Behandeln von Zugriffs- und Berechtigungsproblemen

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Azure DevOps Sicherheits- und Berechtigungsstruktur umfangreich ist, müssen Sie möglicherweise untersuchen, warum Sie oder ein Projektmitglied ’ keinen Zugriff auf ein Projekt, einen Dienst oder ein Feature haben, das er erwartet. Hier finden Sie eine Schritt-für-Schritt-Anleitung, um Probleme zu verstehen und zu beheben, die ein Projektmitglied beim Herstellen einer Verbindung mit einem Projekt oder beim Zugreifen auf einen Azure DevOps Dienst oder feature haben kann.

Bevor Sie diesen Leitfaden verwenden, sollten Sie mit den folgenden Inhalten vertraut sein:

Tipp

Wenn Sie eine Azure DevOps Sicherheitsgruppe erstellen, bezeichnen Sie sie so, dass leicht erkennbar ist, ob sie erstellt wird, um den Zugriff einzuschränken.

Berechtigungen werden auf einer der folgenden Ebenen festgelegt:

  • Objektebene
  • Projektebene
  • Organisations- oder Projektsammlungsebene
  • Sicherheitsrolle
  • Teamadministratorrolle

Häufige Zugriffs- und Berechtigungsprobleme

Sehen Sie sich die folgenden häufigsten Gründe an, warum ein Projektmitglied ’ nicht auf ein Projekt, einen Dienst oder ein Feature zugreifen kann:

Problem Problembehandlungsaktion
Ihre Zugriffsebene ’ unterstützt keinen Zugriff auf den Dienst oder das Feature. Um zu ermitteln, ob dies die Ursache ist, möchten Sie die Zugriffsebene des Benutzers und den Abonnementstatus bestimmen.
Ihre Mitgliedschaft in einer Sicherheitsgruppe ’ unterstützt keinen Zugriff auf ein Feature, oder ihnen wurde explizit die Berechtigung für ein Feature verweigert. Um zu ermitteln, ob dies die Ursache ist, verfolgen Sie eine Berechtigungnach.
Dem Benutzer wurde vor Kurzem die Berechtigung erteilt, aber es ist eine Aktualisierung erforderlich, damit der Client die Änderungen erkennen kann. Lassen Sie den Benutzer seine Berechtigungen aktualisieren oder neu auswerten.
Der Benutzer versucht, ein Feature zu verwenden, das nur einem Teamadministrator für ein bestimmtes Team gewährt wurde, aber ’ ihnen wurde diese Rolle nicht erteilt. Informationen zum Hinzufügen zur Rolle finden Sie unter Hinzufügen, Entfernen des Teamadministrators.
Der Benutzer hat ’ keine Vorschaufunktion aktiviert. Bitten Sie den Benutzer, die Vorschaufeatures zu öffnen und den Ein-/Aus-Status für das jeweilige Feature zu bestimmen. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.
Project Mitglied wurde einer Sicherheitsgruppe mit eingeschränktem Bereich hinzugefügt, z. B. der Gruppe Project-Scoped Benutzer. Um zu ermitteln, ob dies eine Ursache ist, suchen Sie nach den Mitgliedschaften der Sicherheitsgruppe des Benutzers.

Weniger häufig auftretende Zugriffs- und Berechtigungsprobleme

Weniger häufige Gründe für eingeschränkten Zugriff sind, wenn eines der folgenden Ereignisse aufgetreten ist:

Problem Problembehandlungsaktion
Ein Projektadministrator hat einen Dienst deaktiviert. In diesem Fall hat niemand Zugriff auf den deaktivierten Dienst. Informationen dazu, ob ein Dienst deaktiviert ist, finden Sie unter Aktivieren oder Deaktivieren eines Azure DevOps Diensts.
Ein Project Sammlungsadministrator hat ein Vorschaufeature deaktiviert, das es für alle Projektmitglieder in der Organisation deaktiviert. Weitere Informationen finden Sie unter Verwalten von Vorschaufeatures.
Gruppenregeln, die die Zugriffsebene des Benutzers oder die Projektmitgliedschaft regeln, ’ beschränken den Zugriff. Weitere Informationen finden Sie unter Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers.
Benutzerdefinierte Regeln wurden für den Workflow eines Arbeitselementtyps ’ definiert. siehe Regeln, die auf einen Arbeitselementtyp angewendet werden, der den Auswahlvorgang einschränkt.

Bestimmen der Zugriffsebene und des Abonnementstatus eines Benutzers

Sie können Benutzer oder Benutzergruppen einer der folgenden Zugriffsebenen zuweisen:

  • Projektbeteiligter
  • Basic
  • Basic + Test Plans
  • Visual Studio-Abonnement

Weitere Informationen zur Einschränkung der Zugriffsebene in Azure DevOps finden Sie unter Unterstützte Zugriffsebenen.

Um Azure DevOps Features verwenden zu können, müssen Benutzer einer Sicherheitsgruppe mit den entsprechenden Berechtigungen hinzugefügt werden. Benutzer benötigen auch Zugriff auf das Webportal. Einschränkungen bei der Auswahl von Features werden basierend auf der Zugriffsebene und Sicherheitsgruppe, der ein Benutzer zugewiesen ist, erhalten.

Benutzer können den Zugriff aus den folgenden Gründen verlieren:

Ursache für Zugriffsverlust Problembehandlungsaktion
Das Visual Studio-Abonnement des Benutzers ist abgelaufen. In der Zwischenzeit kann dieser Benutzer als Beteiligter arbeiten,oder Sie können dem Benutzer Basic-Zugriff gewähren, bis der Benutzer sein Abonnement erneuert. Nachdem sich der Benutzer anmeldet, stellt Azure DevOps den Zugriff automatisch wieder her.
Das für die Abrechnung verwendete Azure-Abonnement ist nicht mehr aktiv. Alle Käufe, die mit diesem Abonnement getätigt werden, sind betroffen, einschließlich Visual Studio Abonnements. Um dieses Problem zu beheben, besuchen Sie das Azure-Kontoportal.
Das für die Abrechnung verwendete Azure-Abonnement wurde aus Ihrer Organisation entfernt. Weitere Informationen zum Verknüpfen Ihrer Organisation

Andernfalls verlieren Benutzer, die sich am ersten Tag des Kalendermonats am längsten nicht bei Ihrer Organisation angemeldet haben, zuerst den Zugriff. Wenn Ihre Organisation über Benutzer verfügt, die keinen Zugriff mehr benötigen, entfernen Sie sie aus Ihrer Organisation.

Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen und Gruppen und im Leitfaden zur Berechtigungssuche.

Nachverfolgen einer Berechtigung

Verwenden Sie die Berechtigungsablaufverfolgung, um zu bestimmen, warum die Berechtigungen eines Benutzers dem Benutzer keinen Zugriff auf ein bestimmtes Feature oder eine bestimmte Funktion gewähren. Erfahren Sie, wie ein Benutzer oder Administrator die Vererbung von Berechtigungen untersuchen kann. Um eine Berechtigung über das Webportal nachzuverfolgen, öffnen Sie die Berechtigungs- oder Sicherheitsseite für die entsprechende Ebene. Weitere Informationen finden Sie unter Ändern einzelner Berechtigungen.

Wenn ein Benutzer Probleme mit Berechtigungen hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mithilfe unserer Berechtigungsablaufverfolgung untersuchen, woher diese Berechtigungen stammen. Berechtigungsprobleme können auf verzögerte Änderungen zurückzuführen sein. Es kann bis zu einer Stunde dauern, bis Azure AD Gruppenmitgliedschaften oder Berechtigungsänderungen in Azure DevOps verteilt werden. Wenn bei einem Benutzer Probleme auftreten, die nicht sofort behoben werden, warten Sie einen Tag, um zu prüfen, ob er behoben wurde. Weitere Informationen zur Benutzer- und Zugriffsverwaltung finden Sie unter Verwalten von Benutzern und Zugriff in Azure DevOps.

Wenn ein Benutzer Probleme mit Berechtigungen hat und Sie Standardsicherheitsgruppen oder benutzerdefinierte Gruppen für Berechtigungen verwenden, können Sie mithilfe unserer Berechtigungsablaufverfolgung untersuchen, woher diese Berechtigungen stammen. Berechtigungsprobleme können auftreten, weil der Benutzer nicht über die erforderliche Zugriffsebene verfügt.

Benutzer können ihre effektiven Berechtigungen entweder direkt oder über Gruppen erhalten.

Führen Sie die folgenden Schritte aus, damit Administratoren verstehen können, woher genau diese Berechtigungen stammen, und sie bei Bedarf anpassen können.

  1. Wählen Sie Project EinstellungenBerechtigungenBenutzeraus, und wählen Sie dann den Benutzer aus.

    Enter user name into filter box

    Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die anzeigt, über welche Berechtigungen sie verfügen.

  2. Wählen Sie das Informationssymbol neben der betreffenden Berechtigung aus, um nachzuverfolgen, warum ein Benutzer über eine der aufgeführten Berechtigungen verfügt oder nicht.

Select the information icon next to the permission in question

Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgeführte Berechtigung erben. Sie können dann die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die für die Gruppen bereitgestellt werden, in denen er sich befinden.

  1. Wählen Sie Project EinstellungenSicherheitaus, und geben Sie dann den Benutzernamen in das Filterfeld ein.

    Enter user name into the filter box

    Sie sollten nun über eine benutzerspezifische Ansicht verfügen, die anzeigt, über welche Berechtigungen sie verfügen.

  2. Verfolgen Sie, warum ein Benutzer über eine der aufgeführten Berechtigungen verfügt oder nicht. Zeigen Sie auf die Berechtigung, und wählen Sie dann Warumaus.

    Choose Why in permissions list view for project level information

Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgeführte Berechtigung erben. Sie können dann die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die für die Gruppen bereitgestellt werden, in denen er sich befinden.

Trace showing inherited permissions

  1. Wechseln Sie zur Seite Sicherheit für das Projekt, bei dem der Benutzer Zugriffsprobleme hat.

  2. Geben Sie ihren Namen in das Feld in der oberen linken Ecke ein.

    Enter user name to view permissions.

    Sie sollten über eine benutzerspezifische Ansicht verfügen, die anzeigt, über welche Berechtigungen sie verfügen.

  3. Verfolgen Sie nach, warum ein Benutzer über eine der aufgeführten Berechtigungen verfügt oder nicht. Bewegen Sie den Hover auf die Berechtigung, und wählen Sie dann Warum aus.

    Select Why to trace the permissions

Die resultierende Ablaufverfolgung informiert Sie darüber, wie sie die aufgelistete Berechtigung erbt. Sie können dann die Berechtigungen des Benutzers anpassen, indem Sie die Berechtigungen anpassen, die für die Gruppen bereitgestellt werden, in denen er sich befingt.

Weitere Informationen finden Sie unter Gewähren oder Einschränken des Zugriffs auf ausgewählte Features und Funktionen oder Ändern einzelner Berechtigungen.

Aktualisieren oder erneutes Auswerten von Berechtigungen

Sehen Sie sich das folgende Szenario an, in dem das Aktualisieren oder erneute Auswerten von Berechtigungen erforderlich sein kann.

Problem

Benutzer werden einer Gruppe Azure DevOps oder Azure AD hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Sie erhalten jedoch nicht sofort Zugriff. Benutzer müssen entweder warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, damit ihre Berechtigungen aktualisiert werden.

Benutzer werden einer Gruppe Azure DevOps hinzugefügt. Diese Aktion gewährt geerbten Zugriff auf eine Organisation oder ein Projekt. Sie erhalten jedoch nicht sofort Zugriff. Benutzer müssen entweder warten oder sich abmelden, ihren Browser schließen und sich dann wieder anmelden, damit ihre Berechtigungen aktualisiert werden.

Solution

Unter Benutzereinstellungenkönnen Sie auf der Seite Berechtigungen die Option Berechtigungen neu auswerten auswählen. Diese Funktion wertet Ihre Gruppenmitgliedschaften und Berechtigungen neu aus, und alle kürzlich vorgenommenen Änderungen werden sofort wirksam.

Reevaluate permissions control

Regeln, die auf einen Arbeitselementtyp angewendet werden, der Auswahlvorgänge einschränkt

Bevor Sie einen Prozess anpassen, sollten Sie konfigurieren und Azure Boards anpassen. Hier finden Sie Anleitungen zum Anpassen von Azure Boards an Ihre geschäftsspezifischen Anforderungen.

Weitere Informationen zu Regeln für Arbeitselementtypen, die für das Einschränken von Vorgängen gelten, finden Sie unter:

Ausblenden von Organisationseinstellungen vor Benutzern

Wenn ein Benutzer darauf beschränkt ist, nur seine Projekte oder die Organisationseinstellungen zu sehen, kann dies in den folgenden Informationen erklärt werden. Wenn Sie verhindern möchten, dass Benutzer auf Organisationseinstellungen zugreifen, können Sie das Vorschaufeature Benutzersichtbarkeit für Projekte einschränken aktivieren.

Beispiele für eingeschränkte Benutzer sind Beteiligte, Azure Active Directory (Azure AD) Gastbenutzer oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung wird jedem Benutzer oder jeder Gruppe, der bzw. der der Gruppe Project-Scoped-Benutzer hinzugefügt wurde, der Zugriff auf die Organisations-Einstellungen-Seiten mit Ausnahme von Übersicht und Projekten eingeschränkt. Sie sind auf den Zugriff auf die Projekte beschränkt, denen sie hinzugefügt wurden.

Beispiele für eingeschränkte Benutzer sind Beteiligte oder Mitglieder einer Sicherheitsgruppe. Nach der Aktivierung wird jedem Benutzer oder jeder Gruppe, der bzw. der der Gruppe Project-Scoped-Benutzer hinzugefügt wurde, der Zugriff auf die Organisations-Einstellungen-Seiten mit Ausnahme von Übersicht und Projekten eingeschränkt. Sie sind auf den Zugriff auf die Projekte beschränkt, denen sie hinzugefügt wurden.

Weitere Informationen zum Ausblenden von Organisationseinstellungen vor Benutzern finden Sie unter About projects, Project-scoped User group.

Anzeigen, Hinzufügen und Verwalten von Berechtigungen mit der CLI

Mit den Befehlen können Sie Berechtigungen auf einer präziseren Ebene anzeigen, hinzufügen und az devops security permission verwalten. Weitere Informationen finden Sie unter Verwalten von Berechtigungen mit dem Befehlszeilentool.

Verwenden von Tools zum Korrigieren der Berechtigung

Sie können die folgenden Tools verwenden, um das Berechtigungsproblem eines Benutzers zu beheben.

  • TFSSecurity.exe: TFSSecurity ist ein Befehlszeilentool, das zum Anzeigen und Aktualisieren und Löschen von Berechtigungen oder Gruppen verwendet werden kann.

    Beispielverwendung: tfssecurity /a+ Identity "81e4e4b5-bde0-4f2c-a7a5-4d25c2e8a81f\" Read "Project Collection Valid Users" ALLOW /collection:{collectionUrl}tfssecurity /a- Identity "3c7a0a47-27b4-4def-8d42-aab9b405fc8a\" Write n:"[Project1]\Contributors" DENY /collection:{collectionUrl}

  • Verwenden des öffentlichen Sproc

    Beispielverwendung: Verwenden Sie oder , um ACEs direkt aus den Sicherheitstabellen hinzuzufügen oder daraus zu entfernen, wenn prc_pSetAccessControlEntryprc_pRemoveAccessControlEntries TFSSecurity für Sie nicht funktioniert.

Weitere Informationen finden Sie unter Verwenden von TFSSecurity zum Verwalten von Gruppen und Berechtigungen für Azure DevOps.

Gruppenregeln mit geringeren Berechtigungen

Gruppenregeltypen werden in der folgenden Reihenfolge eingestuft: Subscriber > Basic + Test Plans Basic >> Stakeholder. Benutzer erhalten immer die beste Zugriffsebene zwischen allen Gruppenregeln, einschließlich Visual Studio (VS)-Abonnements.

In den folgenden Beispielen wird gezeigt, wie die Abonnentenerkennung In Gruppenregeln berücksichtigt.

Beispiel 1: Gruppenregel bietet mir mehr Zugriff

Wenn ich ein VS Pro-Abonnement habe und in einer Gruppenregel bin, die mir Basic + Test Plans – was passiert?

Erwartet: Ich habe basic + Test Plans, da die Gruppenregel größer ist als mein Abonnement. Die Gruppenregelzuweisung bietet immer den größeren Zugriff, anstatt den Zugriff zu beschränken.

Beispiel 2: Gruppenregel gewährt mir denselben Zugriff

Ich habe ein Visual Studio Test Pro abonnement und bin in einer Gruppenregel, die mir Basic + Test Plans was – passiert?

Erwartet: Ich wird als abonnent Visual Studio Test Pro erkannt, da der Zugriff mit der Gruppenregel identisch ist. Ich zahle bereits für die Visual Studio Test-Pro, daher möchte ich nicht mehr bezahlen.

Arbeiten mit GitHub

In den folgenden Informationen zur Problembehandlung erfahren Sie, wann Sie versuchen, Code in einer Azure DevOps mit GitHub.

Problem

Sie können den Rest Ihres Teams nicht in die Organisation und das Projekt bringen, obwohl Sie sie als Organisations- und Projektmitglieder hinzufügen. Sie erhalten E-Mails, erhalten aber bei der Anmeldung den Fehler 401.

Solution

Sie sind wahrscheinlich bei einer Azure DevOps mit einer falschen Identität angemeldet. Führen Sie die folgenden Schritte aus.

  1. Schließen Sie alle Browser, einschließlich Browsern, die nicht Azure DevOps.

  2. Öffnen Sie eine private oder Inkognito-Browsersitzung.

  3. Wechseln Sie zur folgenden URL: https://aka.ms/vssignout .

    Eine Meldung mit der Meldung "Abmelden wird in Bearbeitung" wird angezeigt. Nachdem Sie sich abmelden, werden Sie zu dev.azure.microsoft.com.

  4. Melden Sie sich erneut bei Azure DevOps an. Wählen Sie Ihre andere Identität aus.