次の方法で共有


Azure DevOps のセキュリティ名前空間とアクセス許可のリファレンス

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

この記事では、有効なセキュリティ名前空間について説明し、関連するアクセス許可を一覧表示し、詳細情報へのリンクを提供します。 セキュリティ名前空間は、アクセス制御リスト ( ACL) をトークンに格納し、さまざまなエンティティが特定のリソースに対して特定のアクションを実行する必要があるアクセス レベルを決定します。 次のエンティティが含まれます。

  • Azure DevOps ユーザー
  • Azure DevOps 組織の所有者
  • Azure DevOps セキュリティ グループのメンバー
  • Azure DevOps サービス アカウント
  • Azure DevOps サービス プリンシパル

作業項目や Git リポジトリなどのリソースの各ファミリは、一意の名前空間によって保護されます。 各セキュリティ名前空間には、0 個以上の ACL が含まれています。 ACL には、トークン、継承フラグ、0 個以上のアクセス制御エントリ (ACE) のセットが含まれます。 各 ACE は、ID 記述子、許可されたアクセス許可ビットマスク、および拒否されたアクセス許可ビットマスクで構成されます。 トークンは、Azure DevOps のリソースを表す任意の文字列です。

注意

名前空間とトークンは、Azure DevOps のすべてのバージョンで有効です。 ここに記載されているものは、Azure DevOps 2019 以降のバージョンで有効です。 名前空間は、時間の経過と同時に変更される可能性があります。 名前空間の最新の一覧を取得するには、コマンド ライン ツールまたは REST API のいずれかを実行します。 一部の名前空間は、この記事で後述する「 非推奨と読み取り専用の名前空間 」セクションに記載されているように非推奨になりました。 詳細については、「 Security 名前空間クエリ」を参照してください。

アクセス許可管理ツール

アクセス許可を管理するための推奨される方法は、Web ポータルを使用することです。 ただし、ポータルで使用できないアクセス許可を設定したり、詳細なアクセス許可を管理したりするには、コマンド ライン ツールまたは REST API を使用します。

すべての Azure DevOps インスタンスに対して、 Security REST API を使用することもできます。

セキュリティ名前空間とその ID

多くのセキュリティ名前空間は、[ セキュリティ ] または [アクセス許可] Web ポータル ページで設定した アクセス許可 に対応しています。 その他の名前空間または特定のアクセス許可は Web ポータルから表示されず、セキュリティ グループまたは Azure DevOps サービス プリンシパルのメンバーに既定でアクセス権を付与します。 これらの名前空間は、Web ポータルを使用して管理する方法に基づいて、次のカテゴリにグループ化されます。

  • オブジェクト レベル
  • プロジェクト レベル
  • 組織レベルまたはコレクション レベル
  • サーバー レベル (オンプレミスのみ)
  • ロールベース
  • 内部使用のみ

階層とトークン

セキュリティ名前空間は、階層型でもフラット型でもかまいません。 階層型名前空間では、有効なアクセス許可が親トークンから子トークンに継承される階層にトークンが存在します。 これに対し、フラット名前空間のトークンには、2 つのトークン間の親子関係の概念はありません。

階層型名前空間内のトークンは、各パス 部分の固定長または可変長のいずれかです。 トークンに可変長パス部分がある場合は、区切り文字を使用して、1 つのパス パーツが終了し、もう 1 つのパス パーツが開始する場所を区別します。

セキュリティ トークンでは、大文字と小文字は区別されません。 さまざまな名前空間のトークンの例については、次のセクションを参照してください。

オブジェクト レベルの名前空間とアクセス許可

次の表では、オブジェクト レベルのアクセス許可を管理する名前空間について説明します。 これらのアクセス許可のほとんどは、各オブジェクトの Web ポータル ページを使用して管理されます。 権限はプロジェクト レベルで設定され、明示的に変更されない限りオブジェクト レベルで継承されます。


Namespace

アクセス許可

説明


AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

レポートの読み取り、編集、削除、生成を行うプロジェクト レベルおよびオブジェクト レベルのアクセス許可を Analytics ビューで管理します。 これらのアクセス許可は、ユーザー インターフェイスから 分析ビューごとに管理できます

プロジェクト レベルのアクセス許可のトークン形式: $/Shared/PROJECT_ID
例: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba


ビルド

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

プロジェクト レベルおよびオブジェクト レベルでビルド権限を管理します。

プロジェクト レベルのビルドアクセス許可のトークン形式: PROJECT_ID
特定のビルド定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのビルド定義のセキュリティ トークンは次の例のようになります。
プロジェクト レベルの特定のビルドアクセス許可のトークン形式: PROJECT_ID/12
例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

子ノードを作成、編集、削除するためのエリア パス オブジェクト レベルのアクセス許可を管理し、ノード内の作業項目を表示または編集するためのアクセス許可を設定します。 詳細については、「 作業追跡のアクセス許可とアクセスの設定」、子ノードの作成、領域パスの下の作業項目の変更を参照してください。
トークン形式の例: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


DashboardsPrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

ダッシュボードを編集および削除するためのダッシュボード オブジェクト レベルのアクセス許可を管理し、プロジェクト ダッシュボードのアクセス許可を管理します。 これらのアクセス許可は、 dashboards ユーザー インターフェイスを使用して管理できます。

ID: 8adf73b7-389a-4276-b638-fe1653f7efc7


Git リポジトリ

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

プロジェクト レベルおよびオブジェクト レベルで Git リポジトリのアクセス許可を管理します。 これらのアクセス許可は、 プロジェクト設定のリポジトリ管理インターフェイスを使用して管理できます。

Administerアクセス許可は、2017 年いくつかのより細かいアクセス許可に分割されており、使用しないでください。
プロジェクト レベルのアクセス許可のトークン形式: repoV2/PROJECT_ID
リポジトリ レベルのアクセス許可を更新するには、 を追加 RepositoryID する必要があります。

リポジトリ固有のアクセス許可のトークン形式: repoV2/PROJECT_ID/REPO_ID

ブランチ レベルのアクセス許可のトークン形式についてはセキュリティ サービスの git リポジトリ トークンで説明されています。

ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


イテレーション

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

子ノードの作成、編集、削除、および子ノードのアクセス許可の表示を行う反復パス オブジェクト レベルのアクセス許可を管理します。 Web ポータルを使用して管理するには、「 作業追跡のアクセス許可とアクセス権を設定する」の「子ノードの作成」を参照してください。
トークンの形式: 'vstfs:///Classification/Node/Iteration_Identifier/'
たとえば、チームに対して次のイテレーションが構成されているとします。
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1のアクセス許可を更新するには、セキュリティ トークンは次の例のようになります。
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

タスク グループを編集および削除するためのタスク グループのアクセス許可を管理し、タスク グループのアクセス許可を管理します。 Web ポータルを使用して管理するには、「 パイプラインのアクセス許可とセキュリティ ロール、タスク グループのアクセス許可」を参照してください。

プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
metaTask レベルのアクセス許可のトークン形式: PROJECT_ID/METATASK_ID

MetaTask に parentTaskId がある場合、セキュリティ トークンは次の例のようになります。
トークンの形式: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436


プラン

View
Edit
Delete
Manage

配信プランを 表示、編集、削除、管理するための配信プランのアクセス許可を管理します。 これらのアクセス許可は、 各プランの Web ポータルを使用して管理できます。

ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

プロジェクトおよびオブジェクト レベルでリリース定義のアクセス許可を管理します

プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
特定のリリース定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのリリース定義のセキュリティ トークンは次のようになります。

特定のリリース定義のアクセス許可のトークン形式: PROJECT_ID/12
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
リリース定義 ID がフォルダーに存在する場合、セキュリティ トークンは次のようになります。
トークンの形式: PROJECT_ID/{folderName}/12
ステージの場合、トークンは のようになります。 PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}

ID: c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

作業項目クエリとクエリ フォルダーのアクセス許可を管理します。 Web ポータルでこれらのアクセス許可を管理するには、「 クエリまたはクエリ フォルダーに対するアクセス許可を設定するを参照してください。 トークン形式の例: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680


プロジェクト レベルの名前空間とアクセス許可

次の表では、プロジェクト レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、 Web ポータルの管理コンテキストを使用して管理されます。 プロジェクト管理者にはすべてのプロジェクト レベルのアクセス許可が付与され、他のプロジェクト レベルのグループには特定のアクセス許可が割り当てられます。


