共用方式為


管理特定功能的存取權

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

管理 Azure DevOps 中特定功能的存取權對於保持開放和安全性的正確平衡至關重要。 無論您是要授與或限制使用者群組特定功能的存取權,瞭解內建安全組所提供之標準許可權以外的彈性是關鍵。

如果您不熟悉權限和群組環境,請參閱 開始使用權限、存取權和安全組。 本文涵蓋許可權狀態的基本概念及其繼承方式。

提示

Azure DevOps 中專案的結構在判斷物件層級的許可權粒度方面扮演了關鍵角色,例如存放庫和區域路徑。 此結構是可讓您微調訪問控制的基礎,可讓您特別劃定哪些區域可供存取或限制。 如需詳細資訊,請參閱 關於專案和調整組織

先決條件

類別 要求
許可 專案集合系統管理員群組的成員。 組織擁有者會自動成為此群組的成員。

使用安全組

為了獲得最佳維護,建議您使用預設安全組或建立 自定義安全組來管理許可權專案管理員專案集合系統管理員 群組的許可權設定是設計而無法修改的。 不過,您可以彈性地修改所有其他群組的許可權。

個別管理少數用戶的許可權可能似乎可行,但自定義安全組提供更有組織的方法。 它們可簡化角色及其相關許可權的監督,確保管理設計的清晰性和輕鬆性,而且無法改變。 但是,您可以彈性地修改所有其他群組的許可權。

將工作委派給特定角色

身為系統管理員或組織擁有者,將系統管理工作委派給監督特定區域的小組成員是一種策略性方法。 具備預先定義許可權和角色指派的主要內建角色包括:

  • 讀取者: 具有專案的唯讀存取權。
  • 參與者: 可藉由新增或修改內容來參與專案。
  • 小組管理員: 管理小組相關的設定和許可權。
  • 專案管理員: 具有項目的系統管理許可權。
  • 專案集合管理員: 監督整個專案集合,並具有最高層級的許可權。

這些角色有助於分配責任,並簡化專案區域的管理。

如需詳細資訊,請參閱 默認許可權和存取 權和 變更專案集合層級許可權

若要將工作委派給組織內的其他成員,請考慮建立自定義安全組,然後授與下表所示的許可權。

Role

要執行的工作

設定為 [允許] 的許可權

開發主管 (Git)

管理分支原則

編輯原則、強制推送及管理許可權
請參閱 設定分支許可權

Team Foundation Version Control(TFVC)開發主管

管理存放庫和分支

管理標籤、管理分支及管理許可權
請參閱 設定 TFVC 存放庫許可權

軟體架構師 (Git)

管理存放庫

建立存放庫、強制推送和管理許可權
請參閱 設定 Git 存放庫許可權

小組管理員

為其小組新增區域路徑
為小組新增共享查詢

建立子節點、刪除此節點、編輯此節點請參閱 建立子節點、修改區域路徑下的工作專案
參與、刪除、管理許可權(適用於查詢資料夾),請參閱 設定查詢許可權

參與者

在查詢資料夾下新增共用查詢,參與儀錶板

參與、刪除 (針對查詢資料夾),請參閱 設定查詢許可權
檢視、編輯及管理儀錶板,請參閱 設定儀錶板許可權

專案或產品管理員

新增區域路徑、反覆專案路徑和共享查詢
刪除和還原工作專案、將工作專案移出此專案、永久刪除工作專案

編輯專案層級資訊,請參閱 變更專案層級許可權

行程樣本管理員 (繼承行程模型

工作追蹤自定義

管理程式許可權、建立新專案、建立程式、從帳戶刪除欄位、刪除程式、刪除專案、編輯程式
請參閱 變更專案集合層級許可權

行程樣本管理員 (託管的 XML 進程模型

工作追蹤自定義

編輯集合層級資訊,請參閱 變更專案集合層級許可權

專案管理(內部部署 XML 行程模型

工作追蹤自定義

編輯專案層級資訊,請參閱 變更專案層級許可權

許可權管理員

管理專案、帳戶或集合的許可權

針對專案,編輯專案層級資訊
針對帳戶或集合,編輯實例層級 (或集合層級) 資訊
若要瞭解這些許可權的範圍,請參閱 許可權查閱指南。 若要要求變更許可權,請參閱 要求增加許可權等級

除了將許可權指派給個人之外,您還可以管理 Azure DevOps 內各種物件的許可權。 包括以下物件:

這些連結提供詳細步驟和指導方針,可有效地為 Azure DevOps 中的個別區域設定和管理許可權。

限制用戶可見度

警告

使用此預覽功能時,請考慮下列限制:

  • 本節所述的有限可見度功能僅適用於透過入口網站進行互動。 使用 REST API 或 azure devops CLI 命令,項目成員可以存取受限制的數據。
  • 受限群組中的使用者只能選取明確新增至 Azure DevOps 的使用者,而不能選取可透過 Microsoft Entra 群組成員資格存取的使用者。
  • 在Microsoft Entra ID 中具有預設存取權之有限群組中的來賓用戶,無法搜尋具有人員選擇器的使用者。

組織和專案

根據預設,新增至組織的使用者可以檢視所有組織和專案資訊和設定。 您可以使用 限制使用者可見性和共同作業到特定專案 預覽功能,限制特定使用者,例如項目關係人、Microsoft Entra 使用者或特定安全組的成員,在組織內的使用和互動。 一旦功能 開啟的任何使用者或群組都會以下列方式限制 Project-Scoped Users 群組

  • 存取僅限於明確新增的專案。
  • 顯示使用者、專案、帳單詳細數據、使用量數據,以及透過 組織設定存取更多 的檢視會受到限制。
  • 出現在人員選擇器搜尋選取範圍中的一組人員或群組,以及 @mention 人員的功能有限。

身份搜尋和選擇

使用 Microsoft Entra 識別碼,您可以使用人員選擇器來搜尋組織中的任何使用者或群組,而不只是您目前專案中的使用者或群組。 人員選擇器支援下列 Azure DevOps 函式:

  • 從工作追蹤身分識別欄位選取使用者身分識別,例如 [指派給]
  • 在工作項目討論或 RTF 欄位中使用 @mention 、提取要求討論、認可批注或變更集或擱置集批注選取使用者或群組
  • 使用 wiki頁面@mention 選取使用者或群組

如下圖所示,開始在人員選擇器方塊中輸入使用者或安全組名稱,直到您找到相符項目為止。

人員選擇器螢幕快照。

已新增到 Project-Scoped 使用者 群組的用戶和群組,僅能透過人員選擇器查看並選取他們所連接的專案中的用戶和群組。

開啟預覽功能,並將使用者新增至安全組

執行下列步驟來開啟預覽功能,並將使用者和群組新增至 Project-Scoped Users 群組:

  1. 開啟 限制用戶可見度和共同作業到組織的特定專案預覽功能

  2. 將使用者新增至您的專案,如將使用者新增至專案或小組中所述。 新增至小組的用戶會自動新增至專案和小組群組。

  3. 開啟 [組織] 設定>],然後選擇 [專案範圍使用者]。 選取 成員 索引標籤。

  4. 將您想要範圍的所有使用者和群組新增至他們加入的專案。 如需詳細資訊,請參閱 在專案或集合層級設定許可權。

    Project-Scoped 使用者 群組只會出現在 許可權>群組 下,當 將使用者可見度和共同作業限制為特定專案的 預覽功能開啟時。

Azure DevOps 中的所有安全組都會被視為組織層級實體,即使它們只有特定項目的許可權也一樣。 這表示安全組會在組織層級進行管理。

從入口網站中,可能會根據用戶的許可權限制某些安全組的可見度。 不過,您仍然可以使用 azure devops CLI 工具或 REST API,探索組織內所有安全組的名稱。 如需詳細資訊,請參閱 新增和管理安全組

限制檢視或修改物件的存取權

Azure DevOps 的設計目的是允許所有授權的用戶檢視系統中所有已定義的物件。 不過,您可以將許可權狀態設定為 [拒絕] 來量身打造資源的存取權。 您可以為屬於自訂安全組或個別使用者的成員設定許可權。 如需詳細資訊,請參閱 要求增加許可權等級

要限制的區域

設定為 Deny 的許可權

檢視或參與存放庫

在區域路徑內檢視、建立或修改工作專案

編輯此節點中的工作專案、檢視此節點中的工作專案
請參閱 設定工作追蹤的許可權和存取權、修改區域路徑下的工作專案。

檢視或更新選取組建和發行管線

編輯建置管線、檢視組建管線
編輯發行管線、檢視發行管線
您可以在物件層級設定這些許可權。 請參閱 設定組建和發行許可權

編輯儀表板

檢視儀表板
請參閱 設定儀錶板許可權

限制修改工作項目或選取欄位

如需說明如何限制修改工作專案或選取欄位的範例,請參閱 範例規則案例

下一步