Concesión o restricción del acceso mediante permisos

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Puede conceder o restringir el acceso a los recursos que administra en Azure DevOps. Es posible que quiera abrir o cerrar el acceso a un conjunto selecto de características y a un conjunto selecto de usuarios. Aunque los grupos de seguridad integrados proporcionan un conjunto estándar de asignaciones de permisos, es posible que necesite requisitos de seguridad adicionales que estas asignaciones no cumplen.

Si no está nuevo en la administración de permisos y grupos, consulte Introducción a los permisos,el acceso y los grupos de seguridad para obtener información sobre los estados de permisos y la herencia.

En este artículo aprenderá a realizar las siguientes tareas:

  • Método recomendado para conceder y restringir permisos
  • Delegar tareas mediante la asignación de permisos select a roles específicos
  • Limitación de la visibilidad a la información de la organización
  • Limitar el selector de personas a usuarios y grupos del proyecto
  • Restricción del acceso para ver o modificar objetos
  • Restricción de la modificación de elementos de trabajo en función de un usuario o grupo
  • Método recomendado para conceder y restringir permisos
  • Delegar tareas mediante la asignación de permisos select a roles específicos
  • Restricción del acceso para ver o modificar objetos
  • Restricción de la modificación de elementos de trabajo en función de un usuario o grupo

Sugerencia

Dado que establece muchos permisos en un nivel de objeto, como repositorios y rutas de acceso de área, la forma en que estructura el proyecto determina las áreas que puede abrir o cerrar.

Para fines de mantenimiento, se recomienda usar los grupos de seguridad integrados o los grupos de seguridad personalizados para administrar los permisos.

No se puede cambiar la configuración de permisos para el grupo Project Administradores o el grupo administradores de Project recopilación, que es por diseño. Sin embargo, para todos los demás grupos, puede cambiar los permisos.

Si administra un pequeño número de usuarios, es posible que encuentre una opción válida al cambiar los permisos individuales. Sin embargo, los grupos de seguridad personalizados permiten realizar un mejor seguimiento de los roles y permisos asignados a esos roles.

Delegación de tareas a roles específicos

Como administrador o propietario de la cuenta, es una buena idea delegar tareas administrativas a los miembros del equipo que conducen o administran un área. Algunos de los roles integrados principales que incluyen permisos predeterminados y asignaciones de roles son:

  • Lectores
  • Colaboradores
  • Administrador de equipo (rol)
  • Project Administrators
  • Project Collection Administrators

Para obtener un resumen de los permisos para los roles anteriores, vea Permisos y acceso predeterminados, o para los administradores de recopilación de Project, consulte Agregar administradores.

Para delegar tareas a otros miembros de la organización, considere la posibilidad de crear un grupo de seguridad personalizado y, a continuación, conceder permisos como se indica en la tabla siguiente.

Rol

Tareas que se realizarán

Permisos para establecer en Permitir

Cliente potencial de desarrollo (Git)

Administración de directivas de rama

Editar directivas, forzar la inserción y administrar permisos
Vea Establecer permisos de rama.

Cliente potencial de desarrollo (TFVC)

Administración de repositorios y ramas

Administración de etiquetas, administración de ramas y administración de permisos
Consulte Set TFVC repository permissions (Establecer permisos de repositorio de TFVC).

Arquitecto de software (Git)

Administrar repositorios

Creación de repositorios, forzar la inserción y administrar permisos
Consulte Set Git repository permissions (Establecer permisos de repositorio de Git).

Administradores de equipo

Agregar rutas de acceso de área para su equipo
Adición de consultas compartidas para su equipo

Crear nodos secundarios, Eliminar este nodo, Editar este nodo Consulte Crear nodos secundarios, modificar elementos de trabajo en una ruta de acceso de área.
Contribuir, eliminar, administrar permisos (para una carpeta de consulta), consulte Establecer permisos de consulta.

Colaboradores

Agregar consultas compartidas en una carpeta de consulta, Contribuir a los paneles

Contribuir, Eliminar (para una carpeta de consulta), consulte Establecer permisos de consulta
Vea Establecer permisos de panel para ver, editar y administrar paneles.

Project o administrador de productos

Agregar rutas de acceso de área, rutas de iteración y consultas compartidas
Eliminar y restaurar elementos de trabajo, Mover elementos de trabajo fuera de este proyecto, Eliminar permanentemente elementos de trabajo

Edite la información de nivel de proyecto; consulte Agregar administradores, establecer permisos enel nivel de proyecto o en el nivel de colección de proyectos.

Administrador de plantillas de proceso (modelo de proceso de herencia)

Personalización del seguimiento del trabajo

Administrar permisos de proceso, Crear nuevos proyectos, Crear proceso, Eliminar campo de cuenta, Proceso de eliminación, Eliminar proyecto, Editar proceso
Consulte Agregar administradores, establecer permisos enel nivel de proyecto o en el nivel de colección de proyectos.

Administrador de plantillas de proceso (modelo de proceso XML hospedado)

Personalización del seguimiento del trabajo

Edite la información de nivel de colección; consulte Agregar administradores, establecer permisosen el nivel de proyecto o en el nivel de colección de proyectos.

Project administración de recursos (modelo de proceso XML local)

Personalización del seguimiento del trabajo

Edite la información de nivel de proyecto; consulte Agregar administradores, establecer permisos enel nivel de proyecto o en el nivel de colección de proyectos.

Administrador de permisos

Administración de permisos para un proyecto, cuenta o colección

Para un proyecto, Edit project-level information (Editar información de nivel de proyecto)
Para una cuenta o colección, edite la información de nivel de instancia (o de colección).
Para comprender el ámbito de estos permisos, vea Guía de búsqueda de permisos. Para conceder permisos, consulte Agregar administradores, establecerpermisos en el nivel de proyecto o en el nivel de colección de proyectos.

También puede conceder permisos para administrar permisos para los siguientes objetos:

Limitación de la visibilidad a la información de organización y proyecto

De forma predeterminada, los usuarios agregados a una organización pueden ver toda la información y la configuración de la organización y del proyecto. Para restringir el acceso solo a los proyectos a los que agregue usuarios, puede habilitar la característica de vista previa Limitar visibilidad de usuarios para proyectos para la organización. Para habilitar esta característica, consulte Administración o habilitación de características.

Con esta característica habilitada, los usuarios agregados al grupo Usuarios con ámbito Project no pueden ver la mayoría de la configuración de la organización y solo pueden conectarse a los proyectos a los que se han agregado.

Limitar el selector de personas a usuarios y grupos del proyecto

En el caso de las organizaciones que administran sus usuarios y grupos mediante Azure Active Directory (Azure AD), los selectores de personas proporcionan compatibilidad para buscar todos los usuarios y grupos agregados a Azure AD, no solo los agregados a un proyecto. los selectores de personas admiten las Azure DevOps siguientes:

  • Selección de una identidad de usuario desde un campo de identidad de seguimiento de trabajo como Asignado a
  • Selección de un usuario o grupo mediante en una discusión de elementos de trabajo o un campo de texto enriquecido, una discusión de solicitud de extracción, comentarios de confirmación o comentarios de conjunto de cambios @mention o conjunto de cambios
  • Selección de un usuario o grupo mediante @mention una página wiki

Como se muestra en la siguiente imagen, basta con empezar a escribir en un cuadro de selección de personas hasta que encuentre una coincidencia con un nombre de usuario o grupo de seguridad.

Captura de pantalla del selector de personas

Los usuarios y grupos que se agregan al grupo usuarios con ámbito Project solo pueden ver y seleccionar usuarios y grupos en el proyecto al que están conectados desde un selector de personas. Para limitar el ámbito de los selectores de personas para todos los miembros del proyecto, vea Administrar el proyecto, Limitar búsqueda de identidad y selección.

Restricción del acceso para ver o modificar objetos

Azure DevOps está diseñado para permitir que todos los usuarios válidos puedan ver todos los objetos definidos en el sistema. Puede restringir el acceso a los recursos estableciendo el estado de permiso en Denegar. Puede establecer permisos para los miembros que pertenecen a un grupo de seguridad personalizado o para un usuario individual. Para obtener más información sobre cómo establecer estos tipos de permisos, consulte Cambio de permisos individuales,concesión de acceso select a funciones específicas.

Área que se restringirá

Permisos para establecer en Denegar

Visualización o contribución a un repositorio

Ver, crear o modificar elementos de trabajo dentro de una ruta de acceso de área

Editar elementos de trabajo en este nodo, Ver elementos de trabajo en este nodo
Consulte Establecer permisos y acceso para el seguimiento del trabajo, Modificar elementos de trabajo en una ruta de acceso de área.

Visualización o actualización de las canalizaciones de compilación y versión

Editar canalización de compilación, Ver canalización de compilación
Editar canalización de versión, Ver canalización de versión
Estos permisos se establecen en el nivel de objeto. Vea Establecer permisos de compilación y versión.

Edición de paneles

Visualización de paneles
Consulte Establecer permisos de panel.

Restricción de la modificación de elementos de trabajo o selección de campos

Para obtener ejemplos que muestran cómo restringir la modificación de elementos de trabajo o seleccionar campos, vea Escenarios de regla de ejemplo.

Pasos siguientes