Projektmitgliedern gewährte Ressourcen

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

Ein Azure DevOps Projekt ist eine Container- und Sicherheitsgrenze für Ihre Softwareentwicklungsressourcen: Arbeitselemente, Code, Builds usw. Wenn Sie jemanden als Mitglied eines Projekts hinzufügen, vertrauen Sie dieser Person auch mit einigen zusätzlichen Berechtigungen. Ein Projektmitglied hat Zugriff auf Ressourcen auf Organisationsebene und zusätzliche Gruppen (oder Bereiche) über das Projekt hinaus. Wenn jemand noch kein Mitglied Ihrer Organisation ist, erteilen Sie ihnen implizit diesen zusätzlichen Zugriff, wenn Sie sie zu einem Projekt hinzufügen.

Hinweis

Wenn die Benutzersichtbarkeit und die Zusammenarbeit auf bestimmte Projektevorschaufeatures für die Organisation aktiviert ist, können Benutzer, die der Gruppe "Project-Bereichsbenutzer" hinzugefügt wurden, nicht auf Projekte zugreifen, denen sie nicht hinzugefügt wurden. Weitere Informationen finden Sie unter "Verwalten Ihrer Organisation", "Benutzersichtbarkeit für Projekte einschränken" und vieles mehr.

Zusätzliche Gruppen und Bereiche

Unter der Haube gehört ein Projektmitglied zu einer oder mehreren projektbezogenen Sicherheitsgruppen wie "Project Gültige Benutzer" und "Project Mitwirkenden". Diese Person ist auch Mitglied einer Gruppe auf Organisationsebene, die als "Project Sammlung gültige Benutzer" bezeichnet wird. Außerdem wird die Identität dieser Person im Identitätsdienst angezeigt, der die Organisation zurückgibt. Benutzerkonten, die von Azure Active Directory unterstützt werden, können systemeigene Identitäten oder Gastidentitäten haben, die verschiedene Zugriffsstufen gewähren.

Ressourcen auf Organisationsebene

Project Mitglieder haben Zugriff auf Ressourcen über das spezifische Projekt hinaus. Zu diesen Ressourcen gehören diejenigen, die auf Organisationsebene (Cloud) oder auf Projektsammlungsebene (lokal) definiert sind:

  • Informationen zu anderen Mitgliedern, einschließlich ihrer E-Mail-Adresse und anderer Kontaktdetails, die von Nichtmitgliedern ausgeblendet werden.

  • Der bereich Einstellungen, einschließlich Sicherheitsgruppen und Berechtigungen.

  • Alle installierten Erweiterungen.

  • Verarbeiten von Metadaten aus allen Prozessen in der Organisation, die die Arbeitsaufgabentypen, deren Felder und Auswahllistenelemente enthält. Auswahllistenelemente können vertrauliche Informationen wie Veröffentlichungsdaten anzeigen, wie in der folgenden Abbildung dargestellt:

    Edit field release in feature

  • Wenn das WIT-Client-OM verwendet wird, das die Verwendung von Excel und Visual Studio Integration umfasst, speichert er vertrauliche Informationen in einem Cache auf dem lokalen Datenträger. Dieser Cache enthält die Metadaten aller Prozesse in der Organisation sowie die Identitäten und Gruppenmitgliedschaften aller Mitglieder der Organisation.

  • Wenn ein Benutzer der Gruppe "Buildadministratoren auf Projektebene" hinzugefügt wird, können sie Pipelines erstellen, die mit dem Bereich der Projektsammlung (kontoweit) ausgeführt werden. Eine Pipeline mit Projektsammlungsbereich kann auf Ressourcen in einem anderen Projekt zugreifen, z. B. Git-Repositorys, die der Benutzer nicht kann. (Sie können dies ändern, indem Sie die Leseberechtigung aus Project Sammlungsbuilddienst entfernen).

Die Vertrauensentscheidung

Diese Ressourcen und Gruppen sind für die ordnungsgemäße Funktionsweise eines Mitglieds eines Projekts erforderlich. Ihre Mitarbeiter sind in der Regel Kollegen und andere, mit denen Sie über eine bestehende Beziehung verfügen. Bevor Sie jemanden außerhalb dieser vertrauenswürdigen Gruppe hinzufügen, überlegen Sie sorgfältig, ob sie Zugriff auf die zuvor erwähnten Elemente haben sollten.