Hantera åtkomst till specifika funktioner

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Att hantera åtkomst till specifika funktioner i Azure DevOps kan vara avgörande för att upprätthålla rätt balans mellan öppenhet och säkerhet. Oavsett om du vill bevilja eller begränsa åtkomsten till vissa funktioner för en grupp användare är det viktigt att förstå flexibiliteten utöver de standardbehörigheter som tillhandahålls av inbyggda säkerhetsgrupper.

Om du är ny inom området för behörigheter och grupper, läs Komma igång med behörigheter, åtkomst och säkerhetsgrupper. Den här artikeln beskriver det viktigaste i behörighetstillstånd och hur de ärver.

Dricks

Strukturen för ditt projekt i Azure DevOps spelar en avgörande roll för att fastställa detaljnivån för behörigheter på objektnivå, till exempel lagringsplatser och områdessökvägar. Den här strukturen är grunden som gör att du kan finjustera åtkomstkontroller, så att du specifikt kan definiera vilka områden som är tillgängliga eller begränsade. Mer information finns i Om projekt och skalning av din organisation.

Förutsättningar

Kategori	Krav
Behörigheter	Medlem i gruppen för projektsamlingens administratörer. Organisationsägare är automatiskt medlemmar i den här gruppen.

Använda säkerhetsgrupper

För optimalt underhåll rekommenderar vi att du använder standardsäkerhetsgrupper eller upprättar anpassade säkerhetsgrupper för att hantera behörigheter. Behörighetsinställningarna för projektadministratörer och projektsamlingsadministratörer grupper har åtgärdats avsiktligt och kan inte ändras. Du har dock flexibiliteten att ändra behörigheter för alla andra grupper.

Det kan verka möjligt att hantera behörigheter för ett fåtal användare individuellt, men anpassade säkerhetsgrupper ger en mer organiserad metod. De effektiviserar tillsynen av roller och tillhörande behörigheter, vilket säkerställer tydlighet och enkel hanteringsdesign och kan inte ändras. Men du har flexibiliteten att ändra behörigheter för alla andra grupper.

Delegera uppgifter till specifika roller

Som administratör eller organisationsägare är det en strategisk strategi att delegera administrativa uppgifter till teammedlemmar som övervakar specifika områden. De primära inbyggda rollerna som är utrustade med fördefinierade behörigheter och rolltilldelningar är:

• Läsare: Har skrivskyddad åtkomst till projektet.
• Deltagare: Kan bidra till projektet genom att lägga till eller ändra innehåll.
• Teamadministratör: Hantera teamrelaterade inställningar och behörigheter.
• Projektadministratörer: Har administrativa rättigheter för projektet.
• Projektsamlingsadministratörer: Övervaka hela projektsamlingen och ha den högsta behörighetsnivån.

Dessa roller underlättar ansvarsfördelningen och effektiviserar förvaltningen av projektområden.

Mer information finns i Standardbehörigheter och åtkomst och Ändra behörigheter på projektsamlingsnivå.

Om du vill delegera uppgifter till andra medlemmar i din organisation kan du skapa en anpassad säkerhetsgrupp och sedan bevilja behörigheter enligt följande tabell.

Roll

Uppgifter att utföra

Behörigheter som ska anges till Tillåt

Utvecklingsledare (Git)

Hantera grenprinciper

Redigera principer, framtvinga push- och hantera behörigheter
Se Ange grenbehörigheter.

Utvecklingsledare (Team Foundation Version Control (TFVC))

Hantera lagringsplats och grenar

Administrera etiketter, Hantera gren och Hantera behörigheter
Se Ange behörigheter för TFVC-lagringsplats.

Programvaruarkitekt (Git)

Hantera lagringsplatser

Skapa lagringsplatser, tvinga fram push-överföring och hantera behörigheter
Se Ange behörigheter för Git-lagringsplats

Teamadministratörer

Lägga till områdessökvägar för teamet
Lägga till delade frågor för deras team

Skapa underordnade noder, Ta bort den här noden, Redigera den här noden Se Skapa underordnade noder, ändra arbetsobjekt under en områdessökväg
Behörigheter för Contribute, Delete, Manage (för en frågemapp) finns i Ange frågebehörigheter.

Deltagare

Lägg till delade frågor under en frågemapp, Bidra till instrumentpaneler

Bidra, Ta bort (för en frågemapp), Se Ange frågebehörigheter
Visa, redigera och hantera instrumentpaneler, Se Ange instrumentpanelsbehörigheter.

Projekt- eller produktansvarig

Lägga till områdessökvägar, iterationssökvägar och delade frågor
Ta bort och återställa arbetsobjekt, Flytta arbetsobjekt från det här projektet, Ta bort arbetsobjekt permanent

Redigera information på projektnivå, se Ändra behörigheter på projektnivå.

Processmallshanterare (arvsprocessmodell)

Anpassning av arbetsspårning

Administrera processbehörigheter, Skapa nya projekt, Skapa process, Ta bort fält från konto, Ta bort process, Ta bort projekt, Redigera process
Se Ändra behörigheter på projektsamlingsnivå.

Processmallshanteraren (värdbaserad XML-processmodell)

Anpassning av arbetsspårning

Redigera information på samlingsnivå, se Ändra behörigheter på projektsamlingsnivå.

Projekthantering (lokal XML-processmodell)

Anpassning av arbetsspårning

Redigera information på projektnivå, se Ändra behörigheter på projektnivå.

Behörighetshanteraren

Hantera behörigheter för ett projekt, ett konto eller en samling

Redigera information på projektnivå för ett projekt
För ett konto eller en samling kan du redigera information på instansnivå (eller samlingsnivå)
Information om omfånget för dessa behörigheter finns i uppslagsguiden för behörigheter. Information om hur du begär en ändring av behörigheter finns i Begära en ökning av behörighetsnivåer.

Förutom att tilldela behörigheter till enskilda användare kan du hantera behörigheter för olika objekt i Azure DevOps. Dessa objekt omfattar:

• Git-lagringsplatser
• Git-grenar
• TFVC-lagringsplatser
• Versions- och utgivningspipelines
• Wikis.

De här länkarna innehåller detaljerade steg och riktlinjer för att konfigurera och hantera behörigheter effektivt för respektive områden i Azure DevOps.

Begränsa användarens synlighet

Varning

Tänk på följande begränsningar när du använder den här förhandsgranskningsfunktionen:

• Funktionerna för begränsad synlighet som beskrivs i det här avsnittet gäller endast interaktioner via webbportalen. Med REST-API:er eller azure devops CLI-kommandon kan projektmedlemmar komma åt begränsade data.
• Användare i den begränsade gruppen kan bara välja användare som uttryckligen läggs till i Azure DevOps och inte användare som har åtkomst via Microsoft Entra-gruppmedlemskap.
• Gästanvändare som är medlemmar i den begränsade gruppen med standardåtkomst i Microsoft Entra-ID kan inte söka efter användare med personväljaren.

Organisationer och projekt

Som standard kan användare som läggs till i en organisation visa all information och inställningar för organisationen och projektet. Du kan begränsa specifika användare, till exempel intressenter, Microsoft Entra-användare eller medlemmar i en viss säkerhetsgrupp, med Begränsa användarnas synlighet och samarbete till specifika projekt förhandsversionsfunktionen för organisationen. När funktionen aktiveras, kommer alla användare eller grupper som läggs till i gruppen Project-Scoped Användare att begränsas på följande sätt:

• Åtkomsten är endast begränsad till de projekt som de uttryckligen läggs till i.
• Vyer som visar listor över användare, projekt, faktureringsinformation, användningsdata och mer som nås via Organisationsinställningar är begränsade.
• Den uppsättning personer eller grupper som visas i val av personväljare och möjligheten att @mention personer är begränsad.

Identitetssökning och val

Med Microsoft Entra-ID kan du använda personväljare för att söka efter alla användare eller grupper i din organisation, inte bara de som finns i ditt aktuella projekt. Personväljare stöder följande Azure DevOps-funktioner:

• Val av en användaridentitet från ett identitetsfält för arbetsspårning, till exempel Tilldelad till
• Val av en användare eller grupp med hjälp av @mention i ett arbetsobjektsdiskussion eller rtF-fält, en pull-begärandediskussion, incheckningskommenterar eller kommentarer för ändringsuppsättningar eller hyllor
• Val av användare eller grupp med @mention från en wiki-sida

Som du ser i följande bild börjar du ange ett användar- eller säkerhetsgruppnamn i en personväljare tills du hittar en matchning.

Användare och grupper som läggs till i gruppen Project-Scoped Users kan bara se och välja användare och grupper i projektet som de är anslutna till från en personväljare.

Aktivera förhandsgranskningsfunktionen och lägg till användare i säkerhetsgruppen

Utför följande steg för att aktivera förhandsgranskningsfunktionen och lägga till användare och grupper i gruppen Project-Scoped Användare:

1. Aktivera Begränsa användarnas synlighet och samarbete för specifika projektförhandsgranskningsfunktion för organisationen.

2. Lägg till användarna i projektet enligt beskrivningen i Lägg till användare i ett projekt eller team. Användare som läggs till i ett team läggs automatiskt till i projektet och gruppgruppen.

3. Öppna Inställningar för organisationer>Säkerhetsbehörigheter> och välj Projektomfattande användare. Välj fliken Medlemmar.

4. Lägg till alla användare och grupper som du vill begränsa till det projekt som de läggs till i. Mer information finns i Ange behörigheter på projekt- eller samlingsnivå.

   Gruppen Project-Scoped Användare visas bara under Behörigheter>Grupper när Begränsa användarnas synlighet och samarbete för specifika projekt förhandsfunktionen är aktiverad.

Alla säkerhetsgrupper i Azure DevOps betraktas som entiteter på organisationsnivå, även om de bara har behörighet för ett visst projekt. Det innebär att säkerhetsgrupper hanteras på organisationsnivå.

Från webbportalen kan synligheten för vissa säkerhetsgrupper begränsas baserat på användarens behörigheter. Du kan dock fortfarande identifiera namnen på alla säkerhetsgrupper i en organisation med hjälp av azure devops CLI-verktyget eller REST-API:erna. Mer information finns i Lägga till och hantera säkerhetsgrupper.

Begränsa åtkomsten till att visa eller ändra objekt

Azure DevOps är utformat för att tillåta alla behöriga användare att visa alla definierade objekt i systemet. Du kan dock skräddarsy åtkomsten till resurser genom att ställa in behörighetstillståndet på Neka. Du kan ange behörigheter för medlemmar som tillhör en anpassad säkerhetsgrupp eller för enskilda användare. Mer information finns i Begära en ökning av behörighetsnivåer.

Område som ska begränsas

Behörigheter som ska anges till Neka

Visa eller bidra till en lagringsplats

Visa, Bidra

Se Ange Behörigheter för Git-lagringsplats eller Ange TFVC-lagringsplatsbehörigheter.

Visa, skapa eller ändra arbetsobjekt inom en områdessökväg

Redigera arbetsobjekt i den här noden, Visa arbetsobjekt i den här noden
Se Ange behörigheter och åtkomst för arbetsspårning, Ändra arbetsobjekt under en områdessökväg.

Visa eller uppdatera välj bygg- och versionspipelines

Redigera byggpipeline, Visa bygg-pipeline
Redigera versionspipeline, Visa versionspipeline
Du anger dessa behörigheter på objektnivå. Se Ange bygg- och versionsbehörigheter.

Redigera en instrumentpanel

Visa instrumentpaneler
Se Ange behörigheter för instrumentpanelen.

Begränsa ändringar av arbetsobjekt eller välj fält

Exempel som visar hur du begränsar ändringar av arbetsobjekt eller väljer fält finns i Exempel på regelscenarier.

Nästa steg

Ta bort användarkonton

Relaterade artiklar

• Visa standardbehörigheter och åtkomst
• Använd behörighetssökningsguiden
• Kom igång med behörigheter, åtkomst och säkerhetsgrupper
• Referera till behörigheter och grupper
• Ändra behörigheter på projektnivå
• Ändra behörigheter på projektsamlingsnivå