Behandeln von Zugriffs- und Berechtigungsproblemen
Azure DevOps Server | Azure DevOps Server 2022 - Azure DevOps Server 2019
Aufgrund der umfangreichen Sicherheits- und Berechtigungsstruktur von Azure DevOps müssen Sie möglicherweise feststellen, aus welchem Grund Benutzer nicht wie erwartet auf Projekte, Dienste oder Features zugreifen können. Nachstehend finden Sie eine Schritt-für-Schritt-Anleitung zum Analysieren und Beheben möglicher Probleme von Benutzern beim Herstellen einer Verbindung zu einem Projekt oder beim Zugriff auf einen Azure DevOps-Dienst oder ein Azure DevOps-Feature.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Berechtigungen | Berechtigungen oder Gruppen auf Organisations- oder Sammlungsebene verwalten: Mitglied der Sicherheitsgruppe Projektsammlungsadministratoren. Wenn Sie die Organisation oder Sammlung erstellt haben, sind Sie automatisch Mitglied dieser Gruppe. |
| Empfehlung | Bevor Sie dieses Handbuch verwenden, sollten Sie sich mit den folgenden Inhalten vertraut machen: - Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen - Standardberechtigungen und Zugriffsschnellübersicht. |
Tipp
Wenn Sie eine Azure DevOps-Sicherheitsgruppe erstellen, bezeichnen Sie sie eindeutig, um anzugeben, ob der Zugriff eingeschränkt werden soll.
Sie können Berechtigungen auf folgenden Ebenen festlegen:
- Objektebene
- Projektebene
- Organisations- oder Projektsammlungsebene
- Sicherheitsrolle
- Teamadministratorrolle
Häufige Zugriffs- und Berechtigungsprobleme
Typische Gründe, aus denen ein Projektmitglied nicht auf ein Projekt, einen Dienst oder ein Feature zugreifen kann:
| Problem | Problembehandlungsaktion |
|---|---|
| Ihre Zugriffsebene unterstützt keinen Zugriff auf den Dienst oder das Feature. | Um zu ermitteln, ob dies die Ursache ist, bestimmen Sie die Zugriffsebene und den Abonnementstatus des Benutzers. |
| Die Mitgliedschaft in einer Sicherheitsgruppe unterstützt den Zugriff auf ein Feature nicht oder dieser Gruppe wurde die Berechtigung für ein Feature explizit verweigert. | Um zu ermitteln, ob dies die Ursache ist, verfolgen Sie eine Berechtigung nach. |
| Dem Benutzer wurde kürzlich die Berechtigung erteilt, der Client muss jedoch aktualisiert werden, damit die Änderungen wirksam werden. | Lassen Sie den Benutzer seine Berechtigungen aktualisieren oder neu auswerten. |
| Der Benutzer versucht, ein Feature auszuführen, für das nur Teamadministratoren eines bestimmten Teams die Berechtigung erhalten haben. Der Benutzer hat diese Rolle nicht. | Informationen zum Hinzufügen zur Rolle finden Sie unter Hinzufügen, Entfernen des Teamadministrators. |
| Der Benutzer hat keine Previewfunktion aktiviert. | Lassen Sie den Benutzer die Vorschaufeatures öffnen und den Ein/Aus-Status für das jeweilige Feature ermitteln. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures. |
| Das Projektmitglied wurde einer Sicherheitsgruppe mit eingeschränktem Berechtigungsumfang hinzugefügt, z. B. der Gruppe "Projektbezogene Benutzer". | Um zu ermitteln, ob dies die Ursache ist, suchen Sie die Sicherheitsgruppenmitgliedschaften des Benutzers. |
Weniger häufige Zugriffs- und Berechtigungsprobleme
Ein weniger häufiger Grund für eingeschränkten Zugriff ist das Auftreten eines der folgenden Ereignisse:
| Problem | Problembehandlungsaktion |
|---|---|
| Ein Projektadministrator hat einen Dienst deaktiviert. In diesem Fall hat niemand Zugriff auf den deaktivierten Dienst. | Informationen dazu, ob ein Dienst deaktiviert ist, finden Sie unter Aktivieren oder Deaktivieren eines Azure DevOps-Diensts. |
| Ein Projektsammlungsadministrator hat eine Vorschaufunktion deaktiviert, die es für alle Projektmitglieder in der Organisation deaktiviert. | Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures. |
| Gruppenregeln, die die Zugriffsebene oder Projektmitgliedschaft des Benutzers regeln, beschränken den Zugriff. | Weitere Informationen finden Sie unter Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers. |
| Benutzerdefinierte Regeln wurden für den Workflow eines Arbeitselementtyps definiert. | Weitere Informationen finden Sie unter Regeln, die auf einen Arbeitselementtyp angewendet werden, die den Auswahlvorgang einschränken. |
Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers
Sie können Benutzer oder Benutzergruppen einer der folgenden Zugriffsebenen zuweisen:
- Stakeholder*in
- Basic
- Basic + Test Plans
- Visual Studio-Abonnement
Weitere Informationen zum Beschränken von Zugriffsebenen in Azure DevOps finden Sie unter Unterstützte Zugriffsebenen.
Damit ein Benutzer Azure DevOps-Features verwenden kann, muss er einer Sicherheitsgruppe mit entsprechenden Berechtigungen hinzugefügt werden und Zugriff auf das Webportal haben. Featurebeschränkungen basieren auf der Zugriffsebene und der Sicherheitsgruppe des Benutzers.
Benutzer können den Zugriff aus den folgenden Gründen verlieren:
| Grund für den Verlust des Zugriffs | Problembehandlungsaktion |
|---|---|
| Das Visual Studio-Abonnement des Benutzers ist abgelaufen. | In der Zwischenzeit kann dieser Benutzer als Stakeholder arbeiten, oder Sie können dem Benutzer Den Grundlegenden Zugriff gewähren, bis der Benutzer sein Abonnement verlängert. Nachdem sich der Benutzer angemeldet hat, stellt Azure DevOps den Zugriff automatisch wieder her. |
| Das für die Abrechnung verwendete Azure-Abonnement ist nicht mehr aktiv. | Alle Käufe, die mit diesem Abonnement getätigt werden, sind betroffen, einschließlich Visual Studio-Abonnements. Um dieses Problem zu beheben, besuchen Sie das Azure-Kontoportal. |
| Das für die Abrechnung verwendete Azure-Abonnement wurde aus Ihrer Organisation entfernt. | Weitere Informationen zum Verknüpfen Ihrer Organisation |
Andernfalls verlieren am ersten Tag des Kalendermonats Benutzer, die sich für die längste Zeit nicht bei der Organisation angemeldet haben, zuerst den Zugriff. Wenn Ihre Organisation Über Benutzer verfügt, die keinen Zugriff mehr benötigen, entfernen Sie diese aus Ihrer Organisation.
Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Gruppen und im Nachschlagehandbuch zu Berechtigungen.
Ablaufverfolgung einer Berechtigung
Verwenden Sie die Berechtigungsablaufverfolgung, um zu ermitteln, warum die Berechtigungen eines Benutzers den Zugriff auf ein bestimmtes Feature oder eine bestimmte Funktion nicht zulassen. Erfahren Sie, wie ein Benutzer oder Administrator die Vererbung von Berechtigungen untersuchen kann. Um eine Berechtigung über das Webportal nachzuverfolgen, öffnen Sie die Berechtigungs- oder Sicherheitsseite für die entsprechende Ebene. Weitere Informationen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Wenn ein Benutzer Probleme mit Berechtigungen hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mit der Ablaufverfolgung feststellen, woher diese Berechtigungen stammen. Berechtigungsprobleme können auf verzögerte Änderungen zurückzuführen sein. Es kann bis zu eine Stunde dauern, bis Änderungen von Microsoft Entra-Gruppenmitgliedschaften oder -Berechtigungen in Azure DevOps weitergegeben wurden. Wenn ein Benutzer Probleme hat, die nicht sofort behoben werden, warten Sie einen Tag, um zu prüfen, ob sie behoben werden. Weitere Informationen zur Benutzer- und Zugriffsverwaltung finden Sie unter Verwalten von Benutzern und Zugriff in Azure DevOps.
Wenn ein Benutzer Berechtigungsprobleme hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mithilfe unserer Berechtigungsablaufverfolgung untersuchen, wo diese Berechtigungen herkommen. Berechtigungsprobleme können darauf zurückzuführen sein, dass der Benutzer nicht über die erforderliche Zugriffsebene verfügt.
Benutzer können ihre effektiven Berechtigungen entweder direkt oder über Gruppen erhalten.
Führen Sie die folgenden Schritte aus, damit Administratoren verstehen können, wo genau diese Berechtigungen stammen, und sie bei Bedarf anpassen können.
Wählen Sie Projekteinstellungen>Berechtigungen>Benutzer und dann den Benutzer aus.
Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die zeigt, welche Berechtigungen sie besitzen.
Um nachzuverfolgen, warum ein Benutzer über die aufgeführten Berechtigungen verfügt oder nicht, wählen Sie das Informationssymbol neben der betreffenden Berechtigung aus.
Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erben. Anschließend können Sie die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die den Gruppen, in denen er sich befindet, bereitgestellt werden.
Wählen Sie Projekteinstellungen>Sicherheit aus, und geben Sie dann den Benutzernamen in das Filterfeld ein.
Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die zeigt, welche Berechtigungen sie besitzen.
Verfolgen Sie, warum ein Benutzer über die aufgeführten Berechtigungen verfügt oder nicht. Zeigen Sie mit der Maus auf die Berechtigung, und wählen Sie dann Warum aus.
Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erben. Anschließend können Sie die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die für die Gruppen bereitgestellt werden, in denen er sich befindet.
Weitere Informationen finden Sie unter Verwalten des Zugriffs auf bestimmte Features und Funktionen oder Anfordern einer Erhöhung der Berechtigungsstufen.
Aktualisieren oder Neuauswerten von Berechtigungen
Sehen Sie sich das folgende Szenario an, in dem das Aktualisieren oder erneute Auswerten von Berechtigungen erforderlich sein kann.
Problem
Benutzer werden einer Azure DevOps- oder Microsoft Entra-Gruppe hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Aber sie erhalten nicht sofort Zugriff. Benutzer müssen warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, um ihre Berechtigungen zu aktualisieren.
Benutzer werden einer Azure DevOps-Gruppe hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Aber sie erhalten nicht sofort Zugriff. Benutzer müssen warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, um ihre Berechtigungen zu aktualisieren.
Lösung
Navigieren Sie zu 
Benutzereinstellungen>Berechtigungen>Berechtigungen erneut auswerten. Diese Funktion wertet Ihre Gruppenmitgliedschaften und Berechtigungen neu aus, und alle kürzlich vorgenommenen Änderungen werden sofort wirksam.
Regeln, die auf einen Arbeitselementtyp angewendet werden, die Auswahlvorgänge einschränken
Bevor Sie einen Prozess anpassen, sollten Sie konfigurieren und anpassen Azure Boards lesen. Dort finden Sie Anleitungen zum Anpassen von Azure Boards an Ihre Geschäftsanforderungen.
Weitere Informationen zu Arbeitselementtypregeln, die für einschränkende Vorgänge gelten, finden Sie unter:
- Anwenden von Regeln auf Workflowstatus (Vererbungsprozess)
- Beispielszenarien für Regeln
- Definieren von Bereichspfaden und Zuweisen zu einem Team
Ausblenden von Organisationseinstellungen für Benutzer
Wenn ein Benutzer seine Projekte nur sehen oder nicht auf Organisationseinstellungen zugreifen kann, können die folgenden Informationen hilfreich sein. Um bestimmte Benutzer am Zugriff auf Organisationseinstellungen zu hindern, können Sie die Previewfunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken aktivieren. Weitere Informationen, einschließlich wichtiger sicherheitsrelevanter Hinweise, finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Beispiele für eingeschränkte Benutzer sind Projektbeteiligte, Microsoft Entra-Gastbenutzer oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung können Benutzer oder Gruppen, die zur Gruppe der projektbezogenen Benutzer hinzugefügt wurden, nicht mehr auf die Organisationseinstellungen-Seiten zugreifen. Ausgenommen sind die Seiten Übersicht und Projekte. Sie können nur auf Projekte zugreifen, denen sie hinzugefügt wurden.
Beispiele für eingeschränkte Benutzer sind Stakeholder oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung kann jeder Benutzer oder jede Gruppe, die der Gruppe "Project-Scoped Benutzer" hinzugefügt wurde, nicht mehr auf die Seiten "Organisationseinstellungen" zugreifen, mit Ausnahme von Übersicht und Projekten. Sie können nur auf Projekte zugreifen, denen sie hinzugefügt wurden.
Weitere Informationen finden Sie unter Verwalten Ihrer Organisation, Einschränken der Benutzersichtbarkeit für Projekte und mehr.
Anzeigen, Hinzufügen und Verwalten von Berechtigungen mit der CLI
Mit den az devops security permission-Befehlen können Sie Berechtigungen auf einer differenzierteren Ebene anzeigen, hinzufügen und verwalten. Weitere Informationen finden Sie unter Verwalten von Berechtigungen mit dem Befehlszeilentool.
Gruppierungsregeln mit geringeren Berechtigungen
Gruppenregeltypen sind in der folgenden Reihenfolge geordnet: Abonnent > Basic und Test Plans > Basic > Stakeholder. Benutzer erhalten immer die höchste in allen für sie geltenden Gruppenregeln verfügbare Zugriffsebene. Dies gilt einschließlich aller Visual Studio(VS)-Abonnements.
Hinweis
- Änderungen, die über Gruppenregeln an Projektlesern vorgenommen werden, bleiben nicht erhalten. Um Projektleser anzupassen, sollten Sie alternative Methoden wie direkte Zuweisung oder benutzerdefinierte Sicherheitsgruppen in Erwägung ziehen.
- Überprüfen Sie die Regeln auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" regelmäßig. Änderungen an der Microsoft Entra ID-Gruppenmitgliedschaft werden nach der nächsten erneuten Auswertung der Gruppenregeln wirksam. Diese erneute Auswertung kann auf Anforderung, beim Ändern einer Gruppenregel oder automatisch alle 24 Stunden erfolgen. Azure DevOps aktualisiert die Microsoft Entra-Gruppenmitgliedschaft stündlich, es kann jedoch bis zu 24 Stunden dauern, bis Microsoft Entra ID die dynamische Gruppenmitgliedschaft aktualisiert.
Sehen Sie sich die folgenden Beispiele an, die zeigen, wie die Abonnentenerkennung in Gruppenregeln einschließt.
Beispiel 1: Gruppenregel bietet mir mehr Zugriff
Was geschieht, wenn ich ein VS Pro-Abonnement habe und in einer Gruppenregel bin, die mir Basic + Test Plans gibt?
Erwartet: Ich erhalte Basic + Test Plans, da das, was mir die Gruppenregel bietet, größer ist als mein Abonnement. Die Gruppenregelzuweisung bietet immer den größeren Zugriff, anstatt den Zugriff einzuschränken.
Beispiel 2: Gruppenregel gewährt mir denselben Zugriff
Ich habe ein Visual Studio Test Pro-Abonnement und bin in einer Gruppenregel, die mir Basic + Test Plans gibt. Was geschieht?
Erwartet: Ich werde als Visual Studio Test Pro-Abonnent erkannt, da der Zugriff mit der Gruppenregel identisch ist. Ich zahle bereits für Visual Studio Test Pro, sodass ich nicht mehr bezahlen möchte.
Arbeiten mit GitHub
Beachten Sie die Informationen zur Problembehandlung im Zusammenhang mit der Bereitstellung von Code in Azure DevOps mit GitHub.
Problem
Sie können den Rest Ihres Teams nicht in die Organisation und das Projekt integrieren, obwohl Sie sie als Mitglieder hinzugefügt haben. Sie erhalten E-Mails, beim Anmelden wird aber der Fehler 401 gemeldet.
Lösung
Möglicherweise sind Sie mit einer falschen Identität bei Azure DevOps angemeldet. Führen Sie die folgenden Schritte aus:
Schließen Sie alle Browser, einschließlich Browsern, in denen Azure DevOps nicht ausgeführt wird.
Öffnen Sie eine private oder inkognito-Browsersitzung.
Rufen Sie die folgende URL auf: https://aka.ms/vssignout.
Eine Meldung mit dem Inhalt "Abmeldung erfolgt." wird angezeigt. Nach der Abmeldung gelangen Sie zu
dev.azure.microsoft.com.Melden Sie sich wieder bei Azure DevOps an, und wählen Sie eine andere Identität aus.
Andere Bereiche, in denen Berechtigungen angewendet werden können
- Bereichspfadberechtigungen
- Arbeitselementtags
- Verschieben von Arbeitselementen aus einem Projekt
- Gelöschte Arbeitselemente
- Kurzanleitung: Standardberechtigungen und Zugriff für Azure Boards
- Benutzerdefinierte Regeln
- Beispiel für benutzerdefinierte Regelszenarien
- Benutzerdefinierte Backlogs und Boards
- Benutzerdefinierte Steuerelemente