Condividi tramite


Informazioni di riferimento su gruppi di sicurezza, account di servizio e autorizzazioni

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Questo articolo fornisce un riferimento completo per ogni utente, gruppo e autorizzazione predefiniti.

Per un riferimento rapido alle assegnazioni predefinite, vedere Autorizzazioni e accesso predefiniti. Per una panoramica della gestione delle autorizzazioni e della sicurezza, vedere Informazioni su autorizzazioni, accesso e gruppi di sicurezza, Informazioni sui ruoli di sicurezza e Informazioni sui livelli di accesso.

Per altre informazioni sull'aggiunta di utenti a un gruppo o sull'impostazione di un'autorizzazione specifica che è possibile gestire tramite il portale Web, vedere le risorse seguenti:


Nota

Le immagini visualizzate nel portale Web potrebbero differire dalle immagini contenute in questo articolo a causa degli aggiornamenti di sistema, ma la funzionalità di base rimane invariata, a meno che non venga menzionata in modo esplicito.

Account di servizio

Il sistema genera alcuni account di servizio per supportare operazioni specifiche. La tabella seguente descrive questi account utente, che vengono aggiunti a livello di organizzazione o raccolta.

Nome utente Descrizione
Servizio pool di agenti Dispone dell'autorizzazione per ascoltare la coda di messaggi per il pool specifico per ricevere il lavoro. Nella maggior parte dei casi, non è necessario gestire direttamente i membri del gruppo, ovvero il processo di registrazione dell'agente lo gestisce automaticamente. Quando si registra l'agente, viene aggiunto automaticamente l'account del servizio specificato (in genere servizio di rete). Responsabile dell'esecuzione di operazioni di lettura/scrittura di Azure Boards e dell'aggiornamento degli elementi di lavoro quando gli oggetti GitHub cambiano.
Azure Boards Aggiunta quando Azure Boards è connesso a GitHub. Non è necessario gestire i membri di questo gruppo. Responsabile della gestione della creazione del collegamento tra GitHub e Azure Boards.
PipelineSDK Aggiunta in base alle esigenze per supportare i token di ambito del servizio criteri Pipelines. Questo account utente è simile alle identità del servizio di compilazione, ma supporta il blocco delle autorizzazioni separatamente. In pratica, ai token che coinvolgono questa identità vengono concesse autorizzazioni di sola lettura per le risorse della pipeline e la possibilità monouso di approvare le richieste dei criteri. Questo account deve essere trattato nello stesso modo in cui vengono trattate le identità del servizio di compilazione.
Servizio di compilazione ProjectName Dispone delle autorizzazioni per eseguire i servizi di compilazione per il progetto ed è un utente legacy usato per le compilazioni XAML. È automaticamente un membro del gruppo di servizi di sicurezza, che viene usato per archiviare gli utenti a cui sono concesse le autorizzazioni, ma nessun altro gruppo di sicurezza.
Servizio di compilazione raccolta progetti Dispone delle autorizzazioni per eseguire i servizi di compilazione per la raccolta. È automaticamente un membro del gruppo di servizi di sicurezza, che viene usato per archiviare gli utenti a cui sono concesse le autorizzazioni, ma nessun altro gruppo di sicurezza.

Gruppi

È possibile concedere le autorizzazioni direttamente a un singolo utente o a un gruppo. L'uso dei gruppi semplifica le operazioni e il sistema fornisce diversi gruppi predefiniti a tale scopo. Questi gruppi e le autorizzazioni predefinite assegnati vengono definiti a livelli diversi: server (solo distribuzione locale), raccolta di progetti, progetto e oggetti specifici. È anche possibile creare gruppi personalizzati e concedere loro il set specifico di autorizzazioni appropriate per determinati ruoli nell'organizzazione.

Nota

I gruppi di sicurezza vengono gestiti a livello di organizzazione, anche se vengono usati per progetti specifici. A seconda delle autorizzazioni utente, alcuni gruppi potrebbero essere nascosti nel portale Web. Per visualizzare tutti i nomi di gruppo all'interno di un'organizzazione, è possibile usare lo strumento dell'interfaccia della riga di comando di Azure DevOps o le API REST. Per altre informazioni, vedere Aggiungere e gestire gruppi di sicurezza.

Nota

I gruppi di sicurezza vengono gestiti a livello di raccolta, anche se vengono usati per progetti specifici. A seconda delle autorizzazioni utente, alcuni gruppi potrebbero essere nascosti nel portale Web. Per visualizzare tutti i nomi di gruppo all'interno di una raccolta, è possibile usare lo strumento dell'interfaccia della riga di comando di Azure DevOps o le API REST. Per altre informazioni, vedere Aggiungere e gestire gruppi di sicurezza.

Nota

I gruppi di sicurezza vengono gestiti a livello di raccolta, anche se vengono usati per progetti specifici. A seconda delle autorizzazioni utente, alcuni gruppi potrebbero essere nascosti nel portale Web. Per visualizzare tutti i nomi di gruppo in una raccolta, è possibile usare le API REST. Per altre informazioni, vedere Aggiungere e gestire gruppi di sicurezza.

Gruppi a livello di server

Quando si installa Azure DevOps Server, il sistema crea gruppi predefiniti con autorizzazioni a livello di distribuzione a livello di server. Non è possibile rimuovere o eliminare i gruppi predefiniti a livello di server.

Screenshot della finestra di dialogo Gruppo di sicurezza di Azure DevOps.

Non è possibile rimuovere o eliminare i gruppi a livello di server predefiniti.

Il nome completo di ognuno di questi gruppi è [Team Foundation]\{nome gruppo}. Il nome completo del gruppo amministratori a livello di server è quindi [Team Foundation]\Team Foundation Administrators.

Nome gruppo

Autorizzazioni

Appartenenze

Account del servizio Azure DevOps

Dispone delle autorizzazioni a livello di servizio per l'istanza del server.

Contiene l'account del servizio fornito durante l'installazione

Questo gruppo deve contenere solo account di servizio e non account utente o gruppi che contengono account utente. Per impostazione predefinita, questo gruppo è membro di Team Foundation Administrators.

Per aggiungere un account a questo gruppo dopo aver installato Azure DevOps Server, usare l'utilità TFSSecurity.exe nella sottocartella Strumenti della directory di installazione locale. Usare il comando seguente: TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://azuredevopsservername.

Account del servizio proxy di Azure DevOps

Dispone delle autorizzazioni a livello di servizio per il proxy del server Di Azure DevOps e di alcune autorizzazioni a livello di servizio.

Nota

Questo account viene creato quando si installa il servizio proxy di Azure DevOps.

Questo gruppo deve contenere solo account di servizio e non account utente o gruppi che contengono account utente.

Utenti validi di Azure DevOps

Dispone dell'autorizzazione per visualizzare le informazioni a livello di istanza del server.

Contiene tutti gli utenti noti per esistere nell'istanza del server. Non è possibile modificare l'appartenenza a questo gruppo.

Amministratori di Team Foundation

Dispone delle autorizzazioni per eseguire tutte le operazioni a livello di server.

Gruppo Administrators locale (BUILTIN\Administrators) per qualsiasi server che ospita i servizi dell'applicazione Azure DevOPs/Team Foundation.

Server \Team Foundation Service Accounts group e i membri del gruppo \Project Server Integration Service Accounts .

Limitare questo gruppo al minor numero di utenti che richiedono il controllo amministrativo completo sulle operazioni a livello di server.

Nota

Se la distribuzione usa Reporting, prendere in considerazione l'aggiunta dei membri di questo gruppo ai gruppi content Manager in Reporting Services.

Gruppi a livello di raccolta

Quando si crea un'organizzazione o una raccolta di progetti in Azure DevOps, il sistema crea gruppi a livello di raccolta con autorizzazioni in tale raccolta. Non è possibile rimuovere o eliminare i gruppi predefiniti a livello di raccolta.

Nota

Per abilitare la pagina di anteprima pagina Impostazioni autorizzazioni organizzazioni v2 , vedere Abilitare le funzionalità di anteprima. La pagina di anteprima fornisce una pagina di impostazioni di gruppo che la pagina corrente non lo fa.

La pagina anteprima non è disponibile per le versioni locali.

Screenshot dei gruppi di raccolte di Project, nuova interfaccia utente.

Il nome completo di ognuno di questi gruppi è [{nome raccolta}]\{nome gruppo}. Il nome completo del gruppo di amministratori per la raccolta predefinita è quindi [Raccolta predefinita]\Amministratori raccolta progetti.

Nome gruppo

Autorizzazioni

Appartenenze

Amministratori raccolta di progetti

Dispone delle autorizzazioni per eseguire tutte le operazioni per la raccolta.

Contiene il gruppo Administrators locale (BUILTIN\Administrators) per il server in cui sono installati i servizi livello applicazione. Contiene i membri del gruppo CollectionName/Service Accounts. Limitare questo gruppo al minor numero di utenti che richiedono il controllo amministrativo completo sulla raccolta.

Nota

Se la distribuzione usa Reporting Services, prendere in considerazione l'aggiunta dei membri di questo gruppo ai gruppi Responsabili contenuto di Team Foundation in Reporting Services.

Amministratori compilazione raccolta progetti

Dispone delle autorizzazioni per amministrare le risorse di compilazione e le autorizzazioni per la raccolta.

Limitare questo gruppo al minor numero di utenti che richiedono il controllo amministrativo completo su server e servizi di compilazione per questa raccolta.

Account servizio di compilazione raccolta di progetti

Dispone delle autorizzazioni per eseguire i servizi di compilazione per la raccolta.

Limitare questo gruppo a gruppi e account di servizio che contengono solo account di servizio. Si tratta di un gruppo legacy usato per le compilazioni XAML. Usare l'utente project collection build service ({organizzazione}) per gestire le autorizzazioni per le compilazioni correnti.

Account servizio proxy raccolta di progetti

Dispone delle autorizzazioni per eseguire il servizio proxy per la raccolta.

Limitare questo gruppo a gruppi e account di servizio che contengono solo account di servizio.

Account servizio raccolta di progetti

Dispone delle autorizzazioni a livello di servizio per la raccolta e per Azure DevOps Server.

Contiene l'account del servizio fornito durante l'installazione. Questo gruppo deve contenere solo account di servizio e gruppi che contengono solo account di servizio. Per impostazione predefinita, questo gruppo è membro del gruppo Administrators.

Account servizio test raccolta di progetti

Dispone delle autorizzazioni del servizio di test per la raccolta.

Limitare questo gruppo a gruppi e account di servizio che contengono solo account di servizio.

Utenti validi raccolta di progetti

Dispone delle autorizzazioni per accedere ai progetti team e visualizzare le informazioni nella raccolta.

Contiene tutti gli utenti e i gruppi aggiunti in qualsiasi punto della raccolta. Non è possibile modificare l'appartenenza a questo gruppo.

Utenti con ambito progetto

Ha accesso limitato per visualizzare le impostazioni e i progetti dell'organizzazione diversi da quelli a cui vengono aggiunti in modo specifico. Inoltre, le opzioni di selezione utenti sono limitate a tali utenti e gruppi aggiunti in modo esplicito al progetto a cui l'utente è connesso.

Aggiungere utenti a questo gruppo quando si vuole limitare la visibilità e l'accesso ai progetti a cui si aggiungono in modo esplicito. non aggiungere utenti a questo gruppo se vengono aggiunti anche al gruppo Amministratori raccolta progetti.

Nota

Il gruppo Project-Scoped Users diventa disponibile con accesso limitato quando è abilitata la funzionalità di anteprima a livello di organizzazione, Limitare la visibilità degli utenti e la collaborazione a progetti specifici. Per altre informazioni, tra cui callout importanti correlati alla sicurezza, vedere Gestire l'organizzazione, Limitare la visibilità degli utenti per i progetti e altro ancora.

Gruppo di servizi di sicurezza

Usato per archiviare gli utenti con autorizzazioni, ma non aggiunto ad altri gruppi di sicurezza.

Non assegnare utenti a questo gruppo. Se si stanno rimuovendo utenti da tutti i gruppi di sicurezza, verificare se è necessario rimuoverli da questo gruppo.

Gruppi a livello di progetto

Per ogni progetto creato, il sistema crea i gruppi a livello di progetto seguenti. A questi gruppi vengono assegnate autorizzazioni a livello di progetto.

Nota

Per abilitare la pagina di anteprima per la pagina Impostazioni autorizzazioni progetto, vedere Abilitare le funzionalità di anteprima.

La pagina anteprima non è disponibile per le versioni locali.

Screenshot dei gruppi e delle autorizzazioni a livello di progetto, versione di anteprima di Azure DevOps.

Suggerimento

Il nome completo di ognuno di questi gruppi è [{nome progetto}]\{nome gruppo}. Ad esempio, il gruppo collaboratori per un progetto denominato "My Project" è [My Project]\Contributors.

Nome gruppo

Autorizzazioni

Appartenenze

Amministratori compilazione

Dispone delle autorizzazioni per amministrare le risorse di compilazione e le autorizzazioni di compilazione per il progetto. I membri possono gestire gli ambienti di test, creare esecuzioni di test e gestire le compilazioni.

Assegnare agli utenti che definiscono e gestiscono le pipeline di compilazione.

Collaboratori

Dispone delle autorizzazioni per contribuire completamente alla codebase del progetto e al rilevamento degli elementi di lavoro. Le autorizzazioni principali che non hanno sono autorizzazioni che gestiscono o amministrano le risorse.

Per impostazione predefinita, il gruppo di team creato quando si crea un progetto viene aggiunto a questo gruppo e qualsiasi utente aggiunto al team o al progetto è membro di questo gruppo. Inoltre, tutti i team creati per un progetto vengono aggiunti a questo gruppo.

Readers

Dispone delle autorizzazioni per visualizzare le informazioni sul progetto, la codebase, gli elementi di lavoro e altri artefatti, ma non modificarli.

Assegnare ai membri dell'organizzazione o alla raccolta che si desidera fornire autorizzazioni di sola visualizzazione a un progetto. Questi utenti possono visualizzare backlog, bacheche, dashboard e altro ancora, ma non aggiungere o modificare elementi.

Amministratori del progetto

Dispone delle autorizzazioni per amministrare tutti gli aspetti dei team e del progetto, anche se non possono creare progetti team.

Assegnare agli utenti che richiedono le funzioni seguenti: gestire le autorizzazioni utente, creare o modificare i team, modificare le impostazioni del team, definire percorsi di area o iterazione o personalizzare il rilevamento degli elementi di lavoro. I membri del gruppo Project Administrators dispongono delle autorizzazioni per eseguire le attività seguenti:

  • Aggiungere e rimuovere utenti dall'appartenenza al progetto
  • Aggiungere e rimuovere gruppi di sicurezza personalizzati da un progetto
  • Aggiungere e amministrare tutti i team di progetto e le funzionalità correlate al team
  • Modificare gli ACL di autorizzazione a livello di progetto
  • Modificare le sottoscrizioni di eventi (posta elettronica o SOAP) per i team o gli eventi a livello di progetto.

Utenti validi progetto

Dispone delle autorizzazioni per accedere e visualizzare le informazioni sul progetto.

Contiene tutti gli utenti e i gruppi aggiunti in qualsiasi punto del progetto. Non è possibile modificare l'appartenenza a questo gruppo.

Nota

È consigliabile non modificare le autorizzazioni predefinite per questo gruppo.

Amministratori versione

Dispone delle autorizzazioni per gestire tutte le operazioni di rilascio.

Assegnare agli utenti che definiscono e gestiscono le pipeline di versione.

Nota

Il gruppo Release Administrator viene creato contemporaneamente alla prima pipeline di versione. Non viene creato per impostazione predefinita quando viene creato il progetto.

TeamName

Dispone delle autorizzazioni per contribuire completamente alla codebase del progetto e al rilevamento degli elementi di lavoro.

Il gruppo Team predefinito viene creato quando si crea un progetto e per impostazione predefinita viene aggiunto al gruppo Collaboratori per il progetto. Tutti i nuovi team creati hanno anche un gruppo creato per loro e aggiunto al gruppo Collaboratori.

Aggiungere membri del team a questo gruppo. Per concedere l'accesso per configurare le impostazioni del team, aggiungere un membro del team al ruolo di amministratore del team.

Ruolo di amministratore del team

Per ogni team aggiunto, è possibile assegnare uno o più membri del team come amministratori. Il ruolo di amministratore del team non è un gruppo con un set di autorizzazioni definite. Al contrario, il ruolo di amministratore del team è responsabile della gestione degli asset del team. Per altre informazioni, vedere Gestire i team e configurare gli strumenti del team. Per aggiungere un utente come amministratore del team, vedere Aggiungere un amministratore del team.

Nota

Gli amministratori del progetto possono gestire tutte le aree amministrative del team per tutti i team.

Autorizzazioni

Il sistema gestisce le autorizzazioni a diversi livelli, ovvero organizzazione, progetto, oggetto e autorizzazioni basate sui ruoli, e per impostazione predefinita le assegna a uno o più gruppi predefiniti. È possibile gestire la maggior parte delle autorizzazioni tramite il portale Web. Gestire altre autorizzazioni con lo strumento da riga di comando.Manage more permissions with the command line tool (CLI).

Il sistema gestisce le autorizzazioni a livelli diversi, ovvero server, raccolta, progetto, oggetto e autorizzazioni basate sui ruoli, e per impostazione predefinita le assegna a uno o più gruppi predefiniti. È possibile gestire la maggior parte delle autorizzazioni tramite il portale Web. Gestire altre autorizzazioni con lo strumento da riga di comando.Manage more permissions with the command line tool (CLI).

Nelle sezioni seguenti viene fornita l'autorizzazione dello spazio dei nomi dopo l'etichetta di autorizzazione visualizzata nell'interfaccia utente. Ad esempio:
Creare una definizione di tag
Tagging, Create

Per altre informazioni, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.

Autorizzazioni a livello di server

Gestire le autorizzazioni a livello di server tramite la Console di amministrazione di Team Foundation o lo strumento da riga di comando TFSSecurity. Agli amministratori di Team Foundation vengono concesse tutte le autorizzazioni a livello di server. Altri gruppi a livello di server dispongono di assegnazioni di autorizzazioni selezionate.

Screenshot delle autorizzazioni a livello di server.

Autorizzazione (interfaccia utente)
Namespace permission

Descrizione


Amministrare il magazzino

Warehouse, Administer

Valido solo per Azure DevOps Server 2020 e versioni precedenti configurate per supportare i report di SQL Server. Può elaborare o modificare le impostazioni per il data warehouse o il cubo SQL Server Analysis usando il servizio Web controllo warehouse.

Potrebbero essere necessarie altre autorizzazioni per elaborare o ricompilare completamente il data warehouse e il cubo di analisi.

Creare una raccolta di progetti

CollectionManagement, CreateCollection

Può creare e amministrare le raccolte.

Eliminare la raccolta di progetti

CollectionManagement, DeleteCollection

Può eliminare una raccolta dalla distribuzione.

Nota

L'eliminazione di una raccolta non comporta l'eliminazione del database di raccolta da SQL Server.

Modificare le informazioni a livello di istanza

Server, GenericWrite

Può modificare le autorizzazioni a livello di server per utenti e gruppi e aggiungere o rimuovere gruppi a livello di server dalla raccolta.

Nota

La modifica delle informazioni a livello di istanza include la possibilità di eseguire queste attività definite in tutte le raccolte definite per l'istanza:

  • Modificare le impostazioni di estensioni e analisi
  • Consente in modo implicito all'utente di modificare le autorizzazioni di controllo della versione e le impostazioni del repository
  • Modificare sottoscrizioni di eventi o avvisi per notifiche globali, a livello di progetto ed eventi a livello di team
  • Modificare tutte le impostazioni a livello di progetto e team per i progetti definiti nelle raccolte
  • Creare e modificare elenchi globali

Per concedere tutte queste autorizzazioni al prompt dei comandi, è necessario usare il tf.exe Permission comando per concedere le AdminConfiguration autorizzazioni e AdminConnections oltre a GENERIC_WRITE.

Effettuare richieste per conto di altri utenti

Server, Impersonate

Può eseguire operazioni per conto di altri utenti o servizi. Assegnare solo agli account del servizio.

Eventi di attivazione

Server, TriggerEvent

Può attivare eventi di avviso a livello di server. Assegnare solo agli account di servizio e ai membri del gruppo Azure DevOps o Team Foundation Administrators.

