共用方式為


安全組、服務帳戶和許可權參考

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

本文提供每個內建使用者、群組和許可權的完整參考。

如需預設指派的快速參考,請參閱 默認許可權和存取權。 如需如何管理許可權和安全性的概觀,請參閱 關於許可權、存取權和安全組關於安全性角色關於存取層級

如需將使用者新增至群組或設定可透過入口網站管理的特定許可權的詳細資訊,請參閱下列資源:


注意

由於系統更新,入口網站中顯示的影像可能與本文中的影像不同,但除非明確提及,否則基本功能會維持不變。

服務帳戶

系統會產生一些服務帳戶來支援特定作業。 下表描述這些用戶帳戶,這些用戶帳戶會在組織或集合層級新增。

使用者名稱 描述
代理程式集區服務 具有接聽特定集區接收工作之消息佇列的許可權。 在大部分情況下,您不需要直接管理群組成員 - 代理程式註冊程式會為您處理它。 當您註冊代理程式時,會自動新增您指定的服務帳戶(通常是網路服務)。 負責在 GitHub 物件變更時執行 Azure Boards 讀取/寫入作業和更新工作專案。
Azure Boards 當 Azure Boards 連線到 GitHub 時新增。 您不應該管理此群組的成員。 負責管理 GitHub 與 Azure Boards 之間的連結建立。
PipelinesSDK 視需要新增以支援 Pipelines 原則服務範圍令牌。 此用戶帳戶類似於建置服務身分識別,但支援個別鎖定許可權。 實際上,涉及此身分識別的令牌會授與管線資源的只讀許可權,以及核准原則要求的一次性功能。 此帳戶應以處理組建服務身分識別的相同方式來處理。
ProjectName 建置服務 具有執行專案建置服務的許可權,而且是用於 XAML 組建的舊版使用者。 它會自動是安全組的成員,用來儲存已授與許可權但沒有其他安全組的使用者。
專案集合建置服務 具有執行集合建置服務的許可權。 它會自動是安全組的成員,用來儲存已授與許可權但沒有其他安全組的使用者。

群組

您可以直接將許可權授與個人或群組。 使用群組讓事情變得更簡單,而且系統會針對該用途提供數個內建群組。 這些群組及其指派的預設許可權會定義在不同的層級:伺服器(僅限內部部署部署)、專案集合、專案和特定物件。 您也可以建立自己的群組,並授與他們組織中特定角色適用的特定許可權集。

注意

安全組會在組織層級進行管理,即使它們用於特定專案也一樣。 視用戶權力而定,某些群組可能會隱藏在入口網站中。 若要檢視組織內的所有組名,您可以使用 Azure DevOps CLI 工具或 REST API。 如需詳細資訊,請參閱 新增和管理安全組

注意

安全組會在集合層級進行管理,即使它們用於特定專案也一樣。 視用戶權力而定,某些群組可能會隱藏在入口網站中。 若要檢視集合中的所有組名,您可以使用 Azure DevOps CLI 工具或 REST API。 如需詳細資訊,請參閱 新增和管理安全組

注意

安全組會在集合層級進行管理,即使它們用於特定專案也一樣。 視用戶權力而定,某些群組可能會隱藏在入口網站中。 若要檢視集合中的所有組名,您可以使用 REST API。 如需詳細資訊,請參閱 新增和管理安全組

伺服器層級群組

當您安裝 Azure DevOps Server 時,系統會建立具有 全部署、伺服器層級許可權的預設群組。 您無法移除或刪除內建的伺服器層級群組。

Azure DevOps 安全組對話框的螢幕快照。

您無法移除或移除預設伺服器層級群組。

這些群組的完整名稱為 [Team Foundation]\{group name}。 因此,伺服器層級系統管理員群組的完整名稱是 [Team Foundation]\Team Foundation Administrators

群組名稱

權限

成員資格

Azure DevOps Service 帳戶

具有伺服器實例的服務等級許可權。

包含安裝期間所提供的服務帳戶

此群組應該只包含服務帳戶,而不是包含使用者帳戶的用戶帳戶或群組。 根據預設,此群組是 Team Foundation Administrators 的成員

若要在安裝 Azure DevOps Server 之後將帳戶新增至此群組,請在內部部署安裝目錄的 [工具 ] 子資料夾中使用 TFSSecurity.exe 公用程式。 使用下列命令:TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://azuredevopsservername

Azure DevOps Proxy 服務帳戶

具有 Azure DevOps Server Proxy 的服務等級許可權,以及某些服務層級許可權。

注意

當您安裝 Azure DevOps Proxy 服務,就會建立此帳戶。

此群組應該只包含服務帳戶,而不是包含使用者帳戶的用戶帳戶或群組。

Azure DevOps 有效使用者

具有檢視伺服器實例層級信息的許可權。

包含已知存在於伺服器實例中的所有使用者。 您無法修改此群組的成員資格。

Team Foundation 系統管理員

具有執行所有伺服器層級作業的許可權。

裝載 Azure DevOPs/Team Foundation 應用程式服務之任何伺服器的本機系統管理員 群組 (BUILTIN\Administrators)。

伺服器 \Team Foundation 服務帳戶群組和 \Project Server Integration Service Accounts 群組的成員

將此群組限制為需要伺服器層級作業完整系統管理控制權的最少使用者。

注意

如果您的部署使用 Reporting,請考慮 將此群組 的成員新增至 Reporting Services 中的內容管理員群組。

集合層級群組

當您在 Azure DevOps 中建立組織或專案集合時,系統會建立具有 該集合許可權的集合層級群組。 您無法移除或刪除內建集合層級群組。

注意

若要啟用 [ 組織許可權設定] 頁面 v2 預覽頁面,請參閱 啟用預覽功能。 預覽頁面提供目前頁面未使用的群組設定頁面。

內部部署版本無法使用預覽頁面。

Project 集合群組、新使用者介面的螢幕快照。

這些群組的完整名稱為 [{collection name}]\{group name}。 因此,預設集合之系統管理員群組的完整名稱是 [預設集合]\Project 集合管理員

群組名稱

權限

成員資格

專案集合管理員

具有許可權可執行集合的所有作業。

包含 安裝應用層服務之伺服器的本機系統管理員 群組 (BUILTIN\Administrators)。 包含 CollectionName/服務帳戶群組的成員。 將此群組限制為需要完整系統管理控制集合的最少使用者。

注意

如果您的部署使用 Reporting Services,請考慮將此群組的成員新增至 Reporting Services 中的 Team Foundation Content Managers 群組。

專案集合組建管理員

具有管理集合之組建資源和許可權的許可權。

將此群組限制為需要對此集合之組建伺服器和服務進行完整系統管理控制的最少使用者。

專案集合組建服務帳戶

具有執行集合建置服務的許可權。

將此群組限制為僅包含服務帳戶的服務帳戶和群組。 這是用於 XAML 組建的舊版群組。 使用 Project Collection Build Service ({your organization}) 使用者來管理目前組建的許可權。

專案集合 Proxy 服務帳戶

具有許可權可執行集合的 Proxy 服務。

將此群組限制為僅包含服務帳戶的服務帳戶和群組。

專案集合服務帳戶

具有集合和 Azure DevOps Server 的服務等級許可權。

包含安裝期間所提供的服務帳戶。 此群組應該只包含只包含服務帳戶的服務帳戶和群組。 根據預設,此群組是 Administrators 群組的成員。

專案集合測試服務帳戶

具有集合的測試服務許可權。

將此群組限制為僅包含服務帳戶的服務帳戶和群組。

專案集合有效使用者

具有存取小組專案及檢視集合中信息的許可權。

包含集合內任何位置新增的所有使用者和群組。 您無法修改此群組的成員資格。

專案範圍使用者

對於檢視組織設定和專案,其存取權有限,但除了他們特別新增的專案以外。 此外,人員選擇器選項僅限於那些使用者和群組,這些使用者和群組會明確新增至使用者所連線的專案。

