Accorder ou restreindre l’accès à l’aide d’autorisations

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

Vous pouvez accorder ou restreindre l’accès aux ressources que vous gérez dans Azure DevOps. Vous pouvez ouvrir ou fermer l’accès à un ensemble sélectionné de fonctionnalités et à un ensemble d’utilisateurs sélectionnés. Bien que les groupes de sécurité intégrés fournissent un ensemble standard d’attributions d’autorisations, vous pouvez avoir besoin d’autres exigences de sécurité non remplies par ces affectations.

Si vous débutez dans l’administration des autorisations et des groupes, consultez Prise en main des autorisations, des groupes d’accès et de sécurité pour en savoir plus sur les états d’autorisation et l’héritage.

Dans cet article, vous allez apprendre à effectuer les tâches suivantes :

  • Méthode recommandée pour l’octroi et la restriction des autorisations
  • Déléguer des tâches en attribuant des autorisations de sélection à des rôles spécifiques
  • Limiter la visibilité des utilisateurs aux informations de l’organisation
  • Limiter le sélecteur de personnes aux utilisateurs et groupes de projet
  • Restreindre l’accès à l’affichage ou à la modification d’objets
  • Restreindre la modification d’éléments de travail en fonction d’un utilisateur ou d’un groupe
  • Méthode recommandée pour l’octroi et la restriction des autorisations
  • Déléguer des tâches en attribuant des autorisations de sélection à des rôles spécifiques
  • Restreindre l’accès à l’affichage ou à la modification d’objets
  • Restreindre la modification d’éléments de travail en fonction d’un utilisateur ou d’un groupe

Conseil

Étant donné que vous définissez de nombreuses autorisations au niveau de l’objet, telles que les dépôts et les chemins d’accès de zone, la façon dont vous structurez votre projet détermine les zones que vous pouvez ouvrir ou fermer.

À des fins de maintenance, nous vous recommandons d’utiliser les groupes de sécurité intégrés ou les groupes de sécurité personnalisés pour gérer les autorisations.

Vous ne pouvez pas modifier les paramètres d’autorisation pour le groupe Administrateurs de projet ou le groupe Administrateurs de collection de projets, ce qui est par défaut. Toutefois, pour tous les autres groupes, vous pouvez modifier les autorisations.

Si vous gérez quelques utilisateurs, il se peut que la modification des autorisations individuelles soit une option valide. Toutefois, les groupes de sécurité personnalisés vous permettent de mieux suivre les rôles et les autorisations attribués à ces rôles.

Déléguer des tâches à des rôles spécifiques

En tant qu’administrateur ou propriétaire de compte, il est judicieux de déléguer des tâches administratives aux membres de l’équipe qui dirigent ou gèrent une zone. Plusieurs des principaux rôles intégrés qui sont fournis avec les autorisations par défaut et les attributions de rôles sont les suivants :

  • Lecteurs
  • Contributeurs
  • Administrateur d’équipe (rôle)
  • Project Administrators
  • Project Collection Administrators

Pour obtenir un résumé des autorisations pour les rôles ci-dessus, consultez Autorisations et accès par défaut, ou pour les administrateurs de collection de projets, consultez Modifier les autorisations au niveau de la collection de projets.

Pour déléguer des tâches à d’autres membres de votre organisation, envisagez de créer un groupe de sécurité personnalisé, puis d’accorder des autorisations comme indiqué dans le tableau suivant.

Rôle

Tâches à effectuer

Autorisations à définir sur Autoriser

Responsable de développement (Git)

Gérer les stratégies de branche

Modifier des stratégies, Forcer l’envoi (Push) et Gérer les autorisations
Consultez Définir les autorisations de branche.

Responsable de développement (TFVC)

Gérer le dépôt et les branches

Administrer les étiquettes, Gérer la branche et Gérer les autorisations
Consultez Définir les autorisations de dépôt TFVC.

Architecte logiciel (Git)

Gérer les dépôts

Créer des référentiels, Forcer l’envoi (Push) et Gérer les autorisations
Consultez Définir les autorisations de dépôt Git.

Des administrateurs d'équipe

Ajouter des chemins d’accès aux zones pour leur équipe
Ajouter des requêtes partagées pour son équipe

Créer des nœuds enfants, Supprimer ce nœud, Modifier ce nœud Voir Créer des nœuds enfants, modifier des éléments de travail sous un chemin d’accès de zone
Contribuer, Supprimer, Gérer les autorisations (pour un dossier de requête), consultez Définir des autorisations de requête.

Contributeurs

Ajouter des requêtes partagées sous un dossier de requête, Contribuer aux tableaux de bord

Contribuer, Supprimer (pour un dossier de requête), voir Définir des autorisations de requête
Afficher, modifier et gérer les tableaux de bord, voir Définir les autorisations de tableau de bord.

Chef de projet ou de produit

Ajouter des chemins d’accès de zone, des chemins d’itération et des requêtes partagées
Supprimer et restaurer des éléments de travail, Déplacer des éléments de travail hors de ce projet, Supprimer définitivement les éléments de travail

Modifier les informations au niveau du projet, consultez Modifier les autorisations au niveau du projet.

Gestionnaire de modèles de processus (modèle de processus d’héritage)

Personnalisation du suivi du travail

Administrer les autorisations de processus, Créer des projets, Créer un processus, Supprimer le champ du compte, Processus de suppression, Supprimer le projet, Modifier le processus
Consultez Modifier les autorisations au niveau de la collection de projets.

Gestionnaire de modèles de processus (modèle de processus XML hébergé)

Personnalisation du suivi du travail

Modifier les informations au niveau de la collection, consultez Modifier les autorisations au niveau de la collection de projets.

Gestion de projet (modèle de processus XML local)

Personnalisation du suivi du travail

Modifier les informations au niveau du projet, consultez Modifier les autorisations au niveau du projet.

Gestionnaire d’autorisations

Gérer les autorisations d’un projet, d’un compte ou d’une collection

Pour un projet, Modifier les informations au niveau du projet
Pour un compte ou une collection, modifier les informations au niveau de l’instance (ou au niveau de la collection)
Pour comprendre l’étendue de ces autorisations, consultez Guide de recherche d’autorisations. Pour demander une modification des autorisations, consultez Demander une augmentation des niveaux d’autorisation.

Vous pouvez également accorder des autorisations pour gérer les autorisations pour les objets suivants :

Limiter la visibilité des utilisateurs aux informations sur l’organisation et le projet

Important

  • Les fonctionnalités de visibilité limitée décrites dans cette section s’appliquent uniquement aux interactions via le portail web. Avec les API REST ou azure devops les commandes CLI, les membres du projet peuvent accéder aux données restreintes.
  • Les utilisateurs invités qui sont membres du groupe limité avec un accès par défaut dans l’ID Microsoft Entra ne peuvent pas rechercher d’utilisateurs avec le sélecteur de personnes. Lorsque la fonctionnalité d’aperçu est désactivée pour l’organisation ou lorsque les utilisateurs invités ne sont pas membres du groupe limité, les utilisateurs invités peuvent rechercher tous les utilisateurs De Microsoft Entra, comme prévu.

Par défaut, les utilisateurs ajoutés à une organisation peuvent afficher toutes les informations et paramètres de l’organisation et du projet. Pour restreindre l’accès uniquement aux projets auxquels vous ajoutez des utilisateurs, vous pouvez activer la fonctionnalité de préversion Limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques pour l’organisation. Pour plus d’informations, consultez Gérer les fonctionnalités en préversion.

Une fois cette fonctionnalité activée, les utilisateurs ajoutés au groupe Utilisateurs dans l’étendue du projet ne peuvent pas afficher la plupart des paramètres de l’organisation et peuvent uniquement se connecter aux projets auxquels ils ont été ajoutés.

Avertissement

Lorsque la fonctionnalité Limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques sont activées pour l’organisation, les utilisateurs délimités par le projet ne peuvent pas rechercher les utilisateurs qui ont été ajoutés à l’organisation par le biais de l’appartenance au groupe Microsoft Entra, plutôt que par le biais d’une invitation explicite à l’utilisateur. Il s’agit d’un comportement inattendu et une résolution est en cours de résolution. Pour résoudre automatiquement ce problème, désactivez la fonctionnalité limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques en préversion pour l’organisation.

Limiter le sélecteur de personnes aux utilisateurs et groupes du projet

Pour les organisations qui gèrent leurs utilisateurs et groupes à l’aide de l’ID Microsoft Entra, les sélecteurs de personnes prennent en charge la recherche de tous les utilisateurs et groupes ajoutés à l’ID Microsoft Entra, et non pas seulement à ces utilisateurs ou groupes ajoutés à un projet. Personnes sélecteurs prennent en charge les fonctions Azure DevOps suivantes :

  • Sélection d’une identité d’utilisateur à partir d’un champ d’identité de suivi du travail tel que Affecté à
  • Sélection d’un utilisateur ou d’un groupe à l’aide de @mention dans une discussion d’élément de travail ou un champ de texte enrichi, une discussion de demande de tirage, des commentaires de validation ou des commentaires d’ensemble de modifications ou de jeu de étagères
  • Sélection d’un utilisateur ou d’un groupe à l’aide de @mention à partir d’une page wiki

Comme le montre l’image suivante, vous commencez simplement à taper dans une zone de sélecteur de personnes jusqu’à ce que vous trouviez une correspondance avec un nom d’utilisateur ou un groupe de sécurité.

Screenshot of people picker

Les utilisateurs et les groupes ajoutés au groupe Utilisateurs délimités au projet peuvent uniquement voir et sélectionner les utilisateurs et les groupes dans le projet auquel ils sont connectés à partir d’un sélecteur de personnes. Pour définir l’étendue des sélecteurs de personnes pour tous les membres du projet, consultez Gérer votre organisation, Limiter la recherche et la sélection d’identités.

Restreindre l’accès à l’affichage ou à la modification d’objets

Azure DevOps est conçu pour permettre à tous les utilisateurs valides d’afficher tous les objets définis dans le système. Vous pouvez restreindre l’accès aux ressources en définissant l’état d’autorisation sur Refuser. Vous pouvez définir des autorisations pour les membres qui appartiennent à un groupe de sécurité personnalisé ou à un utilisateur individuel. Pour en savoir plus sur la définition de ces types d’autorisations, consultez Demander une augmentation des niveaux d’autorisation.

Zone à restreindre

Autorisations à définir sur Refuser

Afficher ou contribuer à un dépôt

Afficher, créer ou modifier des éléments de travail dans un chemin d’accès de zone

Modifier les éléments de travail dans ce nœud, Afficher les éléments de travail dans ce nœud
Consultez Définir les autorisations et l’accès pour le suivi du travail, Modifier les éléments de travail sous un chemin d’accès de zone.

Afficher ou mettre à jour des pipelines de build et de mise en production sélectionnés

Modifier le pipeline de build, Afficher le pipeline de build
Modifier le pipeline de mise en production, Afficher le pipeline de mise en production
Vous définissez ces autorisations au niveau de l’objet. Consultez Définir des autorisations de génération et de mise en production.

Modifier un tableau de bord

Afficher des tableaux de bord
Consultez Définir des autorisations de tableau de bord.

Restreindre la modification des éléments de travail ou sélectionner des champs

Pour obtenir des exemples illustrant comment restreindre la modification d’éléments de travail ou de champs sélectionnés, consultez Exemples de scénarios de règle.

Étapes suivantes