在 Azure Pipelines 中管理安全性
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Azure Pipelines 安全性可透過安全組和使用者的階層,控制管線及其資源的存取。 此系統會控管如發行管線、工作組、代理程式集區和服務連線等資源,雖然這作用於管線之外。 建立之後,管線和資源會從預先定義的安全組和用戶繼承專案層級許可權,並影響所有專案管線。
系統管理員通常具有不受限制的存取權,貢獻者負責監督資源,而讀取者則只有檢視許可權,使用者角色會決定群組的分派。 如需詳細資訊,請參閱 關於管線安全性角色。
必要條件
| 安全性區域 | 必要條件 |
|---|---|
| 管線安全性 | - 若要管理專案集合群組,請成為專案集合管理員群組的成員。 - 若要管理專案層級使用者和群組,請成為系統管理員群組的成員,或具有 管理組建許可權。 |
| 代理程式集區安全性 | - 若要管理組織、集合或專案層級的 代理程式集區安全性,請成為專案集合系統管理員 群組的成員,或具有 代理程式集區的系統管理員 角色。 - 若要管理物件層級的代理程式集區安全性,請具有 代理程式集區的系統管理員 角色。 |
| 部署群組安全性 | - 若要管理專案層級部署群組安全性,請成為系統管理員群組的成員,或獲指派系統管理員角色。 - 若要管理個別部署群組的安全性,請具有系統管理員角色。 |
| 環境安全性 | - 若要管理專案層級環境安全性,請成為系統管理員群組的成員或指派系統管理員角色。 - 若要管理個別環境的物件層級安全性,請具有系統管理員角色。 |
| 圖書館安全性 | - 若要管理資料庫安全性,請成為管理員群組的成員或被指派管理員角色。 - 若要管理個別程式庫資產的安全性,必須是系統管理員或具有適當的角色。 |
| 發布管線安全性 | - 若要管理發行管線安全性,請成為系統管理員群組的成員,或具有 管理發行許可權。 - 具有發行管線。 |
| 服務連線安全性 | - 若要管理服務連線安全性,請成為 Project Administrators 群組的成員或具有系統管理員角色。 - 若要管理專案層級的安全性,請成為專案管理員群組的成員,或具有服務連線的系統管理員角色。 - 若要管理物件層級的安全性,請具有 服務連線的系統管理員 角色。 |
| 工作組安全性 | 若要管理工作組安全性,請成為系統管理員群組的成員,或具有 管理工作組許可權。 - 具有工作小組。 |
在 Azure Pipelines 中設定管線許可權
管線安全性遵循使用者權限和群組權限的階層式模型。 專案層級的許可權會由專案中的所有管線在物件層級繼承。 您可以變更專案和物件層級上所有管線的繼承和預設使用者和群組許可權。 您無法變更系統設定的許可權。
下表顯示管線的預設安全組:
| 群組 | 描述 |
|---|---|
| 構建管理員 | 管理組建許可權並管理管線和組建。 |
| 參與者 | 管理管線和組建,但不管理組建佇列。 此群組包含所有小組成員。 |
| 專案管理員 | 管理組建許可權並管理管線和組建。 |
| 讀者 | 檢視管線和組建。 |
| 專案集合管理員 | 管理組建許可權並管理管線和組建。 |
| 專案集合建置管理員 | 管理組建許可權並管理管線和組建。 |
| 專案集合組建服務帳戶 | 管理建置。 |
| 專案集合測試服務帳戶 | 檢視管線和建置。 |
系統會自動建立<專案名稱> Build Service (集合名稱) 使用者,這是專案集合建置服務帳戶群組的成員。 此使用者會在專案內執行建置服務。
視您在管線中使用的資源而定,您的管線可能包含其他內建使用者。 例如,如果您使用原始程式碼的 GitHub 存放庫,則會包含 GitHub 使用者。
下表顯示安全組的預設權限:
| 任務 | 讀者 | 參與者 | 建置系統管理員 | 專案管理員 |
|---|---|---|---|---|
| 檢視組建 | ✔️ | ✔️ | ✔️ | ✔️ |
| 檢視建置流水線 | ✔️ | ✔️ | ✔️ | ✔️ |
| 管理組建許可權 | ✔️ | ✔️ | ||
| 刪除或編輯建置流程 | ✔️ | ✔️ | ✔️ | |
| 刪除或終結組建 | ✔️ | ✔️ | ✔️ | |
| 編輯組建品質 | ✔️ | ✔️ | ✔️ | |
| 管理組建品質 | ✔️ | ✔️ | ||
| 管理建置佇列 | ✔️ | ✔️ | ||
| 覆寫由建置所進行的簽入驗證 | ✔️ | |||
| 隊列構建 | ✔️ | ✔️ | ✔️ | |
| 無限期保留 | ✔️ | ✔️ | ✔️ | |
| 停止組建 | ✔️ | ✔️ | ✔️ | |
| 更新組建資訊 | ✔️ | ✔️ | ✔️ |
| 任務 | 讀者 | 參與者 | 建構管理員 | 專案管理員 |
|---|---|---|---|---|
| 檢視組建 | ✔️ | ✔️ | ✔️ | ✔️ |
| 檢視建置流水線 | ✔️ | ✔️ | ✔️ | ✔️ |
| 管理組建許可權 | ✔️ | ✔️ | ||
| 建立組建管線 | ✔️ | ✔️ | ✔️ | |
| 刪除或編輯編譯管線 | ✔️ | ✔️ | ✔️ | |
| 刪除或終結組建 | ✔️ | ✔️ | ||
| 編輯組建品質 | ✔️ | ✔️ | ✔️ | |
| 管理組建品質 | ✔️ | ✔️ | ||
| 管理建置佇列 | ✔️ | ✔️ | ||
| 覆寫由組件所進行的簽入驗證 | ✔️ | |||
| 佇列組建 | ✔️ | ✔️ | ✔️ | |
| 無限期保留 | ✔️ | ✔️ | ✔️ | |
| 停止組建 | ✔️ | ✔️ | ||
| 更新組建資訊 | ✔️ |