當您想要限制其可見度,以及明確新增這些專案的存取權時,請將使用者新增至此群組。如果使用者也新增至 Project Collection Administrators 群組,請勿將使用者新增至此群組。

注意

當組織層級預覽功能、將用戶可見度和共同作業限製為特定專案時,專案範圍使用者群組會以有限的存取權取得。 如需包括重要安全性相關注標的詳細資訊,請參閱 管理您的組織、限制專案的用戶可見度等等

安全性服務群組

用來儲存具有許可權但未新增至任何其他安全組的使用者。

請勿將使用者指派給此群組。 如果您要從所有安全組移除使用者,請檢查是否需要從此群組中移除使用者。

專案層級群組

針對您建立的每個項目,系統會建立下列專案層級群組。 這些群組會獲 指派專案層級許可權

注意

若要啟用 [項目許可權設定] 頁面的 預覽頁面,請參閱 啟用預覽功能

內部部署版本無法使用預覽頁面。

專案層級群組和許可權的螢幕快照,Azure DevOps 預覽版本。

提示

這些群組的完整名稱為 [{項目名稱}]\{組名}。 例如,名為 「My Project」 的項目參與者群組是 [我的專案]\參與者

群組名稱

權限

成員資格

組建管理員

具有管理專案建置資源和建置許可權的許可權。 成員可以管理測試環境、建立測試回合,以及管理組建。

指派給定義和管理組建管線的使用者。

參與者

具有完整參與專案程式代碼基底和工作專案追蹤的許可權。 他們沒有的主要許可權是管理或管理資源的許可權。

根據預設,當您建立專案時建立的小組群組會新增至此群組,而您新增至小組或專案的任何使用者都是此群組的成員。 此外,您為專案建立的任何小組也會新增至此群組。

讀取者

具有檢視專案資訊、程式代碼基底、工作專案和其他成品的許可權,但無法加以修改。

指派給您想要為專案提供僅限檢視許可權的組織或集合成員。 這些使用者可以檢視待辦專案、面板、儀錶板等專案,但無法新增或編輯任何專案。

專案管理員

具有管理小組和專案所有層面的許可權,但無法建立小組專案。

指派給需要下列功能的使用者:管理用戶權力、建立或編輯小組、修改小組設定、定義區域或反覆項目路徑,或自定義工作項目追蹤。 Project Administrators 群組的成員具有執行下列工作的許可權:

專案有效使用者

具有存取和檢視專案信息的許可權。

包含新增至專案的任何位置的所有使用者和群組。 您無法修改此群組的成員資格。

注意

建議您不要變更此群組的默認許可權。

版本管理員

具有管理所有發行作業的許可權。

指派給定義和管理發行管線的使用者。

注意

發行管理員群組會在定義第一個發行管線時建立。 建立專案時,預設不會建立它。

TeamName

具有完整參與專案程式代碼基底和工作專案追蹤的許可權。

當您建立專案時,會建立預設的Team群組,且預設會新增至專案的參與者群組。 您建立的任何新小組也會為其建立群組,並新增至參與者群組。

將小組成員新增至此群組。 若要授與設定小組設定的存取權, 請將小組成員新增至小組管理員角色

小組管理員角色

針對您新增的每個小組,您可以將一或多個小組成員指派為系統管理員。 小組管理員角色不是具有一組已定義許可權的群組。 相反地,小組管理員角色負責管理小組資產。 如需詳細資訊,請參閱 管理小組和設定小組工具。 若要將使用者新增為小組管理員,請參閱 新增小組管理員

注意

專案管理員可以管理所有小組的所有小組管理區域。

權限

系統會管理不同層級的許可權,即組織、項目、物件和角色型許可權,且預設會將許可權指派給一或多個內建群組。 您可以透過入口網站管理大部分的許可權。 使用 命令行工具 (CLI) 管理更多許可權。

系統會管理不同層級的許可權-伺服器、集合、專案、物件和角色型許可權,且預設會將許可權指派給一或多個內建群組。 您可以透過入口網站管理大部分的許可權。 使用 命令行工具 (CLI) 管理更多許可權。

在下列各節中,命名空間許可權會遵循使用者介面中顯示的許可權標籤來提供。 例如:
建立標籤定義
Tagging, Create

如需詳細資訊,請參閱 安全性命名空間和許可權參考

伺服器層級權限

透過 Team Foundation 管理主控台TFSSecurity 命令行工具來管理伺服器層級許可權。 Team Foundation 系統管理員會被授與所有伺服器層級的許可權。 其他伺服器層級群組具有選取的許可權指派。

伺服器層級許可權的螢幕快照。

權限 (UI)
Namespace permission

說明


管理倉儲

Warehouse, Administer

僅適用於設定為支援 SQL Server 報表的 Azure DevOps Server 2020 和舊版。 可以使用倉儲控制 Web 服務來處理或變更數據倉儲或 SQL Server 分析 Cube 的設定。

可能需要更多許可權才能完整處理或 重建數據倉儲和分析 Cube

建立專案集合

CollectionManagement, CreateCollection

可以建立和管理集合。

刪除專案集合

CollectionManagement, DeleteCollection

可以從部署中刪除集合。

注意

刪除集合並不會從 SQL Server 刪除集合資料庫。

編輯實例層級資訊

Server, GenericWrite

可以編輯使用者和群組的伺服器層級許可權,並從集合中新增或移除伺服器層級群組。

注意

編輯實體層級資訊 包括能夠執行針對 實體定義之所有集合中定義的這些工作:

若要在命令提示字元中授與所有這些許可權,除了 之外,您必須使用 tf.exe Permission 命令來授 AdminConfiguration 與 和 AdminConnections 許可權 GENERIC_WRITE

代表其他人提出要求

Server, Impersonate

可以代表其他用戶或服務執行作業。 只指派給服務帳戶。

觸發事件

Server, TriggerEvent

可以觸發伺服器層級警示事件。 只指派給 Azure DevOps 或 Team Foundation Administrators 群組的服務帳戶和成員。

使用完整的 Web 存取功能

可以使用所有內部部署 Web 入口網站功能。 此許可權已被 Azure DevOps Server 2019 和更新版本取代。

注意

如果 [使用完整的 Web 存取功能] 權限設定為 [拒絕],則使用者只會看到專案關係人群組允許的功能(請參閱變更存取層級)。 Deny 會覆寫任何隱含的 Allow,即使是屬於 Team Foundation Administrators 等系統管理群組成員的帳戶。

檢視實例層級資訊

Server, GenericRead

可以檢視伺服器層級群組成員資格和這些用戶的許可權。

注意

檢視 實例層級信息 許可權也會指派給 Azure DevOps 有效使用者群組。

組織層級許可權

透過 入口網站管理內容 或使用 az devops 安全組 命令來管理組織層級許可權。 專案集合系統管理員會被授與所有組織層級的許可權。 其他組織層級群組具有選取的許可權指派。

注意

若要啟用 [項目許可權設定] 頁面的 預覽頁面,請參閱 啟用預覽功能

Azure DevOps Services 組織層級許可權和群組的螢幕快照。

重要

新增或移除組織或集合層級安全組、新增和管理組織或集合層級群組成員資格的許可權,以及編輯集合和專案層級許可權 ACL 的許可權會指派給 Project Collection Administrators 群組的所有成員。 它不受使用者介面內顯示的許可權所控制。

