设置工作跟踪权限
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
若要有效管理工作跟踪,请将特定权限分配给特定 对象、项目或集合的用户或组。 还可以 为应用于特定用户或组的进程或项目定义自定义规则 ,并相应地控制其操作。 对于大多数功能,我们建议将用户添加到项目的 “参与者 ”组,该组授予全面的访问权限,并确保无缝高效的工作跟踪体验。
注意
对于公共项目,利益干系人访问权限使用户能够更好地访问工作跟踪功能和对 Azure Pipelines 的完全访问权限。 有关详细信息,请参阅利益干系人访问快速参考。
先决条件
若要设置工作跟踪权限,您必须是项目管理员组的成员,或者具有显式权限来管理工作跟踪区域,如本文所述。
若要设置进程权限,您必须是项目集合管理员组的成员,或者具有编辑集合进程的显式权限。
了解工作跟踪的角色和权限级别
下表汇总了可以在对象、项目或集合级别设置的不同权限。 团队管理员角色提供添加和修改团队资源的访问权限。 此外,请参阅本文中进一步介绍 Boards、积压工作、冲刺、交付计划、测试管理和查询的默认权限。
角色或权限级别
功能区域集
团队管理员角色
添加团队管理员
对象级权限
项目级别的权限
项目集合级权限
包括可在集合级别设置的所有权限。
- 创建、删除或编辑进程(继承进程模型)
- 从帐户中删除字段 (继承进程模型)
- 管理进程权限 (继承进程模型)
- 编辑集合级别权限
项目集合级别权限包括可在集合级别设置的所有权限。
Boards、积压工作和冲刺的默认权限
板默认权限
任务
Readers
供稿人
团队管理员
项目管理员
查看面板并打开工作项
✔️
✔️
✔️
将工作项添加到面板;通过拖放更新状态
✔️
✔️
通过拖放对工作项重新排序或重新设置子项的父级;更新卡片上的字段
✔️
✔️
将工作项添加到面板;通过拖放更新状态、重新排序或重新设置子项的父级;更新卡片上的字段
✔️
✔️
将子项添加到清单
✔️
✔️
分配给冲刺(从卡片字段)
✔️
✔️
配置面板设置
✔️
积压工作默认权限
任务
Readers
供稿人
团队管理员
项目管理员
查看积压工作和打开工作项
✔️
✔️
✔️
将工作项添加到积压工作中
✔️
✔️
使用批量编辑功能
✔️
✔️
将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格设置父项;使用“规划”窗格将项分配到冲刺
✔️
✔️
配置团队设置、积压工作级别、显示 bug、休息日
✔️
冲刺默认权限
任务
Readers
供稿人
团队管理员项目管理员
查看冲刺积压工作、任务板和打开工作项
✔️
✔️
✔️
将工作项添加到冲刺积压工作或任务板
✔️
✔️
确定冲刺积压工作或任务板的优先级/重新排序;将子项添加到积压工作项;使用“规划”窗格将项重新分配到冲刺
✔️
✔️
查看团队产能和工作详细信息
✔️
✔️
✔️
设置团队产能
✔️
使用批量编辑功能
✔️
✔️
定义团队冲刺
✔️
创建子节点,修改区域或迭代路径下的工作项
使用区域路径权限可以管理对编辑或修改分配给这些区域的工作项、测试用例或测试计划的访问权限。 可以限制用户或组的访问权限。 还可以为可以添加或修改项目的区域或迭代的人员设置权限。
执行以下步骤,为项目定义区域和迭代。
选择“项目设置>项目配置>板”,然后选择“区域”或“迭代”以修改区域路径或迭代路径。
选择要管理的节点的 ... 上下文菜单,然后选择“ 安全性”。
选择组或项目成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。
例如,我们在此处添加了“禁止访问组”,并禁止此组的成员能够在帐户管理区域路径中查看、修改或编辑工作项。
可以为权限指定两个显式授权状态: 拒绝 和 允许。 此外,权限可以存在于其他三种状态之一。 有关详细信息,请参阅 “关于权限”、“访问权限”和“安全组”。
(可选)选择“ 继承 ”滑块以禁用继承。 禁用继承将保留所有继承的权限作为显式访问控制项(ACE)。
完成后,关闭对话框。 更改会自动保存。
执行以下步骤,为项目定义区域和迭代。
选择(1) 项目设置 (2) 项目配置> (3) 区域。>
选择要管理的节点的 ... 上下文菜单,然后选择“ 安全性”。
选择组或团队成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。
在以下示例中 ,我们添加了“禁止访问组”,并禁止此组的成员能够在客户服务区域路径中查看、修改或编辑工作项。
可以为权限指定两个显式授权状态: 拒绝 和 允许。 权限也可以存在于其他三种状态之一。 有关详细信息,请参阅 “关于权限”、“访问权限”和“安全组”。
