Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

Wenn es darum geht, auf ein Azure DevOps-Feature zuzugreifen, ist es hilfreich, die folgenden Schlüsselkonzepte zu verstehen.

  • Informationen zu Berechtigungen:

    • Alle Benutzer, die zu Azure DevOps hinzugefügt wurden, werden einer oder mehreren Standardsicherheitsgruppen hinzugefügt.
    • Sicherheitsgruppen werden Berechtigungen zugewiesen, die entweder den Zugriff auf ein Feature oder eine Aufgabe zulassen oder verweigern.
    • Mitglieder einer Sicherheitsgruppe erben die Berechtigungen, die der Gruppe zugewiesen sind.
    • Berechtigungen werden auf verschiedenen Ebenen definiert: Organisation/Auflistung, Projekt oder Objekt.
    • Andere Berechtigungen werden über rollenbasierte Zuordnungen verwaltet, z. B. Teamadministrator, Erweiterungsverwaltung und verschiedene Pipelineressourcenrollen.
    • Administratoren können benutzerdefinierte Sicherheitsgruppen definieren, um Berechtigungen für verschiedene Funktionsbereiche zu verwalten.
  • Informationen zu Zugriffsstufen:

    • Allen Benutzern, die zu Azure DevOps hinzugefügt wurden, wird einer Zugriffsstufe zugewiesen, die den Zugriff auf die Auswahl von Webportalfeatures gewährt oder beschränkt.
    • Es gibt drei Hauptzugriffsebenen: Stakeholder, Basic und Basic + Test Plans.
    • Der Zugriff auf die Stakeholder bietet kostenlosen Zugriff auf eine unbegrenzte Anzahl von Benutzern auf eine begrenzte Anzahl von Features. Ausführliche Informationen finden Sie unter "Stakeholder access quick reference".
  • Informationen zu Vorschaufeatures:
    • Wenn neue Features eingeführt werden, können Benutzer sie über Vorschaufeatures aktivieren oder deaktivieren, um darauf zuzugreifen.
    • Eine kleine Teilmenge neuer Features wird auf Organisationsebene verwaltet und von Organisationsbesitzern aktiviert oder deaktiviert.

Die meisten Azure DevOps Benutzer werden beispielsweise der Sicherheitsgruppe "Mitwirkende" hinzugefügt und der Ebene "Einfacher Zugriff" gewährt. Die Gruppe "Mitwirkende " bietet Lese- und Schreibzugriff auf Repositorys, Arbeitsnachverfolgung, Pipelines und vieles mehr. Der grundlegende Zugriff bietet Zugriff auf alle Features und Aufgaben für die Verwendung von Azure Boards, Azure Repos, Azure Pipelines und Azure Artifacts. Benutzern, die Zugriff auf die Verwaltung von Azure Test Plans benötigen, müssen "Basic+ Test Plans" oder "Erweiterter Zugriff" gewährt werden.

Administratoren sollten der Gruppe Project Sammlungsadministratoren oder Project Administratoren hinzugefügt werden. Administratoren verwalten Sicherheitsgruppen und Berechtigungen aus dem Webportal, hauptsächlich aus Project Einstellungen. Mitwirkende verwalten auch Berechtigungen für Objekte, die sie im Webportal erstellen.

Eine Übersicht über Standardberechtigungen finden Sie in der Kurzübersicht zu Standardberechtigungen.

Sicherheitsgruppen und Mitgliedschaft

Mit der Erstellung einer Organisation, Einer Sammlung oder eines Projekts erstellt Azure DevOps eine Reihe von Standardsicherheitsgruppen, die automatisch Standardberechtigungen zugewiesen werden. Zusätzliche Sicherheitsgruppen werden mit den folgenden Aktionen definiert:

  • Wenn Sie benutzerdefinierte Sicherheitsgruppen auf den folgenden Ebenen erstellen:
    • Projektebene
    • Organisations- oder Sammlungsebene
    • Serverebene (nur lokal)
  • Wenn Sie ein Team hinzufügen, wird eine Teamsicherheitsgruppe erstellt.

Tipp

Sie können keine Sicherheitsgruppe auf Objektebene erstellen, aber Sie können einer Objektebene eine benutzerdefinierte Gruppe zuweisen und dieser Ebene Berechtigungen zuweisen. Weitere Informationen zu Berechtigungen auf Objektebene finden Sie unter Festlegen von Berechtigungen auf Objektebene.

Standardsicherheitsgruppen

Die folgenden Sicherheitsgruppen werden standardmäßig für jedes Projekt und jede Organisation definiert. Sie fügen in der Regel Benutzer oder Gruppen zu den Gruppen "Leser", "Mitwirkende" oder "Project Administratoren" hinzu.

Projekt Organisation oder Sammlung
– Buildadministratoren
- Mitwirkende
- Project Administratoren
- Project Gültige Benutzer
- Leser
- Versionsadministratoren
- TeamName Team
- Project Sammlungsadministratoren
- Project Sammlungsbuildadministratoren
- Project Sammlungsbuilddienstkonten
- Project Sammlungsproxydienstkonten
- Project Sammlungsdienstkonten
- Project Sammlungstestdienstkonten
- Project Sammlung gültige Benutzer
- Project-Scoped Benutzer
- Sicherheitsdienstgruppe

Eine Beschreibung jeder dieser Gruppen finden Sie unter Sicherheitsgruppen, Dienstkonten und Berechtigungen. Standardberechtigungszuweisungen für die am häufigsten verwendeten Standardsicherheitsgruppen finden Sie unter Standardberechtigungen und Zugriff.

Die folgenden Sicherheitsgruppen werden standardmäßig für jede Projekt- und Projektsammlung definiert. Sie fügen in der Regel Benutzer oder Gruppen zu den Gruppen "Leser", "Mitwirkende" oder "Project Administratoren" hinzu.

Hinweis

Die folgende Liste gibt die neuesten Gruppen an, die für TFS 2017 und höhere Versionen definiert sind. Bei früheren Versionen von Azure DevOps kann sich die Liste unterscheiden. Fügen Sie nur Dienstkonten zu Azure DevOps Dienstkontogruppen hinzu. Informationen zu gültigen Benutzergruppen finden Sie weiter unten in diesem Artikel unter "Gültige Benutzergruppen ".

Project Ebene Sammlungsebene
– Buildadministratoren
- Mitwirkende
- Project Administratoren
- Project Gültige Benutzer
- Leser
- Versionsadministratoren
- TeamName Team
- Project Sammlungsadministratoren
- Project Sammlungsbuildadministratoren
- Project Sammlungsbuilddienstkonten
- Project Sammlungsproxydienstkonten
- Project Sammlungsdienstkonten
- Project Sammlungstestdienstkonten
- Project Sammlung gültige Benutzer
- Sicherheitsdienstgruppe

Tipp

Für Benutzer, die mit der Verwaltung von Features auf Projektebene beauftragt sind – z. B. Teams, Bereichs- und Iterationspfade, Repositorys, Dienst-Hooks und Dienstendpunkte – fügen Sie sie der Gruppe Project Administratoren hinzu. Für Benutzer, die mit der Verwaltung von Features auf Organisation oder Sammlungsebene beauftragt sind – z. B. Projekte, Richtlinien, Prozesse, Aufbewahrungsrichtlinien, Agent- und Bereitstellungspools und Erweiterungen – fügen Sie sie der Gruppe Project Sammlungsadministratoren hinzu. Weitere Informationen finden Sie unter Einstellungen auf Benutzer-, Team-, Projekt- und Organisationsebene.

Eine Beschreibung jeder Gruppe und jeder Berechtigung finden Sie unter "Berechtigungen und Gruppenreferenz", "Gruppen".

Mitgliedschaft, Berechtigung und Zugriffsebenenverwaltung

Azure DevOps steuert den Zugriff über diese drei miteinander verbundenen Funktionsbereiche:

  • Die Mitgliedschaftsverwaltung unterstützt das Hinzufügen einzelner Benutzerkonten und Gruppen zu Standardsicherheitsgruppen. Jede Standardgruppe ist einer Reihe von Standardberechtigungen zugeordnet. Alle Benutzer, die jeder Sicherheitsgruppe hinzugefügt wurden, werden der Gruppe "Gültige Benutzer" hinzugefügt. Ein gültiger Benutzer ist jemand, der eine Verbindung mit einem Projekt, einer Sammlung oder einer Organisation herstellen kann.

  • Die Berechtigungsverwaltung steuert den Zugriff auf bestimmte funktionale Aufgaben auf verschiedenen Ebenen des Systems. Berechtigungen auf Objektebene legen Berechtigungen für eine Datei, einen Ordner, eine Buildpipeline oder eine freigegebene Abfrage fest. Berechtigungseinstellungen entsprechen "Zulassen", "Verweigern", "Geerbt" und "Nicht festgelegt". Weitere Informationen zur Vererbung finden Sie weiter unten in diesem Artikel unter Berechtigungsvererbung und Sicherheitsgruppen .

  • Zugriffsebenenverwaltung steuert den Zugriff auf Webportalfeatures. Basierend auf dem, was für einen Benutzer erworben wurde, legen Administratoren die Zugriffsstufe des Benutzers auf Stakeholder, Basic, Basic+ Test oder Visual Studio Enterprise (zuvor erweitert) fest.

Jeder Funktionsbereich verwendet Sicherheitsgruppen, um die Verwaltung in der gesamten Bereitstellung zu vereinfachen. Sie fügen Benutzer und Gruppen über den Webverwaltungskontext hinzu. Berechtigungen werden automatisch basierend auf der Sicherheitsgruppe festgelegt, zu der Sie Benutzer hinzufügen oder basierend auf der Objekt-, Projekt-, Auflistungs- oder Serverebene, zu der Sie Gruppen hinzufügen.

Sicherheitsgruppenmitglieder können eine Kombination aus Benutzern, anderen Gruppen und Azure Active Directory Gruppen sein.

Mitglieder von Sicherheitsgruppen können eine Kombination aus Benutzern, anderen Gruppen und Active Directory-Gruppen oder einer Arbeitsgruppe sein.

Sie können lokale Gruppen oder Active Directory-Gruppen (AD) erstellen, um Ihre Benutzer zu verwalten.

Active Directory und Azure Active Directory Sicherheitsgruppen

Sie können Sicherheitsgruppen auffüllen, indem Sie einzelne Benutzer hinzufügen. Für eine einfache Verwaltung ist es jedoch einfacher, wenn Sie diese Gruppen mithilfe von Azure Active Directory (Azure AD) für Azure DevOps Services und Active Directory (AD) oder Windows Benutzergruppen für Azure DevOps Server auffüllen. Mit dieser Methode können Sie Gruppenmitgliedschaften und Berechtigungen effizienter auf mehreren Computern verwalten.

Wenn Sie nur eine kleine Gruppe von Benutzern verwalten müssen, können Sie diesen Schritt überspringen. Wenn Sie jedoch sehen, dass Ihre Organisation wachsen kann, möchten Sie möglicherweise AD oder Azure AD einrichten. Wenn Sie auch zusätzliche Dienste bezahlen möchten, müssen Sie Azure AD für die Verwendung mit Azure DevOps einrichten, um die Abrechnung zu unterstützen.

Hinweis

Ohne Azure AD müssen sich alle Azure DevOps Benutzer mit Microsoft-Konten anmelden, und Sie müssen den Kontozugriff durch einzelne Benutzerkonten verwalten. Auch wenn Sie den Kontozugriff mithilfe von Microsoft-Konten verwalten, müssen Sie ein Azure-Abonnement einrichten, um die Abrechnung zu verwalten.

Informationen zum Einrichten Azure Active Directory für die Verwendung mit Azure DevOps Services finden Sie unter Verbinden Ihrer Organisation, um Azure Active Directory.

Hinweis

Wenn Ihre Organisation mit Azure Active Directory verbunden ist, gibt es eine Reihe von Organisationsrichtlinien, die Sie aktivieren oder deaktivieren können, um Ihre Organisation zu schützen. Weitere Informationen finden Sie unter "Sicherheit", "Authentifizierung" und "Autorisierung", "Sicherheitsrichtlinien".

Informationen zum Verwalten des Organisationszugriffs mit Azure AD finden Sie in den folgenden Artikeln:

Informationen zum Einrichten von Active Directory für die Verwendung mit Azure DevOps Server finden Sie in den folgenden Artikeln:

Normalerweise sollten Sie Active Directory vor der Installation von Azure DevOps Server installieren.

Gültige Benutzergruppen

Wenn Sie Konten von Benutzern direkt zu einer Sicherheitsgruppe hinzufügen, werden sie automatisch zu einer der gültigen Benutzergruppen hinzugefügt.

  • Project Sammlung gültige Benutzer: Alle Mitglieder, die einer Gruppe auf Organisationsebene hinzugefügt wurden.
  • Project Gültige Benutzer: Alle Mitglieder, die einer Gruppe auf Projektebene hinzugefügt wurden.
  • Server\Azure DevOps Gültige Benutzer: Alle Mitglieder, die zu Gruppen auf Serverebene hinzugefügt wurden.
  • ProjectCollectionName\Project Collection Valid Users: Alle Mitglieder, die zu Gruppen auf Auflistungsebene hinzugefügt wurden.
  • ProjectName\Project Gültige Benutzer: Alle Mitglieder, die zu Gruppen auf Projektebene hinzugefügt wurden.
  • Server\Team Foundation Gültige Benutzer: Alle Mitglieder, die zu Gruppen auf Serverebene hinzugefügt wurden.
  • ProjectCollectionName\Project Collection Valid Users: Alle Mitglieder, die zu Gruppen auf Auflistungsebene hinzugefügt wurden.
  • ProjectName\Project Gültige Benutzer: Alle Mitglieder, die zu Gruppen auf Projektebene hinzugefügt wurden.

Die standardberechtigungen, die diesen Gruppen zugewiesen sind, sind in erster Linie auf Lesezugriff beschränkt, z. B. View build resources, View project-level information, and View collection-level information.

Dies bedeutet, dass alle Benutzer, die Sie zu einem Projekt hinzufügen, die Objekte in anderen Projekten in einer Auflistung anzeigen können. Wenn Sie den Ansichtszugriff einschränken müssen, können Sie Einschränkungen über den Bereichspfadknoten festlegen.

Wenn Sie die Berechtigung "Informationen auf Instanzebene anzeigen " für eine der gültigen Benutzergruppen entfernen oder verweigern, können keine Mitglieder der Gruppe abhängig von der von Ihnen festgelegten Gruppe auf das Projekt, die Sammlung oder die Bereitstellung zugreifen.

Project-bezogene Benutzergruppe

Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Dazu gehören die Anzeigeliste der Benutzer, die Liste der Projekte, Abrechnungsdetails, Nutzungsdaten und vieles mehr, auf die über Die Organisation Einstellungen zugegriffen wird.

Um ausgewählte Benutzer, z. B. Stakeholder, Azure Active Directory Gastbenutzer oder Mitglieder einer bestimmten Sicherheitsgruppe einzuschränken, können Sie die Sichtbarkeit und Zusammenarbeit für bestimmte Projekte für die Organisation einschränken. Sobald dies aktiviert ist, sind alle Benutzer oder Gruppen, die der Gruppe Project-Bereichsbenutzer hinzugefügt wurden, auf den Zugriff auf die Organisationsseiten Einstellungen beschränkt, außer für Übersicht und Projekte. Sie sind nur auf diese Projekte beschränkt, zu denen sie hinzugefügt wurden.

Informationen zum Aktivieren dieses Features finden Sie unter Verwalten oder Aktivieren von Features.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Organisationsebene, auch solche Gruppen, die nur Berechtigungen für ein bestimmtes Projekt besitzen. Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen auf der Grundlage von Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des Azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch solche Gruppen, die nur Berechtigungen für ein bestimmtes Projekt besitzen. Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen auf der Grundlage von Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe des Azure devops CLI-Tools oder unserer REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Hinweis

Alle Sicherheitsgruppen sind Entitäten auf Sammlungsebene, auch solche Gruppen, die nur Berechtigungen für ein bestimmtes Projekt besitzen. Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen auf der Grundlage von Benutzerberechtigungen eingeschränkt werden. Sie können jedoch die Namen aller Gruppen in einer Organisation mithilfe der REST-APIs ermitteln. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.

Zugriffsebenen

Zugriffsstufen steuern, welche Features für Benutzer im Webportal sichtbar sind und von Benutzerlizenzen abhängig sind; Berechtigungen steuern die Möglichkeit eines Benutzers, eine Verbindung mit Azure DevOps herzustellen und Features über Azure DevOps hinweg zu verwenden. Wenn Sie versuchen, jemandem Zugriff auf agile Portfolioverwaltungs- oder Testfallverwaltungsfeatures zu gewähren, möchten Sie Zugriffsstufen ändern, nicht Berechtigungen.

Das Festlegen der Zugriffsstufe für Benutzer oder Gruppen bietet ihnen keinen Zugriff auf ein Projekt oder das Webportal. Nur Benutzer oder Gruppen, die einem Team oder einer Sicherheitsgruppe hinzugefügt wurden, können eine Verbindung mit einem Projekt und dem Webportal herstellen. Stellen Sie sicher, dass Ihre Benutzer sowohl über die Berechtigungen als auch über die erforderliche Zugriffsstufe verfügen. Dazu stellen Sie sicher, dass sie dem Projekt oder einem Team hinzugefügt werden.

Berechtigungen

Wie in der folgenden Abbildung dargestellt, können Sicherheitsgruppen, die auf Projekt- und Sammlungsebene definiert sind, berechtigungen zugewiesen werden, die auf Objekt-, Projekt- und Organisationsebene zugewiesen sind.

Conceptual image mapping default security groups to permission levels, cloud

Wie in der folgenden Abbildung dargestellt, können sicherheitsgruppen, die auf Projekt- und Sammlungsebene definiert sind, berechtigungen zugewiesen werden, die auf Objekt-, Projekt- und Sammlungsebene zugewiesen sind. Sie können nur Sicherheitsgruppen auf Serverebene für Berechtigungen auf Serverebene definieren.

Conceptual image mapping default security groups to permission levels, on-premises

Conceptual image of security groups and permission levels, TFS-2018 and earlier versions

Eine Beschreibung jeder Standardsicherheitsgruppe finden Sie unter "Sicherheitsgruppen", "Dienstkonten" und "Berechtigungen".

Berechtigungszustände

Es gibt fünf mögliche Zuordnungen an eine Berechtigung. Sie gewähren oder beschränken den Zugriff wie angegeben.

  • Benutzer oder Gruppe verfügt über Berechtigungen zum Ausführen einer Aufgabe:
    • Zulassen
    • Geerbte Zulassung
  • Benutzer oder Gruppe verfügen nicht über die Berechtigung zum Ausführen einer Aufgabe:
    • Deny
    • Geerbte Verweigerung
    • Nicht festgelegt

Hier erfahren Sie mehr über Berechtigungseinstellungen:

  • Zulassen oder Verweigern ausdrücklich zulassen oder einschränken, dass Benutzer bestimmte Aufgaben ausführen, und werden in der Regel von der Gruppenmitgliedschaft geerbt.

  • Benutzer werden nicht implizit festgelegt, um Aufgaben auszuführen, die diese Berechtigung erfordern, aber die Mitgliedschaft in einer Gruppe ermöglicht, die über diese Berechtigung verfügt, um Vorrang zu haben, auch bekannt als Zulassen (geerbt) oder Geerbt(geerbt) oder Geerbten Verweigern.

  • Für die meisten Gruppen und fast alle Berechtigungen wird"Zulassen" außer Kraft gesetzt. Wenn ein Benutzer zu zwei Gruppen gehört und einer davon eine bestimmte Berechtigung auf "Verweigern" festgelegt ist, kann dieser Benutzer keine Aufgaben ausführen, die diese Berechtigung erfordern, auch wenn sie zu einer Gruppe gehören, die auf "Zulassen" festgelegt ist.

    In einigen Fällen erhalten Mitglieder der Gruppen Project Sammlungsadministratoren oder Team Foundation-Administratoren möglicherweise immer die Berechtigung, auch wenn sie diese Berechtigung in einer anderen Gruppe verweigert werden. In anderen Fällen, z. B. Löschen von Arbeitselementen oder Pipelines, umgehen Projektsammlungsadministratoren nicht die an anderer Stelle festgelegten Berechtigungen .

  • Das Ändern einer Berechtigung für eine Gruppe ändert diese Berechtigung für alle Benutzer, die Mitglieder dieser Gruppe sind. Das heißt also: Je nach Größe der Gruppe haben Sie durch das Ändern von nur einer Berechtigung bereits Einfluss darauf, ob Hunderte von Benutzern ihre Arbeit ausführen können oder nicht. Vergewissern Sie sich also, dass Sie die Auswirkungen kennen, bevor Sie eine Änderung vornehmen.

Berechtigungsvererbung und Sicherheitsgruppen

Einige Berechtigungen werden über eine Hierarchie verwaltet. In dieser Hierarchie können Berechtigungen vom übergeordneten oder außer Kraft gesetzt werden. Sicherheitsgruppen weisen eine Reihe von Berechtigungen für diese Mitglieder der Gruppe zu. So werden beispielsweise Mitglieder der Gruppe "Mitwirkende" oder "Project Administratoren" den Berechtigungen zugewiesen, die für diese Gruppen festgelegt sind.

Wenn eine Berechtigung für einen Benutzer nicht direkt zulässig oder verweigert wird, kann es auf zwei Arten geerbt werden.

  • Benutzer erben Berechtigungen aus den Gruppen, zu denen sie gehören. Wenn eine Berechtigung für einen Benutzer direkt oder über die Mitgliedschaft in einer Gruppe zulässig ist, die über diese Berechtigung verfügt und entweder direkt oder über die Gruppenmitgliedschaft verweigert wird, wird die Berechtigung verweigert.

    Mitglieder von Project Sammlungsadministratoren oder Team Foundation-Administratoren behalten die meisten zulässigen Berechtigungen bei, auch wenn sie zu anderen Gruppen gehören, die diese Berechtigungen ablehnen. Arbeitselementvorgangsberechtigungen sind die Ausnahme für diese Regel.

  • Berechtigungen auf Objektebene, die Knoten einer Hierarchie zugewiesen sind - Bereiche, Iterationen, Versionssteuerungsordner, Arbeitselementabfrageordner - werden nach unten geerbt. Das heißt, die Berechtigungen eines Benutzers, die festgelegt area-1 werden, werden von area-1/sub-area-1geerbt, wenn die gleiche Berechtigung nicht explizit zulässig oder verweigert area-1/sub-area-1wird. Wenn eine Berechtigung explizit für ein Objekt festgelegt wird, z area-1/sub-area-1. B. wird der übergeordnete Knoten nicht geerbt, unabhängig davon, ob er verweigert oder zulässig ist. Wenn sie nicht festgelegt ist, werden die Berechtigungen für diesen Knoten von dem nächsten Vorgänger geerbt, der die Berechtigung explizit festgelegt hat. Schließlich wird in der Objekthierarchie die Spezifischeität der Vererbung vor allem durch die Vererbung vererbt. Ein Benutzer, dessen Berechtigungen beispielsweise explizit auf "Bereich-1" festgelegt sind, aber auch explizit auf "Area-1/Sub-Area-1" festgelegt sind, erhält letztlich einen Allow auf "area-1/sub-area-1".

Um zu verstehen, warum eine Berechtigung geerbt wird, können Sie über eine Berechtigungseinstellung anhalten und dann "Warum" auswählen ? Informationen zum Öffnen einer Sicherheitsseite finden Sie unter "Berechtigungen anzeigen".

Hinweis

Informationen zum Aktivieren der neuen Benutzeroberfläche für die Project Berechtigungen Einstellungen Seite finden Sie unter Aktivieren von Vorschaufeatures.

Permissions dialog, preview page, Why link annotated.

Ein neues Dialogfeld wird geöffnet, das die Vererbungsinformationen für diese Berechtigung anzeigt.

Die Vorschau-Benutzeroberfläche für die Project Berechtigungen Einstellungen Seite ist für Azure DevOps Server 2020 und frühere Versionen nicht verfügbar.

Beim Zuweisen von Berechtigungen

Gehen Sie wie folgt vor:

  • Verwenden Sie Azure Active Directory, Active Directory oder Windows Sicherheitsgruppen beim Verwalten vieler Benutzer.
  • Beachten Sie beim Erstellen von Teams, welche Berechtigungen Sie an Teamleiter, Scrum-Master und andere Teammitglieder vergeben möchten, die Bereichs- und Iterationspfade sowie Abfragen erstellen und bearbeiten müssen.
  • Wenn Sie viele Teams hinzufügen, sollten Sie eine benutzerdefinierte Gruppe für Teamadministratoren erstellen, in der Sie eine Teilmenge der Berechtigungen zuweisen, die für Project Administratoren verfügbar sind.
  • Erwägen Sie, die Berechtigung der Arbeitselementabfrageordner für Benutzer oder Gruppen zu erteilen, die die Möglichkeit erfordern, Arbeitselementabfragen für das Projekt zu erstellen und zu freigeben.

Vermeiden Sie Folgendes:

  • Fügen Sie Benutzern nicht mehrere Sicherheitsgruppen hinzu, die unterschiedliche Berechtigungsstufen enthalten. In bestimmten Fällen kann eine Berechtigungsstufe "Ablehnen " eine Berechtigungsstufe " Zulassen " außer Kraft setzen.
  • Ändern Sie die Standardzuweisungen, die an die gültigen Benutzergruppen vorgenommen wurden, nicht. Wenn Sie die Berechtigung "Informationen auf Instanzebene anzeigen" für eine der Gruppen "Gültige Benutzer" entfernen oder festlegen, können keine Benutzer in der Gruppe auf das Projekt, die Auflistung oder die Bereitstellung zugreifen, je nachdem, welche Gruppe Sie festgelegt haben.
  • Weisen Sie keine Berechtigungen zu, die als "Nur Dienstkonten zuweisen" auf Benutzerkonten hingewiesen werden.

Rollenbasierte Berechtigungen

Mit Rollenbasierten Berechtigungen weisen Sie Benutzerkonten oder Sicherheitsgruppen einer Rolle zu, wobei jede Rolle mindestens eine Berechtigung zugewiesen hat. Nachfolgend finden Sie die primären Rollen und Links, um weitere Informationen zu erhalten.

  • Artefakte oder Paketfeed-Sicherheitsrollen: Rollen unterstützen verschiedene Berechtigungsstufen zum Bearbeiten und Verwalten von Paketfeeds.

  • Marketplace-Erweiterungs-Manager-Rolle: Mitglieder der Managerrolle können Erweiterungen installieren und auf Anforderungen für Erweiterungen reagieren, die installiert werden sollen.

  • Pipelinesicherheitsrollen: Mehrere Rollen werden verwendet, um Bibliotheksressourcen, Projektebenen- und Sammlungspipelineressourcen zu verwalten.

  • Teamadministratorrolle Teamadministratoren können alle Teamtools verwalten.

    Hinweis

    Mitglieder der Gruppen Project Administratoren oder Project Sammlungsadministratoren können alle Teamtools für alle Teams verwalten.

Previewfunktionen

Zugriff auf die Auswahl, neue Features werden durch Feature-Flags gesteuert. Regelmäßig führt Azure DevOps Services neue Features ein, indem sie sie hinter einem Feature-Flag platzieren. Vorschaufeatures können von Projektmitgliedern oder Organisationsbesitzern aktiviert oder deaktiviert werden. Weitere Informationen finden Sie unter "Verwalten oder Aktivieren von Features".

Nächste Schritte