如需管線許可權的描述,請參閱 管線或建置許可權。
設定專案層級管線權限
若要管理專案中所有組建管線的使用者和群組專案層級許可權,請執行下列步驟:
從您的專案中,選取 [ 管線]。
![顯示 [管線] 選單選取項目的螢幕快照。](media/pipelines-navigation-from-project.png?view=azure-devops-2022)
選取 [更多動作
],然後選取 [管理安全性]。選取使用者或群組,並將許可權設定為 [允許]、[拒絕] 或 [未設定]。
重複上一個步驟,變更更多群組和用戶的許可權。
關閉許可權對話框以儲存變更。
若要管理專案中所有組建管線的使用者和群組專案層級許可權,請執行下列步驟:
從您的專案中,選取 [ 管線]。
選取 [更多動作
],然後選取 [管理安全性]。選取使用者或群組,並將許可權設定為 [允許]、[拒絕] 或 [未設定]。
重複上一個步驟,變更更多群組和用戶的許可權。
關閉許可權對話框以儲存變更。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
若要從權限清單中移除使用者,請執行下列步驟:
選取使用者或群組。
選擇 移除並清除明確許可權。
完成時,請關閉對話框以儲存變更。
若要管理專案中所有組建管線的使用者和群組專案層級許可權,請執行下列步驟:
從您的專案中,選取 [ 管線]。
選取 [更多動作
],然後選取 [管理安全性]。若要新增許可權對話框中未列出的使用者或群組,請選取 [新增],輸入使用者或群組,然後選取 [ 儲存變更]。
選取使用者或群組並設定許可權。
重複上一個步驟,變更更多群組和用戶的許可權。
選取 [ 儲存變更 ],或者您可以選取 [復原變更 ] 來復原變更。
若要從清單中移除使用者或群組,請選取使用者或群組,然後選取 [ 移除]。
選取關閉。
您的專案層級流程許可權已設定。
設定物件層級管線權限
根據預設,個別管線的物件層級許可權會繼承自專案層級許可權。 您可以覆蓋繼承的項目層級權限。
如果許可權未繼承,您可以將許可權設定為 [允許]、[拒絕] 或 [未設定]。 如果啟用繼承,您可以將明確設定的許可權變更回繼承的值。
若要管理管線的許可權,請執行下列步驟:
從您的專案中,選取 [ 管線 ]。
選取管線,然後選取 [更多動作
],然後選取 [管理安全性]。![螢幕快照顯示管線中 [更多動作] 選單所選擇的安全性選項。](media/individual-pipeline-more-actions-menu.png?view=azure-devops-2022)
選取使用者或群組並設定許可權。
重複上一個步驟,變更更多群組和用戶的許可權。
當您完成時,請關閉對話框以儲存變更。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
除非停用繼承,否則無法移除繼承的使用者和群組。 若要從管線的許可權中移除使用者或群組,請執行下列步驟:
選取使用者或群組。
請選擇 [ 移除並清除明確許可權]。
完成時,請關閉對話框以儲存變更。
根據預設,個別管線的物件層級許可權會繼承專案層級許可權。 您可以覆蓋繼承的權限。
如果許可權未繼承,您可以將許可權設定為 [允許]、[拒絕] 或 [未設定]。 如果啟用繼承,您可以將明確設定的許可權變更回繼承的值。
若要設定個別管線的許可權,請執行下列步驟:
從您的專案中,選取 [ 管線 ]。
選取管線,然後選取 [更多動作
],然後選取 [管理安全性]。
若要新增許可權對話框中未列出的使用者或群組,請選取 [新增],輸入使用者或群組,然後選取 [ 儲存變更]。
選取使用者和群組並設定許可權。
視需要選取 [ 儲存變更 ] 或 [復原變更]。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 移除]。 除非停用繼承,否則您無法移除繼承的使用者或群組。
完成時選取 [關閉 ]。
當您明確設定繼承的使用者或群組許可權時,繼承將對該特定許可權停用。 若要還原繼承,請將許可權設定為 [未設定]。 選取 [清除明確許可權 ],將所有明確設定的許可權重設為其繼承的設定。 若要停用所有使用者和群組許可權的繼承,請關閉 [ 繼承] 設定。 重新啟用繼承之後,所有使用者和群組的許可權會還原為其專案層級設定。
在 Azure Pipelines 中設定部署群組安全性
部署群組是已安裝代理程式的實體或虛擬機集區。 部署群組僅適用於傳統發行管道。 您可以在下列情況下建立部署群組:
- 當從組織部署集區為專案配置相依部署群組時
- 在專案層級建立部署群組時
- 當專案共用部署群組時,會在收件者專案中建立相依的部署群組
個別部署群組會從專案層級指派繼承安全性角色。 您可以覆寫使用者或群組的專案層級指派。 若要移除繼承的使用者或群組,或降低繼承角色的許可權等級,您必須 停用繼承。
當部署群組與其他項目共用時,會在其他專案中建立另一個繼承其安全性角色的個別部署群組。 当共用功能被停用时,部署群组将会从其他项目中移除。
下表顯示部署群組的安全性角色:
| 角色 | 描述 |
|---|---|
| 讀者 | 只能檢視部署群組。 |
| 建立者 | 可以建立部署群組。 此角色僅是專案層級角色。 |
| 使用者 | 可以檢視及使用部署群組。 |
| 服務帳戶 | 可以檢視代理、建立會話,以及監聽作業任務。 此角色僅限集合或組織層級角色。 |
| 系統管理員 | 可以執行、管理、檢視及使用部署群組。 |
下表顯示預設使用者和群組角色指派:
| 群組 | 角色 |
|---|---|
| [項目名稱]\參與者 | 建立者(專案層級)、讀者(物件層級) |
| [項目名稱]\部署群組管理員 | 系統管理員 |
| [項目名稱]\專案管理員 | 系統管理員 |
| [項目名稱]\發行系統管理員 | 系統管理員 |
設定專案層級部署群組安全性角色
執行下列步驟來設定所有部署群組的專案層級安全性角色:
從您的專案中,選取 [管線] 底下的 [部署群組]。
選取安全性。
設定使用者和群組的角色。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。選取 [
儲存變更] 以儲存變更或 [重設變更
] 以還原未儲存的變更。
執行下列步驟,以新增未列在安全性對話框中的項目使用者或群組:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選取 角色。
- 選取 [新增] 以儲存變更。
設定物件層級部署群組安全性角色
執行下列步驟來設定個別部署群組的安全性角色:
從您的專案中,選取 管線 底下的 部署群組。
在群組下選擇部署群組。
選取安全性。
設定使用者和群組的角色。 若要降低繼承角色的許可權等級,請取消繼承。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。 除非停用繼承,否則無法移除繼承的使用者和群組。選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
當您明確設定角色時,該使用者或群組的繼承將被停用。 若要停用所有使用者和群組的 繼承,請關閉 [繼承] 設定。 當您重新啟用繼承時,所有使用者和群組的角色會還原為其專案層級指派。
執行下列步驟,以新增未列在安全性對話框中的項目使用者或群組:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選擇 角色。
- 選取 [新增] 以儲存變更。
在 Azure Pipelines 中設定環境的安全性設置
YAML 管線的部署目標會被環境組合包起來,但與傳統管線不相容。 所有環境都會繼承安全性角色,並在專案層級指派給預設使用者和群組。 您可以藉由停用繼承來自定義個別環境的這些設定,包括移除繼承的使用者或群組和調整許可權等級。 此外,您可以管理每個環境的管線存取。
下表顯示環境的安全性角色:
| 角色 | 描述 |
|---|---|
| 建立者 | 可以在專案中建立環境。 它只適用於專案層級安全性。 參與者會自動獲指派此角色。 |
| 讀者 | 可以檢視環境。 |
| 使用者 | 可以在建立或編輯 YAML 管線時使用環境。 |
| 系統管理員 | 可以管理許可權、建立、管理、檢視和使用環境。 環境的創建者將被授予該環境的系統管理員角色。 系統管理員也可以針對專案中的所有管線開啟環境存取權。 |
下表顯示預設使用者和群組角色指派:
| 群組 | 角色 |
|---|---|
| [項目名稱]\參與者 | 建立者 (項目層級) 讀者 (物件層級) |
| [項目名稱]\專案管理員 | 建立者 |
| [項目名稱]\專案有效使用者 | 讀者 |
建立環境的人員會自動獲得 該特定環境的系統管理員 角色。 此角色指派是永久的,無法變更。
設定專案層級環境安全性角色
若要設定所有環境的專案層級安全性角色,請執行下列步驟:
從您的專案,環境在管線之下。
選取 [更多動作
],然後選取 [安全性]。
將使用者和群組的角色設定為 Administrator、 Creator、 User 或 Reader。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。選取 [ 儲存 ] 以儲存變更或 復原 以還原未儲存的變更。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選擇 角色。
- 選取 [新增] 以儲存變更。
設定物件層級環境安全性
根據預設,物件層級安全性角色會繼承自專案層級設定。 但是,您可以針對個別環境自定義這些設定,包括藉由停用繼承來移除繼承的使用者或群組和調整許可權等級。 此外,您可以管理每個環境的管線存取。
設定物件層級環境使用者和群組安全性角色
若要設定環境的使用者和群組安全性角色,請執行下列步驟:
從您的專案中,選取 環境 在 管線 底下。
選取環境。
選取 [更多動作
],然後選取 [安全性]。
將使用者和群組的角色設定為 [系統管理員]、 [使用者] 或 [讀取者]。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。 除非停用繼承,否則無法移除繼承的使用者和群組。選取 [ 儲存 ] 以儲存變更或 復原 以還原未儲存的變更。
明確地為使用者或群組設定角色會取消其繼承設定。 若要停止每個人的繼承,請停用 [ 繼承] 選項。 重新啟用權限繼承會將所有使用者和群組重設為其原始專案層次角色指派。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
- 選擇「新增」。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選擇 角色。
- 選取 [新增] 以儲存變更。
設定管線存取於環境中
管線許可權可以設定為 [開啟存取 ],以允許存取專案中的所有管線,或限制特定管線的存取權。 只有 Project 系統管理員 可以將管線許可權設定為 [開啟存取]。
若要設定專案中所有管線的開啟存取權,請執行下列步驟:
選取 [更多動作
],然後選取 [開啟存取]。
在確認對話框中選擇 開啟存取。
若要限制存取和管理管線存取,請執行下列步驟:
選取 [ 限制存取]。
選取 [新增管線
],然後從下拉功能表中選取管線。若要移除管線,請選取管線,然後選取 [ 撤銷存取 ] 圖示。
在 Azure Pipelines 中設定連結庫安全性
連結庫可跨組建和發行管線促進資產共用,例如變數群組和安全檔案。 它採用統一的安全模型,允許將角色分配給資產管理、建立和使用。 一旦在圖書館層級設定,這些角色將自動套用至所有所包含的資產,但可以進行個別調整。
| 角色 | 描述 |
|---|---|
| 系統管理員 | 編輯、刪除和管理資料庫資產的安全性。 資產的建立者會自動為資產指派此角色。 |
| 創作者 | 建立圖書館資產。 |
| 閱讀器 | 讀取函式庫資產。 |
| 使用者 | 取用管線中的連結庫資產。 |
下表顯示預設角色:
| 群組 | 角色 |
|---|---|
| [項目名稱]\專案管理員 | 系統管理員 |
| [項目名稱]\建置系統管理員 | 系統管理員 |
| [項目名稱]\專案有效使用者 | 讀者 |
| [項目名稱]\參與者 | 建立者 (項目層級) 讀者 (物件層級) |
| [項目名稱]\發行系統管理員 | 系統管理員 |
| 專案名稱 建置服務(集合或組織名稱) | 讀者 |
針對個別的資料庫資產,建立者會自動指派 管理員 角色。
設定專案層級程式庫安全性角色
若要管理所有連結庫資產的存取,例如 變數群組 和安全 檔案,請執行下列步驟:
從您的專案中,選取 管線>庫。
選取安全性。
![資料庫 [安全性] 按鈕的螢幕擷取畫面。](media/pipelines-security-library.png?view=azure-devops-2022)
選取使用者或群組,並將角色變更為讀者、使用者、建立者或系統管理員。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選擇角色。
- 選取 [新增] 以儲存變更。
設定安全檔案安全性角色
安全檔案的角色預設會繼承自專案層級庫角色分配。 您可以針對個別檔案覆寫這些指派。 若要移除繼承的使用者或群組,或降低繼承角色的許可權等級,您必須停用繼承。
安全檔案的建立者會自動指派 該檔案的系統管理員 角色,而該檔案無法變更。
若要設定安全檔案的許可權,請執行下列步驟:
- 從您的專案中,選取
管線 庫存 。 - 選取 [ 保護檔案]。
- 選取檔案。
- 選取安全性。
- 設定使用者和群組所需的角色。
- 若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除 ]。 除非停用繼承,否則無法移除繼承的使用者和群組。
- 選取 [儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
當您明確設定角色時,該使用者或群組的繼承會被停用。 若要停用所有使用者和群組的 繼承,請關閉 [繼承] 設定。 當您重新啟用繼承時,所有使用者和群組的角色會還原為其專案層級指派。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選取角色。
- 選取 [新增] 以儲存變更。
設定變數群組安全性角色
變數群組的安全性角色預設會繼承自專案層級庫的角色指派。 您可以針對個別變數群組覆寫這些指派。 若要移除繼承的使用者或群組,或降低繼承角色的許可權等級,您必須停用繼承。
變數群組的建立者會自動指派 該群組的系統管理員 角色,而該群組無法變更。
若要設定變數群組的存取權,請執行下列步驟:
- 從您的專案中,選取
管線 庫 。 - 選取變數群組。
- 選取安全性。
- 設定使用者和群組所需的角色。
- 若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除 ]。 除非停用繼承,否則無法移除繼承的使用者和群組。
- 選取 [儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
當您明確設定角色時,該使用者或群組的繼承功能會被取消。 若要停用所有使用者和群組的 繼承,請關閉 [繼承] 設定。 當您重新啟用繼承時,所有使用者和群組的角色會還原為其專案層級指派。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選取 角色。
- 選取 [新增] 以儲存變更。
在 Azure Pipelines 中設定發行管線許可權
建立發行管線之後,您可以設定所有發行管線的專案層級許可權,以及個別發行管線和階段的物件層級許可權。 您也可以設定發佈階段的許可權,這些階段的許可權是繼承自物件層級發佈管線許可權的一個子集。
下表顯示發行管線的許可權階層:
- 專案層級發行流程許可權
- 物件層級發行管線許可權
- 物件等級階段權限
下表顯示預設使用者和群組角色:
| 群組 | 角色 |
|---|---|
| 參與者 | 所有許可權,除了管理發行許可權。 |
| 專案管理員 | 所有許可權。 |
| 讀者 | 可以檢視管線和發行。 |
| 釋放系統管理員 | 所有權限 |
| 專案集合管理員 | 所有許可權。 |
| <專案名稱> 建置服務(<組織/集合名稱>) | 可以檢視管線和發行。 |
| 專案集合組建伺服器 (<組織/集合名稱>) | 可以檢視流水線和發行。 |
如需許可權描述,請參閱 許可權和群組。
設定專案層級發行管線許可權
若要更新所有版本的許可權,請執行下列步驟:
1.從您的專案中,選取
選取檔案檢視示。
選取 [ 所有管線] 資料夾。
選取 [更多動作
],然後選取 [安全性]。
選取使用者和群組,並變更其許可權。
完成時,請關閉對話框以儲存變更。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
若要從權限清單中移除使用者,請執行下列步驟:
從您的項目許可權頁面,選取使用者或群組。
選擇 移除並清除明確許可權。
完成時,請關閉對話框以儲存變更。
設定物件層級發行管線許可權
根據預設,個別發行管線的物件層級許可權會繼承自專案層級發行管線許可權。 您可以覆蓋特定發行管線的這些繼承許可權。
若要覆寫發行的許可權,請執行下列步驟:
從您的專案中選取 管線>發行。
選擇檔案檢視圖示
。選取您想要修改的發行管線,然後選取 [
更多動作>安全性]。
選取使用者或群組,將其許可權設定為 [允許]、[ 拒絕 ] 或 [ 未設定]。
當您完成時,請關閉對話框以儲存變更。
當您明確設定繼承的使用者或群組許可權時,該特定許可權會停用繼承。 若要還原繼承,請將許可權設定為 [未設定]。 若要停用所有使用者和群組許可權的繼承,請關閉 [ 繼承] 設定。 重新啟用繼承之後,所有使用者和群組的許可權會還原為其專案層級設定。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
您可以從發行管線中移除使用者和群組。 除非停用繼承,否則無法移除繼承的使用者和群組。 若要移除使用者或群組的發行管線許可權,請執行下列步驟:
選取使用者或群組。
選取 移除並清除明確許可權。
完成時,請關閉對話框以儲存變更。
設定發行階段許可權
階段權限是從物件層級的發行管線權限繼承而來的權限子集。
若要設定階段的許可權,請執行下列步驟:
從您的專案中,選取 管道>發行。
選取檔案檢視示
,然後選取 [ 所有管線]。從 [所有管線] 選取您想要修改的發行管線
選取您想要修改的階段。
選取 [其他選項] 圖示
,然後選取 [安全性]。
若要新增許可權對話框中未列出的使用者或群組,請選取 [新增],輸入使用者或群組,然後選取 [ 儲存變更]。
選取使用者和群組,將其許可權設定為 [允許]、[ 拒絕 ] 或 [ 未設定]。
選取 [ 儲存變更 ],或者您可以選取 [復原變更 ] 來復原變更。 您必須先儲存變更以套用許可權,才能選取另一個使用者或群組。
您可以選取更多使用者和群組來變更其許可權。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 移除]。 除非停用繼承,否則無法移除繼承的使用者和群組。
完成後,選取 [確定]。
當您明確設定從繼承而來的使用者或群組權限時,該特定權限會停止繼承。 若要還原繼承,請將許可權設定為 [未設定]。 選取 [清除明確許可權 ],將所有明確設定的許可權重設為其繼承的設定。 若要停用所有使用者和群組許可權的繼承,請關閉 [ 繼承] 設定。 重新啟用繼承之後,所有使用者和群組的許可權會還原為其專案層級設定。
在 Azure Pipelines 中設定服務連線安全性
服務連線可用來連線到外部和遠端服務。 您可以設定服務連線的安全性,如下所示:
- 項目:權限在物件層級上設定。
- 流水線:權限是在物件層級設定。
- 使用者和群組:安全性角色是在專案和物件層級設定。
下表顯示服務連線角色:
| 角色 | 目的 |
|---|---|
| 讀者 | 可以檢視服務連線。 |
| 使用者 | 可以在傳統和 YAML 組建和發行管線中使用服務連線。 |
| 創作者 | 可以在專案中建立服務連線。 此角色僅是專案層級角色。 |
| 系統管理員 | 可以使用服務連線,並管理其他使用者和群組的角色。 |
下表顯示服務連線的預設安全性角色:
| 群組 | 角色 |
|---|---|
| [項目名稱]\端點管理員 | 系統管理員 |
| [項目名稱]\Endpoint Creators | 建立者 |
建立服務連線的用戶會自動為該服務連線指派系統管理員角色。
如需詳細資訊,請參閱 服務連線。
設定專案層級服務連線安全性角色
若要管理所有服務連線的安全性角色,請執行下列步驟:
從您的專案中,選取
[項目設定]。在管線下選擇服務連線。
選取 [更多動作
],然後選取 [安全性]。
若要變更角色,請選取使用者或群組,然後從下拉功能表中選取角色。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。選取 [ 儲存 ] 以儲存變更或 復原 以還原未儲存的變更。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選取 角色。
- 選取 [新增] 以儲存變更。
設定物件層級服務連線安全性
您可以為服務連線設定使用者和群組的安全性角色,以及管線和專案存取。 個別服務連線預設會繼承使用者和群組的專案層級角色指派。
若要開啟個別服務連線的安全性對話框,請執行下列步驟:
- 從您的專案中,選取 [項目設定]。
- 選取 [管線] 底下的 [服務連線]。
- 選取服務連線。
- 選取 [更多動作],然後選取 [安全性]。
設定使用者和群組的服務連線安全性角色
您可以覆蓋使用者和群組的繼承角色。 必須停用繼承,才能移除繼承的使用者或群組,或降低繼承角色的許可權等級。
若要管理個別服務連線的安全性角色,請執行下列步驟:
在 [安全性] 對話框的 [用戶權力] 區段中,選取 [專案] 以管理專案層級使用者和群組,或 [組織] 來管理組織或集合層級的使用者和群組。
選取使用者和群組,並變更其角色。 若要降低繼承角色的許可權等級,必須停用繼承。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。 除非停用繼承,否則無法移除繼承的使用者和群組。選取 [ 儲存 ] 以儲存變更或 復原 以還原未儲存的變更。
當您明確設定角色時,該使用者或群組的繼承會被停用。 若要停用所有使用者和群組的 繼承,請關閉 [繼承] 設定。 當您重新啟用繼承時,所有使用者和群組的角色會還原為其專案層級指派。
若要新增安全性對話框中未列出的項目使用者或群組:
- 選取 [新增]。
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
- 選擇 角色。
- 選取 [新增] 以儲存變更。
設定服務連線管線許可權
您可以將管線許可權設定為 [開啟存取],允許所有管線使用服務連線,也可以限制特定管線的存取權。
當管線許可權設定為 [開啟存取] 時,您可以選取 [ 限制存取] 選項來限制存取 。
若要將管線新增至受限制的服務連線,請選取 [新增管線],然後從下拉功能表中選取管線。
若要將服務連線從限制變更為開啟存取,請選取 [更多動作],然後選取 [開啟存取]。
設定服務連線項目許可權
您可以跨多個專案共用服務連線。 項目許可權可控制哪些專案可以使用服務連線。 根據預設,服務連線不會與任何其他項目共用。
- 只有擁有用戶權限的組織層級管理員才能與其他專案分享服務連接。
- 與專案共用服務連線的使用者至少必須具有目標專案中的 [建立服務連線] 許可權。
- 與專案共用服務連線的用戶會成為該服務連線的專案層級系統管理員。 專案層級繼承在目標項目中設定為開啟。
- 服務連接名稱會附加專案名稱,而且可以在目標專案範圍中重新命名。
- 組織層級系統管理員可以從任何共享專案取消共用服務連線。
根據預設,存取會限製為目前的專案。 若要授與組織或集合中其他專案的存取權,請選取 [ 新增專案]。
如果您遇到與許可權及服務連線相關的問題,請參閱 針對 Azure Resource Manager 服務連線進行疑難解答。
在 Azure Pipelines 中設定工作組許可權
工作組的許可權會遵循階層式模型。 根據預設,所有工作組都會繼承專案層級的許可權。 建立工作組之後,您可以修改個別工作組的專案層級許可權和物件層級許可權。
下表顯示工作組的權限:
| 權限 | 描述 |
|---|---|
| 管理任務組權限 | 使用者或群組可以被新增或移除到工作組的安全性設定中。 |
| 刪除工作組 | 可以刪除工作組。 |
| 編輯工作組 | 可以建立、修改或刪除工作組。 |
下表顯示安全組的預設權限:
| 任務 | 讀者 | 參與者 | 建構管理員 | 專案管理員 | 發行系統管理員 |
|---|---|---|---|---|---|
| 管理任務小組許可權 | ✔️ | ✔️ | ✔️ | ||
| 刪除工作組 | ✔️ | ✔️ | ✔️ | ||
| 編輯工作組 | ✔️ | ✔️ | ✔️ | ✔️ |
工作組的建立者具有工作組的所有許可權。
注意
YAML 管線不支援工作組,但支援範本。 如需詳細資訊,請參閱 YAML 架構參考。
設定專案層級工作組許可權
若要設定專案層級工作組的許可權,請執行下列步驟:
從您的專案中,選取 管線>工作組。
選取安全性。
選取使用者和群組,將其許可權設定為 [允許]、 [拒絕] 或 [ 未設定]。
完成時,請關閉對話框以儲存變更。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
若要從許可權清單中移除使用者,請執行下列步驟:
選取使用者或群組。
選擇移除並清除明確許可權。
完成時,請關閉對話框以儲存變更。
若要設定專案層級工作組的許可權,請執行下列步驟:
從您的專案中,選取 管線>工作組。
選取安全性。
若要新增許可權對話框中未列出的使用者或群組,請選取 [新增],輸入使用者或群組,然後選取 [ 儲存變更]。
選取使用者或群組,將許可權設定為 [允許]、[ 拒絕 ] 或 [ 未設定]。
選取 [ 儲存變更 ],或者您可以選取 [復原變更 ] 來復原變更。 您必須先儲存變更以套用許可權,才能選取另一個使用者或群組。
您可以選取更多使用者和群組來變更其許可權。
完成時選取 [關閉 ]。
設定物件層級工作組許可權
若要設定個別工作組的許可權,請執行下列步驟:
從您的專案中,選取 管線>工作組。
選取工作組。
選取 [更多命令]
,然後選取 [安全性]。選取使用者和群組,將其許可權設定為 [允許]、 [拒絕] 或 [ 未設定]。
完成時,請關閉對話框以儲存變更。
當對使用者或群組的特定許可權進行明確設定時,該許可權的繼承將被停用。 將許可權變更為 [未設定 ] 以還原繼承。 若要停用所有使用者和群組許可權的繼承,請關閉 [ 繼承] 設定。 重新啟用繼承之後,所有許可權的設定都會還原為專案層級。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
用戶和群組可以從任務組中移除。 除非停用繼承,否則無法移除繼承的使用者和群組。
選取使用者或群組。
選擇 移除並清除明確許可權。
完成時,請關閉對話框以儲存變更。
如果許可權未繼承,您可以將許可權設定為 [允許]、[拒絕] 或 [未設定]。 如果啟用繼承,您可以將明確設定的許可權變更回繼承的值。
若要設定個別工作組的許可權,請執行下列步驟:
從您的專案中,選取 管線>工作組。
選取工作組。
選取 [更多命令]
,然後選取 [安全性]。選取使用者和群組,將其許可權設定為 [允許]、 [拒絕] 或 [ 未設定]。
完成時,請關閉對話框以儲存變更。
當明確設定用戶或群組所繼承的許可權時,該特定許可權的繼承會被停用。 將許可權變更為 [未設定 ] 以還原繼承。 若要停用所有使用者和群組許可權的繼承,請關閉 [ 繼承] 設定。 重新啟用繼承之後,所有許可權的設定都會還原為專案層級。
將使用者或群組新增至許可權對話方塊
若要新增權限對話框中未列出的使用者和群組,請執行下列步驟:
- 在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。
- 設定許可權。
- 關閉對話框。
當您再次開啟安全性對話框時,會列出使用者或群組。
從許可權對話框移除使用者或群組
可以從任務組中移除使用者和群組。 除非停用繼承,否則無法移除繼承的使用者和群組。
選取使用者或群組。
選擇移除並清除明確許可權。
完成時,請關閉對話框以儲存變更。
在 Azure Pipelines 中設定代理程式集區安全性
代理程式集區是用來執行建置和發行作業的代理程式集合。
您可以建立組織範圍或專案範圍的代理集區。 組織範圍的代理程式集區可供組織中的所有現有或新專案存取,而且根據預設,每個組織都有兩個代理程式集區: Azure Pipelines 和 Default。 組織中的所有專案都可以存取這些預設集區。
專案範疇的代理程式資源池是在專案層級建立,且僅供該專案存取。
從組織設定中,您可以管理組織中所有代理程式集區的組織層級安全性設定,以及針對個別的代理程式集區。 組織與專案層級安全性角色都可以從專案設定進行管理。
您可以使用集合範圍或是項目範圍建立代理程式集區。 集合範圍代理程式集區可供集合中的所有現有或新專案存取,而且根據預設,每個集合都有兩個代理程式集區: Azure Pipelines 和 Default。 集合中的所有專案都可以存取這些預設集區。
專案範圍的代理程式集區是在專案層級建立,而且只有該專案可以存取。
從集合設定中,您可以管理集合中所有代理程式集區的集合層級安全性設定,以及個別代理程式集區。 集合與專案層級安全性角色都可以從專案設定的物件層級進行管理。
使用預先定義的安全性角色來管理 代理程式集區的安全性。
下表顯示代理池的安全性角色:
| 角色 | 目的 |
|---|---|
| 讀者 | 可以檢視代理程式集區。 |
| 使用者 | 可以在傳統和 YAML 組建和發行管線中使用代理程式集區。 |
| 建立者 | 可以在專案中建立代理集區。 此角色僅是專案層級角色。 |
| 服務帳戶 | 可以檢視代理程式、建立會話,以及接聽代理程式集區中的作業。 此角色只會在組織/集合層級設定。 |
| 系統管理員 | 可以管理及使用代理池,以及管理其他使用者和群組的角色。 |
下表顯示代理程式集區的預設項目和物件安全性角色:
| 群組 | 角色 |
|---|---|
| [項目名稱]\專案管理員 | 系統管理員 |
| [項目名稱]\建置系統管理員 | 系統管理員 |
| [項目名稱]\專案有效使用者 | 讀者 |
| [項目名稱]\發行系統管理員 | 系統管理員 |
| 建立代理程式集區的使用者 | 系統管理員 |
將管理者新增為使用者
在您可以在代理程式集區的安全性設定中新增主體(例如服務主體)之前,請先將其新增為您組織中的使用者。
- 移至 [ 組織設定]。
- 選取使用者。
- 新增至少具有基本存取權的服務主體。
設定代理程式集區的組織安全性
您可以管理組織中所有代理程式集區的集合層級使用者和群組,或管理個別專案範圍的代理程式集區。 代理程式集區的安全性角色為 讀取者、 服務帳戶和 系統管理員。 組織 層級不提供使用者 和 建立者 角色。
設定所有代理程式集區的組織安全性
根據預設,在組織層級的所有集區中,沒有任何使用者或群組被指定明確角色。 您可以新增組織層級的使用者和群組,以及管理組織中所有代理程式集區的安全性角色。
若要管理組織中所有代理程式集區的安全性角色,請執行下列步驟:
移至 [組織設定
]:,然後選取 [代理程序集區]。選取安全性。
若要新增使用者和群組:
- 選取新增
- 輸入使用者或群組,然後從搜尋結果中選取它。
- 重複上一個步驟以新增更多使用者和群組。
- 選取角色,然後選取 [ 新增]
1:若要建立新的管線,您需要 建立組建管線 許可權。 若要新增許可權,請開啟所有管線的安全性設定,並確認 建立組建管線 已為您的安全性群組設定為 允許。
若要從清單中移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。若要變更安全性角色,請選取使用者或群組,然後從下拉式清單中選取角色。
選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
關閉對話框。
設定個別代理程式集區的組織安全性
個別代理程式集區會繼承組織層級的安全性指派。 [預設] 和 [Azure Pipelines] 代理程式集區 包含 [專案有效使用者] 群組,適用於組織中每個專案。
在專案層級建立的代理池會自動指派 [
您可以新增和移除組織層級的使用者和群組,並設定個別代理程式集區的安全性角色。 此層級的安全性角色為 讀者、 服務帳戶和 系統管理員。
若要管理集合中所有代理程式集區的安全性角色,請執行下列步驟:
- 移至 [組織設定]:,然後選取 [代理程序集區]。
- 選取代理程式集區。
- 選取安全性。
- 若要新增使用者和群組:
- 選取新增
- 輸入使用者或群組,然後從搜尋結果中選取它。
- 重複上一個步驟以新增更多使用者和群組。
- 選取角色,然後選取 [ 新增]。
- 若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除 ]。
- 若要變更安全性角色,請選取使用者或群組,然後從下拉式清單中選取角色。
- 選取 [儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
- 關閉對話框。
設定代理程式集區的集合安全性
您可以管理集合層級使用者和群組集合中所有代理程式集區,或針對專案範圍代理程式集區管理物件層級。 代理程式集區的安全性角色包括「讀取者」、「服務帳戶」和「系統管理員」。 集合層級無法分配使用者和創作者角色。
設定所有代理程式集區的集合安全性
預設情況下,在集合中的所有資源池中沒有任何使用者或群組具有特定角色。 您可以新增集合層級的使用者和群組,以及管理集合中所有代理程式集區的安全性角色。
若要管理集合中所有代理程式集區的安全性角色,請執行下列步驟:
移至 [集合設定
]:,然後選取 [代理程序集區]。選取安全性。
若要新增使用者和群組:
選取新增
輸入使用者或群組,然後從搜尋結果中選取它。
重複上一個步驟以新增更多使用者和群組。
選取角色,然後選取 [ 新增]。
若要從清單中移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。 必須關閉繼承,或者專案層級安全性設定中的使用者或群組不得被繼承。若要變更安全性角色,請選取使用者或群組,然後從下拉式清單中選取角色。
選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
關閉對話框。
設定個別代理程式集區的集合安全性
個別代理程式集區會繼承集合層級的安全性指派。 預設和Azure Pipelines 代理池包含集合中每個專案的專案有效使用者群組。
在專案層級建立的代理程式集會自動指派 [<專案名稱>]\專案有效使用者群組和代理程式集的建立者。 無法刪除或修改創建者。 此處列出從項目設定新增的任何集合層級使用者和群組。
您可以新增和移除集合層級的使用者和群組,並設定個別代理程式集區的安全性角色。 此層級的安全性角色為 讀者、 服務帳戶和 系統管理員。 若要降低繼承角色的許可權等級,必須停用繼承。
若要管理集合中所有代理程式集區的安全性角色,請執行下列步驟:
移至 集合設定
:,然後選取 代理集區。選取代理程式集區。
選取安全性。
若要新增使用者和群組:
選取新增
輸入使用者或群組,然後從搜尋結果中選取它。
重複上一個步驟以新增更多使用者和群組。
選取角色,然後選取 [ 新增]。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。若要變更安全性角色,請選取使用者或群組,然後從下拉式清單中選取角色。
選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
關閉對話框。
設定專案層級代理程式集區安全性
若要設定所有代理程式集區的專案層級安全性角色,請執行下列步驟:
從您的專案中,選取 [項目設定
],然後選取 [代理程式集區]。選取安全性。
選取使用者或群組,並將角色設定為 [讀者]、[使用者]、[建立者] 或 [系統管理員]。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
若要新增安全性對話框中未列出的項目使用者或群組:
選取 [新增]。
在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
選擇角色。
選取 [新增] 以儲存變更。
設定物件層級代理程式集區安全性
您可以覆蓋專案層級的使用者和群組角色指派,並為個別代理程式集區設定管線權限。 若要移除繼承的使用者或群組,或降低繼承角色的許可權等級,您必須停用繼承。
若要開啟安全性對話框:
從您的專案中,選取 [項目設定
],然後選取 [代理程式集區]。選取代理程式集區。
選取安全性。
設定個別代理程式集區的管線許可權
若要設定個別代理池的管道權限:
選取 [ 限制許可權]。 僅當集區不受限於特定管線時,才能使用此選項。
選取
[新增管線]。
從下拉功能表中選取您要新增至代理池的管線。
若要開啟所有管線的存取權,請選取 [更多動作],然後選取 [開啟存取]。
設定物件層級代理程序池使用者權限
從安全性對話框的使用者權限區段:
選取使用者或群組,並將角色設定為 讀者、 用戶或 系統管理員。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。 除非停用繼承,否則無法移除繼承的使用者和群組。選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
當您明確設定角色時,該使用者或群組的繼承會被停用。 若要停用所有使用者和群組的 繼承,請關閉 [繼承] 設定。 當您重新啟用繼承時,所有使用者和群組的角色會還原為其專案層級指派。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
選取 [新增]。
在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
選取角色。
選取 [新增] 以儲存變更。
若要設定個別代理程式集區的管線和使用者安全性角色和管線許可權,請執行下列步驟。
移至您的代理程式集區,然後選取 [ 安全性]。
使用 [ 授與所有管線 的訪問許可權] 參數,以啟用或停用專案中所有管線的許可權:
若要設定代理程式集區的物件層級使用者和群組角色:
從安全性對話框的 使用者權限 區段:
選取使用者或群組,並將角色設定為 讀者、 用戶或 系統管理員。
若要移除使用者或群組,請選取使用者或群組,然後選取 [ 刪除
]。 除非停用繼承,否則無法移除繼承的使用者和群組。選取 [
儲存變更] 以儲存變更或 [重設變更] 以還原未儲存的變更。
當您明確設定角色時,該使用者或群組的繼承功能會停用。 若要停用所有使用者和群組的 繼承,請關閉 [繼承] 設定。 當您重新啟用繼承時,所有使用者和群組的角色會還原為其專案層級指派。
若要新增未列在安全性對話框中的項目使用者或群組,請執行下列步驟:
選取 <新增>。
在搜尋列中輸入使用者或群組,然後從搜尋結果中選取使用者或群組。 您可以新增多個使用者和群組。
選取 角色。
選取 [新增] 以儲存變更。