Устранение неполадок с доступом и разрешениями
Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019
Из-за обширной структуры безопасности и разрешений Azure DevOps может потребоваться изучить, почему пользователь не имеет доступа к проекту, службе или функции, которые они ожидают. Найдите пошаговые инструкции по пониманию и устранению проблем, с которыми пользователь может столкнуться при подключении к проекту или доступе к службе Или функции Azure DevOps.
Необходимые условия
| Категория | Требования |
|---|---|
| Права доступа | Управление разрешениями или группами на уровне организации или коллекции: член группы безопасности администраторов коллекции проектов. Если вы создали организацию или коллекцию, вы автоматически входите в эту группу. |
| рекомендация | Прежде чем использовать это руководство, рекомендуется ознакомиться со следующим содержимым: - Начало работы с разрешениями, доступом и группами безопасности - разрешения по умолчанию и краткий справочник. |
Совет
При создании группы безопасности Azure DevOps пометьте ее четко, чтобы указать, предназначена ли она для ограничения доступа.
Разрешения можно задать на следующих уровнях:
- Уровень объекта
- Уровень проекта
- Уровень организации или коллекции проектов
- Роль безопасности
- Роль администратора команды
Распространенные проблемы с доступом и разрешениями
См. наиболее распространенные причины, по которым член проекта не может получить доступ к проекту, службе или функции:
| Проблема | Устранение неполадок |
|---|---|
| Уровень их доступа не позволяет доступ к службе или функции. | Чтобы определить, является ли это причиной, определите уровень доступа пользователя и состояние подписки. |
| Их членство в группе безопасности не предоставляет доступ к функции или им было явно отказано в доступе к функции. | Чтобы определить, является ли это причиной, проследите разрешение. |
| Недавно пользователю было предоставлено разрешение, но клиенту требуется обновление, чтобы распознать изменения. | Обновите или переоцените разрешения пользователя. |
| Пользователь пытается воспользоваться функцией, предоставленной только администратору для определенной команды, однако эта роль ему не предоставлена. | Чтобы добавить их к роли, см. статью Добавление и удаление администратора команды. |
| Пользователь не включает функцию предварительной версии. | Предложите пользователю открыть функции предварительного просмотра и определить состояние ('вкл.' или 'выкл.') для конкретной функции. Дополнительные сведения см. в разделе "Управление предварительными версиями функций". |
| Участник проекта был добавлен в группу безопасности с ограниченной областью видимости, например, в группу «Пользователи с областью, ограниченной проектом». | Чтобы определить, является ли это причиной, найдите членство в группах безопасности пользователя. |
Менее распространенные проблемы с доступом и разрешениями
Менее распространенными причинами ограниченного доступа являются случаи, когда произошло одно из следующих событий:
| Проблема | Устранение неполадок |
|---|---|
| Администратор проекта отключил службу. В этом случае никто не имеет доступа к отключенной службе. | Чтобы определить, отключена ли служба, см . раздел "Включение или отключение службы Azure DevOps". |
| Администратор коллекции проектов отключил функцию предварительной версии, которая отключает ее для всех участников проекта в организации. | См. раздел "Управление предварительными версиями функций". |
| Правила групп, управляющие уровнем доступа пользователя или членством в проекте, ограничивают доступ. | См. статью "Определение уровня доступа пользователя" и состояния подписки. |
| Пользовательские правила были определены для рабочего процесса для типа рабочего элемента. | Смотрите правила, применяемые к типу рабочего элемента, ограничивающие операцию выбора. |
Определение уровня доступа пользователя и состояния подписки
Вы можете назначить пользователей или группы пользователей одному из следующих уровней доступа:
- Заинтересованное лицо
- Базовая
- План "Базовый" + тестовые планы
- Подписка Visual Studio
- GitHub Enterprise
Дополнительные сведения об ограничении уровней доступа в Azure DevOps см. в статье "Поддерживаемые уровни доступа".
Чтобы использовать функции Azure DevOps, пользователи должны быть добавлены в группу безопасности с соответствующими разрешениями и иметь доступ к веб-порталу. Ограничения функций основаны на уровне доступа пользователя и группе безопасности.
Пользователи могут потерять доступ по следующим причинам:
| Причина потери доступа | Устранение неполадок |
|---|---|
| Срок действия подписки Visual Studio пользователя истек. | Этот пользователь может работать в качестве заинтересованной стороны, или вы можете предоставить пользователю базовый доступ, пока он не продлит подписку. После входа пользователя Azure DevOps автоматически восстанавливает доступ. |
| Подписка Azure, используемая для выставления счетов, больше не активна. | Все покупки, сделанные с этой подпиской, затрагиваются, включая подписки Visual Studio. Чтобы устранить эту проблему, посетите портал учетной записи Azure. |
| Подписка Azure, используемая для выставления счетов, удалена из вашей организации. | Дополнительные сведения о подключении вашей организации |
В противном случае пользователи, которые дольше всех не входили в вашу организацию, первыми теряют доступ. Если у вашей организации есть пользователи, которым больше не нужен доступ, удалите их из вашей организации.