Usare le funzionalità complete di Accesso Web

Può usare tutte le funzionalità del portale Web locale. Questa autorizzazione è deprecata con Azure DevOps Server 2019 e versioni successive.

Nota

Se l'autorizzazione Usa funzionalità complete di Accesso Web è impostata su Nega, l'utente visualizza solo le funzionalità consentite per il gruppo Stakeholder (vedere Modificare i livelli di accesso). Nega esegue l'override di qualsiasi consenti implicito, anche per gli account membri di gruppi amministrativi, ad esempio Gli amministratori di Team Foundation.

Visualizzare le informazioni a livello di istanza

Server, GenericRead

Può visualizzare l'appartenenza al gruppo a livello di server e le autorizzazioni di tali utenti.

Nota

L'autorizzazione Visualizza informazioni a livello di istanza viene assegnata anche al gruppo Utenti validi di Azure DevOps.

Autorizzazioni a livello di organizzazione

Gestire le autorizzazioni a livello di organizzazione tramite il contesto di amministrazione del portale Web o con i comandi az devops security group. Agli amministratori della raccolta di progetti vengono concesse tutte le autorizzazioni a livello di organizzazione. Altri gruppi a livello di organizzazione dispongono di assegnazioni di autorizzazioni selezionate.

Nota

Per abilitare la pagina di anteprima per la pagina Impostazioni autorizzazioni progetto, vedere Abilitare le funzionalità di anteprima.

Screenshot delle autorizzazioni e dei gruppi a livello di organizzazione, Azure DevOps Services.

Importante

L'autorizzazione per aggiungere o rimuovere gruppi di sicurezza a livello di organizzazione o raccolta, aggiungere e gestire l'appartenenza a gruppi o gruppi a livello di raccolta e modificare elenchi di controllo di accesso a livello di progetto e raccolta viene assegnato a tutti i membri del gruppo Amministratori raccolta progetti. Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.

Non è possibile modificare le autorizzazioni per il gruppo Amministratori raccolta progetti. Inoltre, anche se è possibile modificare le assegnazioni di autorizzazioni per un membro di questo gruppo, le autorizzazioni valide saranno comunque conformi a quelle assegnate al gruppo di amministratori per cui sono membri.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione

Generali

Modificare le impostazioni di traccia
Collection, DIAGNOSTIC_TRACE

Può modificare le impostazioni di traccia per raccogliere informazioni di diagnostica più dettagliate sui servizi Web Azure DevOps.

Creare nuovi progetti
(in precedenza Creare nuovi progetti team)
Collection, CREATE_PROJECTS

Può aggiungere un progetto a un'organizzazione o a una raccolta di progetti. Potrebbero essere necessarie altre autorizzazioni a seconda della distribuzione locale.

Eliminare il progetto team
Project, DELETE

Può eliminare un progetto. L'eliminazione di un progetto elimina tutti i dati associati al progetto. Non è possibile annullare l'eliminazione di un progetto, ad eccezione del ripristino della raccolta a un punto prima dell'eliminazione del progetto.

Modificare le informazioni a livello di istanza
Collection, GENERIC_WRITE

Può impostare le impostazioni a livello di organizzazione e di progetto.

Nota

La modifica delle informazioni a livello di istanza include la possibilità di eseguire queste attività per tutti i progetti definiti in un'organizzazione o in una raccolta:

  • Modificare le impostazioni e le estensioni della panoramica dell'organizzazione
  • Modificare le autorizzazioni di controllo della versione e le impostazioni del repository
  • Modificare sottoscrizioni di eventi o avvisi per notifiche globali, a livello di progetto ed eventi a livello di team
  • Modificare tutte le impostazioni a livello di progetto e team per i progetti definiti nelle raccolte

Visualizzare le informazioni a livello di istanza
Collection, GENERIC_READ

Può visualizzare le autorizzazioni a livello di organizzazione per un utente o un gruppo.

Account di servizio

Effettuare richieste per conto di altri utenti
Server, Impersonate

Può eseguire operazioni per conto di altri utenti o servizi. Assegnare questa autorizzazione solo agli account del servizio.

Eventi di attivazione
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Può attivare gli eventi di avviso del progetto all'interno della raccolta. Assegnare solo agli account del servizio.

Visualizzare le informazioni di sincronizzazione del sistema Collection, SYNCHRONIZE_READ

Può chiamare le interfacce di programmazione dell'applicazione di sincronizzazione. Assegnare solo agli account del servizio.

Boards

Amministrare le autorizzazioni del processo
Process, AdministerProcessPermissions

Può modificare le autorizzazioni per personalizzare il rilevamento del lavoro creando e personalizzando i processi ereditati.

Creare un processo
Process, Create

Può creare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards. Per impostazione predefinita, agli utenti viene concesso l'accesso Basic e Stakeholder.

Elimina campo dall'organizzazione
Collection, DELETE_FIELD

Processo di eliminazione
Process, Delete

Può eliminare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards.

Modifica processo
Process, Edit

Può modificare un processo ereditato personalizzato.

Repos

Si applica solo al controllo della versione di Team Foundation (TFVC)

Amministrare le modifiche non archiviate
VersionControlPrivileges, AdminWorkspaces

Amministrare le aree di lavoro
Workspaces, Administer

Creare un'area di lavoro
VersionControlPrivileges, CreateWorkspace

Può creare un'area di lavoro del controllo della versione. L'autorizzazione Crea un'area di lavoro viene concessa a tutti gli utenti come parte dell'appartenenza all'interno del gruppo Utenti validi della raccolta di progetti.

Pipeline

Amministrare le autorizzazioni per le risorse di compilazione
BuildAdministration, AdministerBuildResourcePermissions

Può modificare le autorizzazioni per le risorse di compilazione a livello di organizzazione o raccolta di progetti, tra cui:

Nota

Oltre a questa autorizzazione, Azure DevOps fornisce autorizzazioni basate sui ruoli che regolano la sicurezza dei pool di agenti. Altre impostazioni a livello di oggetto sostituiranno quelle impostate a livello di organizzazione o di progetto.

Gestire le risorse di compilazione
BuildAdministration, ManageBuildResources

Può gestire computer di compilazione, agenti di compilazione e controller di compilazione.

Gestire i criteri della pipeline
BuildAdministration, ManagePipelinePolicies

Può gestire le impostazioni della pipeline impostate tramite impostazioni dell'organizzazione, pipeline, impostazioni.

Usare le risorse di compilazione
BuildAdministration, UseBuildResources

Può riservare e allocare agenti di compilazione. Assegnare solo agli account di servizio per i servizi di compilazione.

Visualizzare le risorse di compilazione
BuildAdministration, ViewBuildResources

Può visualizzare, ma non usare, controller di compilazione e agenti di compilazione configurati per un'organizzazione o una raccolta di progetti.

Test Plans

Gestire i controller di test
Collection, MANAGE_TEST_CONTROLLERS

Può registrare e annullare la registrazione dei controller di test.

Eseguire i controlli

Eliminare i flussi di controllo
AuditLog, Delete_Streams

Può eliminare un flusso di controllo. I flussi di controllo sono in anteprima. Per altre informazioni, vedere Creare lo streaming di controllo.

Gestire i flussi di controllo
AuditLog, Manage_Streams

Può aggiungere un flusso di controllo. I flussi di controllo sono in anteprima. Per altre informazioni, vedere Creare lo streaming di controllo.

Visualizzare il log di controllo
AuditLog, Read

Può visualizzare ed esportare i log di controllo. I log di controllo sono in anteprima. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.

Criteri

Gestire i criteri aziendali
Collection, MANAGE_ENTERPRISE_POLICIES

Può abilitare e disabilitare i criteri di connessione delle applicazioni come descritto in Modificare i criteri di connessione delle applicazioni.

Autorizzazioni a livello di raccolta

Gestire le autorizzazioni a livello di raccolta tramite il contesto di amministrazione del portale Web o lo strumento da riga di comando TFSSecurity. Agli amministratori della raccolta di progetti vengono concesse tutte le autorizzazioni a livello di raccolta. Altri gruppi a livello di raccolta dispongono di assegnazioni di autorizzazioni selezionate.

Le autorizzazioni disponibili per Azure DevOps Server 2019 e versioni successive variano a seconda del modello di processo configurato per la raccolta. Per una panoramica dei modelli di processo, vedere Personalizzare il rilevamento del lavoro.

Modello di processo ereditato

Modello di processo XML locale


Screenshot delle autorizzazioni a livello di raccolta, del modello di processo ereditato in locale.

Screenshot delle autorizzazioni a livello di raccolta, modello di processo XML locale locale.

Importante

L'autorizzazione per aggiungere o rimuovere gruppi di sicurezza a livello di organizzazione o raccolta, aggiungere e gestire l'appartenenza a gruppi o gruppi a livello di raccolta e modificare elenchi di controllo di accesso a livello di progetto e raccolta viene assegnato a tutti i membri del gruppo Amministratori raccolta progetti. Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.

Non è possibile modificare le autorizzazioni per il gruppo Amministratori raccolta progetti. Inoltre, anche se è possibile modificare le assegnazioni di autorizzazioni per un membro di questo gruppo, le autorizzazioni valide saranno comunque conformi a quelle assegnate al gruppo di amministratori per cui sono membri.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Amministrare le autorizzazioni per le risorse di compilazione
BuildAdministration, AdministerBuildResourcePermissions

Può modificare le autorizzazioni per le pipeline di compilazione a livello di raccolta del progetto. Sono inclusi gli artefatti seguenti:

Amministrare le autorizzazioni del processo
Process, AdministerProcessPermissions

Può modificare le autorizzazioni per personalizzare il rilevamento del lavoro creando e personalizzando i processi ereditati. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato. Vedere anche:

Amministrare le modifiche non archiviate
VersionControlPrivileges, AdminWorkspaces

Può eliminare gli scaffali creati da altri utenti. Si applica quando tfvc viene usato come controllo del codice sorgente.

Amministrare le aree di lavoro
Workspaces, Administer

Può creare ed eliminare aree di lavoro per altri utenti. Si applica quando tfvc viene usato come controllo del codice sorgente.

Modificare le impostazioni di traccia
Collection, DIAGNOSTIC_TRACE

Può modificare le impostazioni di traccia per raccogliere informazioni di diagnostica più dettagliate sui servizi Web Azure DevOps.

Creare un'area di lavoro
VersionControlPrivileges, CreateWorkspace

Può creare un'area di lavoro del controllo della versione. Si applica quando tfvc viene usato come controllo del codice sorgente. Questa autorizzazione viene concessa a tutti gli utenti come parte dell'appartenenza all'interno del gruppo Utenti validi della raccolta di progetti.

Creare nuovi progetti
(in precedenza Creare nuovi progetti team)
Collection, CREATE_PROJECTS

Può aggiungere progetti a una raccolta di progetti. È possibile che siano necessarie autorizzazioni aggiuntive a seconda della distribuzione locale.

Creare un processo
Process, Create

Può creare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato.

Elimina campo dall'organizzazione
(in precedenza Elimina campo dall'account)
Collection, DELETE_FIELD

Può eliminare un campo personalizzato aggiunto a un processo. Per le distribuzioni locali, richiede che la raccolta sia configurata per supportare il modello di processo ereditato.

Può eliminare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato.

Eliminare il progetto team
Project, DELETE

Può eliminare un progetto.

Nota

L'eliminazione di un progetto elimina tutti i dati associati al progetto. Non è possibile annullare l'eliminazione di un progetto, ad eccezione del ripristino della raccolta a un punto prima dell'eliminazione del progetto.

Modifica processo
Process, Edit

Può modificare un processo ereditato personalizzato. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato.

Effettuare richieste per conto di altri utenti
Server, Impersonate

Può eseguire operazioni per conto di altri utenti o servizi. Assegnare questa autorizzazione solo agli account del servizio locale.

Gestire le risorse di compilazione
BuildAdministration, ManageBuildResources

Può gestire computer di compilazione, agenti di compilazione e controller di compilazione.

Gestire i criteri aziendali
Collection, MANAGE_ENTERPRISE_POLICIES

Può abilitare e disabilitare i criteri di connessione delle applicazioni come descritto in Modificare i criteri di connessione delle applicazioni.

Nota

Questa autorizzazione è valida solo per Azure DevOps Services. Anche se può apparire per Azure DevOps Server in locale, non si applica ai server locali.

Gestire il modello di processo
Collection, MANAGE_TEMPLATE

Può scaricare, creare, modificare e caricare modelli di processo. Un modello di processo definisce i blocchi predefiniti del sistema di rilevamento degli elementi di lavoro e altri sottosistemi a cui si accede tramite Azure Boards. Richiede che la raccolta sia configurata per supportare il modello di processo XML locale.

Gestire i controller di test
Collection, MANAGE_TEST_CONTROLLERS

Può registrare e annullare la registrazione dei controller di test.

Eventi di attivazione
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

Può attivare gli eventi di avviso del progetto all'interno della raccolta. Assegnare solo agli account del servizio. Gli utenti con questa autorizzazione non possono rimuovere gruppi predefiniti a livello di raccolta, ad esempio Amministratori raccolta progetti.

Usare le risorse di compilazione
BuildAdministration, UseBuildResources

Può riservare e allocare agenti di compilazione. Assegnare solo agli account di servizio per i servizi di compilazione.

Visualizzare le risorse di compilazione
BuildAdministration, ViewBuildResources

Può visualizzare, ma non usare, controller di compilazione e agenti di compilazione configurati per un'organizzazione o una raccolta di progetti.

Visualizzare le informazioni a livello di istanza
o Visualizzare le informazioni a livello di raccolta
Collection, GENERIC_READ

Può visualizzare le autorizzazioni a livello di raccolta per un utente o un gruppo.

Visualizzare le informazioni di sincronizzazione del sistema
Collection, SYNCHRONIZE_READ

Può chiamare le interfacce di programmazione dell'applicazione di sincronizzazione. Assegnare solo agli account del servizio.

Autorizzazioni a livello di progetto

Importante

Per accedere alle risorse a livello di progetto, è necessario impostare l'autorizzazione Visualizza informazioni a livello di progetto su Consenti. Questa autorizzazione consente di accedere a tutte le altre autorizzazioni a livello di progetto.

Gestire le autorizzazioni a livello di progetto tramite il contesto di amministrazione del portale Web o con i comandi az devops security group. Agli amministratori del progetto vengono concesse tutte le autorizzazioni a livello di progetto. Altri gruppi a livello di progetto dispongono di assegnazioni di autorizzazioni selezionate.

Nota

Per abilitare la pagina di anteprima della pagina Impostazioni autorizzazioni progetto, vedere Abilitare le funzionalità di anteprima.

Gestire le autorizzazioni a livello di progetto tramite il contesto di amministrazione del portale Web. Agli amministratori del progetto vengono concesse tutte le autorizzazioni a livello di progetto. Altri gruppi a livello di progetto dispongono di assegnazioni di autorizzazioni selezionate.

La pagina anteprima non è disponibile per le versioni locali.

Screenshot della finestra di dialogo Autorizzazioni a livello di progetto, pagina di anteprima di Azure DevOps Services.

Importante

L'autorizzazione per aggiungere o rimuovere gruppi di sicurezza a livello di progetto e aggiungere e gestire l'appartenenza a gruppi a livello di progetto viene assegnata a tutti i membri del gruppo Project Administrators . Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.

Non è possibile modificare le autorizzazioni per il gruppo Amministratori progetto. Inoltre, anche se è possibile modificare le assegnazioni di autorizzazioni per un membro di questo gruppo, le autorizzazioni valide saranno comunque conformi a quelle assegnate al gruppo di amministratori per cui sono membri.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione

Generali

Eliminare il progetto team

Project, DELETE

Può eliminare un progetto da un'organizzazione o da una raccolta di progetti.

Nota

Anche se si imposta questa autorizzazione su Nega, gli utenti autorizzati a livello di progetto possono probabilmente eliminare il progetto per cui dispongono dell'autorizzazione. Per assicurarsi che un utente non possa eliminare un progetto, assicurarsi di impostare anche il progetto Team di eliminazione a livello di progetto su Nega .

Modificare le informazioni a livello di progetto

Project, MANAGE_PROPERTIES

Può eseguire le attività seguenti per il progetto selezionato definito in un'organizzazione o in una raccolta.

Nota

L'autorizzazione per aggiungere o rimuovere gruppi di sicurezza a livello di progetto e aggiungere e gestire l'appartenenza a gruppi a livello di progetto viene assegnata a tutti i membri del gruppo Project Administrators . Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.


Gestire le proprietà del progetto

Project, MANAGE_SYSTEM_PROPERTIES

Può fornire o modificare i metadati per un progetto. Ad esempio, un utente può fornire informazioni di alto livello sul contenuto di un progetto. La modifica dei metadati è supportata tramite l'API REST Imposta proprietà del progetto.

Rinominare il progetto

Project, RENAME

Eliminare le notifiche per gli aggiornamenti degli elementi di lavoro

Project, SUPPRESS_NOTIFICATIONS

Gli utenti con questa autorizzazione possono aggiornare gli elementi di lavoro senza generare notifiche. Questa funzionalità è utile quando si eseguono migrazioni di aggiornamenti in blocco tramite strumenti e si vuole ignorare la generazione di notifiche.

Valutare la possibilità di concedere questa autorizzazione agli account del servizio o agli utenti con l'autorizzazione Ignora regole per gli aggiornamenti degli elementi di lavoro. È possibile impostare il parametro su true quando si esegue l'aggiornamento suppressNotifications tramite elementi di lavoro - aggiornare l'API REST.

Aggiornare la visibilità del progetto

Project, UPDATE_VISIBILITY

Può modificare la visibilità del progetto da privata a pubblica o pubblica a privata. Si applica solo ad Azure DevOps Services.

Visualizzare le informazioni a livello di progetto

Project, GENERIC_READ

Può visualizzare le informazioni a livello di progetto, tra cui l'appartenenza al gruppo di informazioni di sicurezza e le autorizzazioni. Se si imposta questa autorizzazione su Nega per un utente, non è possibile visualizzare il progetto o accedere al progetto.

Boards

Ignorare le regole per gli aggiornamenti degli elementi di lavoro
Project, BYPASS_RULES

Gli utenti con questa autorizzazione possono salvare un elemento di lavoro che ignora le regole, ad esempio copia, vincolo o regole condizionali, definite per il tipo di elemento di lavoro. Gli scenari utili sono le migrazioni in cui non si vogliono aggiornare i campi in base alla data o all'importazione o quando si vuole ignorare la convalida di un elemento di lavoro.
Le regole possono essere ignorate in uno dei due modi. Il primo consiste nell'usare l'API REST Elementi di lavoro - aggiornare l'API REST e impostare il bypassRules parametro su true. Il secondo avviee tramite il modello a oggetti client, inizializzando in modalità regole di bypass (inizializzare WorkItemStore con WorkItemStoreFlags.BypassRules).

Processo di modifica del progetto
Project, CHANGE_PROCESS

In combinazione con l'autorizzazione "Modifica informazioni a livello di progetto", consente agli utenti di modificare il processo di ereditarietà per un progetto. Per altre informazioni, vedere Creare e gestire processi ereditati.

Creare una definizione di tag
Tagging, Create

Può aggiungere tag a un elemento di lavoro. Per impostazione predefinita, tutti i membri del gruppo Collaboratori dispongono di questa autorizzazione. È anche possibile impostare più autorizzazioni di assegnazione di tag tramite strumenti di gestione della sicurezza. Per altre informazioni, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza, assegnazione di tag.

Nota

Tutti gli utenti hanno concesso l'accesso stakeholder per un progetto privato possono aggiungere solo tag esistenti. Anche se l'autorizzazione Crea definizione tag è impostata su Consenti, gli stakeholder non possono aggiungere tag. Questa è parte delle impostazioni di accesso degli stakeholder. Agli utenti di Azure DevOps Services è concesso l'accesso stakeholder per un progetto pubblico per impostazione predefinita. Per altre informazioni, vedere Informazioni di riferimento rapido sull'accesso di tipo Stakeholder.
Anche se l'autorizzazione Crea definizione tag viene visualizzata nelle impostazioni di sicurezza a livello di progetto, le autorizzazioni di assegnazione di tag sono effettivamente autorizzazioni a livello di raccolta con ambito a livello di progetto quando vengono visualizzate nell'interfaccia utente. Per definire l'ambito delle autorizzazioni di assegnazione di tag a un singolo progetto quando si usa il comando TFSSecurity , è necessario specificare il GUID per il progetto come parte della sintassi dei comandi. In caso contrario, la modifica si applica all'intera raccolta. Tenere presente questo aspetto quando si modificano o si impostano queste autorizzazioni.

Eliminare e ripristinare elementi di lavoro o Eliminare elementi di lavoro in questo progetto.
Project, WORK_ITEM_DELETE

Può contrassegnare gli elementi di lavoro nel progetto come eliminati. Agli utenti di Azure DevOps Services è concesso l'accesso stakeholder per un progetto pubblico per impostazione predefinita.

Spostare elementi di lavoro da questo progetto
Project, WORK_ITEM_MOVE

Eliminare definitivamente gli elementi di lavoro in questo progetto
Project, WORK_ITEM_PERMANENTLY_DELETE

Può eliminare definitivamente gli elementi di lavoro da questo progetto.

Analisi

Oltre alle AnalyticsView autorizzazioni dello spazio dei nomi elencate in questa sezione, è possibile impostare le autorizzazioni a livello di oggetto per ogni visualizzazione.

Eliminare la visualizzazione analisi condivisa
AnalyticsViews, Delete

Può eliminare le visualizzazioni di Analisi nell'area Condivisa.

Modificare la visualizzazione di Analisi condivisa
AnalyticsViews, Edit

Può creare e modificare visualizzazioni di Analisi condivise.

Visualizzare l'analisi
AnalyticsViews, Read

È possibile accedere ai dati disponibili dal servizio Analisi. Per altre informazioni, vedere Autorizzazioni necessarie per accedere al servizio Analisi.

Test Plans

Creare esecuzioni di test
Project, PUBLISH_TEST_RESULTS

Può aggiungere e rimuovere i risultati dei test e aggiungere o modificare le esecuzioni di test. Per altre informazioni, vedere Controllare per quanto tempo mantenere i risultati dei test ed Eseguire test manuali.

Eliminare le esecuzioni di test
Project, DELETE_TEST_RESULTS

Può eliminare un'esecuzione di test.

Gestire le configurazioni di test
Project, MANAGE_TEST_CONFIGURATIONS

Può creare ed eliminare configurazioni di test.

Gestire gli ambienti di test
Project, MANAGE_TEST_ENVIRONMENTS

Può creare ed eliminare ambienti di test.

Visualizzare le esecuzioni dei test
Project, VIEW_TEST_RESULTS

Può visualizzare i piani di test nel percorso dell'area del progetto.

Visualizzazioni di Analisi (a livello di oggetto)

Con le visualizzazioni di Analisi condivise è possibile concedere autorizzazioni specifiche per visualizzare, modificare o eliminare una visualizzazione creata. Gestire la sicurezza delle visualizzazioni di Analytics dal portale Web.

Screenshot della finestra di dialogo di sicurezza della visualizzazione Analisi condivisa, modifica delle autorizzazioni per un utente.

Screenshot della finestra di dialogo Gestisci visualizzazione analisi condivisa, modifica delle autorizzazioni per un utente, Azure DevOps Server.

Per ogni visualizzazione di Analisi condivisa vengono definite le autorizzazioni seguenti. A tutti gli utenti validi vengono concesse automaticamente tutte le autorizzazioni per gestire le visualizzazioni di Analisi. Valutare la possibilità di concedere autorizzazioni di selezione a visualizzazioni condivise specifiche ad altri membri del team o a un gruppo di sicurezza creato. Per altre informazioni, vedere Informazioni sulle visualizzazioni di Analisi e informazioni di riferimento su spazio dei nomi e autorizzazioni per la sicurezza.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Eliminare visualizzazioni di Analisi condivisa

AnalyticsViews, Delete

Può eliminare la visualizzazione analisi condivisa.

Modificare le visualizzazioni di Analisi condivisa

AnalyticsViews, Edit

Può modificare i parametri della visualizzazione analisi condivisa.

Visualizzare le visualizzazioni di Analisi condivisa

AnalyticsViews, Read

Può visualizzare e usare la visualizzazione di Analisi condivisa da Power BI Desktop.

Dashboard (a livello di oggetto)

Le autorizzazioni per i dashboard del team e del progetto possono essere impostate singolarmente. Le autorizzazioni predefinite per un team possono essere impostate per un progetto. Gestire la sicurezza dei dashboard dal portale Web. Altre autorizzazioni dello spazio dei nomi sono supportate come definito in Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.

Autorizzazioni del dashboard del progetto

Screenshot della finestra di dialogo Autorizzazioni dashboard progetto.

Per impostazione predefinita, l'autore del dashboard del progetto è il proprietario del dashboard e ha concesso tutte le autorizzazioni per tale dashboard.

Autorizzazione
Namespace permission
Descrizione
Eliminare le dashboard
DashboardsPrivileges, Delete
Può eliminare il dashboard del progetto.
Modificare il dashboard
DashboardsPrivileges, Edit
Può aggiungere widget a e modificare il layout del dashboard del progetto.
Gestione autorizzazioni
DashboardsPrivileges, ManagePermissions
Può gestire le autorizzazioni per il dashboard del progetto.

Le autorizzazioni per i dashboard del team possono essere impostate singolarmente. Le autorizzazioni predefinite per un team possono essere impostate per un progetto. Gestire la sicurezza dei dashboard dal portale Web.

Autorizzazioni predefinite per il dashboard del team

Screenshot della finestra di dialogo Autorizzazioni dashboard team.

Per impostazione predefinita, agli amministratori del team vengono concesse tutte le autorizzazioni per i dashboard del team, inclusa la gestione delle autorizzazioni predefinite e dei singoli dashboard.

Autorizzazione
Namespace permission
Descrizione
Creare i dashboard
DashboardsPrivileges, Create
Può creare un dashboard del team.
Eliminare i dashboard
DashboardsPrivileges, Delete
Può eliminare un dashboard del team.
Modificare i dashboard
DashboardsPrivileges, Edit
Può aggiungere widget a e modificare il layout di un dashboard del team.

Autorizzazioni per il dashboard del singolo team

Screenshot della finestra di dialogo autorizzazioni del dashboard del team singolo.

Gli amministratori del team possono modificare le autorizzazioni per i singoli dashboard del team modificando le due autorizzazioni seguenti.

Autorizzazione
Namespace permission
Descrizione
Eliminare le dashboard
DashboardsPrivileges, Delete
Può eliminare il dashboard del team specifico.
Modificare il dashboard
DashboardsPrivileges, Edit
Può aggiungere widget a e modificare il layout del dashboard del team specifico.

Pipeline o compilazione (a livello di oggetto)

Gestire le autorizzazioni della pipeline per ogni pipeline definita nel portale Web o usando lo strumento da riga di comando TFSSecurity. Agli amministratori del progetto vengono concesse tutte le autorizzazioni per la pipeline e alla maggior parte di queste autorizzazioni vengono assegnate le autorizzazioni di compilazione. È possibile impostare le autorizzazioni della pipeline per tutte le pipeline definite per un progetto o per ogni definizione di pipeline.

Screenshot della finestra di dialogo di sicurezza a livello di oggetto della pipeline, cloud.

Screenshot della finestra di dialogo Autorizzazioni a livello di oggetto pipeline.

Le autorizzazioni in Compilazione seguono un modello gerarchico. Le impostazioni predefinite per tutte le autorizzazioni possono essere impostate a livello di progetto e possono essere sottoposte a override in una singola definizione di compilazione.

Per impostare le autorizzazioni a livello di progetto per tutte le definizioni di compilazione in un progetto, scegliere Sicurezza dalla barra delle azioni nella pagina principale dell'hub Compilazioni.

Per impostare o eseguire l'override delle autorizzazioni per una definizione di compilazione specifica, scegliere Sicurezza dal menu di scelta rapida della definizione di compilazione.

È possibile definire le autorizzazioni seguenti in Build a entrambi i livelli.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Amministrare le autorizzazioni di compilazione
Build, AdministerBuildPermissions

Può amministrare le autorizzazioni di compilazione per altri utenti.

Creare una pipeline di compilazione Build, CreateBuildPipeline

Può creare linee di pipeline e modificare tali pipeline.

Creare una pipeline di compilazione Build, CreateBuildDefinition

Può creare pipeline.

Eliminare la definizione di compilazione
Build, DeleteBuildDefinition

Può eliminare le definizioni di compilazione per questo progetto.

Elimina compilazioni
Build, DeleteBuilds

Può eliminare una compilazione completata. Le compilazioni eliminate vengono mantenute nella scheda Eliminato per qualche tempo prima che vengano eliminate definitivamente.

Elimina compilazioni
Build, DestroyBuilds

Può eliminare definitivamente una compilazione completata.

Modificare la pipeline di compilazione
Modificare la definizione di compilazione
Build, EditBuildDefinition

Modifica pipeline di compilazione: consente di salvare le modifiche apportate a una pipeline di compilazione, incluse variabili di configurazione, trigger, repository e criteri di conservazione. Disponibile con Azure DevOps Services, Azure DevOps Server 2019 1.1 e versioni successive. Sostituisce Modifica definizione di compilazione. Impossibile creare nuove pipeline. Modifica definizione di compilazione: può creare e modificare le definizioni di compilazione per questo progetto.

Nota

Per controllare le autorizzazioni per definizioni di compilazione specifiche, disattivare l'ereditarietà.

Quando l'ereditarietà è attivata, la definizione di compilazione rispetta le autorizzazioni di compilazione definite a livello di progetto o un gruppo o un utente. Ad esempio, un gruppo di gestori di compilazioni personalizzato dispone di autorizzazioni impostate per accodare manualmente una compilazione per il progetto Fabrikam. Qualsiasi definizione di compilazione con ereditarietà per il progetto Fabrikam consente a un membro del gruppo Build Manager di accodare manualmente una compilazione.

Quando l'ereditarietà è disattivata, è possibile impostare le autorizzazioni in modo che solo gli amministratori del progetto possano accodare manualmente una compilazione per una definizione di compilazione specifica.

Modifica qualità compilazione
Build, EditBuildQuality

Può aggiungere informazioni sulla qualità della compilazione tramite Team Explorer o il portale Web.

Gestire le qualità di compilazione
Build, ManageBuildQualities

Può aggiungere o rimuovere le qualità di compilazione. Si applica solo alle compilazioni XAML.

Gestire la coda di compilazione
Build, ManageBuildQueue

Può annullare, riassegnare priorità o posticipare le compilazioni in coda. Si applica solo alle compilazioni XAML.

Eseguire l'override della convalida dell'archiviazione per compilazione
Build, OverrideBuildCheckInValidation

Può eseguire il commit di un insieme di modifiche tfvc che influisce su una definizione di compilazione controllata senza attivare il sistema per shelve e compilare prima le modifiche.

Compilazioni di code
Build, QueueBuilds

Può inserire una compilazione nella coda tramite l'interfaccia per Team Foundation Build o al prompt dei comandi. Possono anche arrestare le compilazioni in coda.

Modificare la configurazione della compilazione della coda Build, EditPipelineQueueConfigurationPermission

È possibile specificare valori per i parametri free-text (ad esempio, di tipo object o array) e le variabili della pipeline durante l'accodamento di nuove compilazioni.

Mantieni per un periodo illimitato
Build, RetainIndefinitely

Può attivare o disattivare il flag di conservazione in una compilazione per un periodo illimitato. Questa funzionalità contrassegna una compilazione in modo che il sistema non lo elimini automaticamente in base ai criteri di conservazione applicabili.

Arrestare le compilazioni
Build, StopBuilds

Può arrestare qualsiasi compilazione in corso, incluse le compilazioni accodate e avviate da un altro utente.

Aggiornare le informazioni sulla compilazione
Build, UpdateBuildInformation

Può aggiungere nodi di informazioni di compilazione al sistema e può anche aggiungere informazioni sulla qualità di una compilazione. Assegnare solo agli account del servizio.

Visualizzare la definizione di compilazione
Build, ViewBuildDefinition

Può visualizzare le definizioni di compilazione create per il progetto.

Visualizzare le compilazioni
Build, ViewBuilds

Può visualizzare le compilazioni in coda e completate per questo progetto.

Nota

  • Disattiva ereditarietà per una definizione di compilazione quando vuoi controllare le autorizzazioni per definizioni di compilazione specifiche.
    • Quando l'ereditarietà è Attivata, la definizione di compilazione rispetta le autorizzazioni di compilazione definite a livello di progetto o di un gruppo o di un utente. Ad esempio, un gruppo di gestori di compilazioni personalizzato dispone di autorizzazioni impostate per accodare manualmente una compilazione per il progetto Fabrikam. Qualsiasi definizione di compilazione con ereditarietà Su per il progetto Fabrikam consente a un membro del gruppo Gestioni compilazioni di accodare manualmente una compilazione.
    • Tuttavia, disattivando l'ereditarietà per il progetto Fabrikam, è possibile impostare le autorizzazioni che consentono solo agli amministratori del progetto di accodare manualmente una compilazione per una definizione di compilazione specifica. In questo modo sarà quindi possibile impostare le autorizzazioni per la definizione di compilazione in modo specifico.
  • Assegnare la convalida dell'archiviazione Override tramite l'autorizzazione di compilazione solo agli account del servizio per i servizi di compilazione e per compilare amministratori responsabili della qualità del codice. Si applica alle compilazioni di archiviazione controllate dal controllo della versione di Team Foundation. Questo non si applica alle compilazioni pull. Per altre informazioni, vedere Archiviare una cartella controllata da un processo di compilazione di archiviazione controllato.

Repository Git (a livello di oggetto)

Gestire la sicurezza di ogni repository Git o ramo dal portale Web, dallo strumento da riga di comando TF o tramite lo strumento da riga di comando TFSSecurity. Agli amministratori del progetto vengono concesse la maggior parte di queste autorizzazioni ( che vengono visualizzate solo per un progetto configurato con un repository Git). È possibile gestire queste autorizzazioni per tutti i repository Git o per un repository Git specifico.

Screenshot della finestra di dialogo delle autorizzazioni del repository Git.

Nota

Impostare le autorizzazioni in tutti i repository Git apportando modifiche alla voce dei repository Git di primo livello. I singoli repository ereditano le autorizzazioni dalla voce dei repository Git di primo livello. I rami ereditano le autorizzazioni dalle assegnazioni effettuate a livello di repository. Per impostazione predefinita, i gruppi reader a livello di progetto dispongono solo delle autorizzazioni di lettura.

Per gestire le autorizzazioni del repository Git e dei rami, vedere Impostare le autorizzazioni per i rami.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Ignorare i criteri durante il completamento delle richieste pull
GitRepositories, PullRequestBypassPolicy

È possibile acconsentire esplicitamente all'override dei criteri dei rami selezionando Override dei criteri dei rami e abilitando l'unione durante il completamento di una richiesta pull.

Nota

Ignorare i criteri quando si completano le richieste pull e ignorare i criteri quando si esegue il push di sostituzioni esentate dall'imposizione dei criteri.

Ignorare i criteri durante il push

Può eseguire il push in un ramo con criteri di ramo abilitati. Quando un utente con questa autorizzazione esegue un push che esegue l'override dei criteri di ramo, il push ignora automaticamente i criteri di ramo senza alcun passaggio o avviso di consenso esplicito.

Nota

Ignorare i criteri quando si completano le richieste pull e ignorare i criteri quando si esegue il push di sostituzioni esentate dall'imposizione dei criteri.

Contribuire
GitRepositories, GenericContribute

A livello di repository, può eseguire il push delle modifiche ai rami esistenti nel repository e può completare le richieste pull. Gli utenti che non dispongono di questa autorizzazione, ma che dispongono dell'autorizzazione Crea ramo , potrebbero eseguire il push delle modifiche ai nuovi rami. Non sostituisce le restrizioni applicate dai criteri di ramo.

A livello di ramo, può eseguire il push delle modifiche nel ramo e bloccare il ramo. Il blocco di un ramo blocca eventuali nuovi commit da altri utenti e impedisce ad altri utenti di modificare la cronologia di commit esistente.

Contribuire alle richieste pull
GitRepositories, PullRequestContribute

Può creare, commentare e votare le richieste pull.

Creare un ramo
GitRepositories, CreateBranch

Può creare e pubblicare rami nel repository. La mancanza di questa autorizzazione non limita gli utenti a creare rami nel repository locale; impedisce semplicemente loro di pubblicare rami locali nel server.

Nota

Quando si crea un nuovo ramo nel server, si dispone di Contributi, Modifica criteri, Forza push, Gestisci autorizzazioni e Rimuovi autorizzazioni di blocco di altri per tale ramo per impostazione predefinita. Ciò significa che è possibile aggiungere nuovi commit al repository tramite il ramo.

Creare un repository
GitRepositories, CreateRepository

Può creare nuovi repository. Questa autorizzazione è disponibile solo nella finestra di dialogo Sicurezza per l'oggetto repository Git di primo livello.

Crea tag
GitRepositories, CreateTag

È possibile eseguire il push dei tag nel repository.

Eliminare il repository GitRepositories, DeleteRepository

Può eliminare il repository. A livello di repository Git di primo livello, può eliminare qualsiasi repository.

Modificare i criteri
GitRepositories, EditPolicies

Può modificare i criteri per il repository e i relativi rami.

Esentare dall'applicazione dei criteri
GitRepositories, PolicyExempt

Si applica a TFS 2018 Update 2. È possibile ignorare i criteri di ramo ed eseguire le due azioni seguenti:

  • Eseguire l'override dei criteri dei rami e delle richieste pull complete che non soddisfano i criteri dei rami
  • Eseguire il push direttamente nei rami con criteri di ramo impostati

Nota

In Azure DevOps viene sostituito con le due autorizzazioni seguenti: Ignorare i criteri durante il completamento delle richieste pull e Ignorare i criteri durante il push.

Forza push (riscrivere la cronologia, eliminare rami e tag)
GitRepositories, ForcePush

Può forzare un aggiornamento in un ramo, eliminare un ramo e modificare la cronologia dei commit di un ramo. Può eliminare tag e note.

Gestire le note
GitRepositories, ManageNote

È possibile eseguire il push e la modifica delle note Git.

Gestire le autorizzazioni
GitRepositories, ManagePermissions

Può impostare le autorizzazioni per il repository.

Lettura GitRepositories, GenericRead

Può clonare, recuperare, eseguire il pull ed esplorare il contenuto del repository.

Rimuovere i blocchi degli altri
GitRepositories, RemoveOthersLocks

Può rimuovere i blocchi dei rami impostati da altri utenti. Il blocco di un ramo impedisce l'aggiunta di nuovi commit al ramo da altri utenti e impedisce ad altri utenti di modificare la cronologia di commit esistente.

Rinominare il repository
GitRepositories, RenameRepository

Può modificare il nome del repository. Se impostato nella voce dei repository Git di primo livello, può modificare il nome di qualsiasi repository.

TFVC (a livello di oggetto)

Gestire la sicurezza di ogni ramo TFVC dal portale Web o tramite lo strumento da riga di comando TFSSecurity. Agli amministratori del progetto vengono concesse la maggior parte di queste autorizzazioni, che vengono visualizzate solo per un progetto configurato per l'uso di controllo della versione di Team Foundation come sistema di controllo del codice sorgente. Nelle autorizzazioni di controllo della versione, la negazione esplicita ha la precedenza sulle autorizzazioni del gruppo di amministratori.

Queste autorizzazioni vengono visualizzate solo per un programma di installazione del progetto da usare controllo della versione di Team Foundation come sistema di controllo del codice sorgente.

Screenshot della finestra di dialogo delle autorizzazioni tfvc.

Nelle autorizzazioni di controllo della versione, deny esplicito ha la precedenza sulle autorizzazioni del gruppo di amministratori.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Amministrare le etichette
VersionControlItems, LabelOther

Può modificare o eliminare etichette create da un altro utente.

Archivia
VersionControlItems, Checkin

Può archiviare gli elementi e rivedere eventuali commenti del set di modifiche di cui è stato eseguito il commit. Il commit delle modifiche in sospeso viene eseguito al momento dell'archiviazione.*

Controllare le modifiche di altri utenti
VersionControlItems, CheckinOther

Può archiviare le modifiche apportate da altri utenti. Il commit delle modifiche in sospeso viene eseguito al momento dell'archiviazione.

È stata apportata una modifica in un'area di lavoro server
VersionControlItems, PendChange

Può eseguire il check-out e apportare una modifica in sospeso agli elementi in una cartella. Esempi di modifiche in sospeso includono l'aggiunta, la modifica, la ridenominazione, l'eliminazione, l'annullamento dell'eliminazione, la diramazione e l'unione di un file. Le modifiche in sospeso devono essere archiviate, quindi gli utenti devono avere anche l'autorizzazione di archiviazione per condividere le modifiche con il team.*

Etichetta
VersionControlItems, Label

Può etichettare gli elementi.

Serratura
VersionControlItems, Lock

Può bloccare e sbloccare cartelle o file. Una cartella o un file rilevato può essere bloccato o sbloccato per negare o ripristinare i privilegi di un utente. I privilegi includono il controllo di un elemento per la modifica in un'area di lavoro diversa o l'archiviazione delle modifiche in sospeso a un elemento da un'area di lavoro diversa. Per altre informazioni, vedere Comando di blocco.

Gestire il ramo
VersionControlItems, ManageBranch

Può convertire qualsiasi cartella in tale percorso in un ramo e anche eseguire le azioni seguenti in un ramo: modificarne le proprietà, eseguirne la replica e convertirla in una cartella. Gli utenti che dispongono di questa autorizzazione possono diramare questo ramo solo se hanno anche l'autorizzazione Merge per il percorso di destinazione. Gli utenti non possono creare rami da un ramo per cui non dispongono dell'autorizzazione Gestisci ramo.

Gestisci autorizzazioni
VersionControlItems, AdminProjectRights

Può gestire le autorizzazioni di altri utenti per cartelle e file nel controllo della versione.*

Fondersi
VersionControlItems, AdminProjectRights

Può unire le modifiche in questo percorso.*

Lettura
VersionControlItems, Read

Può leggere il contenuto di un file o di una cartella. Se un utente dispone delle autorizzazioni di lettura per una cartella, l'utente può visualizzare il contenuto della cartella e le proprietà dei file in esso contenuti, anche se l'utente non dispone dell'autorizzazione per aprire i file.

Rivedere le modifiche di altri utenti
VersionControlItems, ReviseOther

Può modificare i commenti sui file di archiviazione, anche se un altro utente ha archiviato il file.*

Annullare le modifiche di altri utenti
VersionControlItems, UndoOther

Può annullare una modifica in sospeso apportata da un altro utente.*

Sbloccare le modifiche di altri utenti
VersionControlItems, UnlockOther

Può sbloccare i file bloccati da altri utenti.*

* È consigliabile aggiungere questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente responsabili della supervisione o del monitoraggio del progetto e che potrebbero o devono modificare i commenti sui file selezionati, anche se un altro utente ha archiviato il file.

Percorso area (a livello di oggetto)

Le autorizzazioni del percorso dell'area gestiscono l'accesso ai rami della gerarchia di aree e agli elementi di lavoro in tali aree. Gestire la sicurezza di ogni percorso di area dal portale Web o tramite lo strumento da riga di comando TFSSecurity. Le autorizzazioni di area gestiscono l'accesso per creare e gestire percorsi di area, nonché creare e modificare gli elementi di lavoro definiti nei percorsi di area.

Ai membri del gruppo Project Administrators vengono concesse automaticamente le autorizzazioni per gestire i percorsi di area per un progetto. Valutare la possibilità di concedere agli amministratori del team o ai responsabili del team le autorizzazioni per creare, modificare o eliminare nodi di area.

Nota

Più team possono contribuire a un progetto. In questo caso, è possibile configurare i team associati a un'area. Le autorizzazioni per gli elementi di lavoro del team vengono assegnate assegnando autorizzazioni all'area. Esistono altre impostazioni del team che configurano gli strumenti di pianificazione agile del team.

Screenshot della finestra di dialogo autorizzazioni percorso area.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Creare nodi figlio
CSS, CREATE_CHILDREN

Può creare nodi di area. Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo possono spostare o riordinare tutti i nodi dell'area figlio.

Prendere in considerazione l'aggiunta di questa autorizzazione a qualsiasi utente o gruppo aggiunto manualmente che potrebbe dover eliminare, aggiungere o rinominare nodi di area.

Eliminare questo nodo
CSS, CREATE_CHILDREN

Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo per un altro nodo possono eliminare i nodi di area e riclassificare gli elementi di lavoro esistenti dal nodo eliminato. Se il nodo eliminato include nodi figlio, tali nodi vengono eliminati anche.

Prendere in considerazione l'aggiunta di questa autorizzazione a qualsiasi utente o gruppo aggiunto manualmente che potrebbe dover eliminare, aggiungere o rinominare nodi di area.

Modificare questo nodo
CSS, CREATE_CHILDREN

Può impostare le autorizzazioni per questo nodo e rinominare i nodi dell'area.

Prendere in considerazione l'aggiunta di questa autorizzazione a qualsiasi utente o gruppo aggiunto manualmente che potrebbe dover eliminare, aggiungere o rinominare nodi di area.

Modificare gli elementi di lavoro in questo nodo
CSS, WORK_ITEM_WRITE

Può modificare gli elementi di lavoro in questo nodo di area.

Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover modificare gli elementi di lavoro nel nodo area.

Gestire i piani di test
CSS, MANAGE_TEST_PLANS

Può modificare le proprietà del piano di test, ad esempio le impostazioni di compilazione e test.

Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover gestire piani di test o gruppi di test in questo nodo di area.

Gestire i gruppi di test
CSS, MANAGE_TEST_SUITES

Può creare ed eliminare gruppi di test, aggiungere e rimuovere test case dai gruppi di test, modificare le configurazioni dei test associate ai gruppi di test e modificare la gerarchia del gruppo di prodotti (spostare un gruppo di test).

Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover gestire piani di test o gruppi di test in questo nodo di area.

Visualizzare le autorizzazioni per questo nodo

Può visualizzare le impostazioni di sicurezza per un nodo del percorso dell'area.

Visualizzare gli elementi di lavoro in questo nodo

CSS, GENERIC_READ

Può visualizzare, ma non modificare, gli elementi di lavoro in questo nodo di area.

Nota

Se si imposta Visualizza elementi di lavoro in questo nodo su Nega, l'utente non può visualizzare elementi di lavoro in questo nodo area. Nega esegue l'override di qualsiasi autorizzazione implicita, anche per gli utenti membri di un gruppo amministrativo.

Percorso di iterazione (a livello di oggetto)

Le autorizzazioni del percorso di iterazione gestiscono l'accesso per creare e gestire i percorsi di iterazione, detti anche sprint.

Gestire la sicurezza di ogni percorso di iterazione dal portale Web o usando lo strumento da riga di comando TFSSecurity.

Ai membri del gruppo Project Administrators vengono concesse automaticamente queste autorizzazioni per ogni iterazione definita per un progetto. Valutare la possibilità di concedere agli amministratori del team, ai master scrum o ai responsabili del team le autorizzazioni per creare, modificare o eliminare nodi di iterazione.

Screenshot della finestra di dialogo Autorizzazioni percorso iterazione.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Creare nodi figlio
Iteration, CREATE_CHILDREN

Può creare nodi di iterazione. Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo possono spostare o riordinare tutti i nodi di iterazione figlio.

Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover eliminare, aggiungere o rinominare nodi di iterazione.

Eliminare questo nodo
Iteration, DELETE

Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo per un altro nodo possono eliminare i nodi di iterazione e riclassificare gli elementi di lavoro esistenti dal nodo eliminato. Se il nodo eliminato include nodi figlio, tali nodi vengono eliminati anche.

Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover eliminare, aggiungere o rinominare nodi di iterazione.

Modificare questo nodo
Iteration, GENERIC_WRITE

È possibile impostare le autorizzazioni per questo nodo e rinominare i nodi di iterazione.

Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover eliminare, aggiungere o rinominare nodi di iterazione.

Visualizzare le autorizzazioni per questo nodo
Iteration, GENERIC_READ

Può visualizzare le impostazioni di sicurezza per questo nodo.

Nota

I membri della raccolta di progetti Utenti validi, Utenti validi progetto o qualsiasi utente o gruppo che dispone di informazioni a livello di raccolta o Visualizza informazioni a livello di progetto possono visualizzare le autorizzazioni di qualsiasi nodo di iterazione.

Query degli elementi di lavoro e cartella di query (a livello di oggetto)

Gestire le autorizzazioni per query e cartelle di query tramite il portale Web. Agli amministratori del progetto vengono concesse tutte queste autorizzazioni. Ai collaboratori vengono concesse solo autorizzazioni di lettura.

Screenshot della finestra di dialogo Autorizzazioni cartella query.

Valutare la possibilità di concedere le autorizzazioni di collaborazione a utenti o gruppi che richiedono la possibilità di creare e condividere query sugli elementi di lavoro per il progetto. Per altre informazioni, vedere Impostare le autorizzazioni per le query.

Nota

Per creare grafici di query è necessario l'accesso di base.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Contribuire
WorkItemQueryFolders, Contribute

Può visualizzare e modificare la cartella di query o salvare le query all'interno della cartella.

Elimina
WorkItemQueryFolders, Delete

Può eliminare una query o una cartella di query e il relativo contenuto.

Gestire le autorizzazioni
WorkItemQueryFolders, ManagePermissions

Può gestire le autorizzazioni per la query o la cartella di query.

Leggere
WorkItemQueryFolders, Read

Può visualizzare e usare la query o le query in una cartella, ma non può modificare il contenuto della query o della cartella di query.

Piani di recapito (a livello di oggetto)

Gestire le autorizzazioni di piano tramite il portale Web. Gestire le autorizzazioni per ogni piano tramite la relativa finestra di dialogo Sicurezza. Agli amministratori del progetto vengono concesse tutte le autorizzazioni per creare, modificare e gestire i piani. Agli utenti validi vengono concesse autorizzazioni di visualizzazione (sola lettura).

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Elimina
Plan, Delete

Può eliminare il piano selezionato.

Modifica
Plan, Edit

Può modificare la configurazione e le impostazioni definite per il piano selezionato.

Amministrare
Plan, Manage

Può gestire le autorizzazioni per il piano selezionato.

Visualizza
Plan, View

Può visualizzare gli elenchi di piani, aprire e interagire con un piano, ma non può modificare la configurazione o le impostazioni del piano.

Processo (a livello di oggetto)

È possibile gestire le autorizzazioni per ogni processo ereditato creato tramite il portale Web. Gestire le autorizzazioni per ogni processo tramite la finestra di dialogo Sicurezza. Agli amministratori della raccolta di progetti vengono concesse tutte le autorizzazioni per creare, modificare e gestire i processi. Agli utenti validi vengono concesse autorizzazioni di visualizzazione (sola lettura).

