Azure Active Directory OAuth 的細微範圍

我們支援細微的 Azure DevOps 範圍，可用來限制與 Azure DevOps 整合的 Azure Active Directory OAuth 應用程式的行為。

藉由在應用程式上設定範圍，您可以限制作業（例如寫入工作專案、檢視原始碼、設定管線等），應用程式可以代表使用者連線到 Azure DevOps 時執行。 使用單一廣泛用戶模擬範圍的應用程式，可讓應用程式執行基礎使用者允許執行的任何作業，現在可以使用細微範圍來限制其行為。 例如，只有讀取工作專案的應用程式只能指定一個workitem_read範圍，如此一來，它便無法刻意或故意執行此行為以外的任何動作。

將範圍新增至應用程式時，您必須事先定義這些範圍，以要求您整合的任何應用程式必須先宣告它們嘗試為您執行的動作。 這些範圍將可供您檢閱，然後同意授權此應用程式代表您執行動作。 這可確保您能夠更瞭解應用程式使用您有權存取的資源所執行的作業。

身為應用程式開發人員，如果應用程式發出的令牌落入錯誤之手，這有助於限制風險向量。