Дополнительные сведения о разрешениях см. в разделе "Разрешения и группы" и в руководстве по поиску разрешений.
Отслеживание разрешения
Используйте трассировку разрешений, чтобы определить, почему разрешения пользователя не разрешают им доступ к определенной функции или функции. Узнайте, как пользователь или администратор могут исследовать наследование разрешений. Чтобы отследить разрешение на веб-портале, откройте страницу разрешений или безопасности соответствующего уровня. Дополнительные сведения см. в статье "Запрос на увеличение уровней разрешений".
Если у пользователя возникли проблемы с разрешениями, и вы используете группы безопасности по умолчанию или настраиваемые группы для разрешений, используйте трассировку, чтобы изучить, откуда приходят эти разрешения. Проблемы с разрешениями могут возникать из-за задержки изменений. Распространение изменений в членстве в группах Microsoft Entra или разрешениях по всему Azure DevOps может занять до 1 часа. Если у пользователя возникли проблемы, которые не устраняются немедленно, подождите день, чтобы увидеть, разрешатся ли они. Дополнительные сведения об управлении пользователями и доступом см. в статье "Управление пользователями и доступом в Azure DevOps".
Если у пользователя возникли проблемы с разрешениями и вы используете группы безопасности по умолчанию или настраиваемые группы для разрешений, вы можете изучить, откуда эти разрешения приходят с помощью трассировки разрешений. Проблемы с разрешениями могут быть вызваны тем, что у пользователя нет необходимого уровня доступа.
Пользователи могут получать свои действующие разрешения напрямую или через группы.
Выполните следующие действия, чтобы администраторы могли понять, откуда именно эти разрешения приходят, и настроить их по мере необходимости.
Выберите Настройки проекта>Разрешения>Пользователи, а затем выберите пользователя.
Теперь у вас должен быть пользовательский интерфейс, показывающий, какие у них есть разрешения.
Чтобы отследить, почему у пользователя есть или нет указанных разрешений, выберите значок сведений рядом с разрешением.
Результирующая трассировка позволяет узнать, как они наследуют указанные разрешения. Затем вы можете настроить разрешения пользователя, изменив разрешения, предоставленные для групп, в которых они находятся.
Выберите "Безопасность параметров>проекта" и введите имя пользователя в поле фильтра.
Теперь у вас должен быть пользовательский вид, который показывает, какие у них есть разрешения.
Определение причин, по которым у пользователя есть или нет указанных в списке разрешений. Наведите указатель мыши на разрешение и выберите "Почему".
Полученная трассировка позволяет узнать, как они перенимают указанные разрешения. Затем вы можете настроить разрешения пользователя, изменив разрешения, предоставленные для групп, в которых они находятся.
Дополнительные сведения см. в разделе "Управление доступом к определенным функциям и функциям " или "Запросить увеличение уровней разрешений".
Обновление или переоценка разрешений
См. следующий сценарий, в котором может потребоваться обновление или повторное вычисление разрешений.
Проблема
Пользователи добавляются в группу Azure DevOps или Microsoft Entra. Это действие предоставляет унаследованный доступ к организации или проекту. Но они не получают доступ немедленно. Пользователям нужно либо подождать, либо выйти из системы, закрыть браузер, а затем снова войти в систему, чтобы обновить свои разрешения.
Пользователи добавляются в группу Azure DevOps. Это действие предоставляет унаследованный доступ к организации или проекту. Но они не получают доступ немедленно. Пользователи должны или подождать, или выйти из системы, закрыть браузер, а затем войти снова, чтобы обновить свои разрешения.
Решение
Перейдите к 
Параметры пользователя>Разрешения>Повторно оценить разрешения. Эта функция повторно оценивает ваше членство в группах и разрешения, и затем все последние изменения вступят в силу немедленно.
Правила, применяемые к типу рабочего элемента, ограничивающим операции выбора
Перед тем как настроить процесс, рекомендуется ознакомиться с Настройкой и кастомизацией Досок Azure, которая содержит рекомендации по настройке Досок Azure в соответствии с вашими бизнес-потребностями.