Namespace

アクセス許可

説明


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

プロジェクト レベルのアクセス許可を管理します
アクセス許可はAGILETOOLS_BACKLOG、Azure Boardsバックログへのアクセスを管理します。 この設定は内部アクセス許可の設定であり、変更しないでください。

ルート トークンの形式: $PROJECT
組織内の各プロジェクトのアクセス許可をセキュリティで保護するためのトークン。
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
という名前のプロジェクトがあるとします Test Project 1
コマンドを使用az devops project showして、このプロジェクトのプロジェクト ID を取得できます。
az devops project show --project "Test Project 1"
コマンドは、プロジェクト ID (例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba) を返します。
そのため、プロジェクト関連のアクセス許可 Test Project 1 をセキュリティで保護するトークンは次のとおりです。
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


タグ付け

Enumerate
Create
Update
Delete

作業項目タグを作成、削除、列挙、および使用するためのアクセス許可を管理します。 作成タグ定義アクセス許可は、アクセス許可管理インターフェイスを使用して管理できます

プロジェクト レベルのアクセス許可のトークン形式: /PROJECT_ID
例: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Team Foundation バージョン管理 (TFVC) リポジトリのアクセス許可を管理します。 プロジェクト用の TFVC リポジトリは 1 つだけです。 これらのアクセス許可は、 repositories 管理インターフェイスを使用して管理できます。

ID: a39371cf-0841-4c16-bbd3-276e341bc052


組織レベルの名前空間とアクセス許可

次の表では、組織レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、Web ポータルの 組織設定 コンテキストを使用して管理されます。 Organization の所有者Project Collection Administrators グループのメンバーには、これらのアクセス許可のほとんどが付与されます。 詳細については、「 プロジェクト コレクション レベルのアクセス許可を変更する」を参照してください。

コレクション レベルの名前空間とアクセス許可

次の表では、組織レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、Web ポータルの [コレクション設定 ] コンテキストを使用して管理されます。 Project Collection Administrators グループのメンバーには、これらのアクセス許可の大部分が付与されます。 詳細については、「 プロジェクト コレクション レベルのアクセス許可を変更する」を参照してください。


Namespace

アクセス許可

説明


AuditLog

Read
Write
Manage_Streams
Delete_Streams

監査ログの読み取りまたは書き込み、監査ストリームの管理または削除を行う監査アクセス許可を管理します。

トークンの形式: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


コレクション

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

組織またはコレクション レベルでアクセス許可を管理します。

ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7


Process

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Workspaces

Read
Use
Checkin
Administer

棚上げされた変更、ワークスペース、および組織またはコレクション レベルでワークスペースを作成する機能を管理するためのアクセス許可を管理します。 Workspaces 名前空間は TFVC リポジトリに適用されます。

ルート トークンの形式: /
特定のワークスペースのトークン形式: /{workspace_name};{owner_id}

ID: 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Team Foundation バージョン管理 (TFVC) リポジトリのアクセス許可を管理します。

アクセス許可を AdminConfiguration 使用すると、ユーザーとグループのサーバー レベルのアクセス許可を編集できます。 このアクセス許可により、ユーザーは AdminConnections 、オンプレミスのサーバー レベルのリポジトリのファイルまたはフォルダーの内容を読み取る権限が付与されます。

ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3


サーバー レベルの名前空間とアクセス許可

次の表では、Azure DevOps Serverのオンプレミス インスタンスに対して定義されているセキュリティ名前空間とアクセス許可について説明します。 Azure DevOps Server管理コンソールを使用して、Team Foundation Administrators グループのメンバーに付与されるこれらのアクセス許可を管理できます。 これらのアクセス許可の詳細については、「 アクセス許可とグループ、サーバー レベルのアクセス許可」を参照してください。


Namespace

アクセス許可

説明


CollectionManagement

CreateCollection
DeleteCollection

プロジェクト コレクションを作成および削除するためのアクセス許可セットをサーバー レベルで管理します。

ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


サーバー

GenericRead
GenericWrite
Impersonate
TriggerEvent

サーバー レベルで設定されたアクセス許可を管理します。 インスタンス レベルの情報を編集し、他のユーザーに代わって要求を行い、イベントをトリガーするアクセス許可が含まれています。

ID: 1f4179b3-6bac-4d01-b421-71ea09171400


Warehouse

Administer

ウェアハウス コントロール Web サービスを使用して、データ ウェアハウスまたはSQL Server分析キューブの設定を処理または変更するアクセス許可を付与します。

ID: b8fbab8b-69c8-4cd9-98b5-873656788efb


ロールベースの名前空間とアクセス許可

次の表では、ロールベースのセキュリティを管理するために使用されるセキュリティ名前空間とアクセス許可について説明します。 「 パイプラインのアクセス許可とセキュリティ ロール」の説明に従って、パイプライン リソースの Web ポータルからロールの割り当てを管理できます。


Namespace

アクセス許可

説明


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

エージェント プール リソースにアクセスするためのアクセス許可を管理します。 既定では、次のロールとアクセス許可がプロジェクト レベルで割り当てられ、作成されるエージェント プールごとに継承されます。

  • Project Valid Users グループのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • ビルド管理者、プロジェクト管理者、リリース管理者グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
  • 共同作成者グループのすべてのメンバーに対するユーザー ロール (ViewUse、およびCreateアクセス許可)
  • 共同作成者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)

    ID: 101eae8c-1709-47f9-b228-0e476c35b3ba

環境

View
Manage
ManageHistory
Administer
Use
Create

環境を作成および管理するためのアクセス許可を管理します。 既定では、次のアクセス許可が割り当てられます。

  • Project Valid Users グループのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • 共同作成者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)
  • プロジェクト管理者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)
  • 特定の環境を作成したユーザーに対する管理者ロール (すべてのアクセス許可)。

    ID: 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

マネージャー ロールは、Marketplace 拡張機能のセキュリティを管理するために使用される唯一のロールです。 マネージャー ロールのメンバーは、拡張機能をインストールし、拡張機能のインストール要求に応答できます。 その他のアクセス許可は、既定のセキュリティ グループとサービス プリンシパルのメンバーに自動的に割り当てられます。 マネージャー ロールにユーザーを追加するには、「 拡張機能のアクセス許可を管理する」を参照してください。

ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


ライブラリ

View
Administer
Create
ViewSecrets
Use
Owner

ライブラリ アイテムを作成および管理するためのアクセス許可を管理します。これには、セキュリティで保護されたファイルと変数グループが含まれます。 個々のアイテムのロール メンバーシップは、ライブラリから自動的に継承されます。 既定では、次のアクセス許可が割り当てられます。

  • Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • 共同作成者グループのすべてのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)
  • ライブラリ アイテムを作成したメンバーに対する作成者ロール (ViewUseCreate、および Owner アクセス許可)
  • ビルド管理者、プロジェクト管理者、リリース管理者グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
    詳細については、「 資産セキュリティ ロールのライブラリを参照してください。

    ID: b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

サービス接続を作成および管理するためのアクセス許可を管理します。 個々のアイテムのロール メンバーシップは、プロジェクト レベルのロールから自動的に継承されます。 既定では、次のロールが割り当てられます。

  • Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに対する閲覧者ロール (Viewアクセス許可のみ)
  • Endpoint Creators サービス セキュリティ グループのメンバーに対する作成者ロール (ViewUse、およびCreateアクセス許可)。
  • エンドポイント管理者サービス セキュリティ グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
    ロールは、 サービス接続セキュリティ ロールを介して割り当てられます。

    ID: 49b48001-ca20-4adc-8111-5b60c903a50c

内部名前空間とアクセス許可

次の表では、Web ポータルを介して表示されないセキュリティ名前空間とアクセス許可について説明します。 これらは主に、既定のセキュリティ グループのメンバーまたは内部リソースへのアクセスを許可するために使用されます。 これらのアクセス許可の設定は変更しないことを強くお勧めします。


Namespace

アクセス許可

説明


AccountAdminSecurity

Read
Create
Modify

組織アカウント所有者の読み取りまたは変更を行うアクセス許可を管理します。 これらのアクセス許可は、組織の所有者とプロジェクト コレクション管理者グループのメンバーに割り当てられます。

ID: 11238e09-49f2-40c7-94d0-8f0307204ce4


Analytics

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Analytics サービスに対する読み取り、アクセス許可の管理、クエリの実行を行うアクセス許可を管理します。

プロジェクト レベルのアクセス許可のトークン形式: $/PROJECT_ID
例: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

