Udostępnij za pośrednictwem


Informacje o przestrzeni nazw zabezpieczeń i uprawnieniu dla usługi Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

W tym artykule opisano prawidłowe przestrzenie nazw zabezpieczeń, wymieniono skojarzone uprawnienia i podano linki do dodatkowych informacji. Przestrzenie nazw zabezpieczeń przechowują listy kontroli dostępu (ACL) na tokenach, określając poziom dostępu do różnych jednostek, muszą wykonywać określone akcje dotyczące określonych zasobów. Te jednostki obejmują:

  • Użytkownicy usługi Azure DevOps
  • Właściciele organizacji usługi Azure DevOps
  • Członkowie grup zabezpieczeń usługi Azure DevOps
  • Konta usługi Azure DevOps
  • Jednostki usługi Azure DevOps

Każda rodzina zasobów, takich jak elementy robocze lub repozytoria Git, jest zabezpieczona za pośrednictwem unikatowej przestrzeni nazw. Każda przestrzeń nazw zabezpieczeń zawiera zero lub więcej list ACL. Lista ACL zawiera token, flagę dziedziczą i zestaw zera lub większej liczby wpisów kontroli dostępu (ACL). Każda usługa ACE składa się z deskryptora tożsamości, dozwolonej maski bitów uprawnień i maski bitów odmowy uprawnień. Tokeny są dowolnymi ciągami reprezentującymi zasoby w usłudze Azure DevOps.

Uwaga

Przestrzenie nazw i tokeny są prawidłowe dla wszystkich wersji usługi Azure DevOps. Wymienione tutaj są prawidłowe dla usługi Azure DevOps 2019 i nowszych wersji. Przestrzenie nazw mogą ulec zmianie w czasie. Aby uzyskać najnowszą listę przestrzeni nazw, wykonaj jedną z narzędzi wiersza polecenia lub interfejsu API REST. Niektóre przestrzenie nazw zostały uznane za przestarzałe zgodnie z opisem w sekcji Przestarzałe i przestrzenie nazw tylko do odczytu w dalszej części tego artykułu. Aby uzyskać więcej informacji, zobacz Zapytanie dotyczące przestrzeni nazw zabezpieczeń

Narzędzia do zarządzania uprawnieniami

Zalecaną metodą zarządzania uprawnieniami jest portal internetowy. Jednak aby ustawić uprawnienia, które są niedostępne za pośrednictwem portalu lub do zarządzania szczegółowymi uprawnieniami, użyj narzędzi wiersza polecenia lub interfejsu API REST:

  • W przypadku usług Azure DevOps Services użyj az devops security permission poleceń .
  • W przypadku usługi Azure DevOps Server użyj poleceń TFSSecurity.
  • W przypadku repozytoriów Git usługi Azure DevOps użyj narzędzia wiersza polecenia uprawnienia tf git.
  • W przypadku repozytoriów Kontrola wersji serwera Team Foundation (TFVC) użyj narzędzia wiersza polecenia uprawnień kontroli wersji serwera TEAMVC.

W przypadku wszystkich wystąpień usługi Azure DevOps można również użyć interfejsu API REST zabezpieczeń.

Przestrzenie nazw zabezpieczeń i ich identyfikatory

Wiele przestrzeni nazw zabezpieczeń odpowiada uprawnieniam ustawionym za pośrednictwem strony portalu internetowego Zabezpieczenia lub Uprawnienia . Inne przestrzenie nazw lub określone uprawnienia nie są widoczne w portalu internetowym i domyślnie udzielają dostępu członkom grup zabezpieczeń lub jednostkom usługi Azure DevOps. Te przestrzenie nazw są pogrupowane w następujące kategorie na podstawie sposobu zarządzania nimi za pośrednictwem portalu internetowego:

  • Poziom obiektu
  • Poziom projektu
  • Poziom organizacji lub kolekcji
  • Poziom serwera (tylko lokalnie)
  • Oparte na rolach
  • Tylko do użytku wewnętrznego

Hierarchia i tokeny

Przestrzeń nazw zabezpieczeń może być hierarchiczna lub płaska. W hierarchicznej przestrzeni nazw tokeny istnieją w hierarchii, w której skuteczne uprawnienia są dziedziczone z tokenów nadrzędnych do tokenów podrzędnych. Natomiast tokeny w płaskiej przestrzeni nazw nie mają pojęcia relacji nadrzędny-podrzędny między dwoma tokenami.