Дополнительную информацию о правилах типов рабочих элементов, ограничивающих операции, см. в следующей статье:
- Применение правил к состояниям рабочего процесса (процесс наследования)
- Примеры сценариев правил
- Определение путей к областям и назначение их команде
Скрытие параметров организации от пользователей
Если пользователь ограничен просмотром только своих проектов или не может получить доступ к параметрам организации, следующие сведения могут объяснить, почему. Чтобы ограничить доступ пользователей к параметрам организации, включите возможность ограничения видимости пользователей и совместной работы с определенными функциями предварительной версии проектов . Дополнительные сведения, включая информацию о важных вызовах, связанных с безопасностью, см. в разделах, посвященных управлению организацией, ограничению видимости пользователей для проектов и пр.
Примеры ограниченных пользователей включают заинтересованных лиц, гостевых пользователей Microsoft Entra или членов группы безопасности. После включения любой пользователь или группа, добавленная в группу "Пользователи, ограниченные областью проекта", ограничена в доступе к страницам параметров организации, за исключением "Обзор" и "Проекты". Они могут получить доступ только к проектам, к которым они добавляются.
Примеры ограниченных пользователей включают заинтересованных лиц или членов группы безопасности. После активации этой функции любой пользователь или группа, добавленная в группу «Пользователи с областью проекта», имеет ограничен доступ к страницам параметров организации, кроме «Обзор» и «Проекты». Они могут получить доступ только к проектам, к которым они добавляются.
Дополнительные сведения см. в статье "Управление организацией", ограничение видимости пользователей для проектов и многое другое.
Просмотр, добавление и управление разрешениями с помощью CLI
Вы можете просматривать, добавлять и управлять разрешениями на детальном уровне с помощью az devops security permission команд. Дополнительные сведения см. в разделе "Управление разрешениями" с помощью средства командной строки.
Правила группы с меньшими правами
Типы правил группы ранжируются в следующем порядке: Подписчик > Базовый + тестовые планы > Базовый > Заинтересованные стороны. Пользователи всегда получают самый высокий уровень доступа, доступный для них во всех правилах группы, включая все подписки Visual Studio (VS).
Примечание.
- Изменения, внесенные в читателей проектов с помощью правил группы, не сохраняются. Чтобы настроить участников проекта, рассмотрите альтернативные методы, такие как прямое назначение или группы безопасности пользователя.
- Регулярно просматривайте правила, перечисленные на вкладке "Правила группы" на странице "Пользователи". Изменения членства в группе идентификаторов Microsoft Entra будут отображаться в следующей повторной оценке правил группы, которые можно выполнять по запросу, при изменении правила группы или автоматически каждые 24 часа. Azure DevOps обновляет членство в группе Microsoft Entra ежечасно, но обновление динамического членства в группах Microsoft Entra ID может занять до 24 часов.
В следующих примерах демонстрируется, как факторы обнаружения подписчиков включаются в правила группы.
Пример 1. Правило группы дает мне больше доступа
Если у меня есть подписка VS Pro, и я нахожусь в группе с правилом, которое дает мне доступ к базовому пакету и планам тестирования, - что происходит в этом случае?
Ожидается: я получаю базовые и тестовые планы, так как правило группы дает мне больше, чем моя подписка. Назначение правил группы всегда обеспечивает более широкий доступ, а не ограничивает его.
Пример 2. Правило группы дает мне тот же доступ
У меня есть подписка на Visual Studio Test Pro, и я в правиле группы, которое дает мне базовый доступ и тестовые планы — что случится?
Ожидается: я обнаружен в качестве подписчика Visual Studio Test Pro, так как доступ совпадает с правилом группы. Я уже платю за Visual Studio Test Pro, поэтому я не хочу платить еще раз.
Работа с GitHub
См. следующие сведения об устранении неполадок для развертывания кода в Azure DevOps с помощью GitHub.
Проблема
Вы не можете привести остальную часть вашей команды в организацию и проект, несмотря на добавление их в качестве членов. Они получают сообщения электронной почты, но при входе они получают ошибку 401.
Решение
Вы можете войти в Azure DevOps с неправильным удостоверением. Выполните следующие действия:
Закройте все браузеры, включая браузеры, не работающие под управлением Azure DevOps.
Откройте частный или инкогнито сеанс просмотра.
Перейдите по следующему URL-адресу: https://aka.ms/vssignout
Отображается сообщение "Выход из системы". После выхода вас перенаправят на
dev.azure.microsoft.com.Снова войдите в Azure DevOps и выберите другую учетную запись.
Другие области, в которых могут применяться разрешения
- Разрешения области пути
- Теги рабочих элементов
- Перемещение рабочих элементов из проекта
- Удаленные рабочие элементы
- Краткое руководство по разрешениям по умолчанию и доступу к Azure Boards
- Пользовательские правила
- Примеры сценариев настраиваемых правил
- Пользовательские резервные задачи и доски
- Пользовательские элементы управления