データ ストアのセキュリティの読み取り、削除、作成、管理を行うアクセス許可を設定します。 これらのアクセス許可は、複数の Azure DevOps サービス プリンシパルに割り当てられます。

ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

アクセス許可とボードへのアクセスを管理します。

ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Azure Boardsとの外部統合の読み取り/書き込みアクセス許可を管理します。

ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


チャット

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Slack や Microsoft Teams などの Azure DevOps と統合されたチャット サービスのアクセス許可を管理します。 詳細については、「Slack のAzure Boards」、「Microsoft Teams でのAzure Boards」、「Slack を使用したAzure Pipelines」、「Microsoft Teams を使用した Azure Pipelines」、「Slack を使用したAzure Repos」、「Microsoft Teams でのAzure Repos」を参照してください。

ID: bc295513-b1a2-4663-8d1a-7017fd760d18


ディスカッション スレッド

Administer
GenericRead
GenericContribute
Moderate

Azure Pipelines のコード レビュー ディスカッションのセットアップを表示、管理、モデレート、および投稿するためのアクセス許可を管理します。

ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

通知ハンドラーの読み取りおよび書き込みアクセス権を付与します。

ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

通知サブスクライバーの読み取りおよび書き込みアクセス権を付与します。

ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

通知の表示、編集、登録解除、または SOAP サブスクリプションの作成を行うメンバーのアクセス許可を管理します。

ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b

ID

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

ユーザー アカウント ID 情報の読み取り、書き込み、削除を行うアクセス許可を管理します。グループ メンバーシップを管理し、ID スコープを作成および復元します。 この ManageMembership 権限は、プロジェクト管理者およびプロジェクト コレクション管理者グループのメンバーに自動的に付与されます。

プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
グループの配信元 ID のグループ レベルのアクセス許可を変更するには [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
トークン: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID: 5a27515b-ccd7-42c9-84f1-54c998f03866


ライセンス

Read
Create
Modify
Delete
Assign
Revoke

ライセンス レベルを表示、追加、変更、および削除する機能を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に付与されます。

ID: 453e2db3-2e81-474f-874d-3bf51027f2ee


PermissionLevel

Read
Create
Update
Delete

アクセス許可レポートを作成およびダウンロードする機能を管理します。

ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

プロジェクト スコープ ユーザー グループをサポートする名前空間にシステム レベルの拒否アクセス許可を適用します。 グループのメンバーは、組織レベルのデータに対する限られた可視性を受け取ります。 詳細については、「 組織の管理」、「プロジェクトのユーザーの可視性を制限する」を参照してください
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

パイプライン キャッシュ エントリの読み取りと書き込みのアクセス許可を管理します。 これらのアクセス許可は、内部の Azure DevOps サービス原則にのみ割り当てられます。
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Release Managementユーザー インターフェイス要素へのアクセスを管理します。

ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


SearchSecurity

ReadMembers ReadAnonymous

このセキュリティ名前空間は、ユーザーが有効か匿名/パブリックであるかを知るために使用されます。

ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160


ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

サービス フック サブスクリプションを表示、編集、削除し、サービス フック イベントを発行するためのアクセス許可を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に割り当てられます。 DeleteSubscriptions は使用されなくなりました。 EditSubscriptions では、サービス フックを削除できます。

ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


UtilizationPermissions

QueryUsageSummary

クエリの使用状況に対するアクセス許可を管理します。 既定では、Project Collection Administrators グループのすべてのメンバーと、関係者アクセス権を付与されたユーザーには、すべてのユーザーの使用状況の概要を照会するアクセス許可が付与されます。 詳細については、「 制限」を参照してください。

トークン形式: /
ID: 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

作業の追跡と添付ファイルの破棄を管理するためのアクセス許可を管理します。
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

作業追跡プロセスを変更し、リンクの種類を管理するためのアクセス許可を管理します。 WorkItemTrackingProvision 名前空間は、以前のバージョンのオンプレミスで主に使用される古いセキュリティ名前空間です。 Process 名前空間は、Azure DevOps Server 2019 以降のバージョンのプロセスを管理するために、この名前空間を置き換えます。

ルート トークンの形式: /$
特定のプロジェクトのトークン形式: $/PROJECT_ID

ID: 5a6cd233-6615-414d-9393-48dbb252bd23


非推奨の名前空間と読み取り専用名前空間

次の名前空間は非推奨または読み取り専用です。 使用しないでください。

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration