet Berechtigungen für in Azure DevOps integrierte Chatdienste, z. B. Slack und Microsoft Teams. Weitere Informationen finden Sie unter Azure Boards mit Slack, Azure Boards mit Microsoft Teams, Azure Pipelines mit Slack, Azure Pipelines mit Microsoft Teams, Azure Repos mit Slack und Azure Repos mit Microsoft Teams.
ID: bc295513-b1a2-4663-8d1a-7017fd760d18
Diskussionsthreads
Administer
GenericRead
GenericContribute
Moderate
Verwaltet Berechtigungen zum Anzeigen, Verwalten, Moderieren und Mitwirken an der Einrichtung von Codeüberprüfungsdiskussionen für Azure Pipelines.
ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12
EventPublish
Read
Write
Gewährt Lese- und Schreibzugriff für den Benachrichtigungshandler.
ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173
EventSubscriber
GENERIC_READ
GENERIC_WRITE
Gewährt Lese- und Schreibzugriff für Benachrichtigungsabonnenten.
ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f
EventSubscription
GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION
Verwaltet Memberberechtigungen zum Anzeigen, Bearbeiten und Kündigen von Benachrichtigungen oder zum Erstellen eines SOAP-Abonnements.
ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b
Identität
Read
Write
Delete
ManageMembership
CreateScope
RestoreScope
Verwaltet Berechtigungen zum Lesen, Schreiben und Löschen von Benutzerkontoidentitätsinformationen; Verwalten der Gruppenmitgliedschaft und Erstellen und Wiederherstellen von Identitätsbereichen Die ManageMembership
Berechtigung wird automatisch Mitgliedern der Gruppen "Projektadministratoren" und "Projektsammlungsadministratoren" erteilt.
Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
So ändern Sie Berechtigungen auf Gruppenebene für die Gruppenherkunfts-ID [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b
ID: 5a27515b-ccd7-42c9-84f1-54c998f03866
Lizenzierung
Read
Create
Modify
Delete
Assign
Revoke
Verwaltet die Möglichkeit zum Anzeigen, Hinzufügen, Ändern und Entfernen von Lizenzebenen. Diese Berechtigungen werden mitgliedern der Gruppen "Projektsammlungsadministratoren" automatisch erteilt.
ID: 453e2db3-2e81-474f-874d-3bf51027f2ee
PermissionLevel
Read
Create
Update
Delete
Verwaltet die Möglichkeit, Berechtigungsberichte zu erstellen und herunterzuladen.
ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37
OrganizationLevelData
Project-Scoped Users
Wendet eine Berechtigung auf Systemebene für den Namespace an, die die Project-Scoped-Benutzergruppe unterstützt. Mitglieder der Gruppe erhalten eingeschränkte Sichtbarkeit für Daten auf Organisationsebene. Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9
PipelineCachePrivileges
Read
Write
Verwaltet Berechtigungen zum Lesen und Schreiben von Pipelinecacheeinträgen. Diese Berechtigungen werden nur internen Azure DevOps-Dienstprinzipien zugewiesen.
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5
ReleaseManagement
ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems
Verwaltet den Zugriff auf Release Management Benutzeroberflächenelemente.
ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd
SearchSecurity
ReadMembers
ReadAnonymous
Dieser Sicherheitsnamespace wird verwendet, um zu ermitteln, ob ein Benutzer gültig oder anonym/öffentlich ist.
ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160
ServiceHooks
ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents
Verwaltet Berechtigungen zum Anzeigen, Bearbeiten und Löschen von Service Hook-Abonnements und zum Veröffentlichen von Service-Hook-Ereignissen. Diese Berechtigungen werden automatisch Mitgliedern der Gruppe "Projektsammlungsadministratoren" zugewiesen. DeleteSubscriptions
wird nicht mehr verwendet; EditSubscriptions
kann Diensthooks löschen.
ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046
UtilizationPermissions
QueryUsageSummary
Verwaltet Berechtigungen für die Abfragenutzung. Standardmäßig wird allen Mitgliedern der Gruppen "Projektsammlungsadministratoren" und Benutzern, denen Der Zugriff auf Beteiligte gewährt wurde, die Berechtigung zum Abfragen der Nutzungszusammenfassung für alle Personen erteilt. Weitere Informationen finden Sie unter "Zinslimits".
Tokenformat: /
ID: 83abde3a-4593-424e-b45f-9898af99034d
WorkItemTrackingAdministration
ManagePermissions
DestroyAttachments
Verwaltet Berechtigungen für die Verwaltung von Arbeitsnachverfolgung und Zerstörung von Anlagen.
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f
WorkItemTrackingProvision
Administer
ManageLinkTypes
Verwaltet Berechtigungen zum Ändern von Arbeitsprozessen und zum Verwalten von Linktypen. Der WorkItemTrackingProvision-Namespace ist ein älterer Sicherheitsnamespace, der hauptsächlich für frühere lokale Versionen verwendet wird. Der Process-Namespace ersetzt diesen Namespace zum Verwalten von Prozessen in Azure DevOps Server 2019 und höheren Versionen.
Stammtokenformat: /$
Tokenformat für ein bestimmtes Projekt: $/PROJECT_ID
ID: 5a6cd233-6615-414d-9393-48dbb252bd23
Veraltete und schreibgeschützte Namespaces
Die folgenden Namespaces sind entweder veraltet oder schreibgeschützt. Sie sollten sie nicht verwenden.
CrossProjectWidgetView
DataProvider
Favorites
Graph
Identity2
IdentityPicker
Job
Location
ProjectAnalysisLanguageMetrics
Proxy
Publish
Registry
Security
ServicingOrchestration
SettingEntries
Social
StrongBox
TeamLabSecurity
TestManagement
VersionControlItems2
ViewActivityPaneSecurity
WebPlatform
WorkItemsHub
WorkItemTracking
WorkItemTrackingConfiguration