您無法變更 Project Collection Administrators 群組的許可權。 此外,雖然您可以變更此群組成員的許可權指派,但他們的有效許可權仍會符合指派給其所屬系統管理員群組的許可權。

權限 (UI)

Namespace permission

描述

一般

改變追蹤設定
Collection, DIAGNOSTIC_TRACE

可以 變更追蹤設定 ,以收集 Azure DevOps Web 服務的詳細診斷資訊。

建立新專案
(先前建立新的團隊專案)
Collection, CREATE_PROJECTS

可以將 專案 新增至組織或專案集合。 視您的內部部署部署而定,可能需要更多許可權。

刪除小組專案
Project, DELETE

可以 刪除專案。 刪除專案會刪除與專案相關聯的所有數據。 除了將集合還原至項目刪除前的點之外,您無法復原項目的刪除。

編輯實例層級資訊
Collection, GENERIC_WRITE

可以設定組織和專案層級設定。

注意

編輯實體層級資訊 包括能夠針對組織或集合中定義的所有專案執行這些工作:

檢視實例層級資訊
Collection, GENERIC_READ

可以檢視使用者或群組的組織層級許可權。

服務帳戶

代表其他人提出要求
Server, Impersonate

可以代表其他用戶或服務執行作業。 僅將此許可權指派給服務帳戶。

觸發事件
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

可以觸發集合內的專案警示事件。 僅指派給服務帳戶。

檢視系統同步處理資訊 Collection, SYNCHRONIZE_READ

可以呼叫同步處理應用程式開發介面。 僅指派給服務帳戶。

Boards

管理進程許可權
Process, AdministerProcessPermissions

可以藉由建立和自定義 繼承的進程來修改自定義工作追蹤的許可權。

建立程式
Process, Create

可以 建立用來自定義工作追蹤和 Azure Boards 的繼承程式 。 根據預設,授與基本和專案關係人存取權的使用者會被授與此許可權。

從組織刪除欄位
Collection, DELETE_FIELD

可以 刪除已新增至進程的自定義欄位。

刪除程式
Process, Delete

編輯程式
Process, Edit

可以編輯 自定義繼承的程式

Repos

僅適用於 Team Foundation 版本控制 (TFVC)

管理擱置的變更
VersionControlPrivileges, AdminWorkspaces

可以刪除 其他使用者所建立的擱置集。

管理工作區
Workspaces, Administer

可以為 其他使用者建立和刪除工作區。

建立工作區
VersionControlPrivileges, CreateWorkspace

可以建立版本控制工作區。 建立 工作區 許可權會授與所有使用者,做為其專案集合有效使用者群組成員資格的一部分。

管線

管理組建資源許可權
BuildAdministration, AdministerBuildResourcePermissions

可以修改組織或專案集合層級建置資源的許可權,包括:

注意

除了此許可權之外,Azure DevOps 還提供管理 代理程式集區安全性的角色型許可權。 其他物件 層級設定 將會覆寫組織或專案層級設定的設定。

管理組建資源
BuildAdministration, ManageBuildResources

可以管理組建計算機、組建代理程式和組建控制器。

管理管線原則
BuildAdministration, ManagePipelinePolicies

可以透過 組織設定、管線、設定來管理管線設定。

使用組建資源
BuildAdministration, UseBuildResources

可以保留及配置組建代理程式。 僅指派給建置服務的服務帳戶。

檢視組建資源
BuildAdministration, ViewBuildResources

可以檢視,但不能使用針對組織或專案集合設定的組建控制器和建置代理程式。

測試計劃

管理測試控制器
Collection, MANAGE_TEST_CONTROLLERS

可以註冊和取消註冊測試控制器。

稽核

刪除稽核數據流
AuditLog, Delete_Streams

可以刪除稽核數據流。 稽核數據流處於預覽狀態。 如需詳細資訊,請參閱 建立稽核串流

管理稽核串流
AuditLog, Manage_Streams

可以新增稽核數據流。 稽核數據流處於預覽狀態。 如需詳細資訊,請參閱 建立稽核串流

檢視稽核記錄
AuditLog, Read

可以檢視和導出稽核記錄。 稽核記錄處於預覽狀態。 如需詳細資訊,請參閱 存取、匯出和篩選稽核記錄

原則

管理企業原則
Collection, MANAGE_ENTERPRISE_POLICIES

可以啟用和停用應用程式連線原則,如變更應用程式連線原則中所述

集合層級許可權

透過 入口網站管理內容TFSSecurity 命令行工具來管理集合層級許可權。 專案集合系統管理員會被授與所有集合層級的許可權。 其他集合層級群組具有選取的許可權指派。

Azure DevOps Server 2019 和更新版本可用的許可權會根據針對集合設定的進程模型而有所不同。 如需程式模型的概觀,請參閱 自定義工作追蹤

繼承的進程模型

內部部署 XML 進程模型


集合層級許可權、內部部署、繼承的進程模型螢幕快照。

集合層級許可權、內部部署、內部部署 XML 進程模型的螢幕快照。

重要

新增或移除組織或集合層級安全組、新增和管理組織或集合層級群組成員資格的許可權,以及編輯集合和專案層級許可權 ACL 的許可權會指派給 Project Collection Administrators 群組的所有成員。 它不受使用者介面內顯示的許可權所控制。

您無法變更 Project Collection Administrators 群組的許可權。 此外,雖然您可以變更此群組成員的許可權指派,但他們的有效許可權仍會符合指派給其所屬系統管理員群組的許可權。

權限 (UI)

Namespace permission

描述


管理組建資源許可權
BuildAdministration, AdministerBuildResourcePermissions

可以在專案集合層級修改建置管線的許可權。 這包括下列成品:

管理進程許可權
Process, AdministerProcessPermissions

可以藉由建立和自定義 繼承的進程來修改自定義工作追蹤的許可權。 需要設定集合以支援繼承的進程模型。 另請參閱:

管理擱置的變更
VersionControlPrivileges, AdminWorkspaces

可以刪除 其他使用者所建立的擱置集。 當使用 TFVC 做為原始檔控制時適用。

管理工作區
Workspaces, Administer

可以為 其他使用者建立和刪除工作區。 當使用 TFVC 做為原始檔控制時適用。

改變追蹤設定
Collection, DIAGNOSTIC_TRACE

可以 變更追蹤設定 ,以收集 Azure DevOps Web 服務的詳細診斷資訊。

建立工作區
VersionControlPrivileges, CreateWorkspace

可以建立版本控制工作區。 當使用 TFVC 做為原始檔控制時適用。 此許可權會授與所有使用者,做為其專案集合有效使用者群組成員資格的一部分。

建立新專案
(先前建立新的團隊專案)
Collection, CREATE_PROJECTS

可以將 專案新增至專案集合。 視您的內部部署部署而定,可能需要其他許可權。

建立程式
Process, Create

可以 建立用來自定義工作追蹤和 Azure Boards 的繼承程式 。 需要設定集合以支援繼承的進程模型。

從組織刪除欄位
(先前從帳戶中刪除欄位)
Collection, DELETE_FIELD

可以 刪除已新增至進程的自定義欄位。 針對內部部署,需要將集合設定為支援繼承的進程模型。

可以 刪除用來自定義工作追蹤和 Azure Boards 的繼承程式 。 需要設定集合以支援繼承的進程模型。

刪除小組專案
Project, DELETE

可以 刪除專案

注意

刪除專案會刪除與專案相關聯的所有數據。 除了將集合還原至項目刪除前的點以外,您無法復原項目的刪除。

編輯程式
Process, Edit

可以編輯 自定義繼承的程式。 需要設定集合以支援繼承的進程模型。

代表其他人提出要求
Server, Impersonate

可以代表其他用戶或服務執行作業。 僅將此許可權指派給內部部署 服務帳戶

管理組建資源
BuildAdministration, ManageBuildResources

可以管理組建計算機、組建代理程式和組建控制器。

管理企業原則
Collection, MANAGE_ENTERPRISE_POLICIES

可以啟用和停用應用程式連線原則,如變更應用程式連線原則中所述

注意

此許可權僅適用於 Azure DevOps Services。 雖然它可能適用於內部部署的 Azure DevOps Server,但不適用於內部部署伺服器。

管理程式範本
Collection, MANAGE_TEMPLATE

可以 下載、建立、編輯和上傳程式範本。 程序範本會定義工作專案追蹤系統的建置組塊,以及您透過 Azure Boards 存取的其他子系統。 需要設定集合以支援 ON=premises XML 進程模型。

管理測試控制器
Collection, MANAGE_TEST_CONTROLLERS

可以註冊和取消註冊測試控制器。

觸發事件
Collection, TRIGGER_EVENT Server, TRIGGER_EVENT

可以觸發集合內的專案警示事件。 僅指派給服務帳戶。 具有此許可權的使用者無法移除內建集合層級群組,例如 Project Collection Administrators。

使用組建資源
BuildAdministration, UseBuildResources

可以保留及配置組建代理程式。 僅指派給建置服務的服務帳戶。

檢視組建資源
BuildAdministration, ViewBuildResources

可以檢視,但不能使用針對組織或專案集合設定的組建控制器和建置代理程式。

檢視實例層級資訊
或檢視集合層級資訊
Collection, GENERIC_READ

可以檢視使用者或群組的集合層級許可權。

檢視系統同步處理資訊
Collection, SYNCHRONIZE_READ

可以呼叫同步處理應用程式開發介面。 僅指派給服務帳戶。

專案層級權限

重要

若要存取專案層級資源, [檢視專案層級資訊 ] 權限必須設定為 [允許]。 此許可權會閘道所有其他專案層級許可權。

透過 入口網站管理內容 或使用 az devops 安全組 命令來管理專案層級許可權。 專案管理員會被授與所有專案層級的許可權。 其他專案層級群組具有選取許可權指派。

注意

若要啟用 [ 項目許可權設定頁面預覽] 頁面,請參閱 啟用預覽功能

透過 入口網站管理內容管理專案層級許可權。 專案管理員會被授與所有專案層級的許可權。 其他專案層級群組具有選取許可權指派。

內部部署版本無法使用預覽頁面。

[專案層級許可權] 對話框的螢幕快照,Azure DevOps Services 預覽頁面。

重要

新增或移除專案層級安全組並新增和管理專案層級群組成員資格的許可權會指派給專案管理員群組的所有成員。 它不受使用者介面內顯示的許可權所控制。

您無法變更 Project Administrators 群組的許可權。 此外,雖然您可以變更此群組成員的許可權指派,但他們的有效許可權仍會符合指派給其所屬系統管理員群組的許可權。

權限 (UI)

Namespace permission

描述

一般

刪除小組專案

Project, DELETE

可以從 組織或專案集合中刪除專案

注意

即使您將此許可權設定為 [拒絕],使用者授與專案層級的許可權可能會刪除他們擁有許可權的專案。 若要確保使用者無法刪除專案,請確定您也已將專案層級的 [刪除小組] 項目設定為 [拒絕]。

編輯專案層級資訊

Project, MANAGE_PROPERTIES

可以為組織或集合中定義的選取專案執行下列工作。

注意

新增或移除專案層級安全組並新增和管理專案層級群組成員資格的許可權會指派給專案管理員群組的所有成員。 它不受使用者介面內顯示的許可權所控制。


管理項目屬性

Project, MANAGE_SYSTEM_PROPERTIES

可以提供或編輯專案的元數據。 例如,使用者可以提供專案內容的相關高階資訊。 透過設定項目屬性 REST API 支援變更元數據。

重新命名專案

Project, RENAME

可以 變更項目的名稱。

隱藏工作專案更新的通知

Project, SUPPRESS_NOTIFICATIONS

具有此許可權的使用者可以在不產生通知的情況下更新工作專案。 這項功能在依工具執行大量更新的移轉時很有用,而且想要略過產生通知。

請考慮將此許可權授與服務帳戶或具有工作專案更新許可權略過規則的使用者。 您可以透過工作專案更新工作時,將 參數設定suppressNotificationstrue - 更新 REST API

更新項目可見性

Project, UPDATE_VISIBILITY

可以將 項目可見度 從私人變更為公用或公用,變更為私人。 僅適用於 Azure DevOps Services。

檢視專案層級資訊

Project, GENERIC_READ

可以檢視專案層級資訊,包括安全性資訊群組成員資格和許可權。 如果您將此許可權設定為 [拒絕 ] 使用者,他們就無法檢視專案或登入專案。

Boards

略過工作專案更新的規則
Project, BYPASS_RULES

具有此許可權的使用者可以儲存忽略工作項目類型所定義之規則的工作專案,例如 複製、條件約束或條件式規則。 實用的案例是移轉,當您不想在匯入時更新 by/date 欄位,或當您想要略過工作項目的驗證時。
規則可以透過兩種方式之一略過。 第一個是透過工作 專案 - 更新 REST API ,並將 參數設定 bypassRulestrue。 第二個是透過客戶端物件模型,透過略過規則模式初始化 (使用 WorkItemStoreFlags.BypassRules初始化 WorkItemStore )。

變更項目的程式
Project, CHANGE_PROCESS

與「編輯專案層級資訊」許可權結合時,可讓使用者變更專案的繼承程式。 如需詳細資訊,請參閱 建立和管理繼承的進程

建立標籤定義
Tagging, Create

可以將標籤新增至工作專案。 根據預設,參與者群組的所有成員都有此許可權。 此外,您可以透過安全性管理工具設定更多標記許可權。 如需詳細資訊,請參閱 安全性命名空間和許可權參考、標記

注意

所有使用者都授與私用專案的項目關係人存取權,只能新增現有的標籤。 即使 [ 建立卷標定義 ] 許可權設定為 [允許],項目關係人也無法新增標籤。 這是項目關係人存取設定的一部分。 根據預設,已授與公用專案項目關係人存取權的 Azure DevOps Services 用戶會獲授與此許可權。 如需詳細資訊,請參閱專案關係人存取快速參考
雖然 [ 建立卷標定義 ] 許可權會出現在專案層級的安全性設定中,但標記許可權實際上是在使用者介面中顯示的專案層級範圍集合層級許可權。 若要在使用 TFSSecurity 命令時將標記許可權的範圍設定為單一專案,您必須在命令語法中提供專案的 GUID。 否則,您的變更會套用至整個集合。 變更或設定這些許可權時,請記住這點。

刪除和還原工作專案或刪除此專案中的工作專案。
Project, WORK_ITEM_DELETE

可以將 專案中的工作項目標示為已刪除。 根據預設,已授與公用專案項目關係人存取權的 Azure DevOps Services 用戶會獲授與此許可權。

將工作專案移出此專案
Project, WORK_ITEM_MOVE

永久刪除此專案中的工作專案
Project, WORK_ITEM_PERMANENTLY_DELETE

分析

除了本節所列的AnalyticsView命名空間許可權之外,您還可以在每個檢視上設定物件層級許可權。

刪除共用分析檢視
AnalyticsViews, Delete

編輯共用分析檢視
AnalyticsViews, Edit

可以建立和修改 共用分析檢視

檢視分析
AnalyticsViews, Read

可以從 Analytics 服務存取可用的數據。 如需詳細資訊,請參閱 存取 Analytics 服務所需的許可權。

測試計劃

建立測試回合
Project, PUBLISH_TEST_RESULTS

可以新增和移除測試結果,以及新增或修改測試回合。 如需詳細資訊,請參閱 控制保留測試結果執行手動測試的時間長度。

刪除測試回合
Project, DELETE_TEST_RESULTS

可以 刪除測試回合

管理測試組態
Project, MANAGE_TEST_CONFIGURATIONS

可以建立和刪除 測試組態

管理測試環境
Project, MANAGE_TEST_ENVIRONMENTS

可以建立和刪除 測試環境

檢視測試回合
Project, VIEW_TEST_RESULTS

可以在專案區域路徑下檢視測試計劃。

分析檢視 (物件層級)

透過共用分析檢視,您可以授與特定許可權,以檢視、編輯或刪除您所建立的檢視。 從 入口網站管理分析檢視的安全性。

共用分析檢視安全性對話框的螢幕快照,其中變更用戶的許可權。

[管理共用分析檢視安全性] 對話框、變更使用者的許可權、Azure DevOps Server 的螢幕快照。

每個共用分析檢視都會定義下列許可權。 所有有效的用戶都會自動獲得管理 Analytics 檢視的所有許可權。 請考慮將選取許可權授與您建立的其他小組成員或安全組的特定共享檢視。 如需詳細資訊,請參閱 什麼是分析檢視? 和安全性 命名空間和許可權參考

權限 (UI)

Namespace permission

描述


刪除共用分析檢視

AnalyticsViews, Delete

可以刪除共用分析檢視。

編輯共用分析檢視

AnalyticsViews, Edit

可以變更共用分析檢視的參數。

檢視共用分析檢視

AnalyticsViews, Read

可以從 Power BI Desktop 檢視和使用共用分析檢視。

儀表板 (物件層級)

您可以個別設定小組和項目儀錶板的許可權。 您可以為項目設定小組的預設許可權。 從入口網站管理儀錶板的安全性。 安全性命名空間和許可權參考中所定義,支援更多命名空間許可權。

項目儀表板許可權

[項目儀錶板許可權] 對話框的螢幕快照。

根據預設,專案儀錶板的建立者是儀錶板擁有者,並授與該儀錶板的所有許可權。

權限
Namespace permission
說明
刪除儀表板
DashboardsPrivileges, Delete
可以刪除專案儀錶板。
編輯儀表板
DashboardsPrivileges, Edit
可以將小工具新增至 專案儀錶板並變更配置。
管理權限
DashboardsPrivileges, ManagePermissions
可以管理專案儀錶板的許可權。

您可以個別設定小組儀錶板的許可權。 您可以為項目設定小組的預設許可權。 從入口網站管理儀錶板的安全性。

小組儀錶板默認許可權

[小組儀錶板許可權] 對話框的螢幕快照。

根據預設,小組管理員會為其小組儀錶板授與所有許可權,包括管理預設和個別儀錶板許可權。

權限
Namespace permission
說明
建立儀表板
DashboardsPrivileges, Create
可以建立小組儀錶板。
刪除儀錶板
DashboardsPrivileges, Delete
可以刪除小組儀錶板。
編輯儀錶板
DashboardsPrivileges, Edit
可以新增小工具,並變更小組儀錶板的版面配置。

個別小組儀表板許可權

個別小組儀錶板許可權對話框的螢幕快照。

小組管理員可以變更下列兩個許可權,以變更個別小組儀錶板的許可權。

權限
Namespace permission
說明
刪除儀表板
DashboardsPrivileges, Delete
可以刪除特定的小組儀錶板。
編輯儀表板
DashboardsPrivileges, Edit
可以將小工具新增至 ,並變更特定小組儀錶板的配置。

管線或組建 (物件層級)

管理入口網站中所定義之每個管線的管線許可權,或使用 TFSSecurity 命令行工具。 專案管理員會被授與所有管線許可權,而建置管理員會獲派大部分許可權。 您可以設定針對專案或每個管線定義所定義之所有管線的管線許可權。

管線物件層級安全性對話框雲端的螢幕快照。

管線物件層級許可權對話框的螢幕快照。

建置中的許可權會遵循階層式模型。 所有許可權的預設值都可以在專案層級設定,而且可以在個別組建定義上覆寫。

若要設定專案中所有建置定義的專案層級許可權,請從建置中樞主頁面上的動作列選擇 [安全性 ]。

若要設定或覆寫特定組建定義的許可權,請從組建定義的操作功能表中選擇 [安全性 ]。

您可以在兩個層級的組建中定義下列許可權。

權限 (UI)

Namespace permission

描述


管理組建許可權
Build, AdministerBuildPermissions

可以管理其他使用者的組建許可權。

建立組建管線 Build, CreateBuildPipeline

可以建立管線並編輯這些管線。

建立組建管線 Build, CreateBuildDefinition

可以建立管線。

刪除組建定義
Build, DeleteBuildDefinition

可以刪除此項目的組建定義。

刪除組建
Build, DeleteBuilds

可以刪除已完成的組建。 刪除的組建會在 [已刪除] 索引標籤中保留一段時間,再終結。

終結組建
Build, DestroyBuilds

可以永久刪除已完成的組建。

編輯組建管線
編輯組建定義
Build, EditBuildDefinition

編輯組建管線:可將任何變更儲存至組建管線,包括組態變數、觸發程式、存放庫和保留原則。 適用於 Azure DevOps Services、Azure DevOps Server 2019 1.1 和更新版本。 取代 [編輯組建定義]。 無法建立新的管線。 編輯組建定義 可以建立和修改此專案的組建定義。

注意

若要控制特定組建定義的許可權,請關閉 繼承

開啟繼承時,建置定義會遵守專案層級或群組或使用者所定義的組建許可權。 例如,自定義建置管理員群組的許可權設定為手動將專案 Fabrikam 的組建排入佇列。 任何具有專案 Fabrikam 繼承的組建定義,都允許組建管理員群組的成員手動將組建排入佇列。

關閉繼承時,您可以設定許可權,因此只有 Project Administrators 可以手動將組建排入特定組建定義的佇列。

編輯組建品質
Build, EditBuildQuality

可以透過Team Explorer或入口網站新增組建品質的相關信息。

管理組建品質
Build, ManageBuildQualities

可以新增或移除組建品質。 僅適用於 XAML 組建

管理組建佇列
Build, ManageBuildQueue

可以取消、重新排定優先順序或延後佇列組建。 僅適用於 XAML 組建

依組建覆寫簽入驗證
Build, OverrideBuildCheckInValidation

可以認可影響閘道組建定義的 TFVC 變更集,而不需要觸發系統先擱置並建置其變更。

佇列組建
Build, QueueBuilds

可以透過Team Foundation Build 的介面或在命令提示字元中放入組建。 他們也可以停止已排入佇列的組建。

編輯佇列組建組態 Build, EditPipelineQueueConfigurationPermission

可以在將新組建排入佇列時,指定自由文字參數的值(例如 類型 object 為 或 array的 ) 和管線變數。

無限期保留
Build, RetainIndefinitely

可以將組建上的保留旗標無限期切換為無限期。 此功能會標示組建,讓系統不會根據任何適用的保留原則自動刪除它。

停止組建
Build, StopBuilds

可以停止任何進行中的組建,包括由另一位使用者排入佇列並啟動的組建。

更新組建資訊
Build, UpdateBuildInformation

可以將組建資訊節點新增至系統,也可以新增組建品質的相關信息。 僅指派給服務帳戶。

檢視組建定義
Build, ViewBuildDefinition

可以檢視為專案建立的組建定義。

檢視組建
Build, ViewBuilds

可以檢視此專案的已排入佇列和已完成的組建。

注意

  • 當您想要控制特定組建定義的許可權時,請關閉組建定義的繼承。
    • 當繼承為 On,建置定義會遵守專案層級或群組或使用者所定義的組建許可權。 例如,自定義建置管理員群組的許可權設定為手動將專案 Fabrikam 的組建排入佇列。 任何具有繼承 On 的專案 Fabrikam 建置定義,都會允許組建管理員群組的成員手動將組建排入佇列。
    • 不過,藉由關閉 專案 Fabrikam 的繼承 ,您可以設定許可權,只允許專案管理員手動將組建排入特定組建定義的佇列。 如此一來,我就能特別設定該組建定義的許可權。
  • 將覆寫簽入驗證指派給建置服務的服務帳戶,以及建置負責程式代碼質量的系統管理員。 適用於 TFVC 閘道簽入組建。 這不適用於PR組建。 如需詳細資訊,請參閱 簽入受網關簽入建置程式控制的資料夾。

Git 存放函式庫 (物件層級)

從入口網站、TF 命令行工具或使用 TFSSecurity 命令行工具管理每個 Git 存放庫分支的安全性。 專案管理員會獲授與大部分這些許可權(僅適用於使用 Git 存放庫設定的專案)。 您可以管理所有 Git 存放庫或特定 Git 存放庫的這些許可權。

Git 存放庫許可權對話框的螢幕快照。

注意

變更最上層 Git 存放庫專案,以設定所有 Git 存放庫 的許可權。 個別存放庫會繼承最上層 Git 存放庫 項目的許可權。 分支會從存放庫層級所做的指派繼承許可權。 根據預設,專案層級讀者群組只有讀取許可權。

若要管理 Git 存放庫和分支許可權,請參閱 設定分支許可權

權限 (UI)

Namespace permission

描述


完成提取要求時略過原則
GitRepositories, PullRequestBypassPolicy

可以檢查 覆寫分支原則,並在完成PR時啟用合併 ,以選擇覆寫分支原則。

注意

完成提取要求時略過原則,並在 推送 取代 [豁免原則強制執行] 時略過原則。

推送時略過原則

可以推送至已啟用分支原則的分支。 當具有此許可權的用戶進行會覆寫分支原則的推送時,推送會自動略過沒有選擇加入步驟或警告的分支原則。

注意

完成提取要求時略過原則,並在 推送 取代 [豁免原則強制執行] 時略過原則。

貢獻
GitRepositories, GenericContribute

在存放庫層級,可以將變更推送至存放庫中的現有分支,並可以完成提取要求。 缺少此許可權但具有 建立分支 許可權的使用者,可能會將變更推送至新的分支。 不會從 分支原則覆寫就地的限制。

在分支層級,可以將變更推送至分支並鎖定分支。 鎖定分支會封鎖其他人的任何新認可,並防止其他使用者變更現有的認可歷程記錄。

參與提取要求
GitRepositories, PullRequestContribute

可以建立、批注和投票提取要求。

建立分支
GitRepositories, CreateBranch

可以在存放庫中建立和發佈分支。 缺少此許可權並不會限制使用者在本機存放庫中建立分支;它只會防止它們將本機分支發佈至伺服器。

注意

當您在伺服器上建立新的分支時,預設會有參與、編輯原則、強制推送、管理許可權,以及移除其他分支的鎖定許可權。 這表示您可以透過分支將新的認可新增至存放庫。

建立存放庫
GitRepositories, CreateRepository

可以建立新的存放庫。 此許可權僅適用於最上層 Git 存放庫 物件的 [安全性] 對話框。

建立標籤
GitRepositories, CreateTag

可以將標籤推送至存放庫。

刪除存放庫 GitRepositories, DeleteRepository

可以刪除存放庫。 在最上層 Git 存放庫 層級,可以刪除任何存放庫。

編輯原則
GitRepositories, EditPolicies

可以編輯存放庫及其分支的原則。

豁免原則強制執行
GitRepositories, PolicyExempt

適用於 TFS 2018 Update 2。 可以略過分支原則並執行下列兩個動作:

  • 覆寫分支原則並完成不符合分支原則的 PR
  • 直接推送至已設定分支原則的分支

注意

在 Azure DevOps 中,它會以下列兩個許可權取代: 在完成提取要求 時略過原則,並在 推送時略過原則。

強制推送(重寫歷程記錄、刪除分支和標籤)
GitRepositories, ForcePush

可以強制更新分支、刪除分支,以及修改分支的認可歷程記錄。 可以刪除標籤和附註。

管理附註
GitRepositories, ManageNote

可以推送和編輯 Git 附注。

管理許可權
GitRepositories, ManagePermissions

可以設定存放庫的許可權。

讀取GitRepositories, GenericRead

可以複製、擷取、提取和探索存放庫的內容。

拿掉其他人的鎖定
GitRepositories, RemoveOthersLocks

可以移除 其他用戶所設定的 分支鎖定。 鎖定分支會封鎖其他人新增至分支的任何新認可,並防止其他使用者變更現有的認可歷程記錄。

重新命名存放庫
GitRepositories, RenameRepository

可以變更存放庫的名稱。 在最上層 Git 存放庫 項目上設定時,可以變更任何存放庫的名稱。

TFVC (物件層級)

入口網站 或使用 TFSSecurity 命令行工具管理每個 TFVC 分支的安全性。 專案管理員獲授與大部分許可權,僅針對設定為使用 Team Foundation 版本控制 做為原始檔控制系統的項目顯示。 在版本控制許可權中,明確拒絕的優先順序高於系統管理員群組許可權。

這些許可權只會針對項目設定使用 Team Foundation 版本控制 做為原始檔控制系統。

[TFVC 許可權] 對話框的螢幕快照。

在版本控制許可權中,明確 拒絕 的優先順序高於系統管理員群組許可權。

權限 (UI)

Namespace permission

描述


管理標籤
VersionControlItems, LabelOther

可以編輯或刪除其他使用者所建立的標籤。

簽入
VersionControlItems, Checkin

可以簽入專案並修改任何認可的變更集批注。 暫止的變更會在簽入時認可。*

簽入其他用戶的變更
VersionControlItems, CheckinOther

可以簽入其他使用者所做的變更。 暫止的變更會在簽入時認可。

在伺服器工作區中畫上變更
VersionControlItems, PendChange

可以簽出並對資料夾中的項目進行擱置變更。 暫止變更的範例包括新增、編輯、重新命名、刪除、取消刪除、分支和合併檔案。 擱置的變更必須簽入,因此使用者也必須具有簽入許可權,才能與小組共用其變更。*

標籤
VersionControlItems, Label

可以標記專案。


VersionControlItems, Lock

可以鎖定和解除鎖定資料夾或檔案。 追蹤的資料夾或檔案可以鎖定或解除鎖定,以拒絕或還原用戶的許可權。 許可權包括簽出專案以編輯至不同的工作區,或簽入不同工作區中專案的擱置變更。 如需詳細資訊,請參閱 Lock命令

管理分支
VersionControlItems, ManageBranch

可以將該路徑下的任何資料夾轉換成分支,並在分支上採取下列動作:編輯其屬性、重新父系它,然後將它轉換成資料夾。 擁有此許可權的使用者只有在目標路徑也有合併許可權時,才能分支此分支。 用戶無法從沒有管理分支許可權的分支建立分支。

管理權限
VersionControlItems, AdminProjectRights

可以管理其他使用者在版本控制中資料夾和檔案的許可權。*

合併
VersionControlItems, AdminProjectRights

可以將變更合併到此路徑。*

參閱
VersionControlItems, Read

可以讀取檔案或資料夾的內容。 如果使用者具有資料夾的讀取許可權,使用者就可以看到資料夾的內容和其中檔案的屬性,即使使用者沒有開啟檔案的許可權也一樣。

修改其他用戶的變更
VersionControlItems, ReviseOther

即使另一位使用者簽入檔案,也可以編輯簽入檔案的批注。*

復原其他用戶的變更
VersionControlItems, UndoOther

可以復原其他使用者所做的擱置變更。*

解除鎖定其他用戶的變更
VersionControlItems, UnlockOther

可以解除鎖定其他使用者鎖定的檔案。*

* 請考慮將此許可權新增至負責監督或監視專案的任何手動新增使用者或群組,而且即使另一位使用者簽入檔案,也可能必須變更簽入檔案的批注。

區域路徑 (物件層級)

區域路徑許可權可管理區域階層分支的存取權,以及這些區域中的工作專案。 從 入口網站 或使用 TFSSecurity 命令行工具管理每個區域路徑的安全性。 區域許可權會管理建立和管理區域路徑的存取權,以及建立和修改區域路徑下定義的工作專案。

專案管理員群組的成員會自動獲得管理專案區域路徑的許可權。 請考慮授與小組系統管理員或小組潛在客戶許可權,以建立、編輯或刪除區域節點。

注意

多個小組可以參與專案。 在此情況下,您可以設定與區域相關聯的小組。 小組工作項目的許可權會藉由將許可權指派給區域來指派。 還有其他 小組設定 可設定小組的敏捷式規劃工具。

區域路徑許可權對話框的螢幕快照。

權限 (UI)

Namespace permission

描述


建立子節點
CSS, CREATE_CHILDREN

可以建立區域節點。 擁有此許可權和 [編輯此節點 ] 權限的使用者,可以移動或重新排序任何子區域節點。

請考慮將此許可權新增至可能需要刪除、新增或重新命名區域節點的任何手動新增使用者或群組。

刪除此節點
CSS, CREATE_CHILDREN

擁有此許可權和 針對另一個節點編輯此節點 許可權的使用者,可以刪除區域節點,並從已刪除的節點重新分類現有的工作專案。 如果已刪除的節點具有子節點,也會刪除這些節點。

請考慮將此許可權新增至可能需要刪除、新增或重新命名區域節點的任何手動新增使用者或群組。

編輯此節點
CSS, CREATE_CHILDREN

可以設定此節點的許可權,以及重新命名區域節點。

請考慮將此許可權新增至可能需要刪除、新增或重新命名區域節點的任何手動新增使用者或群組。

編輯此節點中的工作專案
CSS, WORK_ITEM_WRITE

可以編輯此區域節點中的工作專案。

請考慮將此許可權新增至可能需要編輯區域節點下工作專案的任何手動新增使用者或群組。

管理測試計劃
CSS, MANAGE_TEST_PLANS

可以修改測試計劃屬性,例如組建和測試設定。

請考慮將此許可權新增至可能需要在此區域節點下管理測試計劃或測試套件的任何手動新增使用者或群組。

管理測試套件
CSS, MANAGE_TEST_SUITES

可以建立和刪除測試套件、新增和移除測試套件中的測試案例、變更與測試套件相關聯的測試元件,以及修改套件階層 (移動測試套件)。

請考慮將此許可權新增至可能需要在此區域節點下管理測試計劃或測試套件的任何手動新增使用者或群組。

檢視此節點的許可權

可以檢視區域路徑節點的安全性設定。

檢視此節點中的工作專案

CSS, GENERIC_READ

可以檢視但無法變更此區域節點中的工作專案。

注意

如果您將此節點中的 [檢視工作專案] 設定為 [拒絕],則使用者看不到此區域節點中的任何工作專案。 Deny 會覆寫任何隱含允許,即使是屬於系統管理群組成員的使用者也一樣。

反復項目路徑 (物件層級)

反覆專案路徑許可權可管理建立和管理反覆專案路徑的存取權,也稱為短期衝刺。

入口網站 或使用 TFSSecurity 命令行工具管理每個反覆專案路徑的安全性。

專案管理員群組的成員會自動針對針對項目定義的每個反覆專案授與這些許可權。 請考慮授與小組系統管理員、scrum 主機或小組領導建立、編輯或刪除反覆項目節點的許可權。

[反復項目路徑權限] 對話框的螢幕快照。

權限 (UI)

Namespace permission

描述


建立子節點
Iteration, CREATE_CHILDREN

可以建立反覆項目節點。 擁有此許可權和 [編輯此節點 ] 權限的使用者,可以移動或重新排序任何子迭代節點。

請考慮將此許可權新增至可能需要刪除、新增或重新命名反覆項目節點的任何手動新增使用者或群組。

刪除此節點
Iteration, DELETE

擁有此許可權和 針對另一個節點編輯此節點 許可權的使用者,可以刪除反覆運算節點,並從已刪除的節點重新分類現有的工作專案。 如果已刪除的節點具有子節點,也會刪除這些節點。

請考慮將此許可權新增至可能需要刪除、新增或重新命名反覆項目節點的任何手動新增使用者或群組。

編輯此節點
Iteration, GENERIC_WRITE

可以設定此節點的許可權,以及重新命名反覆項目節點。

請考慮將此許可權新增至可能需要刪除、新增或重新命名反覆項目節點的任何手動新增使用者或群組。

檢視此節點的許可權
Iteration, GENERIC_READ

可以檢視此節點的安全性設定。

注意

[專案集合有效使用者]、[專案有效使用者] 或任何具有 [檢視集合層級資訊] 或 [檢視專案層級資訊] 的使用者或群組的成員可以檢視任何反復專案節點的許可權。

工作項目查詢與查詢資料夾 (物件層級)

透過 入口網站管理查詢和查詢資料夾許可權。 專案管理員會被授與所有這些許可權。 參與者只會獲得讀取許可權。

[查詢資料夾權限] 對話框的螢幕快照。

請考慮將 參與 許可權授與需要建立和共享專案工作項目查詢能力的使用者或群組。 如需詳細資訊,請參閱 設定查詢的許可權。

注意

若要建立查詢圖表 ,您需要基本存取權。

權限 (UI)

Namespace permission

描述


貢獻
WorkItemQueryFolders, Contribute

可以檢視和修改查詢資料夾,或儲存資料夾中的查詢。

刪除
WorkItemQueryFolders, Delete

可以刪除查詢或查詢資料夾及其內容。

管理許可權
WorkItemQueryFolders, ManagePermissions

可以管理此查詢或查詢資料夾的許可權。


WorkItemQueryFolders, Read

可以檢視和使用資料夾中的查詢或查詢,但無法修改查詢或查詢資料夾內容。

傳遞計劃 (物件層級)

透過 入口網站管理方案許可權。 透過其 [安全性] 對話框管理每個方案的許可權。 專案管理員會獲得建立、編輯和管理計劃的所有許可權。 有效的使用者會被授與檢視 (唯讀) 許可權。

權限 (UI)

Namespace permission

描述


刪除
Plan, Delete

可以刪除選取的方案。

編輯
Plan, Edit

可以編輯針對所選計劃定義的組態和設定。

管理
Plan, Manage

可以管理所選方案的許可權。

檢視
Plan, View

可以檢視計劃、開啟和與計劃互動的清單,但無法修改計劃組態或設定。

行程 (物件層級)

您可以管理您透過 入口網站建立之每個繼承程式的許可權。 透過其 [安全性] 對話框管理每個進程的許可權。 專案集合系統管理員獲授與建立、編輯和管理程式的所有許可權。 有效的使用者會被授與檢視 (唯讀) 許可權。

權限 (UI)

Namespace permission

描述


管理進程許可權
Process, AdministerProcessPermissions

可以設定或變更繼承進程的許可權。

刪除程式
Process, Delete

可以刪除繼承的進程。

編輯程式
Process, Edit

可以從系統進程建立繼承的進程,或複製或修改繼承的進程。

工作項目標籤

您可以使用 az devops security 權限或 TFSSecurity 命令列工具來管理標記權限。 參與者可以將標籤新增至工作專案,並使用這些標籤快速篩選待辦專案、面板或查詢結果檢視。

您可以使用 TFSSecurity 命令列工具來管理標記許可權。 參與者可以將標籤新增至工作專案,並使用這些標籤快速篩選待辦專案、面板或查詢結果檢視。

權限 (UI)

Namespace permission

描述


建立標籤定義
Tagging, Create

可以建立新的標記,並將其套用至工作專案。 沒有此許可權的使用者只能從專案的現有標記集中選取。

根據預設,參與者會獲指派建立 標籤定義 許可權。 雖然 [ 建立卷標定義 ] 許可權會出現在專案層級的安全性設定中,但標記許可權實際上是在使用者介面中顯示的專案層級範圍集合層級許可權。 若要在使用命令列工具時將標記許可權的範圍設定為單一專案,您必須在命令語法中提供專案的 GUID。 否則,您的變更會套用至整個集合。 變更或設定這些許可權時,請記住這點。

刪除標籤定義
Tagging, Delete

可以從該專案的可用標籤清單中移除標籤。

此許可權不會出現在UI中。 您只能使用命令列工具加以設定。 也沒有UI可以明確刪除標記。 相反地,當標記尚未使用三天時,系統會自動刪除它。

列舉標籤定義
Tagging, Enumerate

可以檢視專案內工作專案可用的標記清單。 沒有此許可權的用戶沒有可用的標籤清單,可在工作專案表單或查詢編輯器中選擇。

此許可權不會出現在UI中。 它只能使用命令行工具來設定。 檢視 專案層級資訊 會隱含地允許用戶檢視現有的標籤。

更新標籤定義
Tagging, Update

可以使用 REST API 重新命名標記。

此許可權不會出現在UI中。 它只能使用命令行工具來設定。

發行 (物件層級)

管理入口網站中定義之每個版本的許可權。 專案管理員和發行系統管理員會被授與所有發行管理許可權。 這些許可權適用於專案層級的階層式模型、特定發行管線,或發行管線中的特定環境。 在此階層中,許可權可以繼承自父系或覆寫。

顯示 Releases 物件層級許可權的螢幕快照。

注意

當您定義第一個發行管線時,就會建立專案層級發行管理員的群組。

此外,您可以將核准者指派給發行管線內的特定步驟,以確保所部署的應用程式符合質量標準。

發行管理中定義了下列許可權。 範圍數據行說明許可權是否可以在專案、發行管線或環境層級設定。

權限

說明

範圍


管理發行許可權

可以變更這裡所列的任何其他許可權。

專案、發行管線、環境

建立版本

可以建立新版本。

項目、發行管線

刪除發行管線

可以刪除發行管線。

項目、發行管線

刪除發行環境

可以在發行管線中刪除環境。

專案、發行管線、環境

刪除版本

可以刪除管線的版本。

項目、發行管線

編輯發行管線

可以新增和編輯發行管線,包括組態變數、觸發程式、成品和保留原則,以及發行管線環境中的設定。 若要變更發行管線中的特定環境,使用者也需要 編輯發行環境 許可權。

項目、發行管線

編輯發行環境

可以在發行管線中編輯環境。 若要將變更儲存至發行管線,使用者也需要 編輯發行管線 許可權。 此許可權也會控制使用者是否可以編輯特定發行實例環境內的組態。 使用者也需要 管理發行 許可權,才能儲存修改的版本。

專案、發行管線、環境

管理部署

可以起始發行至環境的直接部署。 此許可權僅適用於在版本中選取 [部署 ] 動作以手動起始的直接部署。 如果環境的條件設定為任何類型的自動部署,系統會自動起始部署,而不需要檢查建立發行的用戶許可權。

專案、發行管線、環境

管理發行核准者

可以在發行管線中新增或編輯環境的核准者。 此許可權也會控制使用者是否可以編輯特定發行實例環境內的核准者。

專案、發行管線、環境

管理版本

可以編輯發行組態,例如階段、核准者和變數。 若要編輯發行實例中特定環境的組態,使用者也需要 [編輯發行環境 ] 許可權。

項目、發行管線

檢視發行管線

可以檢視發行管線。

項目、發行管線

檢視版本

可以檢視屬於發行管線的版本。

項目、發行管線

所有這些許可權的預設值都是針對小組專案集合和專案群組所設定。 例如,根據預設, Project Collection AdministratorsProject AdministratorsRelease Administrators 會獲得上述所有許可權。 除了管理發行許可權之外,參與者會獲得所有許可權 讀取器預設會拒絕檢視發行管線檢視版本以外的所有許可權。

工作組 (建置和發行) 許可權

入口網站的建置和發行中樞管理工作組的許可權。 專案、組建和發行系統管理員會獲授與所有許可權。 工作組許可權遵循階層式模型。 所有許可權的預設值都可以在專案層級設定,而且可以在個別的工作組定義上覆寫。

使用工作組,將組建或發行定義中已定義的工作序列封裝成單一可重複使用的工作。 在建置和發行中樞的 [工作組] 索引標籤中定義和管理工作組

權限 描述
管理工作組許可權 可以將使用者或群組新增和移除至工作組安全性。
刪除工作組 可以刪除工作組。
編輯工作組 可以建立、修改或刪除工作組。

通知或警示

沒有與 管理電子郵件通知或警示相關聯的 UI 許可權。 相反地,您可以使用 TFSSecurity 命令行工具來管理它們

  • 根據預設,專案層級 參與者 群組的成員可以自行訂閱警示。
  • [專案集合管理員] 群組的成員,或擁有 [編輯集合層級資訊] 的使用者,可以為其他人或小組設定該集合中的警示。
  • 專案管理員群組的成員,或擁有 [編輯專案層級資訊] 的使用者,可以在該專案中為其他人或小組設定警示。

您可以使用 TFSSecurity 來管理警示許可權

TFS 安全性動作

TFSSecurity 命名空間

說明

專案集合管理員和
專案集合服務帳戶


CREATE_SOAP_SUBSCRIPTION

EventSubscription

可以建立SOAP型Web服務訂用帳戶。

✔️

GENERIC_READ

EventSubscription

可以檢視針對專案定義的訂用帳戶事件。

✔️

GENERIC_WRITE

EventSubscription

可以為其他使用者或小組建立警示。

✔️

UNSUBSCRIBE

EventSubscription

可以從事件訂用帳戶取消訂閱。

✔️