Gewähren oder Einschränken des Zugriffs mithilfe von Berechtigungen

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Sie können den Zugriff auf Ressourcen gewähren oder einschränken, die Sie in Azure DevOps verwalten. Möglicherweise möchten Sie den Zugriff auf einen ausgewählten Satz von Features und für eine ausgewählte Gruppe von Benutzern öffnen oder schließen. Obwohl die integrierten Sicherheitsgruppen einen Standardsatz von Berechtigungszuweisungen bereitstellen, benötigen Sie möglicherweise zusätzliche Sicherheitsanforderungen, die von diesen Zuweisungen nicht erfüllt werden.

Wenn Sie noch keine Erfahrung mit der Verwaltung von Berechtigungen und Gruppen haben, lesen Sie Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen,um mehr über Berechtigungszustände und Vererbung zu erfahren.

In diesem Artikel erfahren Sie, wie Sie die folgenden Aufgaben ausführen:

  • Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
  • Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
  • Einschränken der Sichtbarkeit auf Organisationsinformationen
  • Personenauswahl auf Projektbenutzer und -gruppen beschränken
  • Einschränken des Zugriffs auf das Anzeigen oder Ändern von Objekten
  • Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe
  • Empfohlene Methode zum Zuweisen und Einschränken von Berechtigungen
  • Delegieren von Aufgaben durch Zuweisen von Auswahlberechtigungen zu bestimmten Rollen
  • Einschränken des Zugriffs auf das Anzeigen oder Ändern von Objekten
  • Einschränken der Änderung von Arbeitselementen basierend auf einem Benutzer oder einer Gruppe

Tipp

Da Sie viele Berechtigungen auf Objektebene festlegen, z. B. Repositorys und Bereichspfade, bestimmt die Struktur ihres Projekts die Bereiche, die Sie öffnen oder schließen können.

Zu Wartungszwecken empfiehlt es sich, die integrierten Sicherheitsgruppen oder benutzerdefinierten Sicherheitsgruppen zum Verwalten von Berechtigungen zuverwenden.

Sie können die Berechtigungseinstellungen für die Gruppe Project Administratoren oder die Gruppe Project Sammlungsadministratoren nicht ändern. Dies ist standardmäßig der Grund. Für alle anderen Gruppen können Sie jedoch die Berechtigungen ändern.

Wenn Sie eine kleine Anzahl von Benutzern verwalten, ist das Ändern einzelner Berechtigungen möglicherweise eine gültige Option. Mit benutzerdefinierten Sicherheitsgruppen können Sie jedoch Rollen und Berechtigungen, die diesen Rollen zugewiesen sind, besser nachverfolgen.

Delegieren von Aufgaben an bestimmte Rollen

Als Administrator oder Kontobesitzer ist es eine gute Idee, Verwaltungsaufgaben an die Teammitglieder zu delegieren, die einen Bereich leiten oder verwalten. Einige der integrierten Hauptrollen, die über Standardberechtigungen und Rollenzuweisungen verfügen, sind:

  • Leser
  • Beitragende
  • Teamadministrator (Rolle)
  • Projektadministratoren
  • Projektauflistungsadministratoren

Eine Zusammenfassung der Berechtigungen für die oben genannten Rollen finden Sie unter Standardberechtigungen und Zugriffoder für die Project Sammlungsadministratoren unter Hinzufügen von Administratoren.

Um Aufgaben an andere Mitglieder in Ihrer Organisation zu delegieren, sollten Sie eine benutzerdefinierte Sicherheitsgruppe erstellen und dann Berechtigungen erteilen, wie in der folgenden Tabelle angegeben.

Rolle

Auszuführende Aufgaben

Berechtigungen, die auf Zulassen festgelegt werden sollen

Entwicklungsleiter (Git)

Verwalten von Branchrichtlinien

Bearbeiten von Richtlinien, Erzwingen von Push und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Branchberechtigungen.

Entwicklungsleiter (TFVC)

Verwalten von Repositorys und Branches

Verwalten von Bezeichnungen, Verwalten von Verzweigungen und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von TFVC-Repositoryberechtigungen.

Softwarearchitekt (Git)

Verwalten von Repositorys

Erstellen von Repositorys, Erzwingen von Push und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.

Teamadministratoren

Hinzufügen von Bereichspfaden für das Team
Hinzufügen freigegebener Abfragen für das Team

Erstellen von untergeordneten Knoten, Löschen dieses Knotens, Bearbeiten dieses Knotens Siehe Erstellen von untergeordneten Knoten, Ändern von Arbeitselementen unter einem Bereichspfad
Mitwirken, Löschen, Verwalten von Berechtigungen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.

Beitragende

Hinzufügen freigegebener Abfragen unter einem Abfrageordner, Mitwirken an Dashboards

Mitwirken, Löschen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.
Anzeigen, Bearbeiten und Verwalten von Dashboards finden Sie unter Festlegen von Dashboardberechtigungen.

Project oder Produktmanager

Hinzufügen von Bereichspfaden, Iterationspfaden und freigegebenen Abfragen
Löschen und Wiederherstellen von Arbeitselementen, Verschieben von Arbeitselementen aus diesem Projekt, Dauerhaftes Löschen von Arbeitselementen

Prozessvorlagen-Manager (Vererbungsprozessmodell)

Anpassung der Arbeitsnachverfolgung

Verwalten von Prozessberechtigungen, Erstellen neuer Projekte, Prozess erstellen, Feld aus Konto löschen, Prozess löschen, Projekt löschen, Prozess bearbeiten
Weitere Informationen finden Sie unter Hinzufügen von Administratoren, Festlegen von Berechtigungen auf Projekt- oder Projektsammlungsebene.

Prozessvorlagen-Manager (Gehostetes XML-Prozessmodell)

Anpassung der Arbeitsnachverfolgung

Project verwaltung (lokales XML-Prozessmodell)

Anpassung der Arbeitsnachverfolgung

Berechtigungs-Manager

Verwalten von Berechtigungen für ein Projekt, ein Konto oder eine Sammlung

Bearbeiten von Informationen auf Projektebene für ein Projekt
Bearbeiten von Informationen auf Instanzebene (oder Sammlungsebene) für ein Konto oder eine Sammlung
Informationen zum Umfang dieser Berechtigungen finden Sie im Leitfaden zur Berechtigungssuche. Informationen zum Erteilen von Berechtigungen finden Sie unter Hinzufügen von Administratoren, Festlegen von Berechtigungen auf Projekt- oder Projektsammlungsebene.

Sie können auch Berechtigungen zum Verwalten von Berechtigungen für die folgenden Objekte erteilen:

Einschränken der Sichtbarkeit auf Organisations- und Projektinformationen

Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Um den Zugriff auf nur die Projekte einzuschränken, denen Sie Benutzer hinzufügen, können Sie das Feature Benutzersichtbarkeit für Projekte in der Vorschau für die Organisation einschränken aktivieren. Informationen zum Aktivieren dieses Features finden Sie unter Verwalten oder Aktivieren von Features.

Wenn dieses Feature aktiviert ist, können Benutzer, die der Gruppe Project Bereichsbezogene Benutzer hinzugefügt wurden, die meisten Organisationseinstellungen nicht anzeigen und nur eine Verbindung mit den Projekten herstellen, denen sie hinzugefügt wurden.

Personenauswahl auf Projektbenutzer und -gruppen beschränken

Für Organisationen, die ihre Benutzer und Gruppen mithilfe von Azure Active Directory (Azure AD) verwalten, bieten Personenauswahlen Unterstützung für die Suche nach allen Benutzern und Gruppen, die Azure AD hinzugefügt wurden, und nicht nur den Benutzern, die einem Projekt hinzugefügt wurden. Personenauswahlfunktionen unterstützen die folgenden Azure DevOps Funktionen:

  • Auswahl einer Benutzeridentität aus einem Feld für die Arbeitsnachverfolgungsidentität, z. B. Zugewiesen zu
  • Auswahl eines Benutzers oder einer Gruppe mit @mention in einem Arbeitselement- oder Rich-Text-Feld, einer Pull Request-Diskussion, Commitkommentaren oder Changeset- oder Shelvesetkommentaren
  • Auswahl eines Benutzers oder einer Gruppe mit @mention auf einer Wiki-Seite

Wie in der folgenden Abbildung dargestellt, beginnen Sie einfach mit der Eingabe in ein Personenauswahlfeld, bis Sie eine Übereinstimmung mit einem Benutzernamen oder einer Sicherheitsgruppe finden.

Screenshot der Personenauswahl

Benutzer und Gruppen, die der Gruppe Project-Scoped Users hinzugefügt werden, können nur Benutzer und Gruppen in dem Projekt sehen und auswählen, mit dem sie über eine Personenauswahl verbunden sind. Informationen zum Einschränken von Personenauswahlen für alle Projektmitglieder finden Sie unter Verwalten Ihres Projekts, Einschränken der Identitätssuche und -auswahl.

Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten

Azure DevOps ist so konzipiert, dass alle gültigen Benutzer alle im System definierten Objekte anzeigen können. Sie können den Zugriff auf Ressourcen einschränken, indem Sie den Berechtigungsstatus auf Verweigern festlegen. Sie können Berechtigungen für Mitglieder festlegen, die zu einer benutzerdefinierten Sicherheitsgruppe gehören, oder für einen einzelnen Benutzer. Weitere Informationen zum Festlegen dieser Berechtigungstypen finden Sie unter Ändern einzelner Berechtigungen, Gewähren von Auswahlzugriff auf bestimmte Funktionen.

Zu beschränkende Fläche

Berechtigungen, die auf Verweigern festgelegt werden

Anzeigen eines Repositorys oder Beitragen zu einem Repository

Anzeigen, Beitragen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen oder Festlegen von TFVC-Repositoryberechtigungen.

Anzeigen, Erstellen oder Ändern von Arbeitselementen innerhalb eines Bereichspfads

Anzeigen oder Aktualisieren ausgewählter Build- und Releasepipelines

Bearbeiten der Buildpipeline, Anzeigen der Buildpipeline
Bearbeiten der Releasepipeline, Anzeigen der Releasepipeline
Sie legen diese Berechtigungen auf Objektebene fest. Weitere Informationen finden Sie unter Festlegen von Build- und Releaseberechtigungen.

Bearbeiten eines Dashboards

Anzeigen von Dashboards
Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen.

Einschränken der Änderung von Arbeitselementen oder Auswählen von Feldern

Beispiele zum Einschränken der Änderung von Arbeitselementen oder auswählen von Feldern finden Sie unter Beispielregelszenarien.

Nächste Schritte