(可选)将继承切换为 Off 以禁用继承。 禁用继承将保留所有继承的权限作为显式访问控制项(ACE)。
完成后,关闭对话框。 更改会自动保存。
工作项的默认权限
注意
可以更改工作项类型,或者将工作项移动到项目集合中的另一个项目。 这些功能需要禁用数据仓库。 在禁用了数据仓库的情况下,可以使用 Analytics Service 为报告需求提供支持。 要详细了解如何禁用数据仓库,请参阅禁用数据仓库和多维数据集。
任务或权限
Readers
供稿人
项目管理员
查看此节点中的工作项(区域路径权限)
✔️
✔️
✔️
编辑此节点中的工作项(区域路径权限)
✔️
✔️
编辑此节点中的工作项注释(区域路径权限)
✔️
✔️
创建标记定义
✔️
✔️
更改工作项类型(项目级权限)
✔️
✔️
将工作项移出此项目(项目级权限)
✔️
✔️
通过电子邮件发送工作项
✔️
✔️
✔️
应用工作项模板
✔️
✔️
删除和还原工作项(项目级权限)(能够从回收站还原)
✔️
✔️
永久删除工作项(项目级权限)
✔️
提供反馈(通过 Microsoft 反馈客户端)
✔️
✔️
✔️
✔️
注意
工作项要遵守适用于它们的规则。 基于用户或组成员身份的条件规则会缓存在 Web 浏览器中。 如果你发现自己被限制更新某个工作项,可能是受制于以下规则之一。 如果你认为遇到的问题并不适用,请参阅工作项表单 IndexDB 缓存问题。 有关详细信息,请参阅规则和规则评估。
使用自定义规则
自定义规则不控制权限,但它们会影响用户是否可以修改工作项或设置工作项字段的值。 Azure Boards 支持以下工作跟踪支持业务工作流的自定义项。
自定义 | 示例 |
---|---|
在工作项创建、状态更改和指定状态时应用规则。 | - 使字段只读 - 使字段成为必填字段 |
当字段值为空、设置为特定值或更改或未更改为值时应用规则。 | - 如果字段为空或满足特定条件 ,请清除字段的值- 如果字段为空或满足特定条件,请为字段设置预定义值 - 将一个字段的值复制到另一个字段 - 根据特定条件 或值隐藏字段 |
应用规则,规定工作项可以移动到给定状态的状态。 | - 基于状态更改 重新分配工作项 - 指定工作项只能从“状态 A”过渡到“状态 B” - 根据其子工作项的状态更改管理父工作项的状态转换 |
根据修改工作项的用户或组成员身份应用规则。 | 指定限制组创建工作项、将工作项转换为已关闭或已完成状态的规则,或更改字段的值 |
对系统字段应用自定义规则有一些限制。 例如,不能指定规则,这些规则在区域路径或迭代路径是系统字段时设置或清除值。 有关详细信息,请参阅规则和规则评估和示例规则方案。
设置查询或查询文件夹的权限
可以指定谁可以在对象级别添加或编辑查询文件夹或查询。 若要管理查询或查询文件夹的权限,您必须是查询或文件夹的创建者、项目管理员或项目集合管理员组的成员,或者通过对象的 “安全 ”对话框授予显式访问权限。
“查询文件夹权限”对话框
有关详细信息,请参阅 创建托管查询以列出、更新或图表工作项。
查询的默认权限
提示
默认情况下,参与者无法创建和保存共享的查询。 建议项目管理员为每个团队创建一个查询文件夹,并授予团队管理员或团队组查询权限以管理其文件夹。 需要删除权限才能重命名或移动共享查询或文件夹,需要文件夹的参与权限才能将查询移动到文件夹。 有关详细信息,请参阅对查询和查询文件夹设置权限。
任务
Readers
供稿人
项目管理员
查看和运行托管查询、查看查询图表
✔️
✔️
✔️
创建并保存托管的我的查询、查询图表
✔️
✔️
创建、删除和保存共享查询、图表、文件夹
✔️
Adhoc 搜索 由语义搜索引擎提供支持。
设置工作项标记的权限
默认情况下,“参与者”组的所有用户都可以创建标记并将其添加到工作项。 若要为组或用户设置权限以限制此功能,可以在项目级别将“创建标记定义”设为“拒绝”。 若要了解如何操作,请参阅更改项目级组的权限级别。
管理传递计划的权限
传递计划是项目中的对象。 可以管理每个计划的权限,例如管理共享查询或查询文件夹的权限的方式。 交付计划的创建者和项目集合管理员和项目管理员组的所有成员都有权编辑、管理和删除计划。
授予私有项目的利益干系人访问权限的用户无权访问交付计划,而授予公共项目的利益干系人访问权限与常规参与者授予基本访问权限的权限相同。 有关利益干系人与基本访问权限的比较图表,请参阅 功能矩阵。
若要编辑交付计划的权限,你必须是计划的创建者、“项目管理员”或“项目集合管理员”组的成员,或通过计划的“安全性”对话框被授予了显式权限。
打开“面板和交付计划”。
若要向组或用户授予管理或编辑特定计划的权限,请选择“更多选项”以打开该计划的“安全性”对话框。
添加要向其授予权限或限制访问权限的用户、团队组或其他安全组。 有关详细信息,请参阅更改项目级权限。 默认情况下,非管理程序无法删除或编辑计划。
选择用户或组后,将希望其拥有的权限设置为“允许”。 将“管理”设置为“允许”使用户能够管理计划的权限。
完成后,关闭对话框。 更改会自动保存。
传递计划的默认权限
任务
Readers
供稿人
团队管理员
项目管理员
查看交付计划
✔️
✔️
✔️
创建、编辑或删除交付计划,参与者只能编辑或删除他们创建的计划
✔️
✔️
管理交付计划的权限,参与者只能管理他们创建的计划的权限
✔️
✔️
移动或永久删除工作项
默认情况下,项目管理员和参与者可以通过将其移动到 回收站来更改工作项类型并删除工作项。 只有项目管理员才能永久删除工作项和测试项目。 项目管理员可以根据需要向其他团队成员授予权限。
例如,作为项目管理员,可以授予你创建的用户、团队组或其他组,以便拥有这些权限。 打开项目的“安全”页,然后选择要授予权限的用户或组。 若要了解如何访问项目级安全性,请参阅更改项目级权限。
注意
将 工作项移出此项目 权限需要 项目的继承进程模型 。
在以下示例中,我们授予了分配给团队管理员角色的成员以及属于团队管理员组的成员、将工作项移动到另一个项目的权限,并永久删除工作项。
管理测试计划和测试套件
除了上一部分中设置的项目级权限外,团队成员还需要权限来管理为区域路径设置的测试项目。
打开区域路径的“安全”页,然后选择要授予权限的用户或组。
将“管理测试计划”和“管理测试套件”的权限设置为“允许”。
若要完全访问测试功能集, 必须将访问级别设置为“基本 + 测试计划”。 具有基本访问权限且有权永久删除工作项和管理测试项目的用户只能删除孤立的测试用例。
测试管理的默认权限
测试计划、测试套件、测试用例和其他测试项目是支持手动和探索性测试的特定工作项类型。 有关详细信息,请参阅 在项目级别设置测试权限。
权限
Level
Readers
供稿人
项目管理员
查看测试运行
项目级别
✔️
✔️
✔️
创建测试运行
删除测试运行
项目级别
✔️
✔️
管理测试配置
管理测试环境
项目级别
✔️
✔️
创建标记定义
删除和还原工作项
项目级别
✔️
✔️
永久删除工作项
项目级别
✔️
查看此节点中的工作项
区域路径
✔️
✔️
✔️
编辑此节点中的工作项
管理测试计划
管理测试套件
区域路径
✔️
✔️
注意
“更改工作项类型”权限不适用于特定于测试的工作项。 即使从工作项窗体中选择此功能,也不允许更改工作项类型。
基于 Web 的测试用例管理和测试执行控制对以下操作的访问的区域权限。
“ 管理测试套件 ”权限使用户能够执行以下任务:
- 创建和修改测试套件
- 向/从测试套件添加或删除测试用例
- 更改与测试套件关联的测试配置
- 通过移动测试套件修改套件层次结构
“ 管理测试计划 ”权限使用户能够执行以下任务:
- 创建和修改测试计划
- 添加或删除测试计划中的测试套件
- 更改测试计划属性,例如生成和测试设置
自定义继承的进程
默认情况下,只有项目集合管理员可以创建和编辑进程。 但是,这些管理员可以通过将“创建流程”、“删除流程”或“编辑流程”显式设置为特定用户的集合级别权限,从而授予其他团队成员权限。
若要自定义进程,需要向用户帐户授予特定进程的“编辑进程”权限。
注意
如果为组织启用了“限制用户可见性和协作”特定项目预览功能,则添加到项目范围的用户组的用户无法访问进程设置。 有关包括重要安全相关标注的详细信息,请参阅 “管理组织”、“限制项目的用户可见性”等。
打开 … 继承进程的上下文菜单,然后选择“ 安全性”。 若要打开此页面,请参阅 使用继承的过程自定义项目。
输入用户名,将适用的权限设置为 “允许”,然后退出。 页面会自动保存。
注意
进程是具有不同 ACL 的安全实体,用于创建、编辑和删除。 集合级别的项目集合管理员 确定继承的进程。 新的继承进程向创建者和项目集合管理员授予完全控制权,他们还可以将 ACL 分配给其他人进行进程管理。
工作项的更多访问选项
有关自定义工作项类型以支持限制的选项的详细信息,请参阅 “限制访问”、“基于用户或组限制修改工作项”。
向团队成员授予其他权限
若要让团队自主工作,你可能希望向他们提供他们默认没有的权限。 建议的任务包括向团队管理员或团队提供以下权限:
- 在其默认区域路径下创建和编辑子节点
- 在现有迭代节点下创建和编辑子节点
- 在“共享查询”文件夹下创建共享查询和文件夹。
默认情况下,团队成员将继承为项目参与者组的成员提供的权限。 此组的成员可以添加和修改源代码、创建和删除测试运行,以及创建和修改工作项。 他们可以协作处理 Git 项目或与其他团队成员协作,并签入团队代码库(TFVC)的工作。
如果本地部署包括报告,请将用户添加到这些资源。 请参阅 “授予权限”以查看或创建 SQL Server 报表。