Tokeny w hierarchicznej przestrzeni nazw mają stałą długość dla każdej części ścieżki lub zmienną długość. Jeśli tokeny mają części ścieżki o zmiennej długości, znak separatora jest używany do odróżnienia, gdzie kończy się jedna część ścieżki, a druga rozpoczyna się.

Tokeny zabezpieczające nie są uwzględniane wielkości liter. Przykład tokenów dla różnych przestrzeni nazw przedstawiono w poniższych sekcjach.

Przestrzenie nazw i uprawnienia na poziomie obiektu

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie obiektu. Większość tych uprawnień jest zarządzana za pośrednictwem strony portalu internetowego dla każdego obiektu. Uprawnienia są ustawiane na poziomie projektu i dziedziczone na poziomie obiektu, chyba że zostały jawnie zmienione.


Przestrzeń nazw

Uprawnienia

Opis


AnalizaWyglądy

Read
Edit
Delete
Execute
ManagePermissions

Zarządza uprawnieniami widoków analizy na poziomie projektu i na poziomie obiektu, aby odczytywać, edytować, usuwać i generować raporty. Możesz zarządzać tymi uprawnieniami dla każdego widoku analizy z poziomu interfejsu użytkownika.

Format tokenu dla uprawnień na poziomie projektu: $/Shared/PROJECT_ID
Przykład: $/Shared/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: d34d3680-dfe5-4cc6-a949-7d9c68f73cba


Kompilacja

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Zarządza uprawnieniami kompilacji na poziomie projektu i obiektu.

Format tokenu dla uprawnień kompilacji na poziomie projektu: PROJECT_ID
Jeśli musisz zaktualizować uprawnienia dla określonego identyfikatora definicji kompilacji, na przykład 12, token zabezpieczający dla tej definicji kompilacji wygląda następująco:
Format tokenu dla poziomu projektu, określone uprawnienia kompilacji: PROJECT_ID/12
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID: 33344d9c-fc72-4d6f-aba5-fa317101a7e9


CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Zarządza uprawnieniami na poziomie obiektu ścieżki obszaru, aby tworzyć, edytować i usuwać węzły podrzędne oraz ustawiać uprawnienia do wyświetlania lub edytowania elementów roboczych w węźle. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Tworzenie węzłów podrzędnych, modyfikowanie elementów roboczych w ścieżce obszaru.
Przykład formatu tokenu: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: 83e28ad4-2d72-4ceb-97b0-c7726d5502c3


Pulpity nawigacyjnePrivileges

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Zarządza uprawnieniami na poziomie obiektu pulpitu nawigacyjnego do edytowania i usuwania pulpitów nawigacyjnych oraz zarządzania uprawnieniami do pulpitu nawigacyjnego projektu. Te uprawnienia można zarządzać za pomocą interfejsu użytkownika pulpitów nawigacyjnych.

ID: 8adf73b7-389a-4276-b638-fe1653f7efc7


Repozytoria Git

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Zarządza uprawnieniami repozytorium Git na poziomie projektu i na poziomie obiektu. Te uprawnienia można zarządzać za pomocą ustawień projektu, interfejsu administracyjnego Repozytoria.

Uprawnienie Administer zostało podzielone na kilka bardziej szczegółowych uprawnień w 2017 r. i nie powinno być używane.
Format tokenu dla uprawnień na poziomie projektu: repoV2/PROJECT_ID
Musisz dołączyć RepositoryID polecenie , aby zaktualizować uprawnienia na poziomie repozytorium.

Format tokenu dla uprawnień specyficznych dla repozytorium: repoV2/PROJECT_ID/REPO_ID

Format tokenu uprawnień na poziomie gałęzi jest opisany w artykule Tokeny repozytorium Git dla usługi zabezpieczeń.

ID: 2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87


Iteracja

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Zarządza uprawnieniami na poziomie obiektu ścieżki iteracji w celu tworzenia, edytowania i usuwania węzłów podrzędnych oraz wyświetlania uprawnień węzła podrzędnego. Aby zarządzać za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Tworzenie węzłów podrzędnych.
Format tokenu: 'vstfs:///Classification/Node/Iteration_Identifier/'
Załóżmy, że masz następujące iteracji skonfigurowane dla zespołu.
— ProjectIteration1
  TeamIteration1
     — TeamIteration1ChildIteration1
     — TeamIteration1ChildIteration2
     — TeamIteration1ChildIteration3
  TeamIteration2
     — TeamIteration2ChildIteration1
     — TeamIteration2ChildIteration2

Aby zaktualizować uprawnienia dla ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1elementu , token zabezpieczający wygląda następująco:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID: bf7bfa03-b2b7-47db-8113-fa2e002cc5b1


MetaTask

Administer
Edit
Delete

Zarządza uprawnieniami grupy zadań do edytowania i usuwania grup zadań oraz administrowania uprawnieniami grupy zadań. Aby zarządzać za pośrednictwem portalu internetowego, zobacz Uprawnienia potoku i role zabezpieczeń, Uprawnienia grupy zadań.

Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Format tokenu dla uprawnień na poziomie metaTask: PROJECT_ID/METATASK_ID

Jeśli element MetaTask ma element parentTaskId, token zabezpieczeń wygląda jak w poniższym przykładzie:
Format tokenu: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID: f6a4de49-dbe2-4704-86dc-f8ec1a294436


Planowanie

View
Edit
Delete
Manage

Zarządza uprawnieniami planów dostarczania , aby wyświetlać, edytować, usuwać i zarządzać planami dostarczania. Te uprawnienia można zarządzać za pośrednictwem portalu internetowego dla każdego planu.

ID: bed337f8-e5f3-4fb9-80da-81e17d06e7a8


ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Zarządza uprawnieniami definicji wydania na poziomie projektu i obiektu.

Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Jeśli musisz zaktualizować uprawnienia dla określonego identyfikatora definicji wydania, na przykład 12, token zabezpieczający dla tej definicji wydania wygląda następująco:

Format tokenu dla określonych uprawnień definicji wydania: PROJECT_ID/12
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
Jeśli identyfikator definicji wydania znajduje się w folderze, tokeny zabezpieczające wyglądają następująco:
Format tokenu: PROJECT_ID/{folderName}/12
W przypadku etapów tokeny wyglądają następująco: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

ID: c788c23e-1b46-4162-8f5e-d7585343b5de


WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

Zarządza uprawnieniami dla zapytań elementów roboczych i folderów zapytań. Aby zarządzać tymi uprawnieniami za pośrednictwem portalu internetowego, zobacz Ustawianie uprawnień dotyczących zapytań lub folderów zapytań. Przykład formatu tokenu: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID: 71356614-aad7-4757-8f2c-0fb3bff6f680


Przestrzenie nazw i uprawnienia na poziomie projektu

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie projektu. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu administracyjnego portalu internetowego. Administratorzy projektu otrzymują wszystkie uprawnienia na poziomie projektu, podczas gdy inne grupy na poziomie projektu mają określone przypisania uprawnień.


Przestrzeń nazw

Uprawnienia

Opis


Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Zarządza uprawnieniami na poziomie projektu.
Uprawnienie AGILETOOLS_BACKLOG zarządza dostępem do list prac usługi Azure Boards. To ustawienie jest ustawieniem uprawnień wewnętrznych i nie powinno być zmieniane.

Format tokenu głównego: $PROJECT
Token do zabezpieczania uprawnień dla każdego projektu w organizacji.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Załóżmy, że masz projekt o nazwie Test Project 1.
Identyfikator projektu dla tego projektu można uzyskać przy użyciu az devops project show polecenia .
az devops project show --project "Test Project 1"
Polecenie zwraca identyfikator projektu, na przykład xxxxxxxx-a1de-4bc8-b751-188eea17c3ba.
W związku z tym token do zabezpieczania uprawnień związanych z projektem dla Test Project 1 programu to:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Oznaczanie

Enumerate
Create
Update
Delete

Zarządza uprawnieniami do tworzenia, usuwania, wyliczania i używania tagów elementów roboczych. Uprawnienie Tworzenie definicji tagu można zarządzać za pomocą interfejsu administracyjnego uprawnień.

Format tokenu dla uprawnień na poziomie projektu: /PROJECT_ID
Przykład: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: bb50f182-8e5e-40b8-bc21-e8752a1e7ae2


VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Zarządza uprawnieniami do repozytorium Kontrola wersji serwera Team Foundation (TFVC). Istnieje tylko jedno repozytorium TFVC dla projektu. Te uprawnienia można zarządzać za pomocą interfejsu administracyjnego repozytoriów.

ID: a39371cf-0841-4c16-bbd3-276e341bc052


Przestrzenie nazw i uprawnienia na poziomie organizacji

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie organizacji. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu ustawień organizacji portalu internetowego. Właściciel organizacji i członkowie grupy Administratorzy kolekcji projektów otrzymują większość tych uprawnień. Aby uzyskać więcej informacji, zobacz Zmiana uprawnień na poziomie kolekcji projektów.

Przestrzenie nazw i uprawnienia na poziomie kolekcji

W poniższej tabeli opisano przestrzenie nazw, które zarządzają uprawnieniami na poziomie organizacji. Większość wymienionych uprawnień jest zarządzana za pośrednictwem kontekstu ustawień kolekcji portalu internetowego. Członkowie grupy Administratorzy kolekcji projektów otrzymują większość tych uprawnień. Aby uzyskać więcej informacji, zobacz Zmiana uprawnień na poziomie kolekcji projektów.


Przestrzeń nazw

Uprawnienia

Opis


Dziennik inspekcji

Read
Write
Manage_Streams
Delete_Streams

Zarządza uprawnieniami inspekcji w celu odczytu lub zapisu w dzienniku inspekcji oraz zarządzania lub usuwania strumieni inspekcji.

Format tokenu: /AllPermissions
ID: a6cc6381-a1ca-4b36-b3c1-4e65211e82b6


BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies


Kolekcja

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Zarządza uprawnieniami na poziomie organizacji lub kolekcji.

ID: 3e65f728-f8bc-4ecd-8764-7e378b19bfa7


Przetwarzaj

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions


Obszary robocze

Read
Use
Checkin
Administer

Zarządza uprawnieniami do administrowania zmianami, obszarami roboczymi i możliwością tworzenia obszaru roboczego na poziomie organizacji lub kolekcji. Przestrzeń nazw Obszarów roboczych ma zastosowanie do repozytorium TFVC.

Format tokenu głównego: /
Format tokenu dla określonego obszaru roboczego: /{workspace_name};{owner_id}

ID: 93bafc04-9075-403a-9367-b7164eac6b5c


VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Zarządza uprawnieniami do repozytorium Kontrola wersji serwera Team Foundation (TFVC).

Uprawnienie AdminConfiguration umożliwia użytkownikom edytowanie uprawnień na poziomie serwera dla użytkowników i grup. Uprawnienie AdminConnections umożliwia użytkownikom odczytywanie zawartości pliku lub folderu lokalnego repozytorium na poziomie serwera.

ID: 66312704-deb5-43f9-b51c-ab4ff5e351c3


Przestrzenie nazw i uprawnienia na poziomie serwera

W poniższej tabeli opisano te przestrzenie nazw zabezpieczeń i uprawnienia zdefiniowane dla lokalnych wystąpień usługi Azure DevOps Server. Możesz zarządzać tymi uprawnieniami, które są przyznawane członkom grupy Administratorzy programu Team Foundation za pośrednictwem konsoli administracyjnej usługi Azure DevOps Server. Opisy tych uprawnień można znaleźć w temacie Uprawnienia i grupy, Uprawnienia na poziomie serwera.


Przestrzeń nazw

Uprawnienia

Opis


Zarządzanie kolekcją

CreateCollection
DeleteCollection

Zarządza uprawnieniami ustawionymi na poziomie serwera w celu tworzenia i usuwania kolekcji projektów.

ID: 52d39943-cb85-4d7f-8fa8-c6baac873819


Serwer

GenericRead
GenericWrite
Impersonate
TriggerEvent

Zarządza uprawnieniami ustawionymi na poziomie serwera. Obejmuje uprawnienia do edytowania informacji na poziomie wystąpienia, tworzenia żądań w imieniu innych osób i wyzwalania zdarzeń.

ID: 1f4179b3-6bac-4d01-b421-71ea09171400


Magazyn

Administer

Przyznaje uprawnienia do przetwarzania lub zmieniania ustawień magazynu danych lub modułu SQL Server Analysis przy użyciu usługi sieci Web Kontrola magazynu.

ID: b8fbab8b-69c8-4cd9-98b5-873656788efb


Przestrzenie nazw i uprawnienia oparte na rolach

W poniższej tabeli opisano przestrzenie nazw zabezpieczeń i uprawnienia używane do zarządzania zabezpieczeniami opartymi na rolach. Przypisania ról można zarządzać za pośrednictwem portalu internetowego dla zasobów potoku zgodnie z opisem Uprawnienia potoku i role zabezpieczeń.


Przestrzeń nazw

Uprawnienia

Opis


DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Zarządza uprawnieniami dostępu do zasobów puli agentów. Domyślnie następujące role i uprawnienia są przypisywane na poziomie projektu i dziedziczone dla każdej utworzonej puli agentów:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users
  • Rola administratora (wszystkie uprawnienia) do członków grup Administratorzy kompilacji, Administratorzy projektu i Administratorzy wydań.
  • Rola użytkownika (View, Usei Create uprawnienia) do wszystkich członków grupy Współautor
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Współautor

    ID: 101eae8c-1709-47f9-b228-0e476c35b3ba

Środowisko

View
Manage
ManageHistory
Administer
Use
Create

Zarządza uprawnieniami do tworzenia środowisk i zarządzania nimi. Domyślnie przypisywane są następujące uprawnienia:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Współautor
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Administratorzy projektu
  • Rola administratora (wszystkie uprawnienia) do użytkownika, który utworzył określone środowisko.

    ID: 83d4c2e6-e57d-4d6e-892b-b87222b7ad20

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Rola Menedżer jest jedyną rolą używaną do zarządzania zabezpieczeniami rozszerzeń witryny Marketplace. Członkowie roli Menedżer mogą instalować rozszerzenia i odpowiadać na żądania dotyczące instalowania rozszerzeń. Pozostałe uprawnienia są przypisywane automatycznie do członków domyślnych grup zabezpieczeń i jednostek usługi. Aby dodać użytkowników do roli Menedżer, zobacz Zarządzanie uprawnieniami rozszerzenia.

ID: 5d6d7b80-3c63-4ab0-b699-b6a5910f8029


Biblioteka

View
Administer
Create
ViewSecrets
Use
Owner

Zarządza uprawnieniami do tworzenia elementów biblioteki i zarządzania nimi, które obejmują bezpieczne pliki i grupy zmiennych. Członkostwo w rolach dla poszczególnych elementów jest automatycznie dziedziczone z biblioteki. Domyślnie przypisywane są następujące uprawnienia:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users i konta usługi Project Collection Build Service
  • Rola twórcy (View, Usei Create uprawnienia) do wszystkich członków grupy Współautorzy
  • Rola twórcy (View, Use, Createi) Owner do członka, który utworzył element biblioteki
  • Rola administratora (wszystkie uprawnienia) do członków grup Administratorzy kompilacji, Administratorzy projektu i Administratorzy wydań.
    Aby uzyskać więcej informacji, zobacz Role zabezpieczeń zasobów biblioteki.

    ID: b7e84409-6553-448a-bbb2-af228e07cbeb

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Zarządza uprawnieniami do tworzenia połączeń usług i zarządzania nimi. Członkostwo w rolach dla poszczególnych elementów jest automatycznie dziedziczone z ról na poziomie projektu. Domyślnie są przypisywane następujące role:

  • Rola czytelnika (View tylko uprawnienia) do wszystkich członków grupy Project Valid Users i konta usługi Project Collection Build Service
  • Rola twórcy (View, Usei Create uprawnienia) do członków grupy zabezpieczeń usługi Endpoint Creators.
  • Rola administratora (wszystkie uprawnienia) do członków grupy zabezpieczeń usługi Administratorzy punktu końcowego.
    Role są przypisywane za pośrednictwem ról zabezpieczeń połączenia usługi.

    ID: 49b48001-ca20-4adc-8111-5b60c903a50c

Wewnętrzne przestrzenie nazw i uprawnienia

W poniższej tabeli opisano przestrzenie nazw zabezpieczeń i uprawnienia, które nie są udostępniane za pośrednictwem portalu internetowego. Są one używane głównie do udzielania dostępu członkom domyślnych grup zabezpieczeń lub do zasobów wewnętrznych. Zdecydowanie zalecamy, aby nie zmieniać tych ustawień uprawnień w żaden sposób.


Przestrzeń nazw

Uprawnienia

Opis


AccountAdminSecurity

Read
Create
Modify

Zarządza uprawnieniami do odczytu lub modyfikowania właściciela konta organizacji. Te uprawnienia są przypisywane do właściciela organizacji i członków grupy Administrator kolekcji projektów.

ID: 11238e09-49f2-40c7-94d0-8f0307204ce4


Analiza

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Zarządza uprawnieniami do odczytu, administrowania uprawnieniami i wykonywania zapytań względem usługi Analytics.

Format tokenu dla uprawnień na poziomie projektu: $/PROJECT_ID
Przykład: $/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID: 58450c49-b02d-465a-ab12-59ae512d6531


BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Ustawia uprawnienia do odczytu, usuwania, tworzenia i zarządzania zabezpieczeniami magazynu danych. Te uprawnienia są przypisywane do kilku jednostek usługi Azure DevOps.

ID: 19F9F97D-7CB7-45F7-8160-DD308A6BD48E


Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

Zarządza uprawnieniami i dostępem do tablic.

ID: 251e12d9-bea3-43a8-bfdb-901b98c0125e


BoardsExternalIntegration

Read
Write

Zarządza uprawnieniami do odczytu/zapisu integracji zewnętrznych z usługą Azure Boards.

ID: 5ab15bc8-4ea1-d0f3-8344-cab8fe976877


Czat

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Zarządza uprawnieniami dla usług czatów zintegrowanych z usługą Azure DevOps, takimi jak Slack i Microsoft Teams. Aby uzyskać więcej informacji, zobacz Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Slack, Azure Pipelines with Microsoft Teams, Azure Repos with Slack and Azure Repos with Microsoft Teams (Usługa Azure Boards with Slack, Azure Boards with Microsoft Teams, Azure Pipelines with Microsoft Teams), Azure Repos with Microsoft Teams (Azure Pipelines with Microsoft Teams), Azure Repos with Slack and Azure Repos with Microsoft Teams (Usługa Azure Boards with Microsoft Teams).

ID: bc295513-b1a2-4663-8d1a-7017fd760d18


Wątki dyskusji

Administer
GenericRead
GenericContribute
Moderate

Zarządza uprawnieniami do wyświetlania, moderowania i współtworzenia dyskusji dotyczących usługi Azure Pipelines oraz zarządzania nimi.

ID: 0d140cae-8ac1-4f48-b6d1-c93ce0301a12


EventPublish

Read
Write

Przyznaje dostęp do odczytu i zapisu dla programu obsługi powiadomień.

ID: 7cd317f2-adc6-4b6c-8d99-6074faeaf173


EventSubscriber

GENERIC_READ
GENERIC_WRITE

Przyznaje dostęp do odczytu i zapisu dla subskrybentów powiadomień.

ID: 2bf24a2b-70ba-43d3-ad97-3d9e1f75622f


EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Zarządza uprawnieniami członków do wyświetlania, edytowania i anulowania subskrypcji powiadomień lub tworzenia subskrypcji protokołu SOAP.

ID: 58b176e7-3411-457a-89d0-c6d0ccb3c52b

Tożsamość

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Zarządza uprawnieniami do odczytu, zapisu i usuwania informacji o tożsamości konta użytkownika; zarządzanie członkostwem w grupie i tworzenie i przywracanie zakresów tożsamości. Uprawnienie ManageMembership jest automatycznie przyznawane członkom grup Administratorzy projektu i Administratorzy kolekcji projektów.

Format tokenu dla uprawnień na poziomie projektu: PROJECT_ID
Przykład: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
Aby zmodyfikować uprawnienia na poziomie grupy dla identyfikatora źródła grupy [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
Token: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID: 5a27515b-ccd7-42c9-84f1-54c998f03866


Licencjonowanie

Read
Create
Modify
Delete
Assign
Revoke

Zarządza możliwością wyświetlania, dodawania, modyfikowania i usuwania poziomów licencji. Te uprawnienia są automatycznie przyznawane członkom grup Administratorzy kolekcji projektów.

ID: 453e2db3-2e81-474f-874d-3bf51027f2ee


PermissionLevel

Read
Create
Update
Delete

Zarządza możliwością tworzenia i pobierania raportów uprawnień.

ID: 25fb0ed7-eb8f-42b8-9a5e-836a25f67e37


OrganizationLevelData

Project-Scoped Users

Stosuje uprawnienie odmowy na poziomie systemu w przestrzeni nazw, która obsługuje grupę użytkowników o zakresie projektu. Członkowie grupy otrzymują ograniczoną widoczność danych na poziomie organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie organizacją, Ograniczanie widoczności użytkowników dla projektów i nie tylko.
ID: F0003BCE-5F45-4F93-A25D-90FC33FE3AA9


PipelineCachePrivileges

Read
Write

Zarządza uprawnieniami do odczytu i zapisu wpisów pamięci podręcznej potoku. Te uprawnienia są przypisywane tylko do wewnętrznych zasad usługi Azure DevOps.
ID: 62a7ad6b-8b8d-426b-ba10-76a7090e94d5


ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Zarządza dostępem do elementów interfejsu użytkownika usługi Release Management.

ID: 7c7d32f7-0e86-4cd6-892e-b35dbba870bd


Zabezpieczenia wyszukiwania

ReadMembers ReadAnonymous

Ta przestrzeń nazw zabezpieczeń służy do sprawdzania, czy użytkownik jest prawidłowy lub anonimowy/publiczny.

ID: ca535e7e-67ce-457f-93fe-6e53aa4e4160


Elementy servicehook

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Zarządza uprawnieniami do wyświetlania, edytowania i usuwania subskrypcji punktów zaczepienia usługi oraz publikowania zdarzeń punktu zaczepienia usługi. Te uprawnienia są automatycznie przypisywane do członków grupy Administratorzy kolekcji projektów. DeleteSubscriptions nie jest już używany; EditSubscriptions program może usuwać punkty zaczepienia usługi.

ID: cb594ebe-87dd-4fc9-ac2c-6a10a4c92046


UżyciePermisje

QueryUsageSummary

Zarządza uprawnieniami do wykonywania zapytań dotyczących użycia. Domyślnie wszyscy członkowie grup Administratorzy kolekcji projektów i użytkownicy, którym udzielono dostępu uczestnikom projektu, otrzymują uprawnienia do podsumowania użycia zapytań dla wszystkich użytkowników. Aby uzyskać więcej informacji, zobacz Limity szybkości.

Format tokenu: /
ID: 83abde3a-4593-424e-b45f-9898af99034d


WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

Zarządza uprawnieniami do śledzenia i niszczenia załączników przez administratora.
ID: 445d2788-c5fb-4132-bbef-09c4045ad93f


WorkItemTrackingProvision

Administer
ManageLinkTypes

Zarządza uprawnieniami do zmieniania procesów śledzenia pracy i zarządzania typami linków. Przestrzeń nazw WorkItemTrackingProvision to starsza przestrzeń nazw zabezpieczeń używana głównie w starszych wersjach lokalnych. Przestrzeń nazw Proces zastępuje tę przestrzeń nazw do zarządzania procesami w usłudze Azure DevOps Server 2019 i nowszych wersjach.

Format tokenu głównego: /$
Format tokenu dla określonego projektu: $/PROJECT_ID

ID: 5a6cd233-6615-414d-9393-48dbb252bd23


Przestarzałe i tylko do odczytu przestrzenie nazw

Następujące przestrzenie nazw są przestarzałe lub tylko do odczytu. Nie należy ich używać.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration