Freigeben über


Sicherheitsnamespace und Berechtigungsreferenz für Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019

In diesem Artikel werden die gültigen Sicherheitsnamespaces beschrieben, die zugehörigen Berechtigungen aufgelistet und Links zu weiteren Informationen bereitgestellt. Sicherheitsnamespaces speichern Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) für Token, die bestimmen, auf welcher Ebene verschiedene Entitäten bestimmte Aktionen für bestimmte Ressourcen ausführen müssen. Zu diesen Entitäten gehören:

  • Azure DevOps-Benutzer
  • Azure DevOps Organisationsbesitzer s
  • Mitglieder von Azure DevOps-Sicherheitsgruppen
  • Azure DevOps-Dienstkonten
  • Azure DevOps-Dienstprinzipale

Jede Ressourcenfamilie, z. B. Arbeitselemente oder Git-Repositorys, wird durch einen eindeutigen Namespace geschützt. Jeder Sicherheitsnamespace enthält null oder mehr ACLs. Eine ACL enthält ein Token, eine Vererbungskennzeichnung und eine Gruppe von Null- oder mehr Zugriffssteuerungseinträgen (Access Control Entries, ACEs). Jede ACE besteht aus einer Identitätsbeschreibung, einer zulässigen Berechtigungsbitmaske und einer verweigerten Berechtigungsbitmaske. Token sind beliebige Zeichenfolgen, die Ressourcen in Azure DevOps darstellen.

Hinweis

Namespaces und Token sind für alle Versionen von Azure DevOps gültig. Die hier aufgeführten sind für Azure DevOps 2019 und höhere Versionen gültig. Namespaces können sich im Laufe der Zeit ändern. Um die neueste Liste der Namespaces abzurufen, verwenden Sie eines der Befehlszeilentools oder die REST-API. Einige Namespaces sind veraltet, wie im Abschnitt Veraltete und schreibgeschützte Namespaces weiter unten in diesem Artikel aufgeführt. Weitere Informationen finden Sie unter Sicherheitsnamespaces-Abfrage

Tools für die Berechtigungsverwaltung

Die empfohlene Methode zum Verwalten von Berechtigungen erfolgt über das Webportal. Um jedoch Berechtigungen festzulegen, die über das Portal nicht verfügbar sind, oder um präzise Berechtigungen zu verwalten, verwenden Sie Befehlszeilentools oder die REST-API:

  • Verwenden Sie für Azure DevOps Services die az devops security permission Befehle.
  • Verwenden Sie für Azure DevOps Server die TFSSecurity-Befehle.
  • Verwenden Sie für Azure DevOps Git-Repositorys das Befehlszeilentool tf git permission.
  • Verwenden Sie für Team Foundation-Versionskontrolle-Repositorys (TFVC) das Befehlszeilentool TFVC-Berechtigung.

Für alle Azure DevOps-Instanzen können Sie auch die Sicherheits-REST-API verwenden.

Sicherheitsnamespaces und deren IDs

Viele Sicherheitsnamespaces entsprechen Berechtigungen, die Sie über eine Webportalseite für Sicherheit oder Berechtigungen festlegen. Andere Namespaces oder bestimmte Berechtigungen sind nicht über das Webportal sichtbar und gewähren standardmäßig Zugriff auf Mitglieder von Sicherheitsgruppen oder Azure DevOps-Dienstprinzipale. Diese Namespaces werden in die folgenden Kategorien gruppiert, je nachdem, wie sie über das Webportal verwaltet werden:

  • Objektebene
  • Projektebene
  • Organisation oder Sammlungsebene
  • Serverebene (nur lokal)
  • Rollenbasiert
  • Nur intern

Hierarchie und Token

Ein Sicherheitsnamespace kann entweder hierarchisch oder flach sein. In einem hierarchischen Namespace sind Token in einer Hierarchie vorhanden, in der effektive Berechtigungen von übergeordneten Token zu untergeordneten Token geerbt werden. Im Gegensatz dazu haben Token in einem flachen Namespace kein Konzept einer Beziehung zwischen zwei Token, die übergeordnet und untergeordnet sind.

Token in einem hierarchischen Namespace haben entweder eine feste Länge für jeden Pfadteil oder eine variable Länge. Wenn die Token Pfadteile variabler Länge aufweisen, wird ein Trennzeichen verwendet, um zu unterscheiden, wo ein Pfadteil endet und ein anderer beginnt.

Bei Sicherheitstoken wird die Groß-/Kleinschreibung nicht beachtet. Ein Beispiel für Token für verschiedene Namespaces wird in den folgenden Abschnitten bereitgestellt.

Namespaces und Berechtigungen auf Objektebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Objektebene verwalten. Die meisten dieser Berechtigungen werden über die Webportalseite für jedes Objekt verwaltet. Berechtigungen werden auf Projektebene festgelegt und auf Objektebene geerbt, es sei denn, dies wurde explizit geändert.


Namespace

Berechtigungen

Beschreibung


AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Verwaltet Berechtigungen für Analytics-Ansichten auf Projekt- und Objektebene zum Lesen, Bearbeiten, Löschen und Generieren von Berichten. Sie können diese Berechtigungen für jede Analyseansicht über die Benutzeroberfläche verwalten.

Tokenformat für Berechtigungen auf Projektebene: $/Shared/PROJECT_ID
Beispiel: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba


Erstellen

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Verwaltet Buildberechtigungen auf Projekt- und Objektebene.

Tokenformat für Buildberechtigungen auf Projektebene: PROJECT_ID
Wenn Sie Berechtigungen für eine bestimmte Builddefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Builddefinition wie im folgenden Beispiel aus:
Tokenformat für bestimmte Buildberechtigungen auf Projektebene: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Verwaltet Berechtigungen auf Objektebene für den Bereichspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten sowie zum Festlegen von Berechtigungen zum Anzeigen oder Bearbeiten von Arbeitselementen in einem Knoten. Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Erstellen untergeordneter Knoten, Ändern von Arbeitsaufgaben unter einem Bereichspfad.
Beispiel für das Tokenformat: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


DashboardsPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Verwaltet Berechtigungen auf Dashboardobjektebene zum Bearbeiten und Löschen von Dashboards und zum Verwalten von Berechtigungen für ein Projektdashboard. Sie können diese Berechtigungen über die Dashboards-Benutzeroberfläche verwalten.

ID: 8adf73b7-389a-4276-b638-fe1653f7efc7


Git-Repositorys

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Verwaltet Git-Repositoryberechtigungen auf Projekt- und Objektebene. Sie können diese Berechtigungen über die Verwaltungsschnittstelle "Projekteinstellungen", "Repositorys" verwalten.

Die Administer Berechtigung wurde 2017 in mehrere differenziertere Berechtigungen unterteilt und sollte nicht verwendet werden.
Tokenformat für Berechtigungen auf Projektebene: repoV2/PROJECT_ID
Sie müssen Anfügen RepositoryID , um Berechtigungen auf Repositoryebene zu aktualisieren.

Tokenformat für repositoryspezifische Berechtigungen: repoV2/PROJECT_ID/REPO_ID

Das Tokenformat für Berechtigungen auf Verzweigungsebene wird in Git-Repositorytoken für den Sicherheitsdienst beschrieben.

ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


Iteration

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Verwaltet Berechtigungen auf Objektebene auf Iterationspfad zum Erstellen, Bearbeiten und Löschen untergeordneter Knoten und anzeigen von Berechtigungen für untergeordnete Knoten. Informationen zum Verwalten über das Webportal finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Erstellen untergeordneter Knoten.
Tokenformat: 'vstfs:///Classification/Node/Iteration_Identifier/'
Angenommen, Sie haben die folgenden Iterationen für Ihr Team konfiguriert.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

Zum Aktualisieren von ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1Berechtigungen sieht das Sicherheitstoken wie im folgenden Beispiel aus:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

Verwaltet Aufgabengruppenberechtigungen zum Bearbeiten und Löschen von Aufgabengruppen und zum Verwalten von Aufgabengruppenberechtigungen. Informationen zum Verwalten über das Webportal finden Sie unter Pipelineberechtigungen und Sicherheitsrollen, Aufgabengruppenberechtigungen.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Tokenformat für Berechtigungen auf metaTask-Ebene: PROJECT_ID/METATASK_ID

Wenn MetaTask über parentTaskId verfügt, sieht das Sicherheitstoken wie im folgenden Beispiel aus:
Tokenformat: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436


Plan

View
Edit
Delete
Manage

Verwaltet Berechtigungen für Übermittlungspläne zum Anzeigen, Bearbeiten, Löschen und Verwalten von Übermittlungsplänen. Sie können diese Berechtigungen über das Webportal für jeden Plan verwalten.

ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Verwaltet Freigabedefinitionsberechtigungen auf Projekt- und Objektebene.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Wenn Sie Berechtigungen für eine bestimmte Releasedefinitions-ID aktualisieren müssen, z. B. 12, sieht das Sicherheitstoken für diese Releasedefinition wie folgt aus:

Tokenformat für bestimmte Releasedefinitionsberechtigungen: PROJECT_ID/12
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Wenn sich die Releasedefinitions-ID in einem Ordner befindet, sehen die Sicherheitstoken wie folgt aus:
Tokenformat: PROJECT_ID/{folderName}/12
Für Phasen sehen Token wie folgt aus: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID: c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Verwaltet Berechtigungen für Arbeitselementabfragen und Abfrageordner. Informationen zum Verwalten dieser Berechtigungen über das Webportal finden Sie unter "Berechtigungen für Abfragen oder Abfrageordner festlegen". Beispiel für das Tokenformat: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680


Namespaces und Berechtigungen auf Projektebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Projektebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Verwaltungskontext des Webportals verwaltet. Projektadministratoren erhalten alle Berechtigungen auf Projektebene, während andere Gruppen auf Projektebene bestimmte Berechtigungszuweisungen besitzen.


Namespace

Berechtigungen

Beschreibung


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Verwaltet Berechtigungen auf Projektebene.
Die AGILETOOLS_BACKLOG Berechtigung verwaltet den Zugriff auf Azure Boards Backlogs. Diese Einstellung ist eine interne Berechtigungseinstellung und sollte nicht geändert werden.

Stammtokenformat: $PROJECT
Token zum Sichern von Berechtigungen für jedes Projekt in Ihrer Organisation.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Angenommen, Sie verfügen über ein Projekt mit dem Namen Test Project 1.
Sie können die Projekt-ID für dieses Projekt mithilfe des az devops project show Befehls abrufen.
az devops project show --project "Test Project 1"
Der Befehl gibt eine Projekt-ID zurück, z. B xxxxxxxx-a1de-4bc8-b751-188eea17c3ba. .
Daher lautet das Token, für Test Project 1 das projektbezogene Berechtigungen gesichert werden sollen:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Kennzeichnung (Tagging)

Enumerate
Create
Update
Delete

Verwaltet Berechtigungen zum Erstellen, Löschen, Aufzählen und Verwenden von Arbeitselementtags. Sie können die Berechtigung "Tagdefinition erstellen" über die Administrative Benutzeroberfläche für Berechtigungen verwalten.

Tokenformat für Berechtigungen auf Projektebene: /PROJECT_ID
Beispiel: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Verwaltet Berechtigungen für ein Team Foundation-Versionskontrolle-Repository (TFVC). Es gibt nur ein TFVC-Repository für ein Projekt. Sie können diese Berechtigungen über die Verwaltungsschnittstelle für Repositorys verwalten.

ID: a39371cf-0841-4c16-bbd3-276e341bc052


Namespaces und Berechtigungen auf Organisationsebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Organisationsebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Organisationseinstellungskontext des Webportals verwaltet. Dem Organisationsbesitzer und den Mitgliedern der Gruppe "Projektsammlungsadministratoren " werden die meisten dieser Berechtigungen erteilt. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.

Namespaces und Berechtigungen auf Sammlungsebene

In der folgenden Tabelle werden die Namespaces beschrieben, die Berechtigungen auf Organisationsebene verwalten. Die meisten der aufgeführten Berechtigungen werden über den Kontext der Sammlungseinstellungen im Webportal verwaltet. Mitgliedern der Gruppe "Projektsammlungsadministratoren " werden die meisten dieser Berechtigungen erteilt. Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.


Namespace

Berechtigungen

Beschreibung


AuditLog

Read
Write
Manage_Streams
Delete_Streams

Verwaltet Überwachungsberechtigungen zum Lesen oder Schreiben in das Überwachungsprotokoll und zum Verwalten oder Löschen von Überwachungsdatenströmen.

Tokenformat: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


Sammlung

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Verwaltet Berechtigungen auf Organisations- oder Sammlungsebene.

ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7


Prozess

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Arbeitsbereiche

Read
Use
Checkin
Administer

Verwaltet Berechtigungen für die Verwaltung von änderungen, Arbeitsbereichen und die Möglichkeit, einen Arbeitsbereich auf Organisations- oder Sammlungsebene zu erstellen. Der Workspaces-Namespace gilt für das TFVC-Repository.

Stammtokenformat: /
Tokenformat für einen bestimmten Arbeitsbereich: /{workspace_name};{owner_id}

ID: 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Verwaltet Berechtigungen für Team Foundation-Versionskontrolle-Repository (TFVC).

Die AdminConfiguration Berechtigung gewährt Benutzern die Möglichkeit, Berechtigungen auf Serverebene für Benutzer und Gruppen zu bearbeiten. Die AdminConnections Berechtigung gewährt Benutzern die Möglichkeit, den Inhalt einer Datei oder eines Ordners eines lokalen Repositorys auf Serverebene zu lesen.

ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3


Namespaces und Berechtigungen auf Serverebene

In der folgenden Tabelle werden diese Sicherheitsnamespaces und Berechtigungen beschrieben, die für lokale Instanzen von Azure DevOps Server definiert sind. Sie können diese Berechtigungen, die Mitgliedern der Gruppe "Team Foundation-Administratoren" erteilt werden, über die Azure DevOps Server-Verwaltungskonsole verwalten. Beschreibungen dieser Berechtigungen finden Sie unter Berechtigungen und Gruppen, Berechtigungen auf Serverebene.


Namespace

Berechtigungen

Beschreibung


CollectionManagement

CreateCollection
DeleteCollection

Verwaltet Berechtigungen, die auf Serverebene festgelegt sind, um Projektsammlungen zu erstellen und zu löschen.

ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Server

GenericRead
GenericWrite
Impersonate
TriggerEvent

Verwaltet berechtigungen, die auf Serverebene festgelegt sind. Umfasst Berechtigungen zum Bearbeiten von Informationen auf Instanzebene, Zum Senden von Anforderungen im Namen anderer Personen und zum Auslösen von Ereignissen.

ID: 1f4179b3-6bac-4d01-b421-71ea09171400


Warehouse

Administer

Gewährt die Berechtigung zum Verarbeiten oder Ändern von Einstellungen für das Data Warehouse oder SQL Server Analysis-Cube mithilfe des Warehouse Control-Webdiensts.

ID: b8fbab8b-69c8-4cd9-98b5-873656788efb


Rollenbasierte Namespaces und Berechtigungen

In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die zum Verwalten der rollenbasierten Sicherheit verwendet werden. Sie können Rollenzuweisungen über das Webportal für Pipelineressourcen verwalten, wie in der Beschreibung Pipelineberechtigungen und Sicherheitsrollen beschrieben.


Namespace

Berechtigungen

Beschreibung


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Verwaltet Berechtigungen für den Zugriff auf Agentpoolressourcen. Standardmäßig werden die folgenden Rollen und Berechtigungen auf Projektebene zugewiesen und für jeden erstellten Agentpool geerbt:

  • Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe Gültige Benutzer des Projekts
  • Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen Buildadministratoren, Projektadministratoren und Releaseadministratoren.
  • Benutzerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
  • Erstellerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe

    ID: 101eae8c-1709-47f9-b228-0e476c35b3ba

Environment

View
Manage
ManageHistory
Administer
Use
Create

Verwaltet Berechtigungen zum Erstellen und Verwalten von Umgebungen. Standardmäßig werden die folgenden Berechtigungen zugewiesen:

  • Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe Gültige Benutzer des Projekts
  • Erstellerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Mitwirkendengruppe
  • Erstellerrolle (View, Useund Create Berechtigungen) für alle Mitglieder der Gruppe "Projektadministratoren"
  • Administratorrolle (alle Berechtigungen) für den Benutzer, der eine bestimmte Umgebung erstellt hat.

    ID: 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Die Rolle "Manager " ist die einzige Rolle, die zum Verwalten der Sicherheit von Marketplace-Erweiterungen verwendet wird. Mitglieder der Manager-Rolle können Erweiterungen installieren und auf Anforderungen für die Installation von Erweiterungen reagieren. Die anderen Berechtigungen werden Mitgliedern von Standardsicherheitsgruppen und Dienstprinzipalen automatisch zugewiesen. Informationen zum Hinzufügen von Benutzern zur Rolle "Manager" finden Sie unter Verwalten von Erweiterungsberechtigungen.

ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


Bibliothek

View
Administer
Create
ViewSecrets
Use
Owner

Verwaltet Berechtigungen zum Erstellen und Verwalten von Bibliothekselementen, einschließlich sicherer Dateien und Variablengruppen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von der Bibliothek geerbt. Standardmäßig werden die folgenden Berechtigungen zugewiesen:

  • Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe "Gültige Project-Benutzer" und des Kontos "Project Collection Build Service"
  • Erstellerrolle (View, Use, und Create Berechtigungen) für alle Mitglieder der Gruppe Mitwirkende
  • Erstellerrolle (View, Use, Createund Owner ) für das Mitglied, das das Bibliothekselement erstellt hat
  • Administratorrolle (alle Berechtigungen) für Mitglieder der Gruppen Buildadministratoren, Projektadministratoren und Releaseadministratoren.
    Weitere Informationen finden Sie unter Bibliotheksobjektsicherheitsrollen.

    ID: b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Verwaltet Berechtigungen zum Erstellen und Verwalten von Dienstverbindungen. Rollenmitgliedschaften für einzelne Elemente werden automatisch von den Rollen auf Projektebene geerbt. Standardmäßig werden die folgenden Rollen zugewiesen:

  • Leserrolle (View nur Berechtigungen) für alle Mitglieder der Gruppe "Gültige Project-Benutzer" und des Kontos "Project Collection Build Service"
  • Erstellerrolle (View, Useund Create Berechtigungen) für Mitglieder der Dienstensicherheitsgruppe "Endpunktersteller".
  • Administratorrolle (alle Berechtigungen) für Mitglieder der Dienstensicherheitsgruppe "Endpunktadministratoren".
    Rollen werden über Dienstverbindungssicherheitsrollen zugewiesen.

    ID: 49b48001-ca20-4adc-8111-5b60c903a50c

Interne Namespaces und Berechtigungen

In der folgenden Tabelle werden die Sicherheitsnamespaces und Berechtigungen beschrieben, die nicht über das Webportal angezeigt werden. Sie werden hauptsächlich verwendet, um Mitgliedern von Standardsicherheitsgruppen oder internen Ressourcen Zugriff zu gewähren. Es wird dringend empfohlen, diese Berechtigungseinstellungen in keiner Weise zu ändern.


Namespace

Berechtigungen

Beschreibung


AccountAdminSecurity

Read
Create
Modify

Verwaltet Berechtigungen zum Lesen oder Ändern des Organisationskontobesitzers. Diese Berechtigungen werden dem Organisationsbesitzer und mitgliedern der Gruppe "Project Collection Administrator" zugewiesen.

ID: 11238e09-49f2-40c7-94d0-8f0307204ce4


Analyse

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Verwaltet Berechtigungen zum Lesen, Verwalten von Berechtigungen und Ausführen von Abfragen für den Analytics-Dienst.

Tokenformat für Berechtigungen auf Projektebene: $/PROJECT_ID
Beispiel: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Legt Berechtigungen zum Lesen, Löschen, Erstellen und Verwalten der Sicherheit des Datenspeichers fest. Diese Berechtigungen werden mehreren Azure DevOps-Dienstprinzipalen zugewiesen.

ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Verwaltet Berechtigungen und Zugriff auf Boards.

ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Verwaltet Lese-/Schreibberechtigungen für externe Integrationen mit Azure Boards.

ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


Chat

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Verwaltet Berechtigungen für in Azure DevOps integrierte Chatdienste, z. B. Slack und Microsoft Teams. Weitere Informationen finden Sie unter Azure Boards mit Slack, Azure Boards mit Microsoft Teams, Azure Pipelines mit Slack, Azure Pipelines mit Microsoft Teams, Azure Repos mit Slack und Azure Repos mit Microsoft Teams.

ID: bc295513-b1a2-4663-8d1a-7017fd760d18


Diskussionsthreads

Administer
GenericRead
GenericContribute
Moderate

Verwaltet Berechtigungen zum Anzeigen, Verwalten, Moderieren und Mitwirken an der Einrichtung von Codeüberprüfungsdiskussionen für Azure Pipelines.

ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

Gewährt Lese- und Schreibzugriff für den Benachrichtigungshandler.

ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

Gewährt Lese- und Schreibzugriff für Benachrichtigungsabonnenten.

ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Verwaltet Memberberechtigungen zum Anzeigen, Bearbeiten und Kündigen von Benachrichtigungen oder zum Erstellen eines SOAP-Abonnements.

ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b

Identität

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Verwaltet Berechtigungen zum Lesen, Schreiben und Löschen von Benutzerkontoidentitätsinformationen; Verwalten der Gruppenmitgliedschaft und Erstellen und Wiederherstellen von Identitätsbereichen Die ManageMembership Berechtigung wird automatisch Mitgliedern der Gruppen "Projektadministratoren" und "Projektsammlungsadministratoren" erteilt.

Tokenformat für Berechtigungen auf Projektebene: PROJECT_ID
Beispiel: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
So ändern Sie Berechtigungen auf Gruppenebene für die Gruppenherkunfts-ID [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID: 5a27515b-ccd7-42c9-84f1-54c998f03866


Lizenzierung

Read
Create
Modify
Delete
Assign
Revoke

Verwaltet die Möglichkeit zum Anzeigen, Hinzufügen, Ändern und Entfernen von Lizenzebenen. Diese Berechtigungen werden mitgliedern der Gruppen "Projektsammlungsadministratoren" automatisch erteilt.

ID: 453e2db3-2e81-474f-874d-3bf51027f2ee


PermissionLevel

Read
Create
Update
Delete

Verwaltet die Möglichkeit, Berechtigungsberichte zu erstellen und herunterzuladen.

ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

Wendet eine Berechtigung auf Systemebene für den Namespace an, die die Project-Scoped-Benutzergruppe unterstützt. Mitglieder der Gruppe erhalten eingeschränkte Sichtbarkeit für Daten auf Organisationsebene. Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

Verwaltet Berechtigungen zum Lesen und Schreiben von Pipelinecacheeinträgen. Diese Berechtigungen werden nur internen Azure DevOps-Dienstprinzipien zugewiesen.
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Verwaltet den Zugriff auf Release Management Benutzeroberflächenelemente.

ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


SearchSecurity

ReadMembers ReadAnonymous

Dieser Sicherheitsnamespace wird verwendet, um zu ermitteln, ob ein Benutzer gültig oder anonym/öffentlich ist.

ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160


ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Verwaltet Berechtigungen zum Anzeigen, Bearbeiten und Löschen von Service Hook-Abonnements und zum Veröffentlichen von Service-Hook-Ereignissen. Diese Berechtigungen werden automatisch Mitgliedern der Gruppe "Projektsammlungsadministratoren" zugewiesen. DeleteSubscriptions wird nicht mehr verwendet; EditSubscriptions kann Diensthooks löschen.

ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


UtilizationPermissions

QueryUsageSummary

Verwaltet Berechtigungen für die Abfragenutzung. Standardmäßig wird allen Mitgliedern der Gruppen "Projektsammlungsadministratoren" und Benutzern, denen Der Zugriff auf Beteiligte gewährt wurde, die Berechtigung zum Abfragen der Nutzungszusammenfassung für alle Personen erteilt. Weitere Informationen finden Sie unter "Zinslimits".

Tokenformat: /
ID: 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Verwaltet Berechtigungen für die Verwaltung von Arbeitsnachverfolgung und Zerstörung von Anlagen.
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

Verwaltet Berechtigungen zum Ändern von Arbeitsprozessen und zum Verwalten von Linktypen. Der WorkItemTrackingProvision-Namespace ist ein älterer Sicherheitsnamespace, der hauptsächlich für frühere lokale Versionen verwendet wird. Der Process-Namespace ersetzt diesen Namespace zum Verwalten von Prozessen in Azure DevOps Server 2019 und höheren Versionen.

Stammtokenformat: /$
Tokenformat für ein bestimmtes Projekt: $/PROJECT_ID

ID: 5a6cd233-6615-414d-9393-48dbb252bd23


Veraltete und schreibgeschützte Namespaces

Die folgenden Namespaces sind entweder veraltet oder schreibgeschützt. Sie sollten sie nicht verwenden.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration