針對權限問題進行疑難排解
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
由於 Azure DevOps 的廣泛安全性和許可權結構,您可能需要調查使用者為何無法存取預期的專案、服務或功能。 尋找逐步指引,以瞭解和解決用戶連線至專案或存取 Azure DevOps 服務或功能時可能會遇到的問題。
先決條件
| 類別 | 要求 |
|---|---|
| 許可 | 若要在組織或集合層級管理許可權或群組:屬於 專案集合系統管理員 安全群組的成員。 如果您已建立組織或集合,則會自動成為此群組的成員。 |
| 建議 | 使用本指南之前,建議您先熟悉下列內容: - 權限、存取和安全群組的入門 - 預設權限和存取快速參考。 |
提示
當您建立 Azure DevOps 安全組時,請清楚標示以指出其是否打算限制存取。
您可以在下列層級設定權限:
- 物件層級
- 專案層級
- 組織或專案彙整層級
- 安全角色
- 小組管理員角色
常見的存取和許可權問題
查看專案成員無法存取項目、服務或功能最常見的原因:
| 問題 | 疑難解答動作 |
|---|---|
| 其存取層級不支援存取服務或功能。 | 若要判斷其是否為原因, 請判斷使用者的存取層級和訂用帳戶狀態。 |
| 屬於安全性群組的成員資格不支援功能存取,或者他們被明確拒絕了對該功能的許可權。 | 若要判斷其是否為原因,請追蹤權限。 |
| 使用者最近獲授與許可權,但其用戶端需要重新整理才能辨識變更。 | 讓使用者重新 整理或重新評估其許可權。 |
| 用戶試圖使用僅授予特定團隊的系統管理員的功能,但他們並未被授予該角色。 | 若要將它們新增至角色,請參閱 新增、移除小組管理員。 |
| 使用者未啟用預覽功能。 | 讓用戶開啟預覽功能,並判斷特定功能的開啟/關閉狀態。 如需詳細資訊,請參閱 管理預覽功能。 |
| 項目成員已新增至範圍受限的安全群組,例如專案範疇使用者群組。 | 若要判斷其是否為原因, 請查閱使用者的安全組成員資格。 |
較不常見的存取和許可權問題
有限存取的較不常見原因是發生下列其中一個事件:
| 問題 | 疑難解答動作 |
|---|---|
| 專案管理員已停用服務。 在此情況下,沒有人可以存取已停用的服務。 | 若要判斷服務是否已停用,請參閱 開啟或關閉 Azure DevOps 服務。 |
| 專案集合管理員已停用預覽功能,此功能會停用組織中所有專案成員的預覽功能。 | 請參閱 管理預覽功能。 |
| 管理使用者存取層級或專案成員資格的群組規則會限制存取。 | 請參閱 判斷使用者的存取層級和訂用帳戶狀態。 |
| 自訂規則定義於工作項目類型的工作流程。 | 請參閱 套用至工作專案類型以限制選擇操作的規則。 |
判斷使用者的存取層級和訂用帳戶狀態
您可以將使用者或使用者群組指派給下列其中一個存取層級:
- 利害關係人
- 基本
- 基本 + 測試計劃
- Visual Studio 訂用帳戶
- GitHub Enterprise
如需限制 Azure DevOps 中存取層級的詳細資訊,請參閱 支援的存取層級。
若要使用 Azure DevOps 功能,用戶必須新增至具有適當許可權且可存取入口網站的安全組。 功能限制是以使用者的存取層級和安全組為基礎。
使用者可能會因為下列原因而失去存取權:
| 失去存取權限的原因 | 疑難解答動作 |
|---|---|
| 使用者的Visual Studio訂用帳戶已過期。 | 此使用者可以 做為項目關係人,或者您可以授與使用者基本存取權,直到使用者更新其訂用帳戶為止。 使用者登入之後,Azure DevOps 會自動還原存取權。 |
| 用於計費的 Azure 訂用帳戶已不再有效。 | 使用此訂用帳戶進行的所有購買都會受到影響,包括 Visual Studio 訂用帳戶。 若要修正此問題,請流覽 Azure 帳戶入口網站。 |
| 用於計費的 Azure 訂用帳戶已從您的組織中移除。 | 深入瞭解 如何連結您的組織 |
否則,未登入您組織的時間最長的使用者會先失去存取權。 如果您的組織有不再需要存取權的使用者,請 將其從您的組織移除。
如需許可權的詳細資訊,請參閱 許可權和群組 和 許可權查閱指南。
追查許可權
使用許可權追蹤來判斷使用者的許可權為何不允許他們存取特定功能或功能。 瞭解使用者或系統管理員如何調查許可權的繼承。 若要從入口網站追蹤許可權,請開啟對應層級的許可權或安全性頁面。 如需詳細資訊,請參閱 要求增加許可權等級。
如果使用者有許可權問題,而且您使用預設安全組或自定義群組來取得許可權,請使用追蹤來調查這些許可權的來源。 許可權問題可能是因為變更延遲。 Microsoft Entra 群組的成員身份或權限變更可能需要最多 1 小時,才能在整個 Azure DevOps 中生效。 如果使用者遇到無法立即解決的問題,請等一天看看他們是否解決。 如需使用者和存取管理的詳細資訊,請參閱 在 Azure DevOps 中管理使用者和存取權。
如果使用者有許可權問題,而且您使用預設安全組或自定義群組來取得許可權,您可以使用我們的許可權追蹤來調查這些許可權的來源。 許可權問題可能是因為用戶沒有必要的存取層級。
使用者可以直接或透過群組接收其有效許可權。
完成下列步驟,讓系統管理員能夠視需要了解這些許可權的確切來源並加以調整。
選取 專案設定>權限>使用者,然後選取該使用者。
現在,您應該能看到一個特定於使用者的視圖,顯示他們擁有的權限。
若要追蹤使用者為何擁有或沒有任何列出的許可權,請選取有關許可權旁邊的資訊圖示。
產生的追蹤可讓您知道它們如何繼承列出的許可權。 然後,您可以透過調整他們所屬群組的許可權,來調整用戶的許可權。
選取 [項目設定>安全性],然後在篩選方塊中輸入用戶名稱。
![在 [Azure DevOps Server 2019] 篩選方塊中輸入使用者名稱的螢幕快照。](media/security-page-enter-user-name-2019.png?view=azure-devops)
您現在應該有使用者專屬檢視,以顯示他們擁有的許可權。
追蹤使用者執行或沒有任何列出的許可權的原因。 將滑鼠停留在許可權上方,然後選擇 [ 原因]。
產生的追蹤可讓您知道它們如何繼承列出的許可權。 然後,您可以藉由調整提供給他們所使用群組的許可權,來調整用戶的許可權。
如需詳細資訊,請參閱 管理特定特性和函 式的存取權,或 要求增加許可權等級。
重新整理或重新評估許可權
請參閱下列案例,其中可能需要重新整理或重新評估許可權。
問題
使用者會新增至 Azure DevOps 或 Microsoft Entra 群組。 此動作會將繼承存取權授予組織或專案。 但是,它們不會立即取得存取權。 用戶必須等候,或者註銷、關閉瀏覽器,然後重新登入以刷新其權限。
使用者會新增至 Azure DevOps 群組。 此動作會授予繼承的存取權給組織或專案。 但是,它們不會立即取得存取權。 用戶必須等候或先註銷並關閉瀏覽器,然後重新登入以刷新其權限。
解決方案
移至 [
用戶設定>許可權>] 重新評估許可權。 此函式會重新評估您的群組成員資格和許可權,然後任何最近的變更都會立即生效。
套用至限制某些操作的工作專案類型的規則
在自定義程式之前,建議您先檢閱 設定和自定義 Azure Boards,其中提供如何自定義 Azure Boards 以符合業務需求的指引。
如需適用於限制作業的工作項目類型規則詳細資訊,請參閱:
從使用者隱藏組織設定
如果使用者只能看到其專案或無法存取組織設定,下列資訊可能會說明原因。 若要限制使用者存取組織設定,請啟用 將用戶可見度和共同作業限制為特定專案 預覽功能。 如需詳細資訊 (包括重要的安全性相關註標),請參閱管理您的組織、限制專案的使用者可見度等等。
受限制使用者的範例包括項目關係人、Microsoft Entra 來賓使用者或安全組的成員。 啟用之後,任何新增至專案範圍使用者群組的使用者或群組都受限於存取 [組織設定] 頁面,但 [概觀] 和 [專案] 除外。 他們只能存取被新增的專案。
受限制使用者的範例包括項目關係人或安全組的成員。 啟用之後,新增至專案範圍使用者群組的任何使用者或群組都會受到限制,而無法存取 [組織設定] 頁面,但 [概觀] 和 [專案] 除外。 他們只能存取被新增到的專案。
如需詳細資訊,請參閱 管理您的組織、限制專案的用戶可見度等等。
使用 CLI 檢視、新增及管理許可權
您可以使用 az devops security permission 命令,在細微層級檢視、新增及管理許可權。 如需詳細資訊,請參閱 使用命令行工具管理許可權。
具有較少許可權的群組規則
群組規則類型依下列順序排列:訂閱者 > 基本 + 測試計劃 > 基本 > 項目關係人。 使用者一律會收到所有群組規則中可用的最高存取層級,包括任何 Visual Studio (VS) 訂用帳戶。
注意
請參閱下列範例,其中顯示訂閱者偵測因素如何納入群組規則。
範例 1:群組規則提供我更多存取權
如果我有 VS 專業版訂閱,而且我在一個規則為我提供基本 + 測試方案的群組裡,會發生什麼事?
預期:我會收到基本 + 測試方案,因為群組規則提供給我的內容大於我的訂用帳戶。 群組規則指派一律會提供更大的存取權,而不是限制存取。
範例 2:群組規則提供我相同的存取權
我有 Visual Studio Test Pro 訂用帳戶,而我在一個群組規則中,獲得了基本功能 + 測試計劃,這樣會怎麼樣?
預期:因為存取權與群組規則相同,我被偵測為 Visual Studio Test Pro 訂閱者。 我已經支付 Visual Studio Test Pro 的費用,所以我不想再付一次。
使用 GitHub
請參閱下列疑難解答資訊,以使用 GitHub 在 Azure DevOps 中部署程序代碼。
問題
即使將小組的其他成員新增至該專案,您仍無法將他們帶入組織和專案。 他們會收到電子郵件,但在登入時,會收到 401 錯誤。
解決方案
您可能已使用不正確的身分識別登入 Azure DevOps。 執行下列步驟:
關閉所有瀏覽器,包括未執行 Azure DevOps 的瀏覽器。
開啟私人或無痕瀏覽窗口。
移至下列 URL: https://aka.ms/vssignout。
訊息會顯示「進行中註銷」。註銷之後,您會重新導向至
dev.azure.microsoft.com。再次登入 Azure DevOps ,並選擇不同的身分識別。