Zarządzanie dostępem do określonych funkcji

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

Zarządzanie dostępem do określonych funkcji w usłudze Azure DevOps może mieć kluczowe znaczenie dla utrzymania właściwej równowagi między otwartymi i zabezpieczeniami. Niezależnie od tego, czy chcesz przyznać grupie użytkowników, czy ograniczyć dostęp do określonych funkcji, zrozumienie elastyczności poza standardowymi uprawnieniami udostępnianymi przez wbudowane grupy zabezpieczeń jest kluczem.

Jeśli dopiero zaczynasz korzystać z uprawnień i grup, zobacz Wprowadzenie do uprawnień, dostępu i grup zabezpieczeń. W tym artykule opisano podstawowe informacje o stanach uprawnień i sposobie ich dziedziczenia.

Napiwek

Struktura projektu w usłudze Azure DevOps odgrywa kluczową rolę w określaniu stopnia szczegółowości uprawnień na poziomie obiektu, takich jak repozytoria i ścieżki obszaru. Ta struktura jest podstawą, która umożliwia dostosowanie mechanizmów kontroli dostępu, co umożliwia określenie, które obszary są dostępne lub ograniczone. Aby uzyskać więcej informacji, zobacz About projects and scaling your organization (Informacje o projektach i skalowaniu organizacji).

Warunki wstępne

Kategoria	Wymagania
Uprawnienia użytkownika	Członek grupy Administratorów Kolekcji Projektu . Właściciele organizacji są automatycznie członkami tej grupy.

Korzystanie z grup zabezpieczeń

Aby zapewnić optymalną konserwację, zalecamy użycie domyślnych grup zabezpieczeń lub stworzenie niestandardowych grup zabezpieczeń w celu zarządzania uprawnieniami. Ustawienia uprawnień dla administratorów projektów i Administratorzy kolekcji projektów są ustalane zgodnie z projektem i nie można ich zmienić. Jednak masz elastyczność modyfikowania uprawnień dla wszystkich innych grup.

Zarządzanie uprawnieniami dla kilku użytkowników indywidualnie może wydawać się możliwe, ale niestandardowe grupy zabezpieczeń zapewniają bardziej zorganizowane podejście. Usprawniają one nadzór nad rolami i ich skojarzonymi uprawnieniami, zapewniając przejrzystość i łatwość projektowania zarządzania i nie można ich zmienić. Jednak masz elastyczność modyfikowania uprawnień dla wszystkich innych grup.

Delegowanie zadań do określonych ról

Jako administrator lub właściciel organizacji delegowanie zadań administracyjnych do członków zespołu, którzy nadzorują określone obszary, jest podejściem strategicznym. Podstawowe wbudowane role wyposażone w wstępnie zdefiniowane uprawnienia i przypisania ról obejmują:

• Czytelnicy: mają dostęp tylko do odczytu do projektu.
• Współautorzy: może współtworzyć projekt, dodając lub modyfikując zawartość.
• Administrator zespołu: zarządzanie ustawieniami i uprawnieniami związanymi z zespołem.
• Administratorzy projektu: mają uprawnienia administracyjne do projektu.
• Administratorzy kolekcji projektów: nadzoruj całą kolekcję projektów i mają najwyższy poziom uprawnień.

Te role ułatwiają dystrybucję obowiązków i usprawniają zarządzanie obszarami projektu.

Aby uzyskać więcej informacji, zobacz Uprawnienia domyślne i dostęp oraz Zmienianie uprawnień na poziomie kolekcji projektów.

Aby delegować zadania do innych członków w organizacji, rozważ utworzenie niestandardowej grupy zabezpieczeń, a następnie przyznanie uprawnień zgodnie z poniższą tabelą.

Rola

Zadania do wykonania

Uprawnienia do ustawienia opcji Zezwalaj

Główny lider programowania (Git)

Zarządzanie zasadami gałęzi

Edytowanie zasad, wymuszanie wypychania i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień gałęzi.

Lider ds. programowania (Team Foundation Version Control (TFVC))

Zarządzanie repozytorium i gałęziami

Administrowanie etykietami, zarządzanie gałęzią i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień repozytorium TFVC.

Architekt oprogramowania (Git)

Zarządzanie repozytoriami

Tworzenie repozytoriów, wymuszanie wypychania i zarządzanie uprawnieniami
Zobacz Ustawianie uprawnień repozytorium Git

Administratorzy zespołu

Dodawanie ścieżek obszaru dla swojego zespołu
Dodawanie udostępnionych zapytań dla swojego zespołu

Tworzenie węzłów podrzędnych, Usuwanie tego węzła, Edytowanie tego węzła Zobacz Tworzenie węzłów podrzędnych, modyfikowanie elementów roboczych pod ścieżką obszaru
Współtworzenie, usuwanie i zarządzanie uprawnieniami (dla folderu zapytania), zobacz Ustawianie uprawnień zapytania.

Współautorzy

Dodawanie udostępnionych zapytań w folderze zapytania Współtworzenie pulpitów nawigacyjnych

Współtworzenie, usuwanie (w przypadku folderu zapytania), zobacz Ustawianie uprawnień zapytania
Wyświetlanie, edytowanie pulpitów nawigacyjnych i zarządzanie nimi— zobacz Ustawianie uprawnień pulpitu nawigacyjnego.

Projekt lub menedżer produktu

Dodawanie ścieżek obszaru, ścieżek iteracji i udostępnionych zapytań
Usuwanie i przywracanie elementów roboczych, Przenoszenie elementów roboczych z tego projektu, Trwałe usuwanie elementów roboczych

Edytowanie informacji na poziomie projektu. Zobacz Zmienianie uprawnień na poziomie projektu.

Menedżer szablonów procesów (model procesu dziedziczenia)

Dostosowywanie śledzenia pracy

Administrowanie uprawnieniami procesów, Tworzenie nowych projektów, Tworzenie procesu, Usuwanie pola z konta, Usuwanie procesu, Usuwanie projektu, Edytowanie procesu
Zobacz Zmienianie uprawnień na poziomie kolekcji projektów.

Menedżer szablonów procesów (hostowany model przetwarzania XML)

Dostosowywanie śledzenia pracy

Edytuj informacje na poziomie kolekcji, zobacz Zmienianie uprawnień na poziomie kolekcji projektów.

Zarządzanie projektem (lokalny model procesu XML)

Dostosowywanie śledzenia pracy

Edytowanie informacji na poziomie projektu. Zobacz Zmienianie uprawnień na poziomie projektu.

Menedżer uprawnień

Zarządzanie uprawnieniami dla projektu, konta lub kolekcji

W przypadku projektu edytuj informacje na poziomie projektu
W przypadku konta lub kolekcji edytuj informacje na poziomie wystąpienia (lub na poziomie kolekcji)
Aby zrozumieć zakres tych uprawnień, zobacz Przewodnik wyszukiwania uprawnień. Aby zażądać zmiany uprawnień, zobacz Żądanie zwiększenia poziomów uprawnień.

Oprócz przypisywania uprawnień do osób można zarządzać uprawnieniami dla różnych obiektów w usłudze Azure DevOps. Te obiekty obejmują:

• Repozytoria Git
• Gałęzie usługi Git
• Repozytoria TFVC
• Tworzenie i wydawanie potoków
• Witryny typu wiki.

Te linki zawierają szczegółowe instrukcje i wskazówki dotyczące efektywnego konfigurowania uprawnień i zarządzania nimi w odpowiednich obszarach w usłudze Azure DevOps.

Ogranicz widoczność użytkownika

Ostrzeżenie

Podczas korzystania z tej funkcji w wersji zapoznawczej należy wziąć pod uwagę następujące ograniczenia:

• Funkcje ograniczonej widoczności opisane w tej sekcji dotyczą tylko interakcji za pośrednictwem portalu internetowego. Za pomocą interfejsów API REST lub azure devops poleceń interfejsu wiersza polecenia członkowie projektu mogą uzyskiwać dostęp do ograniczonych danych.
• Użytkownicy w ograniczonej grupie mogą wybierać tylko użytkowników, którzy są jawnie dodawani do usługi Azure DevOps, a nie do użytkowników, którzy mają dostęp za pośrednictwem członkostwa w grupie Microsoft Entra.
• Użytkownicy-goście, którzy są członkami ograniczonej grupy z domyślnym dostępem w identyfikatorze Entra firmy Microsoft, nie mogą wyszukiwać użytkowników z selektorem osób.

Organizacje i projekty

Domyślnie użytkownicy dodani do organizacji mogą wyświetlać wszystkie informacje i ustawienia organizacji oraz projektu. Można ograniczyć dostęp określonych użytkowników, takich jak interesariusze, użytkownicy Microsoft Entra lub członkowie określonej grupy zabezpieczeń, korzystając z funkcji w wersji zapoznawczej Ogranicz widoczność i współpracę użytkowników do określonych projektów dla organizacji. Gdy funkcja zostanie włączona, każdy użytkownik lub grupa, która zostanie dodana do grupy Project-Scoped Użytkownicy, będzie ograniczona w następujący sposób:

• Dostęp jest ograniczony tylko do projektów, do których są jawnie dodawane.
• Widoki wyświetlające listy użytkowników, projektów, szczegółów rozliczeń, danych użycia i nie tylko, dostępne poprzez ustawienia organizacji, są ograniczone w dostępie.
• Zestaw osób lub grup wyświetlanych w wyborach wyszukiwania selektora osób i możliwość @mention osób jest ograniczona.

Wyszukiwanie i wybieranie tożsamości

Za pomocą identyfikatora Entra firmy Microsoft możesz użyć selektorów osób do wyszukiwania dowolnego użytkownika lub grupy w organizacji, a nie tylko tych w bieżącym projekcie. Selektory osób obsługują następujące funkcje usługi Azure DevOps:

• Wybór tożsamości użytkownika z pola tożsamości śledzenia pracy, na przykład Przypisane do
• Wybór użytkownika lub grupy przy użyciu @mention w dyskusji o elemencie roboczym lub w polu tekstu sformatowanego, dyskusji na żądanie ściągnięcia, zatwierdzenia komentarzy lub komentarzy na półce lub zestawu zmian
• Wybór użytkownika lub grupy przy użyciu @mention ze strony typu wiki

Jak pokazano na poniższej ilustracji, zacznij wprowadzać nazwę użytkownika lub grupy zabezpieczeń do pola selektora osób, dopóki nie znajdziesz dopasowania.

Użytkownicy i grupy dodane do grupy Użytkownicy o zakresie projektu mogą wyświetlać i wybierać tylko użytkowników i grupy w projekcie, z którego są połączeni z selektorem osób.

Włączanie funkcji w wersji zapoznawczej i dodawanie użytkowników do grupy zabezpieczeń

Wykonaj następujące kroki, aby włączyć funkcję w wersji zapoznawczej i dodać użytkowników i grupę do grupy użytkowników Project-Scoped:

1. Włącz Ogranicz widoczność i współpracę użytkowników do określonych projektówfunkcji w wersji zapoznawczej dla organizacji.

2. Dodaj użytkowników do projektu zgodnie z opisem w temacie Dodawanie użytkowników do projektu lub zespołu. Użytkownicy dodani do zespołu są automatycznie dodawani do grupy projektu i zespołu.

3. Otwórz Organizacji Uprawnienia>i wybierz pozycję > z zakresem projektu. Wybierz kartę Członkowie.

4. Dodaj wszystkich użytkowników i grupy, do których chcesz ograniczyć zakres do projektu, do którego zostaną dodane. Aby uzyskać więcej informacji, zobacz Ustawianie uprawnień na poziomie projektu lub kolekcji.

   Grupa użytkownicy Project-Scoped jest wyświetlana tylko w obszarze uprawnienia grupy>, gdy funkcja Ogranicz widoczność i współpracę użytkowników do określonych projektów w wersji zapoznawczej jest włączona.

Wszystkie grupy zabezpieczeń w usłudze Azure DevOps są uznawane za jednostki na poziomie organizacji, nawet jeśli mają uprawnienia tylko do określonego projektu. Oznacza to, że grupy zabezpieczeń są zarządzane na poziomie organizacji.

W portalu internetowym widoczność niektórych grup zabezpieczeń może być ograniczona na podstawie uprawnień użytkownika. Można jednak nadal odnajdywać nazwy wszystkich grup zabezpieczeń w organizacji przy użyciu narzędzia azure devops interfejsu wiersza polecenia lub interfejsów API REST. Aby uzyskać więcej informacji, zobacz Dodawanie grup zabezpieczeń i zarządzanie nimi.

Ograniczanie dostępu do wyświetlania lub modyfikowania obiektów

Usługa Azure DevOps została zaprojektowana tak, aby umożliwić wszystkim autoryzowanym użytkownikom wyświetlanie wszystkich zdefiniowanych obiektów w systemie. Można jednak dostosować dostęp do zasobów, ustawiając stan uprawnień na Odmów. Możesz ustawić uprawnienia dla członków należących do niestandardowej grupy zabezpieczeń lub dla poszczególnych użytkowników. Aby uzyskać więcej informacji, zobacz Żądanie zwiększenia poziomów uprawnień.

Obszar do ograniczenia

Uprawnienia do ustawienia na Odmów

Wyświetlanie lub współtworzenie repozytorium

Wyświetlanie, współtworzenie

Zobacz Ustawianie uprawnień repozytorium Git lub Ustawianie uprawnień repozytorium TFVC.

Wyświetlanie, tworzenie lub modyfikowanie elementów roboczych w ścieżce obszaru

Edytuj elementy robocze w tym węźle, Wyświetl elementy robocze w tym węźle
Zobacz Ustawianie uprawnień i dostępu do śledzenia pracy, Modyfikowanie elementów roboczych w ścieżce obszaru.

Wyświetlanie lub aktualizowanie potoków kompilacji i wydania

Edytowanie potoku kompilacji, Wyświetlanie potoku kompilacji
Edytowanie potoku wydania, Wyświetlanie potoku wydania
Te uprawnienia są ustawiane na poziomie obiektu. Zobacz Ustawianie uprawnień kompilacji i wydania.

Edytowanie pulpitu nawigacyjnego

Wyświetl pulpity nawigacyjne
Zobacz Ustawianie uprawnień pulpitu nawigacyjnego.

Ograniczanie modyfikacji elementów roboczych lub wybieranie pól

Przykłady ilustrujące sposób ograniczania modyfikacji elementów roboczych lub wybierania pól można znaleźć w temacie Przykładowe scenariusze reguł.

Następne kroki

Usuwanie kont użytkowników

Powiązane artykuły

• Wyświetlanie dostępu i domyślnych uprawnień
• Użyj przewodnika do wyszukiwania uprawnień
• Wprowadzenie do uprawnień, dostępu i grup zabezpieczeń
• Zapoznaj się z uprawnieniami i grupami
• Zmienianie uprawnień na poziomie projektu
• Zmienianie uprawnień na poziomie kolekcji projektów