Groupes de sécurité, comptes de service et autorisations dans Azure DevOps

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018-TFS 2013

Cet article fournit une référence complète pour chaque utilisateur, groupe et autorisation intégré. Il s’agit d’un grand nombre d’informations qui décrivent chaque utilisateur et groupe de sécurité intégré, ainsi que chaque autorisation.

Pour obtenir une référence rapide aux attributions par défaut, consultez autorisations et accès par défaut. Pour obtenir une vue d’ensemble de la gestion des autorisations et de la sécurité, consultez prise en main des autorisations, de l’accès et des groupes de sécurité. Outre les groupes de sécurité, il existe également des rôles de sécuritéqui fournissent des autorisations pour sélectionner des zones.

Pour savoir comment ajouter des utilisateurs à un groupe ou définir une autorisation spécifique que vous pouvez gérer via le portail Web, consultez les ressources suivantes :

Notes

Les images que vous voyez sur votre portail Web peuvent différer de celles que vous voyez dans cette rubrique. Ces différences résultent de mises à jour apportées à Azure DevOps. Toutefois, les fonctionnalités de base disponibles restent les mêmes, sauf mention explicite.

Comptes de service

Certains comptes de service sont générés par le système pour prendre en charge des opérations spécifiques. Celles-ci incluent celles décrites dans le tableau suivant. Ces comptes d’utilisateur sont ajoutés au niveau de l’organisation ou de la collection.

Nom d’utilisateur Description
Service de pool d’agents A l’autorisation d’écouter la file d’attente de messages pour que le pool spécifique reçoive du travail. Dans la plupart des cas, vous ne devez pas gérer les membres de ce groupe. Le processus d’inscription de l’agent s’en occupe pour vous. Le compte de service que vous spécifiez pour l’agent (généralement le service réseau) est automatiquement ajouté lorsque vous inscrivez l’agent. Responsable de l’exécution des opérations de lecture/écriture Azure Boards et de la mise à jour des éléments de travail lorsque les objets GitHub sont mis à jour.
Azure Boards Ajouté lorsque Azure Boards est connecté à GitHub. Vous ne devez pas avoir à gérer les membres de ce groupe. Responsable de la gestion de la création de liens entre GitHub et Azure Boards.
PipelinesSDK Ajouté si nécessaire pour prendre en charge les jetons d’étendue de service de stratégie des pipelines. Ce compte d’utilisateur est similaire aux identités du service de build, mais prend en charge le verrouillage des autorisations séparément. Dans la pratique, les jetons qui impliquent cette identité reçoivent des autorisations en lecture seule pour les ressources de pipeline et la capacité ponctuelle d’approuver les demandes de stratégie. Ce compte doit être traité de la même façon que les identités du service de Build.
NomProjet Service de build Dispose des autorisations nécessaires pour exécuter les services de build pour le projet. Il s’agit d’un utilisateur hérité utilisé pour les builds XAML. Il est ajouté au groupe service de sécurité, qui est utilisé pour stocker les utilisateurs qui ont reçu des autorisations, mais qui n’ont pas été ajoutés à un autre groupe de sécurité.
Compte de service de build de la collection de projets Dispose des autorisations pour exécuter des services de build pour la collection. Il est ajouté au groupe service de sécurité, qui est utilisé pour stocker les utilisateurs qui ont reçu des autorisations, mais qui n’ont pas été ajoutés à un autre groupe de sécurité.

Groupes

Les autorisations peuvent être accordées directement à un individu ou à un groupe. L’utilisation de groupes simplifie considérablement les choses. Le système fournit plusieurs groupes intégrés à cet effet. Ces groupes et les autorisations par défaut qui leur sont attribuées sont définis à différents niveaux : serveur (déploiement local uniquement), collection de projets, projet et objets spécifiques. Vous pouvez également créer vos propres groupes et leur accorder le jeu spécifique d’autorisations appropriées pour certains rôles de votre organisation.

Notes

Tous les groupes de sécurité sont des entités de niveau organisation, même les groupes qui disposent uniquement d’autorisations sur un projet spécifique. À partir du portail Web, les utilisateurs ne disposant pas d’un accès à un projet ne peuvent pas voir les groupes qui disposent uniquement d’autorisations sur un projet spécifique. Toutefois, vous pouvez découvrir les noms de tous les groupes d’une organisation à l’aide de l’outil Azure devops CLI ou de nos API REST. Pour plus d’informations, consultez Ajouter et gérer des groupes de sécurité.

Groupes de niveau serveur

Lorsque vous installez Azure DevOps Server, le système crée des groupes par défaut qui ont des autorisations au niveau du serveur et au niveau du déploiement. Vous ne pouvez pas supprimer ou supprimer les groupes intégrés au niveau du serveur.

Capture d’écran de la boîte de dialogue du groupe de sécurité Azure DevOps.

ADMIN_GROUPS_PERMISSIONS

Vous ne pouvez pas supprimer ou supprimer les groupes de niveau serveur par défaut.

Nom du groupe Autorisations Adhésion
Comptes de service Azure DevOps

A des autorisations au niveau du service pour l’instance de serveur.

Contient le compte de service qui a été fourni lors de l’installation

Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Par défaut, ce groupe est membre de Team Foundation Administrators.

Si vous devez ajouter un compte à ce groupe après avoir installé Azure DevOps Server ou TFS, vous pouvez le faire à l’aide de l’utilitaire TFSSecurity.exe dans le sous-dossier Outils de votre répertoire d’installation de TFS. Pour ce faire, utilisez la commande suivante : TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Utilisateurs valides Azure DevOps A l’autorisation d’afficher les informations au niveau de l’instance du serveur. Contient tous les utilisateurs connus pour exister dans l’instance de serveur. Vous pouvez't modifier l’appartenance de ce groupe.
Team Foundation Administrators Dispose des autorisations nécessaires pour effectuer toutes les opérations au niveau du serveur.

Groupe Administrateurs local (BUILTIN\Administrators) pour tout serveur qui héberge les services d’application Azure DevOPs/Team Foundation.

Server \Team Foundation Service Accounts Group et les membres du groupe \Project Server Integration Service Accounts .

Ce groupe doit être limité au plus petit nombre d’utilisateurs qui ont besoin d’un contrôle administratif total sur les opérations au niveau du serveur.

Si votre déploiement utilise SharePoint ou la création de rapports, envisagez d' Ajouter les membres de ce groupe aux groupes Administrateurs de la batterie de serveurs et administrateurs de collection de sites dans SharePoint et aux groupes gestionnaires de contenu Team Foundation dans Reporting Services.
Nom du groupe Autorisations Adhésion
Team Foundation Administrators Dispose des autorisations nécessaires pour effectuer toutes les opérations au niveau du serveur.

Groupe Administrateurs local (BUILTIN\Administrators) pour tout serveur qui héberge les services d’application Azure DevOPs/Team Foundation.

Server \Team Foundation Service Accounts Group et les membres du groupe \Project Server Integration Service Accounts .

Ce groupe doit être limité au plus petit nombre d’utilisateurs qui ont besoin d’un contrôle administratif total sur les opérations au niveau du serveur.

Si votre déploiement utilise SharePoint ou la création de rapports, envisagez d' Ajouter les membres de ce groupe aux groupes Administrateurs de la batterie de serveurs et administrateurs de collection de sites dans SharePoint et aux groupes gestionnaires de contenu Team Foundation dans Reporting Services.
Comptes de service proxy Team Foundation A des autorisations de niveau de service pour Team Foundation Server Proxy, et certaines autorisations au niveau du service.
Créé lors de l’installation du service proxy TFS.
Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs.
Team Foundation Service Accounts

A des autorisations au niveau du service pour l’instance de serveur.

Contient le compte de service qui a été fourni lors de l’installation

Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Par défaut, ce groupe est membre de Team Foundation Administrators.

Si vous devez ajouter un compte à ce groupe après avoir installé Azure DevOps Server ou TFS, vous pouvez le faire à l’aide de l’utilitaire TFSSecurity.exe dans le sous-dossier Outils de votre répertoire d’installation de TFS. Pour ce faire, utilisez la commande suivante : TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://tfsservername

Team Foundation Valid Users A l’autorisation d’afficher les informations au niveau de l’instance du serveur.
Si vous affectez à l’autorisation afficher les informations au niveau de l’instance la valeur refuser ou non définie pour ce groupe, aucun utilisateur ne pourra accéder au déploiement.
Contient tous les utilisateurs connus pour exister dans l’instance de serveur. Vous pouvez't modifier l’appartenance de ce groupe.
Project Server Integration Service Accounts    A des autorisations de niveau de service pour les déploiements de Project Server configurés pour l’interopérabilité avec l’instance de serveur et certaines autorisations de niveau de service TFS.
Créé lorsque vous installez l’intégration du service de projet.
Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Par défaut, ce groupe est membre de Team Foundation Administrators.
SharePoint Web Application Services A des autorisations de niveau de service pour les applications Web SharePoint qui sont configurées pour une utilisation avec TFS et certaines autorisations de niveau de service pour TFS. Ce groupe doit contenir des comptes de service uniquement et pas de compte ou groupe utilisateur qui contiennent des comptes d'utilisateurs. Contrairement au groupe Service Accounts, ce groupe n’est pas membre de Team Foundation Administrators.

Le nom complet de chacun de ces groupes est [Team Foundation] \ {nom du groupe}. Le nom complet du groupe administrateurs de niveau serveur est donc [Team Foundation] \ Team Foundation Administrators.

Groupes de niveau collection

Lorsque vous créez une organisation ou une collection de projets dans Azure DevOps, le système crée des groupes au niveau de la collection qui ont des autorisations dans ce regroupement. Vous ne pouvez pas supprimer ou supprimer les groupes intégrés au niveau de la collection.

Notes

Pour activer la nouvelle interface utilisateur pour la page des paramètres d’autorisations des organisations v2, consultez activer les fonctionnalitésen préversion. La page d’aperçu fournit une page de paramètres de groupe qui n’est pas la page actuelle.

Capture d’écran des groupes de collections de projets, nouvelle interface utilisateur.

Capture d’écran des groupes de collections de projets, versions locales.

Le nom complet de chacun de ces groupes est [{nom du regroupement}] \ {nom du groupe}. Par conséquent, le nom complet du groupe d’administrateurs pour le regroupement par défaut est [regroupement par défaut] \ administrateurs de la collection de projets.

Nom du groupe

autorisations

Member

Project Collection Administrators

Dispose des autorisations nécessaires pour effectuer toutes les opérations pour la collection.

Contient le groupe Administrateurs local (BUILTIN\Administrators) pour le serveur sur lequel les services de la couche application ont été installés. Contient également les membres du groupe de / comptes de service CollectionName. Ce groupe doit être limité au nombre le plus petit possible des utilisateurs qui nécessitent un contrôle administratif complet sur la collection. Pour Azure DevOps, attribuez aux administrateurs qui personnalisent le suivi du travail.

Notes

Si votre déploiement utilise Reporting Services, envisagez d’ajouter les membres de ce groupe aux groupes gestionnaires de contenu Team Foundation dans Reporting Services.

Project Collection Build Administrators

Dispose des autorisations pour administrer les ressources de build et les autorisations pour le regroupement.

Limitez ce groupe au plus petit nombre possible d'utilisateurs qui ont besoin d'un contrôle administratif total sur les serveurs et services de build pour cette collection.

Project Collection Build Service Accounts

Dispose des autorisations pour exécuter des services de build pour la collection.

Limitez ce groupe aux comptes de service et groupes qui contiennent uniquement des comptes de service. Il s’agit d’un groupe hérité utilisé pour les builds XAML. Utilisez l’utilisateur du service de build de la collection de projets ({Your Organization}) pour gérer les autorisations pour les builds actuelles.

Project Collection Proxy Service Accounts

Dispose des autorisations nécessaires pour exécuter le service proxy pour la collection.

Limitez ce groupe aux comptes de service et groupes qui contiennent uniquement des comptes de service.

Project Collection Service Accounts

A des autorisations de niveau de service pour la collection et pour Azure DevOps Server.

Contient le compte de service fourni au moment de l'installation. Ce groupe doit contenir uniquement des comptes de service et des groupes qui ne contiennent que des comptes de service. Par défaut, ce groupe est membre du groupe administrateurs.

Project Collection Test Service Accounts

A des autorisations de service de test pour la collection.

Limitez ce groupe aux comptes de service et groupes qui contiennent uniquement des comptes de service.

Project Collection Valid Users

Dispose des autorisations pour accéder aux projets d’équipe et afficher les informations de la collection.

Contient tous les utilisateurs et les groupes qui ont été ajoutés n’importe où dans la collection. Vous ne pouvez pas modifier l'appartenance de ce groupe.

Utilisateurs Project-Scoped

Dispose d’un accès limité pour afficher les paramètres de l’organisation et les projets autres que les projets auxquels ils sont spécifiquement ajoutés. En outre, les options du sélecteur de personnes sont limitées aux utilisateurs et aux groupes qui ont été ajoutés explicitement au projet auquel l’utilisateur est connecté.

Ajoutez des utilisateurs à ce groupe lorsque vous souhaitez limiter leur visibilité et l’accès aux projets auxquels vous les ajoutez explicitement. N’ajoutez pas d’utilisateurs à ce groupe s’ils sont également ajoutés au groupe administrateurs de la collection de projets.

Notes

Le groupe utilisateurs à l’échelle du projet devient disponible avec un accès restreint quand la fonctionnalité de préversion au niveau de l’organisation, limiter la visibilité de l’utilisateur pour les projets est activée. Pour plus d’informations, consultez à propos des projets, limiter la visibilité des utilisateurs pour les projets.

Groupe de services de sécurité

Utilisé pour stocker les utilisateurs auxquels des autorisations ont été accordées, mais qui ne sont pas ajoutées à un autre groupe de sécurité.

N’affectez pas d’utilisateurs à ce groupe. Si vous supprimez des utilisateurs de tous les groupes de sécurité, vérifiez si vous devez les supprimer de ce groupe.

Groupes de niveau projet

Pour chaque projet que vous créez, le système crée les groupes au niveau du projet suivants. Les autorisations au niveau du projetsont affectées à ces groupes.

Le nom complet de chacun de ces groupes est [{nom du projet}] \ {nom du groupe}. Par exemple, le groupe Contributors pour un projet appelé « mon projet » est \ contributeurs [mon projet].

Notes

Pour activer la nouvelle interface utilisateur pour la page des paramètres d’autorisations du projet, consultez activer les fonctionnalitésen version préliminaire.

Choisir les paramètres du projet, puis autorisations

Pour afficher l’image complète, cliquez pour développer.

Paramètres du projet>sécurité

Nom du groupe

autorisations

Member

Administrateurs de build

Dispose des autorisations pour administrer les ressources de build et les autorisations de build pour le projet. Les membres peuvent gérer des environnements de test, créer des séries de tests et gérer des builds.

Attribuez aux utilisateurs qui définissent et gèrent des pipelines de Build.

Contributeurs

Dispose des autorisations pour contribuer pleinement à la base de code du projet et au suivi des éléments de travail. Les principales autorisations qu’ils n’ont pas sont celles qui gèrent ou administrent les ressources.

Par défaut, le groupe d’équipe créé lorsque vous créez un projet est ajouté à ce groupe, et tout utilisateur que vous ajoutez à l’équipe ou au projet est membre de ce groupe. En outre, toute équipe que vous créez pour un projet est ajoutée à ce groupe.

Lecteurs

Dispose des autorisations pour afficher les informations du projet, la base de code, les éléments de travail et d’autres artefacts, mais pas les modifier.

Attribuez aux membres de votre organisation ou collection que vous souhaitez fournir des autorisations d’affichage uniquement pour un projet. Ces utilisateurs peuvent afficher des journaux des travaux en souffrance, des tableaux, des tableaux de bord, etc., mais pas ajouter ni modifier quoi que ce soit.

Project Administrators

Dispose des autorisations pour administrer tous les aspects des équipes et des projets, bien qu’ils ne puissent pas créer de projets d’équipe.

Assigner aux utilisateurs qui gèrent des autorisations d’utilisateur, créer ou modifier des équipes, modifier les paramètres d’équipe, définir la zone d’un chemin d’itération ou personnaliser le suivi des éléments de travail. Les membres du groupe Project Administrators disposent des autorisations nécessaires pour effectuer les tâches suivantes :

  • Ajouter et supprimer des utilisateurs de l’appartenance à un projet
  • Ajouter et supprimer des groupes de sécurité personnalisés d’un projet
  • Ajouter et administrer toutes les équipes de projet et les fonctionnalités associées à l’équipe
  • Modifier les ACL d’autorisation au niveau du projet
  • Modifiez les abonnements aux événements (e-mail ou SOAP) pour les équipes ou les événements au niveau du projet.

Project Valid Users

Dispose des autorisations nécessaires pour accéder aux informations du projet et les afficher.

Contient tous les utilisateurs et les groupes qui ont été ajoutés n’importe où au projet. Vous ne pouvez pas modifier l'appartenance de ce groupe.

Notes

Nous vous recommandons de ne pas modifier les autorisations par défaut pour ce groupe.

Administrateurs de version

Dispose des autorisations pour gérer toutes les opérations de publication.

Attribuez aux utilisateurs qui définissent et gèrent les pipelines de mise en version.

Notes

Le groupe administrateurs de mise en sortie est créé en même temps que le premier pipeline de mise en version. Elle n’est pas créée par défaut lors de la création du projet. Valide pour TFS-2017 et versions ultérieures.

TeamName

Dispose des autorisations pour contribuer pleinement à la base de code du projet et au suivi des éléments de travail. Le groupe d’équipe par défaut est créé lorsque vous créez un projet, et est ajouté par défaut au groupe Contributors pour le projet. Toutes les nouvelles équipes que vous créez auront également un groupe créé pour elles et ajouté au groupe Collaborateurs.

Ajoutez des membres de l’équipe à ce groupe. Pour accorder l’accès pour configurer les paramètres d’équipe, Ajoutez un membre de l’équipe au rôle d’administrateur d’équipe.

Rôle d’administrateur d’équipe

Pour chaque équipe que vous ajoutez, vous pouvez affecter un ou plusieurs membres de l’équipe en tant qu’administrateurs. Le rôle d’administrateur d’équipe n’est pas un groupe avec un ensemble d’autorisations définies. Au lieu de cela, le rôle d’administrateur d’équipe est chargé de gérer les ressources de l’équipe. Pour plus d’informations, consultez gérer les équipes et configurer les outils d’équipe. Pour ajouter un utilisateur en tant qu’administrateur d’équipe, consultez Ajouter un administrateur d’équipe.

Notes

Les administrateurs de projet peuvent gérer toutes les zones administratives de l’équipe pour toutes les équipes.

Autorisations

Le système gère les autorisations au niveau des différents — serveurs, collection, projet ou objet — et les affecte par défaut à un ou plusieurs groupes prédéfinis. La plupart des autorisations sont gérées via le portail Web.

Autorisations au niveau du serveur

Vous gérez les autorisations au niveau du serveur via l' outil en ligne de commande console Administration Team Foundation ou TFSSecurity. Toutes les autorisations au niveau du serveur sont accordées aux administrateurs Team Foundation. D’autres groupes au niveau du serveur ont des affectations d’autorisation SELECT.

Capture d’écran des autorisations au niveau du serveur.

Autorisation Description
Administrer l'entrepôt

Peut traiter ou modifier les paramètres de l’entrepôt de données ou du cube d’analyse SQL Server à l’aide du service Web de contrôle d’entrepôt.

Des autorisations supplémentaires peuvent être nécessaires pour traiter ou reconstruire intégralement l’entrepôt de données et le cube d’analyse.

Créer une collection de projets Peut créer et administrer des regroupements.
Supprimer la collection de projets Peut supprimer une collection du déploiement.
La suppression d’un regroupement ne supprimera pas la base de données de collection de SQL Server.
Modifier les informations au niveau de l'instance Peut modifier les autorisations au niveau du serveur pour les utilisateurs et les groupes, et ajouter ou supprimer des groupes au niveau du serveur dans le regroupement.

Les informations de modification au niveau de l’instance incluent la possibilité d’effectuer ces tâches pour tous les projets d’équipe définis dans toutes les collections définies pour l’instance :

  • Créer et modifier des zones et des itérations
  • Modifier les stratégies d'archivage
  • Modifier les requêtes d'éléments de travail partagées
  • Modifier les ACL des autorisations au niveau du projet et au niveau de la collection
  • Créer et modifier des listes globales
  • Modifiez les abonnements aux événements (E-mail ou SOAP).

Lorsqu’elle est définie via les menus, l’autorisation modifier les informations au niveau de l’instance permet également de manière implicite à l’utilisateur de modifier les autorisations de contrôle de version. Pour accorder toutes ces autorisations à une invite de commandes, vous devez utiliser la tf.exe Permission commande pour accorder les autorisations AdminConfiguration et AdminConnections en plus de GENERIC_WRITE.

Faire des demandes pour le compte de tiers Peut réaliser des opérations au nom d'autres utilisateurs ou services. Affecter uniquement aux comptes de service.
Événements déclencheurs Peut déclencher des événements d’alerte au niveau du serveur. Affecter uniquement aux comptes de service et aux membres du groupe Team Foundation Administrators.
Utiliser les fonctionnalités d'accès total Web Access Peut utiliser toutes les fonctionnalités du portail Web local. Cette autorisation est dépréciée avec Azure DevOps Server 2019 et versions ultérieures.
Si l’autorisation utiliser les fonctionnalités complètes accès Web est définie sur refuser, l’utilisateur verra uniquement les fonctionnalités autorisées pour le groupe partie prenante (voir modifier les niveaux d’accès). Une action Deny remplace toute autorisation implicite, même pour les comptes qui sont membres de groupes d’administration tels que Team Foundation Administrators.
Afficher les informations au niveau de l'instance Peut afficher l’appartenance à un groupe au niveau du serveur et les autorisations de ces utilisateurs.
L’autorisation afficher les informations au niveau de l’instance est également assignée au groupe Team Foundation Valid Users.

Autorisations au niveau de l’Organisation

Vous gérez les autorisations au niveau de l’organisation via le contexte d’administration du portail Web ou à l’aide des commandes AZ devops Security Group . Toutes les autorisations au niveau de l’organisation sont accordées aux administrateurs de la collection de projets. D’autres groupes au niveau de l’Organisation ont des attributions d’autorisation SELECT.

Notes

Pour activer la nouvelle interface utilisateur pour la page des paramètres d’autorisations des organisations v2, consultez activer les fonctionnalitésen préversion. La page d’aperçu fournit une page de paramètres de groupe qui n’est pas la page actuelle.

Capture d’écran des groupes et des autorisations au niveau de l’organisation, Azure DevOps Services.

Autorisation Description

Général

Modifier les paramètres de suivi Peut modifier les paramètres de suivi pour collecter des informations de diagnostic plus détaillées sur les services Web Azure DevOps.
Créer des projets (anciennement créer des projets d’équipe) Peut Ajouter un projet à une organisation ou à une collection de projets. Des autorisations supplémentaires peuvent être nécessaires en fonction de votre déploiement local.
Supprimer le projet d'équipe Peut supprimer un projet.
La suppression d’un projet entraîne la suppression de toutes les données associées au projet. Vous ne pouvez pas annuler la suppression d’un projet, sauf en restaurant la collection à un point avant la suppression du projet.
Modifier les informations au niveau de l'instance Peut ajouter des utilisateurs et des groupes, et modifier les autorisations au niveau de l’Organisation pour les utilisateurs et les groupes.

Les informations de modification au niveau de l’instance incluent la possibilité d’effectuer ces tâches pour tous les projets définis dans une collection :

  • Ajouter et administrer des équipes et toutes les fonctionnalités liées aux équipes
  • Modifier les autorisations au niveau de l’instance pour les utilisateurs et les groupes dans la collection
  • Ajouter ou supprimer des groupes de sécurité au niveau de l’instance dans la collection
  • Autorise implicitement l’utilisateur à modifier les autorisations de contrôle de version
  • Modifier les ACL de niveau projet et d’autorisation au niveau de l’instance
  • Modifiez les abonnements aux événements (E-mail ou SOAP) sur les événements de niveau projet ou collection.

Lorsque vous affectez la valeur autoriserà modifier les informations au niveau de l’instance, les utilisateurs peuvent ajouter ou supprimer des groupes au niveau de la collection et autoriser implicitement ces utilisateurs à modifier les autorisations de contrôle de version.

Afficher les informations au niveau de l'instance
ou afficher les informations au niveau de la collection
Peut afficher les autorisations et l’appartenance à un groupe au niveau de la collection de projets.
Si vous affectez à l’autorisation afficher les informations au niveau de l’instance la valeur refuser ou non définie pour ce groupe, aucun utilisateur ne pourra accéder aux projets de l’organisation ou de la collection de projets.

Compte Service Account

Faire des demandes pour le compte de tiers Peut réaliser des opérations au nom d'autres utilisateurs ou services. Attribuez cette autorisation uniquement aux comptes de servicelocaux.
Événements déclencheurs Peut déclencher des événements d'alerte de projet dans la collection. Affecter uniquement aux comptes de service.
Les utilisateurs disposant de cette autorisation peuvent't supprimer les groupes de niveau collection intégrés tels que les administrateurs de la collection de projets.
Afficher les informations de synchronisation système Peut appeler les interfaces de programmation d'applications de synchronisation. Affecter uniquement aux comptes de service.

Boards

Gérer les autorisations de processus Peut modifier les autorisations pour personnaliser le suivi du travail en créant et en personnalisant des processus hérités.
Créer un processus Peut créer un processus hérité utilisé pour personnaliser le suivi du travail et les Azure Boards. Les utilisateurs disposant d’un accès de base et des parties prenantes bénéficient de cette autorisation par défaut.
Supprimer le champ de l’Organisation Peut supprimer un champ personnalisé qui a été ajouté à un processus.
Supprimer le processus Peut supprimer un processus hérité utilisé pour personnaliser le suivi du travail et les Azure Boards.
Modifier le processus Peut modifier un processus hérité personnalisé.

Repos

Administrer les modifications réservées Peut supprimer des Shelvesets créés par d’autres utilisateurs. S’applique lorsque TFVC est utilisé comme contrôle de code source.
Administrer les espaces de travail Peut créer et supprimer des espaces de travail pour d’autres utilisateurs. S’applique lorsque TFVC est utilisé comme contrôle de code source.
Créer un espace de travail Peut créer un espace de travail de contrôle de version. S’applique lorsque TFVC est utilisé comme contrôle de code source.
L’autorisation créer un espace de travail est accordée à tous les utilisateurs dans le cadre de leur appartenance au groupe d’utilisateurs valides de la collection de projets.

Pipelines

Administrer les autorisations de ressources de builds Peut modifier les autorisations pour les pipelines de build au niveau de l’organisation ou de la collection de projets. notamment :
Gérer les ressources de build Peut gérer les ordinateurs, agents et contrôleurs de build.
Utiliser les ressources de build Peut réserver et allouer des agents de build. Affecter uniquement aux comptes de service pour les services de build.
Afficher les ressources de build Peut afficher, mais pas utiliser, les contrôleurs de build et les agents de build configurés pour une organisation ou une collection de projets.

Test Plans

Gérer les contrôleurs de test Peut enregistrer et annuler l'enregistrement de contrôleurs de test.

Audit

Supprimer des flux d’audit Peut supprimer un flux d’audit. Les flux d’audit sont en préversion. Pour plus d’informations, consultez créer un flux d’audit.
Gérer les flux d’audit Peut ajouter un flux d’audit. Les flux d’audit sont en préversion. Pour plus d’informations, consultez créer un flux d’audit.
Afficher les journaux d’audit Peut afficher et exporter les journaux d’audit. Les journaux d’audit sont en version préliminaire. Pour plus d’informations, consultez accès, exportation et filtrage des journaux d’audit.

Stratégies

Gérer les stratégies d’entreprise Peut activer et désactiver les stratégies de connexion d’application comme décrit dans modifier les stratégies de connexion d’application.

Autorisations au niveau de la collection

Vous gérez les autorisations au niveau de la collection par le biais du contexte d’administration du portail Web, avec les commandes AZ devops Security Group ou l' outil en ligne de commande TFSSecurity. Toutes les autorisations au niveau de la collection sont accordées aux administrateurs de la collection de projets. D’autres groupes au niveau de la collection ont des affectations d’autorisation SELECT.

Vous gérez les autorisations au niveau de la collection par le biais du contexte d’administration du portail Web ou de l' outil en ligne de commande TFSSecurity. Toutes les autorisations au niveau de la collection sont accordées aux administrateurs de la collection de projets. D’autres groupes au niveau de la collection ont des affectations d’autorisation SELECT.

Les autorisations disponibles pour Azure DevOps Server version 2019 et les versions ultérieures varient selon le modèle de processus configuré pour le regroupement. Pour obtenir une vue d’ensemble des modèles de processus, consultez personnaliser le suivi du travail.

Modèle de processus hérité

Modèle de processus XML local

Capture d’écran des autorisations au niveau de la collection, sur site et sur le modèle de processus hérité.

Capture d’écran des autorisations au niveau de la collection, locales, du modèle de processus XML local.

Autorisations et groupes au niveau de la collection

Permission

Description

Administrer les autorisations de ressources de builds

Peut modifier les autorisations pour les pipelines de build au niveau de la collection de projets. Cela comprend les artefacts suivants :

Gérer les autorisations de processus

Peut modifier les autorisations pour personnaliser le suivi du travail en créant et en personnalisant des processus hérités. Requiert que la collection soit configurée pour prendre en charge le modèle de processus hérité. Voir aussi :

Administrer l'intégration Project Server

Peut configurer l’intégration de TFS et Project Server pour permettre la synchronisation des données entre les deux produits serveurs. S’applique uniquement à TFS 2017 et aux versions antérieures.

Administrer les modifications réservées

Peut supprimer des Shelvesets créés par d’autres utilisateurs. S’applique lorsque TFVC est utilisé comme contrôle de code source.

Administrer les espaces de travail

Peut créer et supprimer des espaces de travail pour d’autres utilisateurs. S’applique lorsque TFVC est utilisé comme contrôle de code source.

Modifier les paramètres de suivi

Peut modifier les paramètres de suivi pour collecter des informations de diagnostic plus détaillées sur les services Web Azure DevOps.

Créer un espace de travail

Peut créer un espace de travail de contrôle de version. S’applique lorsque TFVC est utilisé comme contrôle de code source. Cette autorisation est accordée à tous les utilisateurs dans le cadre de leur appartenance au groupe utilisateurs valides de la collection de projets.

Créer des projets (anciennement créer des projets d’équipe)

Peut Ajouter des projets à une collection de projets. Des autorisations supplémentaires peuvent être nécessaires en fonction de votre déploiement local.

Créer des projets (anciennement créer des projets d’équipe)

Peut Ajouter des projets à une collection de projets. Des autorisations supplémentaires peuvent être nécessaires en fonction de votre déploiement local.

Créer un processus

Peut créer un processus hérité» > utilisé pour personnaliser le suivi du travail et les Azure Boards. Requiert que la collection soit configurée pour prendre en charge le modèle de processus hérité.

Supprimer le champ de l’organisation (anciennement supprimer le champ du compte)

Peut supprimer un champ personnalisé qui a été ajouté à un processus. Pour les déploiements locaux, requiert que la collection soit configurée pour prendre en charge le modèle de processus hérité.

Peut supprimer un processus hérité utilisé pour personnaliser le suivi du travail et les Azure Boards. Requiert que la collection soit configurée pour prendre en charge le modèle de processus hérité.

Supprimer le projet d’équipe

Peut supprimer un projet.

Notes

La suppression d’un projet entraîne la suppression de toutes les données associées au projet. Vous ne pouvez pas annuler la suppression d’un projet, sauf en restaurant la collection à un point avant la suppression du projet.

Peut ajouter des utilisateurs et des groupes, et modifier les autorisations de niveau collection pour les utilisateurs et les groupes. Modifier les informations au niveau de la collection permet d’effectuer ces tâches pour tous les projets définis dans une collection :

  • Ajouter et administrer des équipes et toutes les fonctionnalités liées aux équipes
  • Modifier les autorisations au niveau de la collection pour les utilisateurs et les groupes dans la collection
  • Ajouter ou supprimer des groupes de sécurité au niveau de la collection dans la collection
  • Autorise implicitement l’utilisateur à modifier les autorisations de contrôle de version
  • Modifier les ACL des autorisations au niveau du projet et au niveau de la collection
  • Modifiez les abonnements ou les alertes d’événements (E-mail ou SOAP) pour les équipes, les projets ou les événements au niveau de la collection. Lorsque vous affectez à modifier les informations au niveau de la collection la valeur autoriser, les utilisateurs peuvent ajouter ou supprimer des groupes au niveau de la collection et autoriser implicitement ces utilisateurs à modifier les autorisations de contrôle de version. Pour accorder toutes ces autorisations à une invite de commandes, vous devez utiliser la tf.exe permission commande pour accorder les autorisations AdminConfiguration et AdminConnections , en plus de GENERIC_WRITE.

Modifier le processus

Peut modifier un processus hérité personnalisé. Requiert que la collection soit configurée pour prendre en charge le modèle de processus hérité.

Faire des demandes pour le compte de tiers

Peut réaliser des opérations au nom d'autres utilisateurs ou services. Attribuez cette autorisation uniquement aux comptes de servicelocaux.

Gérer les ressources de build

Peut gérer les ordinateurs, agents et contrôleurs de build.

Gérer le modèle de processus

Peut Télécharger, créer, modifier et télécharger des modèles de processus. Un modèle de processus définit les blocs de construction du système de suivi des éléments de travail, ainsi que les autres sous-systèmes auxquels vous accédez via Azure Boards. Requiert que la collection soit configurée pour prendre en charge le modèle de processus XML local.

Gérer les contrôleurs de test

Peut enregistrer et annuler l'enregistrement de contrôleurs de test.

Déclencher des événements

Peut déclencher des événements d'alerte de projet dans la collection. Affecter uniquement aux comptes de service. Les utilisateurs disposant de cette autorisation ne peuvent pas supprimer les groupes de niveau collection intégrés tels que les administrateurs de collection de projets.

Utiliser les ressources de build

Peut réserver et allouer des agents de build. Affecter uniquement aux comptes de service pour les services de build.

Afficher les ressources de build

Peut afficher, mais pas utiliser, les contrôleurs de build et les agents de build configurés pour une organisation ou une collection de projets.

Afficher les informations au niveau de l'instance
ou afficher les informations au niveau de la collection

Peut afficher les autorisations et l’appartenance à un groupe au niveau de la collection de projets.

Afficher les informations de synchronisation système

Peut appeler les interfaces de programmation d'applications de synchronisation. Affecter uniquement aux comptes de service.

Autorisations au niveau du projet

Vous gérez les autorisations au niveau du projet via le contexte d’administration du portail Web ou à l’aide des commandes AZ devops Security Group . Toutes les autorisations au niveau du projet sont accordées aux administrateurs de projet. D’autres groupes au niveau du projet ont des affectations d’autorisation SELECT.

Notes

Pour activer la nouvelle interface utilisateur pour la page des paramètres d’autorisations du projet, consultez activer les fonctionnalitésen version préliminaire.

Vous gérez les autorisations au niveau du projet via le contexte d’administration du portail Web, avec les commandes AZ devops Security Group ou l' outil en ligne de commande TFSSecurity. Toutes les autorisations au niveau du projet sont accordées aux administrateurs de projet. D’autres groupes au niveau du projet ont des affectations d’autorisation SELECT.

Vous gérez les autorisations au niveau du projet par le biais du contexte d’administration du portail Web ou de l' outil en ligne de commande TFSSecurity. Toutes les autorisations au niveau du projet sont accordées aux administrateurs de projet. D’autres groupes au niveau du projet ont des affectations d’autorisation SELECT.

Notes

Plusieurs autorisations sont accordées aux membres du groupe Project Administrators et ne sont pas visibles dans l’interface utilisateur.

Autorisation Description

Général

Supprimer le projet d'équipe Peut supprimer un projet d’une organisation ou d’une collection de projets.
Modifier les informations au niveau du projet Peut modifier les autorisations au niveau du projet pour les utilisateurs et les groupes.

Modifier les informations au niveau du projet permet d’effectuer ces tâches pour le projet :

Gérer les propriétés du projet Peut fournir ou modifier des métadonnées pour un projet. Par exemple, un utilisateur peut fournir des informations de haut niveau sur le contenu d’un projet. La modification des métadonnées est prise en charge via l' API REST définir les propriétés du projet.
Renommer le projet Peut modifier le nom du projet.
Supprimer les notifications pour les mises à jour d’éléments de travail

Les utilisateurs disposant de cette autorisation peuvent mettre à jour les éléments de travail sans générer de notifications. Cela est utile lorsque vous effectuez des migrations de mises à jour en bloc par les outils et que vous souhaitez ignorer la génération de notifications.

Envisagez d’accorder cette autorisation à des comptes de service ou des utilisateurs disposant de l’autorisation contourner les règles sur les mises à jour des éléments de travail . Vous pouvez affecter au suppressNotifications paramètre la valeur lors de la true mise à jour du travail à l’aide des éléments de travail-mettre à jour l’API REST.

Mettre à jour la visibilité du projet Peut modifier la visibilité du projet de privé à public ou public en privé. S’applique à Azure DevOps Services uniquement.
Afficher les informations au niveau du projet Permet d’afficher l’appartenance au groupe au niveau du projet et les autorisations.

Boards

Ignorer les règles sur les mises à jour des éléments de travail

Les utilisateurs disposant de cette autorisation peuvent enregistrer un élément de travail qui ignore les règles, telles que les règles de copie, de contrainte ou conditionnellesdéfinies pour le type d’élément de travail. Les scénarios où cela est utile sont les migrations où vous ne souhaitez pas mettre à jour les champs par/date lors de l’importation, ou lorsque vous souhaitez ignorer la validation d’un élément de travail.

Les règles peuvent être contournées de deux façons. La première consiste à utiliser l’API REST des éléments de travail-mettre à jour et à définir le bypassRules paramètre sur true . La seconde consiste à utiliser le modèle d’objet client, en initialisant en mode bypassrules (Initialize WorkItemStore with WorkItemStoreFlags.BypassRules ).

Modifier le processus de projet En cas de combinaison avec l’autorisation « Modifier les informations au niveau du projet », permet aux utilisateurs de modifier le processus d’héritage pour un projet. Pour plus d’informations, consultez créer et gérer des processus hérités.
Créer une définition de balise Peut ajouter des balises à un élément de travail. Par défaut, tous les membres du groupe Contributors disposent de cette autorisation.

Tous les utilisateurs disposant d’un accès partie prenante pour un projet privé peuvent uniquement ajouter des balises existantes, et non ajouter de nouvelles balises, même si l’autorisation créer une définition de balise est définie sur autoriser. Cela fait partie des paramètres d’accès aux parties prenantes. Azure DevOps Services utilisateurs disposant d’un accès partie prenante pour un projet public reçoivent cette autorisation par défaut.

Supprimer et restaurer des éléments de travail

ou supprimer des éléments de travail dans ce projet

Peut marquer les éléments de travail du projet comme étant supprimés. Azure DevOps Services utilisateurs disposant d’un accès partie prenante pour un projet public reçoivent cette autorisation par défaut.
Déplacer les éléments de travail hors de ce projet

Peut déplacer un élément de travail d’un projet vers un autre projet de la collection.

Supprimer définitivement les éléments de travail dans ce projet Peut Supprimer définitivement des éléments de travail de ce projet.

Analytics

Supprimer la vue Analytics partagée Peut supprimer des Vues analytiques qui ont été enregistrées sous la zone partagée.
Modifier la vue Analytics partagée Peut créer et modifier des Vues analytiques partagées.
Afficher l’analyse Peut accéder aux données disponibles à partir du service Analytics. Pour plus d’informations, consultez autorisations requises pour accéder au service d’analyse.

Test Plans

Créer des séries de tests Peut ajouter et supprimer des résultats de test et ajouter ou modifier des séries de tests. Pour plus d’informations, consultez contrôler la durée pendant laquelle conserver les résultats des tests et exécuter des tests manuels.
Supprimer des séries de tests Peut supprimer une série de tests.
Gérer les configurations de test Peut créer et supprimer des configurations de test.
Gérer les environnements de test Peut créer et supprimer des environnements de test.
Afficher les séries de tests Peut afficher les plans de test sous le chemin de la zone de projet.

Les autorisations au niveau du projet disponibles pour Azure DevOps Server version 2019 et les versions ultérieures varient selon le modèle de processus utilisé par le projet. Pour obtenir une vue d’ensemble des modèles de processus, consultez personnaliser le suivi du travail.

Modèle de processus hérité

Modèle de processus XML local

Autorisations au niveau du projet, en local, modèle de processus hérité

Autorisations au niveau du projet, local, modèle de processus XML local

Capture d’écran de la boîte de dialogue d’autorisations au niveau du projet, TFS-2018 et versions antérieures.

Permission

Description

Ignorer les règles sur les mises à jour des éléments de travail

Les utilisateurs disposant de cette autorisation peuvent enregistrer un élément de travail qui ignore les règles, telles que les règles de copie, de contrainte ou conditionnellesdéfinies pour le type d’élément de travail. Les scénarios où cela est utile sont les migrations où vous ne souhaitez pas mettre à jour les champs par/date lors de l’importation, ou lorsque vous souhaitez ignorer la validation d’un élément de travail.
Les règles peuvent être contournées de deux façons. La première consiste à utiliser l’API REST des éléments de travail-mettre à jour et à définir le bypassRules paramètre sur true . La seconde consiste à utiliser le modèle d’objet client, en initialisant en mode bypassrules (Initialize WorkItemStore with WorkItemStoreFlags.BypassRules ).

Modifier le processus de projet

En cas de combinaison avec l’autorisation « Modifier les informations au niveau du projet », permet aux utilisateurs de modifier le processus d’héritage pour un projet. Pour plus d’informations, consultez créer et gérer des processus hérités. Requiert que le projet utilise le modèle de processus hérité.

Créer une définition de balise

Peut ajouter des balises à un élément de travail Par défaut, tous les membres du groupe Contributors disposent de cette autorisation.

Notes

Tous les utilisateurs autorisés à accéder à la partie prenante peuvent uniquement ajouter des balises existantes, et non ajouter de nouvelles balises, même si l’autorisation créer une définition de balise est définie sur autoriser. Cela fait partie des paramètres d’accès aux parties prenantes.
Bien que l’autorisation créer une définition de balise s’affiche dans les paramètres de sécurité au niveau du projet, les autorisations de balisage sont en fait des autorisations au niveau de la collection qui sont limitées au niveau du projet lorsqu’elles apparaissent dans l’interface utilisateur. Pour étendre les autorisations de balisage à un projet unique lors de l’utilisation de la commande TFSSecurity , vous devez fournir le GUID du projet dans le cadre de la syntaxe de la commande. Dans le cas contraire, votre modification s’appliquera à l’ensemble de la collection. Gardez cela à l'esprit lors de la modification ou de la définition de ces autorisations.

Peut ajouter et supprimer des résultats de test et ajouter ou modifier des séries de tests. Pour plus d’informations, consultez contrôler la durée pendant laquelle conserver les résultats des tests et exécuter des tests manuels.

Supprimer et restaurer des éléments de travail ou
Supprimer les éléments de travail dans ce projet

Peut marquer les éléments de travail du projet comme étant supprimés.

  • Pour TFS 2015,1 et versions ultérieures, le groupe Contributors a des éléments de travail supprimer et restaurer au niveau du projet défini sur autoriser par défaut.
  • Pour TFS 2015 et versions antérieures, le groupe Contributors a supprimé les éléments de travail de ce projet au niveau du projet défini sur non défini par défaut. Ce paramètre fait en sorte que le groupe Contributors hérite de la valeur du parent le plus proche qui lui a explicitement été défini.

Modifier les paramètres de suivi

Peut modifier les paramètres de suivi pour collecter des informations de diagnostic plus détaillées sur les services Web Azure DevOps.

Supprimer la vue Analytics partagée

Peut supprimer des Vues analytiques qui ont été enregistrées sous la zone partagée. Requiert que le projet utilise le modèle de processus hérité.

Supprimer le projet

Peut supprimer le projet de la collection de projets.

Supprimer des séries de tests

Peut supprimer une série de tests.

Modifier les informations au niveau du projet

Peut modifier les autorisations au niveau du projet pour les utilisateurs et les groupes. Cette autorisation comprend la possibilité d’effectuer ces tâches pour le projet :

  • Ajouter et administrer des équipes et toutes les fonctionnalités liées aux équipes
  • Modifier les autorisations au niveau du projet pour les utilisateurs et les groupes dans le projet
  • Ajouter ou supprimer des groupes de sécurité au niveau du projet
  • Modifier les ACL d’autorisation au niveau du projet
  • Modifier des abonnements ou des alertes d’événements pour les équipes ou le projet

Modifier la vue Analytics partagée

Peut créer et modifier des Vues analytiques partagées. Requiert que le projet utilise le modèle de processus hérité.

Gérer les propriétés du projet

Peut fournir ou modifier des métadonnées pour un projet. Par exemple, un utilisateur peut fournir des informations de haut niveau sur le contenu d’un projet. La modification des métadonnées est prise en charge via l' API REST définir les propriétés du projet.

Gérer les configurations de test

Peut créer et supprimer des configurations de test.

Gérer les environnements de test

Peut créer et supprimer des environnements de test.

Déplacer les éléments de travail hors de ce projet

Peut déplacer un élément de travail d’un projet vers un autre projet de la collection. Requiert que le projet utilise le modèle de processus hérité.

Supprimer définitivement les éléments de travail dans ce projet

Renommer le projet

Supprimer les notifications pour les mises à jour d’éléments de travail

Les utilisateurs disposant de cette autorisation peuvent mettre à jour les éléments de travail sans générer de notifications. Cela est utile lorsque vous effectuez des migrations de mises à jour en bloc par les outils et que vous souhaitez ignorer la génération de notifications.
Envisagez d’accorder cette autorisation à des comptes de service ou des utilisateurs disposant de l’autorisation contourner les règles sur les mises à jour des éléments de travail . Vous pouvez affecter au suppressNotifications paramètre la valeur true lors de la mise à jour à l’aide de l' API REST éléments de travail-mettre à jour.

Affichage des analyses

Peut accéder aux données disponibles à partir du service Analytics. Pour plus d’informations, consultez autorisations requises pour accéder au service d’analyse. Requiert que le projet utilise le modèle de processus hérité.

Afficher les informations au niveau du projet

Permet d’afficher l’appartenance au groupe au niveau du projet et les autorisations.

Peut afficher les plans de test sous le chemin de la zone de projet.

Vues analytiques (au niveau de l’objet)

Avec les vues analytiques partagées, vous pouvez accorder des autorisations spécifiques pour afficher, modifier ou supprimer une vue que vous créez. Vous gérez la sécurité des vues analytiques à partir du portail Web.

Gestion des autorisations utilisateur pour Lab Management

Les autorisations suivantes sont définies pour chaque vue Analytics partagée. Toutes les autorisations de gestion des vues analytiques sont automatiquement accordées à tous les utilisateurs valides. Envisagez d’accorder des autorisations SELECT à des vues partagées spécifiques à d’autres membres de l’équipe ou groupe de sécurité que vous créez. Voir aussi que sont les vues analytiques?

Autorisation Description
Supprimer les vues Analytics partagées Peut supprimer la vue Analytics partagée.
Modifier les vues Analytics partagées Peut modifier les paramètres de la vue Analytics partagée.
Affichage des vues analytiques partagées Permet d’afficher et d’utiliser la vue Analytics partagée à partir de Power BI Desktop.

Tableaux de bord (au niveau de l’objet)

Les autorisations pour les tableaux de bord de projet et d’équipe peuvent être définies individuellement. Les autorisations par défaut pour une équipe peuvent être définies pour un projet. Vous gérez la sécurité des tableaux de bord à partir du portail Web.

Autorisations du tableau de bord du projet

Capture d’écran de la boîte de dialogue autorisations du tableau de bord

Par défaut, le créateur du tableau de bord du projet est le propriétaire du tableau de bord et toutes les autorisations associées à ce tableau de bord sont accordées.

Autorisation Description
Supprimer un tableau de bord Peut supprimer le tableau de bord du projet.
Modification du tableau de bord Peut ajouter des widgets à et modifier la disposition du tableau de bord du projet.
Gérer les autorisations Peut gérer les autorisations pour le tableau de bord du projet.

Les autorisations pour les tableaux de bord d’équipe peuvent être définies individuellement. Les autorisations par défaut pour une équipe peuvent être définies pour un projet. Vous gérez la sécurité des tableaux de bord à partir du portail Web.

Autorisations par défaut du tableau de bord de l’équipe

Capture d’écran de la boîte de dialogue autorisations du tableau de bord d’équipe.

Par défaut, les administrateurs d’équipe disposent de toutes les autorisations pour leurs tableaux de bord d’équipe, notamment la gestion des autorisations de tableau de bord par défaut et individuelles.

Autorisation Description
Créer des tableaux de bord Peut créer un tableau de bord d’équipe.
Modifier des tableaux de bord Peut ajouter des widgets à et modifier la disposition d’un tableau de bord d’équipe.
Supprimer des tableaux de bord Peut supprimer un tableau de bord d’équipe.

Autorisations individuelles du tableau de bord de l’équipe

Notes

Requiert TFS 2017,1 ou une version ultérieure.

Capture d’écran de la boîte de dialogue des autorisations individuelles du tableau de bord.

Les administrateurs d’équipe peuvent modifier les autorisations pour des tableaux de bord d’équipe individuels en modifiant les deux autorisations suivantes.

Autorisation Description
Supprimer un tableau de bord Peut supprimer le tableau de bord de l’équipe spécifique.
Modification du tableau de bord Peut ajouter des widgets à et modifier la disposition du tableau de bord de l’équipe spécifique.

Build (au niveau de l’objet)

Vous gérez les autorisations de build pour chaque Build définie dans le portail Web ou à l’aide de l' outil en ligne de commande TFSSecurity. Les administrateurs de projet disposent de toutes les autorisations de build et les administrateurs de build reçoivent la plupart de ces autorisations. Vous pouvez définir des autorisations de build pour toutes les définitions de build ou pour chaque définition de Build.

Capture d’écran de la boîte de dialogue générer des autorisations au niveau de l’objet.

Capture d’écran de la boîte de dialogue générer des autorisations au niveau de l’objet, Azure DevOps Server 2019 et versions antérieures locales.

Les autorisations dans la génération suivent un modèle hiérarchique. Les valeurs par défaut pour toutes les autorisations peuvent être définies au niveau du projet et peuvent être substituées sur une définition de build individuelle.

Pour définir les autorisations au niveau du projet pour toutes les définitions de build d’un projet, choisissez sécurité dans la barre d’action de la page principale du Hub builds.

Pour définir ou substituer les autorisations pour une définition de build spécifique, choisissez sécurité dans le menu contextuel de la définition de Build.

Les autorisations suivantes sont définies dans la Build. Tous ces éléments peuvent être définis aux deux niveaux.

Autorisation Description
Administrer les autorisations de builds Peut administrer les autorisations de build pour les autres utilisateurs.
Supprimer la définition de build Peut supprimer des définitions de build pour ce projet.
Supprimer les builds Peut supprimer une build terminée. Les builds supprimées sont conservées dans l’onglet supprimé pendant une période de temps avant d’être détruites.
Détruire les builds Peut supprimer de manière définitive une build terminée.
Modifier le pipeline de build Peut enregistrer toutes les modifications apportées à un pipeline de build, y compris les variables de configuration, les déclencheurs, les dépôts et la stratégie de rétention. Disponible avec Azure DevOps Services, Azure DevOps Server 2019 1,1 et versions ultérieures.
Modifier le pipeline de build
Modifier la définition de build
Modifier le pipeline de build Peut enregistrer toutes les modifications apportées à un pipeline de build, y compris les variables de configuration, les déclencheurs, les dépôts et la stratégie de rétention. Disponible avec Azure DevOps Services, Azure DevOps Server 2019 1,1 et versions ultérieures. Remplace la définition de build de modification.
Modifier la définition de build Peut créer et modifier des définitions de build pour ce projet.

Vous désactivez l'héritage pour une définition de build quand vous souhaitez contrôler les autorisations pour des définitions de builds spécifiques.

Lorsque l’héritage est activé, la définition de build respecte les autorisations de build définies au niveau du projet ou d’un groupe ou d’un utilisateur. Par exemple, pour un groupe Responsables de builds personnalisé, les autorisations sont définies de façon à mettre manuellement en file d'attente une build pour le projet Fabrikam. Toute définition de build avec l'héritage activé pour le projet Fabrikam autoriserait un membre du groupe Responsable de builds à mettre manuellement en file d'attente une build.

Toutefois, en désactivant l'héritage pour le projet, vous pouvez définir des autorisations qui autorisent uniquement les Administrateurs de projet à mettre manuellement en file d'attente une build pour une définition de build spécifique. Vous pourriez alors définir des autorisations spécifiquement pour cette définition de build.

Modifier la qualité de build Peut ajouter des informations sur la qualité de la build via Team Explorer ou le portail Web.
Gérer les qualités de build Peut ajouter ou supprimer des qualités de build. S’applique uniquement aux générations XAML.
Gérer la file d'attente de builds Peut annuler, classer par ordre de priorité ou retarder des builds en file d’attente. S’applique uniquement aux générations XAML.
Remplacer la validation de l'archivage par build Peut valider un ensemble de modifications TFVC qui affecte une définition de build contrôlée sans déclencher le système pour réserver et créer d’abord ses modifications.
Affectez l'autorisation Remplacer la validation de l'archivage par build uniquement aux comptes de service pour les services de build et aux administrateurs de build chargés de la qualité du code. S’applique aux Builds d’archivage contrôlé TFVC. Cela ne s’applique pas aux builds PR. Pour plus d’informations, consultez Archiver dans un dossier contrôlé par un processus de génération d’archivage contrôlé.
Mettre les builds en file d'attente Peut mettre une build dans la file d’attente via l’interface de Team Foundation Build ou à partir d’une invite de commandes. Ils peuvent également arrêter les builds qu'ils ont mises en file d'attente.
Conserver indéfiniment Peut basculer l’indicateur conserver indéfiniment sur une build. Cette fonctionnalité marque une génération de sorte que le système ait gagné't la supprime automatiquement en fonction d’une stratégie de rétention applicable.
Arrêter les builds Peut arrêter une build en cours, y compris les builds mises en file d'attente et démarrées par un autre utilisateur.
Mettre à jour les informations de build Peut ajouter des nœuds d'informations de build au système et ajouter des informations sur la qualité d'une build. Affecter uniquement aux comptes de service.
Afficher la définition de build Peut afficher les définitions de build qui ont été créées pour le projet.
Afficher les builds Peut afficher les builds mises en file d’attente et terminées pour ce projet.

Dépôt git (au niveau de l’objet)

Vous gérez la sécurité de chaque dépôt ou branche git à partir du portail Web, de l' outil en ligne de commande tfou à l’aide de l' outil en ligne de commande TFSSecurity. La plupart de ces autorisations sont accordées aux administrateurs de projet (qui s’affichent uniquement pour un projet qui a été configuré avec un référentiel git). Vous pouvez gérer ces autorisations pour tous les dépôts Git ou pour un référentiel git spécifique.

Notes

Ces autorisations ont changé dans TFS 2017 Update 1 et Azure DevOps. Si vous utilisez une version antérieure de TFS, consultez la liste précédente des autorisations.

Boîte de dialogue autorisations du dépôt git

Boîte de dialogue autorisations du dépôt Git, TFS

Définissez des autorisations sur tous les dépôts Git en modifiant l’entrée de référentiels git de niveau supérieur.

Les dépôts individuels héritent des autorisations de l’entrée de référentiels git de niveau supérieur. Les branches héritent des autorisations des assignations effectuées au niveau du référentiel.

Par défaut, les groupes lecteurs au niveau du projet disposent uniquement des autorisations de lecture.

Autorisation Description
Ignorer les stratégies lors de l’exécution des requêtes de tirage Peut accepter de remplacer les stratégies de branche en activant l’option remplacer les stratégies de branche et activer la fusion lors de l’exécution d’une demande de tirage.
Contourner les stratégies lors de l’exécution des requêtes de tirage et des stratégies de contournement lors de l’envoi d’une exclusion de remplacement de la stratégie. S’applique à Azure DevOps Server 2019 et versions ultérieures.
Ignorer les stratégies lors de l’envoi Peut effectuer un push vers une branche pour laquelle les stratégies de branche sont activées. Lorsqu’un utilisateur disposant de cette autorisation effectue une opération push qui remplace la stratégie de branche, l’opération Push ignore automatiquement la stratégie de branche sans aucune étape d’abonnement ni aucun avertissement.
Contourner les stratégies lors de l’exécution des requêtes de tirage et des stratégies de contournement lors de l’envoi d’une exclusion de remplacement de la stratégie. S’applique à Azure DevOps Server 2019 et versions ultérieures.
Collaboration Au niveau du référentiel, peut envoyer les modifications à des branches existantes dans le référentiel et effectuer des requêtes de tirage. Les utilisateurs qui ne disposent pas de cette autorisation mais qui disposent de l’autorisation créer une branche peuvent envoyer des modifications aux nouvelles branches. Ne remplace pas les restrictions en place à partir des stratégies de branche.

Au niveau de la branche, peut envoyer les modifications à la branche et verrouiller la branche. Le verrouillage d’une branche empêche toute nouvelle validation d’être ajoutée à la branche par d’autres utilisateurs et empêche les autres utilisateurs de modifier l’historique de validation existant.

Contribuer aux demandes de tirage Peut créer, commenter et voter pour les demandes de tirage (pull requests).
Créer une branche Peut créer et publier des branches dans le référentiel. L’absence de cette autorisation ne limite pas les utilisateurs à créer des branches dans leur référentiel local. elle les empêche simplement de publier des branches locales sur le serveur.

Remarque: lorsqu’un utilisateur crée une nouvelle branche sur le serveur, il dispose des autorisations collaboration, modifier les stratégies, forcer le push, gérer les autorisations et supprimer d’autres' verrous pour cette branche par défaut. Cela signifie que les utilisateurs peuvent ajouter de nouvelles validations au référentiel par le biais de leur branche.
Créer un dépôt Peut créer des dépôts. Cette autorisation est uniquement disponible dans la boîte de dialogue de sécurité de l’objet référentiels git de niveau supérieur.
Créer une balise Peut envoyer des balises au référentiel.
Supprimer le référentiel Peut supprimer le référentiel. Au niveau des référentiels git de niveau supérieur, peut supprimer n’importe quel référentiel.
Modifier les stratégies Peut modifier des stratégies pour le référentiel et ses branches.
Exempter de l’application de la stratégie Peut contourner les stratégies de branche et effectuer les deux actions suivantes :
  • Remplacer les stratégies de branche et compléter les demandes de branchement qui ne respectent pas la stratégie de branche de Don't
  • Transmettre directement aux branches qui ont des stratégies de branche définies

S’applique à TFS 2015 via TFS 2018 Update 2. (Dans Azure DevOps, il est remplacé par les deux autorisations suivantes : contourner les stratégies lors de l’exécution des requêtes de tirage et des stratégies de contournement lors du push.
Forcer le push (réécrire l’historique, supprimer les branches et les balises) Peut forcer une mise à jour d’une branche, supprimer une branche et modifier l’historique de validation d’une branche. Peut supprimer des balises et des remarques.
Gérer les notes Peut envoyer et modifier des notes git.
Gérer les autorisations Peut définir des autorisations pour le référentiel.
Lire Peut Cloner, extraire, extraire et explorer le contenu du référentiel.
Supprimer les autres' les verrous Peut supprimer des verrous de branche définis par d’autres utilisateurs. Le verrouillage d’une branche empêche toute nouvelle validation d’être ajoutée à la branche par d’autres utilisateurs et empêche les autres utilisateurs de modifier l’historique de validation existant.
Renommer le dépôt Peut modifier le nom du dépôt. Lorsqu’il est défini au niveau de l’entrée des référentiels git de niveau supérieur, peut modifier le nom de n’importe quel référentiel.

Notes

Définissez des autorisations sur tous les dépôts Git en modifiant l’entrée de référentiels git de niveau supérieur. Les dépôts individuels héritent des autorisations de l’entrée de référentiels git de niveau supérieur. Les branches héritent des autorisations des assignations effectuées au niveau du référentiel. Par défaut, les groupes lecteurs au niveau du projet n’ont que des autorisations de lecture.

Pour gérer les référentiel git et les autorisations de branche, consultez définir des autorisations de branche.

TFVC (au niveau de l’objet)

Vous gérez la sécurité de chaque branche TFVC à partir du portail Web ou à l’aide de l' outil en ligne de commande TFSSecurity. La plupart de ces autorisations sont accordées aux administrateurs de projet pour un projet qui a été configuré pour utiliser Team Foundation Version Control comme système de contrôle de code source. Dans les autorisations de contrôle de version, un refus explicite est prioritaire sur les autorisations du groupe d'administrateurs.

Ces autorisations s’affichent uniquement pour une configuration de projet à utiliser Team Foundation Version Control comme système de contrôle de code source.

Boîte de dialogue Autorisations TFVC

Dans les autorisations de contrôle de version, un refus explicite est prioritaire sur les autorisations du groupe d'administrateurs.

Autorisation Description
Administrer les étiquettes Peut modifier ou supprimer des étiquettes créées par un autre utilisateur.
Check-in Peut archiver des éléments et modifier tout commentaire de jeu de modifications validé. Les modifications en attente sont validées lors de l'archivage.
Envisagez d’ajouter ces autorisations à tous les utilisateurs ou groupes ajoutés manuellement qui contribuent au développement du projet. tous les utilisateurs qui doivent être en mesure d’archiver et d’extraire des modifications, d’apporter une modification en attente aux éléments d’un dossier ou de réviser les commentaires d’un ensemble de modifications validé.
Archiver les modifications des autres utilisateurs'
Peut archiver les modifications qui ont été apportées par d'autres utilisateurs. Les modifications en attente sont validées lors de l'archivage.
Extraire (jusqu’à TFS 2015)
Mettre un changement en attente dans un espace de travail de serveur (TFS 2017 et versions ultérieures)
Peut extraire ou appliquer une modification en attente aux éléments d'un dossier. Les exemples de modification en attente incluent l'ajout, la modification, le changement de nom, la suppression, la restauration, le branchement et la fusion d'un fichier. Les modifications en attente doivent être archivées afin que les utilisateurs aient également besoin de l’autorisation d’archivage pour partager leurs modifications avec l’équipe.
Envisagez d’ajouter ces autorisations à tous les utilisateurs ou groupes ajoutés manuellement qui contribuent au développement du projet. tous les utilisateurs qui doivent être en mesure d’archiver et d’extraire des modifications, d’apporter une modification en attente aux éléments d’un dossier ou de réviser les commentaires d’un ensemble de modifications validé.
Étiquette Peut appliquer une étiquette aux éléments.
Verrouillage
Peut verrouiller et déverrouiller des dossiers et des fichiers. Un dossier ou un fichier suivi peut être verrouillé ou déverrouillé pour refuser ou restaurer un utilisateur'des privilèges. Les privilèges incluent l'extraction d'un élément pour le modifier dans un espace de travail différent ou l'archivage des modifications en attente dans un élément provenant d'un espace de travail différent. Pour plus d’informations, consultez commande Lock.
Gérer la branche Peut convertir n’importe quel dossier sous ce chemin d’accès en une branche, et effectuer également les actions suivantes sur une branche : modifier ses propriétés, l’apparenter et la convertir en dossier. Les utilisateurs qui ont cette autorisation peuvent créer cette branche uniquement si ils ont également l'autorisation Fusionner pour le chemin d'accès cible. Les utilisateurs ne peuvent pas créer de branches à partir d'une branche pour laquelle ils n'ont pas l'autorisation Gérer la branche.
Gérer les autorisations Peut gérer d’autres utilisateurs' des autorisations pour les dossiers et les fichiers dans le contrôle de version.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement qui collabore au développement du projet et qui doit être en mesure de créer des branches privées, sauf si le projet est soumis à des pratiques de développement plus restrictives.
Fusionner (Merge) Peut fusionner les modifications dans ce chemin.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement qui collabore au développement du projet et qui doit être en mesure de fusionner des fichiers source, sauf si le projet est soumis à des pratiques de développement plus restrictives.
Lire Pour lire le contenu d'un fichier ou d'un dossier. Si un utilisateur possède les autorisations Lire pour un dossier, il peut consulter le contenu du dossier et les propriétés des fichiers, même s'il n'a pas d'autorisation pour ouvrir les fichiers.
Réviser les modifications des autres utilisateurs' Peut modifier les commentaires sur les fichiers archivés, même si un autre utilisateur a archivé le fichier.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement chargé de la gestion ou de la surveillance du projet et qui devra modifier les commentaires sur les fichiers archivés, même si un autre utilisateur a archivé le fichier.
Annuler les autres utilisateurs' la fusion des modifications Peut annuler une modification en attente apportée par un autre utilisateur.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement chargé de la gestion ou de la surveillance du projet et qui devra modifier les commentaires sur les fichiers archivés, même si un autre utilisateur a archivé le fichier.
Déverrouiller les modifications des autres utilisateurs' Peut déverrouiller les fichiers verrouillés par d'autres utilisateurs.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement chargé de la gestion ou de la surveillance du projet et qui devra modifier les commentaires sur les fichiers archivés, même si un autre utilisateur a archivé le fichier.

Chemin de la zone (au niveau de l’objet)

Les autorisations de chemin de zone accordent ou restreignent l’accès aux branches de la hiérarchie de zone et aux éléments de travail dans ces zones. Vous gérez la sécurité de chaque chemin de zone à partir du portail Web ou à l’aide de l' outil en ligne de commande TFSSecurity. Les autorisations de zone accordent ou restreignent l’accès à la création et à la gestion des chemins de zone, ainsi que la création et la modification des éléments de travail définis sous les chemins de zone.

Les membres du groupe Project Administrators disposent automatiquement des autorisations pour gérer les chemins de zone d’un projet. Envisagez d’accorder aux administrateurs d’équipe ou aux responsables de l’équipe des autorisations pour créer, modifier ou supprimer des nœuds de zone.

Notes

Plusieurs équipes peuvent contribuer à un projet. Lorsque c’est le cas, vous pouvez configurer les équipes associées à une zone. Les autorisations pour les éléments de travail de l’équipe sont affectées en affectant des autorisations à la zone. D’autres paramètres d’équipe configurent les outils de planification agile de l’équipe.

Boîte de dialogue autorisations du chemin de la zone

Autorisation Description
Créer des nœuds enfants Peut créer de nœuds de zone. Les utilisateurs qui ont cette autorisation et l’autorisation modifier ce nœud peuvent déplacer ou réorganiser des nœuds de zone enfant.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de supprimer, d'ajouter ou de renommer des nœuds de zone.
Supprimer ce nœud Les utilisateurs qui ont cette autorisation et l’autorisation modifier ce nœud pour un autre nœud peuvent supprimer des nœuds de zone et reclasser des éléments de travail existants à partir du nœud supprimé. Si le nœud supprimé a des nœuds enfants, ces nœuds sont également supprimés.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de supprimer, d'ajouter ou de renommer des nœuds de zone.
Modifier ce nœud Peut définir les autorisations pour ce nœud et renommer les nœuds de zone.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de supprimer, d'ajouter ou de renommer des nœuds de zone.
Modifier les éléments de travail dans ce nœud Peut modifier les éléments de travail dans ce nœud de zone.
Envisagez d'ajouter cette autorisation à tout utilisateur ou groupe ajouté manuellement pour lequel vous pourriez avoir besoin de modifier des éléments de travail sous ce nœud de zone.
Gérer les plans de test Peut modifier les propriétés de plan de test comme les paramètres de build et de test.
Envisagez d’ajouter les autorisations gérer les suites de tests à tous les utilisateurs ou groupes ajoutés manuellement qui peuvent avoir besoin de gérer des plans de test ou des suites de tests sous ce nœud de zone.
Gérer des suites de tests Peut créer et supprimer des suites de tests, ajouter et supprimer des cas de test à partir de suites de tests, modifier les configurations de test associées à des suites de tests et modifier la hiérarchie des suites (déplacer une suite de tests).
Envisagez d’ajouter les autorisations gérer les suites de tests à tous les utilisateurs ou groupes ajoutés manuellement qui peuvent avoir besoin de gérer des plans de test ou des suites de tests sous ce nœud de zone.
Afficher les autorisations pour ce nœud Peut afficher les paramètres de sécurité de ce nœud.
Afficher les éléments de travail dans ce nœud Peut afficher, mais pas modifier, les éléments de travail dans ce nœud de zone.
Si vous affectez à afficher les éléments de travail de ce nœud la valeur refuser, l’utilisateur ne sera pas en mesure de voir les éléments de travail dans ce nœud de zone. Une action Deny remplace toute autorisation implicite, même pour les utilisateurs membres d’un groupe d’administration.

Chemin de l’itération (au niveau de l’objet)

Les autorisations de chemin d’itération accordent ou restreignent l’accès à la création et à la gestion des chemins d’itération, également appelés sprints.

Vous gérez la sécurité de chaque chemin d’itération à partir du portail Web ou à l’aide de l' outil en ligne de commande TFSSecurity.

Ces autorisations sont automatiquement accordées aux membres du groupe Project Administrators pour chaque itération définie pour un projet. Envisagez d’accorder aux administrateurs d’équipe, aux maîtres de Scrum ou aux responsables d’équipe des autorisations pour créer, modifier ou supprimer des nœuds d’itération.

Boîte de dialogue autorisations du chemin de l’itération

Autorisation Description
Créer des nœuds enfants Peut créer de nœuds d'itération. Les utilisateurs qui ont cette autorisation et l’autorisation modifier ce nœud peuvent déplacer ou réorganiser les nœuds d’itération enfants.
Vous pouvez ajouter cette autorisation à un utilisateur ou à un groupe ajouté manuellement susceptible de devoir supprimer, ajouter ou renommer des nœuds d'itération.
Supprimer ce nœud Les utilisateurs qui ont cette autorisation et l’autorisation modifier ce nœud pour un autre nœud peuvent supprimer des nœuds d’itération et reclasser des éléments de travail existants à partir du nœud supprimé. Si le nœud supprimé a des nœuds enfants, ces nœuds sont également supprimés.
Vous pouvez ajouter cette autorisation à un utilisateur ou à un groupe ajouté manuellement susceptible de devoir supprimer, ajouter ou renommer des nœuds d'itération.
Modifier ce nœud Peut définir les autorisations pour ce nœud et renommer les nœuds d'itération.
Vous pouvez ajouter cette autorisation à un utilisateur ou à un groupe ajouté manuellement susceptible de devoir supprimer, ajouter ou renommer des nœuds d'itération.
Afficher les autorisations pour ce nœud Peut afficher les paramètres de sécurité de ce nœud.
Les membres de la collection de projets Valid Users, Project Valid Users ou tout utilisateur ou groupe disposant d' informations au niveau de la collection View ou d' afficher les informations au niveau du projet peuvent afficher les autorisations de n’importe quel nœud d’itération.

Requête d’élément de travail et dossier de requête (au niveau de l’objet)

Vous gérez les autorisations de requêtes et de dossiers de requêtes via le portail Web. Toutes ces autorisations sont accordées aux administrateurs de projet. Les contributeurs bénéficient uniquement des autorisations de lecture. Envisagez d'accorder les autorisations Collaboration aux utilisateurs ou aux groupes qui ont besoin de pouvoir créer et partager des requêtes d'élément de travail pour le projet.

Boîte de dialogue autorisations du dossier de requête

Envisagez d'accorder les autorisations Collaboration aux utilisateurs ou aux groupes qui ont besoin de pouvoir créer et partager des requêtes d'élément de travail pour le projet. Pour plus d’informations, consultez définir des autorisations sur les requêtes.

Pour créer des graphiques de requêtes, vous avez besoin d’un accès de base.

Autorisation Description
Collaboration Peut afficher et modifier cette requête ou ce dossier de requête.
Supprimer Peut supprimer une requête ou un dossier de requête et son contenu.
Gérer les autorisations Peut gérer les autorisations pour cette requête ou ce dossier de requête.
Lire Peut afficher et utiliser la ou les requêtes contenues dans un dossier, mais ne peut pas modifier la requête ou le contenu du dossier de requête.

Plans de livraison (au niveau de l’objet)

Vous gérez les autorisations de plan via le portail Web. Vous gérez les autorisations pour chaque plan par le biais de sa boîte de dialogue de sécurité. Les administrateurs de projet disposent de toutes les autorisations nécessaires pour créer, modifier et gérer des plans. Les utilisateurs valides disposent d’autorisations d’affichage (en lecture seule).

Notes

Pour TFS 2017,2 et versions ultérieures, vous pouvez accéder aux plans en installant l' extension Marketplace des plans de livraison.

Autorisation Description
Supprimer Peut supprimer le plan sélectionné.
Modifier Peut modifier la configuration et les paramètres définis pour le plan sélectionné.
Gérer Peut gérer les autorisations pour le plan sélectionné.
Affichage Peut afficher les listes de plans, ouvrir et interagir avec un plan, mais ne peut pas modifier la configuration ou les paramètres du plan.

Processus (au niveau de l’objet)

Vous pouvez gérer les autorisations pour chaque processus hérité que vous créez via le portail Web. Vous gérez les autorisations pour chaque processus par le biais de sa boîte de dialogue de sécurité. Les administrateurs de la collection de projets disposent de toutes les autorisations nécessaires pour créer, modifier et gérer des processus. Les utilisateurs valides disposent d’autorisations d’affichage (en lecture seule).

Autorisation Description
Gérer les autorisations de processus Peut définir ou modifier les autorisations d’un processus hérité.
Supprimer le processus Peut supprimer le processus hérité.
Modifier le processus Peut créer un processus hérité à partir d’un processus système, ou copier ou modifier un processus hérité.

Balises d’élément de travail

Vous gérez les autorisations de balisage principalement à partir de l' outil en ligne de commande TFSSecurity. Les contributeurs peuvent ajouter des balises aux éléments de travail et les utiliser pour filtrer rapidement un journal des travaux en souffrance, un tableau ou une vue des résultats de la requête.

Autorisation Description
Créer une définition de balise . Peut créer des balises et les appliquer aux éléments de travail. Les utilisateurs ne disposant pas de cette autorisation peuvent uniquement sélectionner le jeu de balises existant pour le projet.

Par défaut, les contributeurs sont assinged l’autorisation créer une définition de balise .

Bien que l’autorisation créer une définition de balise s’affiche dans les paramètres de sécurité au niveau du projet, les autorisations de balisage sont en fait des autorisations au niveau de la collection qui sont limitées au niveau du projet lorsqu’elles apparaissent dans l’interface utilisateur. Pour étendre les autorisations de balisage à un projet unique lors de l’utilisation de la commande TFSSecurity, vous devez fournir le GUID du projet dans le cadre de la syntaxe de la commande. Dans le cas contraire, votre modification s’appliquera à l’ensemble de la collection. Gardez cela à l'esprit lors de la modification ou de la définition de ces autorisations.

Supprimer une définition de balise Peut supprimer une balise de la liste des balises disponibles pour ce projet.

Cette autorisation n’apparaît pas dans l’interface utilisateur. Elle ne peut être définie qu’à l’aide de la commande TFSSecurity .

Il n’existe pas non plus d’interface utilisateur permettant de supprimer explicitement une balise. Au lieu de cela, lorsqu’une étiquette n’a pas été utilisée pendant 3 jours, TFS la supprime automatiquement.

Énumérer une définition de balise Peut afficher la liste des balises disponibles pour l’élément de travail dans le projet. Les utilisateurs qui n'ont pas cette autorisation n'ont pas de liste de balises disponibles à partir de laquelle choisir le formulaire d'élément de travail ou l'éditeur de requête.

Cette autorisation n’apparaît pas dans l’interface utilisateur. Elle ne peut être définie qu’à l’aide de la commande TFSSecurity .

L' affichage des informations au niveau du projet permet aux utilisateurs d’afficher les balises existantes de manière implicite.

Définition d'un indicateur de mise à jour Peut renommer une balise à l'aide de l'API REST.
Cette autorisation n’apparaît pas dans l’interface utilisateur. Elle ne peut être définie qu’à l’aide de la commande TFSSecurity .

Release (au niveau de l’objet)

Vous gérez les autorisations pour chaque version définie dans le portail Web. Toutes les autorisations Release Management sont accordées aux administrateurs de projet et aux administrateurs de version. Ces autorisations peuvent être accordées ou refusées dans un modèle hiérarchique au niveau du projet, pour un pipeline de mise en version spécifique, ou pour un environnement spécifique dans un pipeline de mise en version. Dans cette hiérarchie, les autorisations peuvent être héritées du parent ou remplacées.

Notes

Le groupe de l’administrateur de la mise à jour au niveau du projet est créé au moment où le premier pipeline de mise en version est défini.

En outre, vous pouvez assigner des approbateurs à des étapes spécifiques dans un pipeline de mise en conformité pour vous assurer que les applications déployées sont conformes aux normes de qualité.

Les autorisations suivantes sont définies dans Release Management. La colonne étendue explique si l’autorisation peut être définie au niveau du projet, du pipeline de mise en version ou de l’environnement.

Autorisation Description Étendues
Administrer les autorisations de version Peut modifier les autres autorisations répertoriées ici. Projet, pipeline de mise en version, environnement
Créer des mises en production Peut créer de nouvelles mises en production. Projet, pipeline de mise en version
Supprimer le pipeline de mise en version Peut supprimer un ou plusieurs pipelines de mise en version. Projet, pipeline de mise en version
Supprimer l’environnement de mise en sortie Peut supprimer des environnements dans un ou plusieurs pipelines de mise en version. Projet, pipeline de mise en version, environnement
Supprimer les mises en production Peut supprimer des mises en production pour un pipeline. Projet, pipeline de mise en version
Modifier le pipeline de mise en version Peut enregistrer toutes les modifications apportées à un pipeline de mise en version, notamment les variables de configuration, les déclencheurs, les artefacts et la stratégie de rétention, ainsi que la configuration dans un environnement du pipeline de mise en version. Pour apporter des modifications à un environnement spécifique dans un pipeline de mise en version, l’utilisateur doit également disposer de l’autorisation modifier l’environnement de version . Projet, pipeline de mise en version
Modifier l’environnement de mise en sortie Peut modifier un ou plusieurs environnements dans un ou plusieurs pipelines de mise en version. Pour enregistrer les modifications apportées au pipeline de mise en version, l’utilisateur doit également disposer de l’autorisation modifier la définition de version . Cette autorisation détermine également si un utilisateur peut modifier la configuration dans l’environnement d’une instance de version spécifique. L’utilisateur doit également disposer de l’autorisation gérer les mises en production pour enregistrer la version modifiée. Projet, pipeline de mise en version, environnement
Gérer les déploiements Peut lancer un déploiement direct d’une mise en service dans un environnement. Cette autorisation concerne uniquement les déploiements directs qui sont initiés manuellement en sélectionnant l’action déployer dans une version. Si la condition sur un environnement est définie sur un type de déploiement automatique, le système lance automatiquement le déploiement sans vérifier l’autorisation de l’utilisateur qui a créé la mise en sortie. Projet, pipeline de mise en version, environnement
Gérer les approbateurs de mise en version Peut ajouter ou modifier des approbateurs pour des environnements dans un ou plusieurs pipelines de mise en version. Cette autorisation contrôle également si un utilisateur peut modifier les approbateurs à l’intérieur de l’environnement d’une instance de version spécifique. Projet, pipeline de mise en version, environnement
Gérer les mises en production Peut modifier la configuration dans les mises en production. Pour modifier la configuration d’un environnement spécifique dans une instance de version, l’utilisateur doit également modifier l’autorisation d' environnement de version . Projet, pipeline de mise en version
Afficher le pipeline de mise en production Peut afficher les pipelines de mise en sortie. Projet, pipeline de mise en version
Afficher les mises en production Peut afficher les mises en production appartenant à un ou plusieurs pipelines de mise en production. Projet, pipeline de mise en version

Les valeurs par défaut de toutes ces autorisations sont définies pour les collections de projets d’équipe et les groupes de projets. Par exemple, les administrateurs de la collection de projets, les administrateurs de projet et les administrateurs de version reçoivent toutes les autorisations ci-dessus par défaut. Toutes les autorisations sont attribuées aux contributeurs , à l’exception des autorisations administrer la version. Par défaut, les lecteurs se voient refuser toutes les autorisations sauf afficher le pipeline de mise en production et afficher les mises en production.

Autorisations de groupe de tâches (build et mise en publication)

Vous gérez les autorisations des groupes de tâches à partir du Hub Build et mise en version du portail Web. Toutes les autorisations sont accordées aux administrateurs de projet, de build et de version. Les autorisations de groupe de tâches suivent un modèle hiérarchique. Les valeurs par défaut pour toutes les autorisations peuvent être définies au niveau du projet et peuvent être remplacées sur une définition de groupe de tâches individuelle.

Les groupes de tâches vous permettent d’encapsuler une séquence de tâches déjà définie dans une version de build ou une définition de version en une seule tâche réutilisable. Vous pouvez définir et gérer des groupes de tâches dans l’onglet groupes de tâches du Hub Build et mise en version .

Autorisation Description
Gérer les autorisations du groupe de tâches Peut ajouter et supprimer des utilisateurs ou des groupes pour la sécurité du groupe de tâches.
Supprimer le groupe de tâches Peut supprimer un groupe de tâches.
Modifier le groupe de tâches Permet de créer, de modifier ou de supprimer un groupe de tâches.

Lab Management

Les autorisations de Visual Studio Lab Management sont spécifiques aux ordinateurs virtuels, aux environnements et aux autres ressources. Toutes les autorisations sur cet objet sont aussi accordées automatiquement au créateur d'un objet dans Lab Management. Vous pouvez définir ces autorisations à l’aide de l' outil en ligne de commande TFSLabConfig permissions.

Par défaut, les groupes de lecteurs de projet disposent uniquement des autorisations afficher les ressources de laboratoire (lecture).

Notes

Lab Management est déconseillé pour TFS 2017. Nous vous recommandons d' utiliser Build et Release Management au lieu de Lab Management pour les tests automatisés.

Autorisation Description
Supprimer l'environnement et les ordinateurs virtuels Peut supprimer des environnements et des modèles. L'autorisation est activée pour l'objet en cours de suppression.
Supprimer l'environnement et les ordinateurs virtuels Peut supprimer des environnements et des modèles. L'autorisation est activée pour l'objet en cours de suppression.
Supprimer des emplacements de laboratoire Peut supprimer les emplacements des ressources Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. Pour supprimer un emplacement, vous devez disposer de l’autorisation supprimer un emplacement de laboratoire pour cet emplacement.
Modifier l'environnement et les ordinateurs virtuels Peut modifier des environnements et des modèles. L'autorisation est activée pour l'objet en cours de modification.
Opérations d'environnement Peut démarrer, arrêter, suspendre et gérer des instantanés, ainsi que réaliser d'autres opérations sur un environnement.
Importer l'ordinateur virtuel Peut importer un ordinateur virtuel à partir d’un partage de bibliothèque VMM. Cette autorisation diffère de l’écriture, car elle crée uniquement un objet dans Lab Management et n’écrit aucune information dans le groupe hôte Virtual Machine Manager ou le partage de bibliothèque.
Gérer les autorisations enfants Peut modifier les autorisations de tous les objets de Lab Management enfants. Par exemple, si un utilisateur dispose de l' autorisation gérer les autorisations enfants pour un groupe hôte de projet, l’utilisateur peut modifier les autorisations pour tous les environnements sous ce groupe hôte de projet.
Gérer des emplacements de laboratoire Peut modifier les emplacements des ressources Lab Management, qui incluent des groupes hôtes de collection, des partages de bibliothèque de collection, des groupes hôtes de projet et des partages de bibliothèque de projet. Pour modifier un emplacement spécifique, vous devez disposer de l’autorisation gérer l’emplacement de laboratoire pour cet emplacement. Cette autorisation pour les emplacements au niveau de la collection (groupes hôtes de collection et partages de bibliothèque de collection) vous permet également de créer des emplacements au niveau du projet (groupe hôte de projet et partage de bibliothèque de projet).
Gérer les autorisations Peut modifier les autorisations pour un objet Lab Management. Cette autorisation est activée pour l'objet dont les autorisations sont modifiées.
Gérer les instantanés Peut effectuer toutes les tâches de gestion des instantanées pour un environnement, qui incluent la prise d'un instantané, la restauration d'un instantané, le changement de son nom, sa suppression et sa lecture.
Suspendre un environnement Peut suspendre un environnement.
Démarrer Peut démarrer un environnement.
Arrêter Peut arrêter un environnement.
Consulter des ressources de laboratoire Peut afficher des informations sur les différentes ressources Lab Management, notamment les groupes hôtes de collection, les groupes hôtes de projet et l’environnement. Pour afficher des informations sur une ressource de laboratoire spécifique, vous devez disposer de l’autorisation afficher les ressources de laboratoire pour cette ressource.
Écrire dans l'environnement et les ordinateurs virtuels Peut créer des environnements pour un groupe hôte de projet. Les utilisateurs qui ont cette autorisation pour un partage de bibliothèque de projet peuvent stocker des environnements et des modèles.

Notifications ou alertes

Aucune autorisation d’interface utilisateur n’est associée à la gestion des notifications par courrier électronique ou des alertes. Au lieu de cela, ils peuvent être gérés à l’aide de l' outil en ligne de commande TFSSecurity.

  • Par défaut, les membres du groupe contributeurs au niveau du projet peuvent s’abonner à des alertes pour eux-mêmes.
  • Les membres du groupe administrateurs de la collection de projets ou les utilisateurs qui disposent des informations de modification au niveau de la collection peuvent définir des alertes dans ce regroupement pour d’autres personnes ou pour une équipe.
  • Les membres du groupe Project Administrators ou les utilisateurs qui disposent des informations de modification au niveau du projet peuvent définir des alertes dans ce projet pour d’autres personnes ou pour une équipe.

Vous pouvez gérer les autorisations d’alerte à l’aide de TFSSecurity.

Action TFSSecurity

Espace de noms TFSSecurity

Description

Administrateurs de la collection de projets &
Project Collection Service Accounts

CREATE_SOAP_SUBSCRIPTION

EventSubscription

Peut créer un abonnement à un service web SOAP.

✔️

GENERIC_READ

EventSubscription

Peut afficher les événements d’abonnement définis pour un projet.

✔️

GENERIC_WRITE

EventSubscription

Peut créer des alertes pour d'autres utilisateurs ou pour une équipe.

✔️

UNSUBSCRIBE

EventSubscription

Peut annuler l'abonnement à un événement.

✔️