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Amministrare le autorizzazioni del processo
Process, AdministerProcessPermissions

Può impostare o modificare le autorizzazioni per un processo ereditato.

Processo di eliminazione
Process, Delete

Può eliminare il processo ereditato.

Modifica processo
Process, Edit

Può creare un processo ereditato da un processo di sistema o copiare o modificare un processo ereditato.

Tag dell'elemento di lavoro

È possibile gestire le autorizzazioni di assegnazione di tag usando az devops security permission o gli strumenti da riga di comando TFSSecurity . I collaboratori possono aggiungere tag agli elementi di lavoro e usarli per filtrare rapidamente un backlog, una lavagna o una visualizzazione dei risultati delle query.

È possibile gestire le autorizzazioni di assegnazione di tag usando lo strumento da riga di comando TFSSecurity. I collaboratori possono aggiungere tag agli elementi di lavoro e usarli per filtrare rapidamente un backlog, una lavagna o una visualizzazione dei risultati delle query.

Autorizzazione (interfaccia utente)

Namespace permission

Descrizione


Creare una definizione di tag
Tagging, Create

Può creare nuovi tag e applicarli agli elementi di lavoro. Gli utenti senza questa autorizzazione possono selezionare solo dal set esistente di tag per il progetto.

Per impostazione predefinita, ai collaboratori viene assegnata l'autorizzazione Crea definizione tag. Anche se l'autorizzazione Crea definizione tag viene visualizzata nelle impostazioni di sicurezza a livello di progetto, le autorizzazioni di assegnazione di tag sono effettivamente autorizzazioni a livello di raccolta che hanno come ambito a livello di progetto quando vengono visualizzate nell'interfaccia utente. Per definire l'ambito delle autorizzazioni di assegnazione di tag a un singolo progetto quando si usa uno strumento da riga di comando, è necessario specificare il GUID per il progetto come parte della sintassi dei comandi. In caso contrario, la modifica si applica all'intera raccolta. Tenere presente questo aspetto quando si modificano o si impostano queste autorizzazioni.

Eliminare la definizione di tag
Tagging, Delete

Può rimuovere un tag dall'elenco dei tag disponibili per il progetto.

Questa autorizzazione non viene visualizzata nell'interfaccia utente. È possibile impostarlo solo usando uno strumento da riga di comando. Non esiste anche un'interfaccia utente per eliminare in modo esplicito un tag. Al contrario, quando un tag non è stato usato per tre giorni, il sistema lo elimina automaticamente.

Enumerare la definizione di tag
Tagging, Enumerate

Può visualizzare un elenco di tag disponibili per l'elemento di lavoro all'interno del progetto. Gli utenti senza questa autorizzazione non dispongono di un elenco di tag disponibili da cui scegliere nel modulo dell'elemento di lavoro o nell'editor di query.

Questa autorizzazione non viene visualizzata nell'interfaccia utente. Può essere impostato solo usando uno strumento da riga di comando. Le informazioni a livello di progetto consentono agli utenti di visualizzare in modo implicito i tag esistenti.

Aggiornare la definizione dei tag
Tagging, Update

Può rinominare un tag usando l'API REST.

Questa autorizzazione non viene visualizzata nell'interfaccia utente. Può essere impostato solo usando uno strumento da riga di comando.

Rilascio (a livello di oggetto)

Gestire le autorizzazioni per ogni versione definita nel portale Web. Agli amministratori del progetto e agli amministratori delle versioni vengono concesse tutte le autorizzazioni di gestione delle versioni. Queste autorizzazioni funzionano in un modello gerarchico a livello di progetto, per una pipeline di versione specifica o per un ambiente specifico in una pipeline di versione. All'interno di questa gerarchia, le autorizzazioni possono essere ereditate dall'elemento padre o sottoposto a override.

Screenshot che mostra le autorizzazioni a livello di oggetto Release.

Nota

Il gruppo dell'amministratore delle versioni a livello di progetto viene creato quando si definisce la prima pipeline di versione.

Inoltre, è possibile assegnare responsabili approvazione a passaggi specifici all'interno di una pipeline di versione per assicurarsi che le applicazioni distribuite soddisfino gli standard di qualità.

Le autorizzazioni seguenti sono definite in Release Management. La colonna ambito spiega se l'autorizzazione può essere impostata a livello di progetto, pipeline di versione o ambiente.

Autorizzazione

Descrizione

Ambiti


Amministrare le autorizzazioni di rilascio

Può modificare qualsiasi altra autorizzazione elencata qui.

Progetto, Pipeline di versione, Ambiente

Creare versioni

Può creare nuove versioni.

Progetto, pipeline di versione

Eliminare la pipeline di versione

Può eliminare le pipeline di versione.

Progetto, pipeline di versione

Eliminare l'ambiente di rilascio

Può eliminare gli ambienti nelle pipeline di versione.

Progetto, Pipeline di versione, Ambiente

Eliminare le versioni

Può eliminare le versioni per una pipeline.

Progetto, pipeline di versione

Modificare la pipeline di versione

Può aggiungere e modificare una pipeline di versione, incluse variabili di configurazione, trigger, artefatti e criteri di conservazione, nonché la configurazione all'interno di un ambiente della pipeline di versione. Per apportare modifiche a un ambiente specifico in una pipeline di versione, l'utente deve anche disporre dell'autorizzazione Modifica ambiente di rilascio.

Progetto, pipeline di versione

Modificare l'ambiente di rilascio

Può modificare gli ambienti nelle pipeline di versione. Per salvare le modifiche apportate alla pipeline di versione, l'utente deve anche disporre dell'autorizzazione Modifica pipeline di versione. Questa autorizzazione controlla anche se un utente può modificare la configurazione all'interno dell'ambiente di un'istanza di versione specifica. L'utente deve anche disporre dell'autorizzazione Gestisci versioni per salvare la versione modificata.

Progetto, Pipeline di versione, Ambiente

Gestire le distribuzioni

Può avviare una distribuzione diretta di una versione in un ambiente. Questa autorizzazione è solo per le distribuzioni dirette avviate manualmente selezionando l'azione Distribuisci in una versione. Se la condizione in un ambiente è impostata su qualsiasi tipo di distribuzione automatica, il sistema avvia automaticamente la distribuzione senza controllare l'autorizzazione dell'utente che ha creato la versione.

Progetto, Pipeline di versione, Ambiente

Gestire i responsabili approvazione delle versioni

Può aggiungere o modificare responsabili approvazione per gli ambienti nelle pipeline di versione. Questa autorizzazione controlla anche se un utente può modificare i responsabili approvazione all'interno dell'ambiente di un'istanza di versione specifica.

Progetto, Pipeline di versione, Ambiente

Gestire le versioni

Può modificare una configurazione di versione, ad esempio fasi, responsabili approvazione e variabili. Per modificare la configurazione di un ambiente specifico in un'istanza di versione, l'utente deve anche disporre dell'autorizzazione Modifica ambiente di rilascio.

Progetto, pipeline di versione

Visualizzare la pipeline di versione

Può visualizzare le pipeline di versione.

Progetto, pipeline di versione

Visualizzare le versioni

Può visualizzare le versioni appartenenti alle pipeline di versione.

Progetto, pipeline di versione

I valori predefiniti per tutte queste autorizzazioni sono impostati per le raccolte di progetti team e i gruppi di progetti. Ad esempio, gli amministratori della raccolta di progetti, gli amministratori del progetto e gli amministratori di versione hanno tutte le autorizzazioni precedenti per impostazione predefinita. Ai collaboratori vengono concesse tutte le autorizzazioni, ad eccezione delle autorizzazioni di amministrazione delle versioni. I lettori, per impostazione predefinita, vengono negate tutte le autorizzazioni, ad eccezione della visualizzazione della pipeline di versione e della visualizzazione delle versioni.

Autorizzazioni del gruppo di attività (compilazione e rilascio)

Gestire le autorizzazioni per i gruppi di attività dall'hub Build and Release del portale Web. Agli amministratori di progetto, compilazione e rilascio vengono concesse tutte le autorizzazioni. Le autorizzazioni del gruppo di attività seguono un modello gerarchico. Le impostazioni predefinite per tutte le autorizzazioni possono essere impostate a livello di progetto e possono essere sottoposte a override in una singola definizione del gruppo di attività.

Usare i gruppi di attività per incapsulare una sequenza di attività già definite in una compilazione o una definizione di versione in una singola attività riutilizzabile. Definire e gestire i gruppi di attività nella scheda Gruppi di attività dell'hub Compilazione e rilascio .

Autorizzazione Descrizione
Amministrare le autorizzazioni del gruppo di attività Può aggiungere e rimuovere utenti o gruppi alla sicurezza del gruppo di attività.
Elimina gruppo di attività Può eliminare un gruppo di attività.
Modifica gruppo di attività Può creare, modificare o eliminare un gruppo di attività.

Notifiche o avvisi

Non esistono autorizzazioni dell'interfaccia utente associate alla gestione delle notifiche tramite posta elettronica o degli avvisi. È invece possibile gestirli usando lo strumento da riga di comando TFSSecurity .

  • Per impostazione predefinita, i membri del gruppo Collaboratori a livello di progetto possono sottoscrivere autonomamente gli avvisi.
  • I membri del gruppo Project Collection Administrators o gli utenti che dispongono delle informazioni a livello di raccolta Modifica possono impostare avvisi in tale raccolta per altri utenti o per un team.
  • I membri del gruppo Project Administrators o gli utenti che dispongono delle informazioni a livello di progetto possono impostare avvisi in tale progetto per altri utenti o per un team.

È possibile gestire le autorizzazioni di avviso usando TFSSecurity.

Azione TFSSecurity

Spazio dei nomi TFSSecurity

Descrizione

Amministratori raccolta progetti &
Account del servizio raccolta progetti


CREATE_SOAP_SUBSCRIPTION

EventSubscription

Può creare una sottoscrizione del servizio Web basata su SOAP.

✔️

GENERIC_READ

EventSubscription

Può visualizzare gli eventi di sottoscrizione definiti per un progetto.

✔️

GENERIC_WRITE

EventSubscription

Può creare avvisi per altri utenti o per un team.

✔️

UNSUBSCRIBE

EventSubscription

Può annullare la sottoscrizione a una sottoscrizione di eventi.

✔️