Hozzáférés engedélyezése vagy korlátozása engedélyek használatával

  • Cikk

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Az Azure DevOpsban kezelt erőforrásokhoz való hozzáférést engedélyezhet vagy korlátozhat. Előfordulhat, hogy bizonyos funkciókhoz és felhasználók egy bizonyos csoportja számára szeretné megnyitni vagy lezárni a hozzáférést. Bár a beépített biztonsági csoportok szabványos engedély-hozzárendeléseket biztosítanak, előfordulhat, hogy további biztonsági követelményekre van szükség, amelyeket ezek a hozzárendelések nem teljesíthetik.

Ha még nem ismeri a jogosultságok és csoportok kezelését, olvassa el a Kezdjünk hozzá a jogosultságokhoz, hozzáférésekhez és biztonsági csoportokhoz, hogy megismerje a jogosultsági állapotokat és az öröklődést.

Ebből a cikkből megtudhatja, hogyan végezheti el a következő feladatokat:

  • Ajánlott módszer engedélyek megadására és korlátozására
  • Feladatok delegálása a kiválasztott engedélyek adott szerepkörökhöz való hozzárendelésével
  • A felhasználók láthatóságának korlátozása a szervezeti adatokra
  • Személyek kiválasztásának korlátozása felhasználók és csoportok kivetítésére
  • Objektumok megtekintéséhez vagy módosításához való hozzáférés korlátozása
  • Munkaelemek módosításának korlátozása felhasználó vagy csoport alapján
  • Ajánlott módszer engedélyek megadására és korlátozására
  • Feladatok delegálása a kiválasztott engedélyek adott szerepkörökhöz való hozzárendelésével
  • Objektumok megtekintéséhez vagy módosításához való hozzáférés korlátozása
  • Munkaelemek módosításának korlátozása felhasználó vagy csoport alapján

Tipp.

Mivel számos engedélyt állít be objektumszinten, például adattárakat és területútvonalakat, a projekt struktúrája határozza meg a megnyitható vagy bezárható területeket.

Karbantartás céljából javasoljuk, hogy a beépített biztonsági csoportokat vagy egyéni biztonsági csoportokat használja az engedélyek kezeléséhez.

A Project Rendszergazda istrators vagy a Project Collection Rendszergazda istrators csoport engedélybeállításai nem módosíthatók, ami terv szerint történik. Az összes többi csoport esetében azonban módosíthatja az engedélyeket.

Ha néhány felhasználót kezel, előfordulhat, hogy az egyes engedélyek módosítása érvényes lehetőség. Az egyéni biztonsági csoportok azonban lehetővé teszik a szerepkörökhöz rendelt szerepkörök és engedélyek jobb nyomon követését.

Feladatok delegálása adott szerepkörökbe

Rendszergazdaként vagy fióktulajdonosként célszerű felügyeleti feladatokat delegálni azoknak a csapattagoknak, akik egy területet vezetnek vagy kezelnek. Az alapértelmezett engedélyekkel és szerepkör-hozzárendelésekkel rendelkező fő beépített szerepkörök közül több a következő:

  • Olvasók
  • Közreműködők
  • Csapat Rendszergazda istrator (szerepkör)
  • Project Rendszergazda istrators
  • Project Collection Rendszergazda istrators

A fenti szerepkörök engedélyeinek összegzését az Alapértelmezett engedélyek és hozzáférés, illetve a Projektgyűjtemény Rendszergazda istratorok esetében lásd: Projektcsoportszintű engedélyek módosítása.

Ha feladatokat szeretne delegálni a szervezet többi tagjának, érdemes lehet létrehozni egy egyéni biztonsági csoportot, majd engedélyeket adni az alábbi táblázatban leírtak szerint.

Szerepkör

Végrehajtandó feladatok

Engedélyezés beállításához szükséges engedélyek

Fejlesztési vezető (Git)

Ágszabályzatok kezelése

Szabályzatok szerkesztése, leküldés kényszerítése és engedélyek kezelése
Lásd: Ágengedélyek beállítása.

Fejlesztési érdeklődő (TFVC)

Adattárak és ágak kezelése

Rendszergazda címkék, ág kezelése és engedélyek kezelése
Lásd: TFVC-adattárengedélyek beállítása.

Szoftvertervező (Git)

Adattárak kezelése

Adattárak létrehozása, leküldés kényszerítése és engedélyek kezelése
Lásd: Git-adattárengedélyek beállítása

Csapatgazdák

Területútvonalak hozzáadása a csapathoz
Megosztott lekérdezések hozzáadása a csapathoz

Gyermekcsomópontok létrehozása, Csomópont törlése, Csomópont szerkesztése lásd: Gyermekcsomópontok létrehozása, munkaelemek módosítása egy terület elérési útján
Közreműködés, törlés, engedélyek kezelése (lekérdezési mappa esetén), Lásd: Lekérdezési engedélyek beállítása.

Közreműködők

Megosztott lekérdezések hozzáadása lekérdezési mappában, Közreműködés irányítópultokhoz

Közreműködés, törlés (lekérdezési mappa esetén), Lásd: Lekérdezési engedélyek beállítása
Irányítópultok megtekintése, szerkesztése és kezelése, lásd: Irányítópult-engedélyek beállítása.

Projekt- vagy termékmenedzser

Területútvonalak, iterációs útvonalak és megosztott lekérdezések hozzáadása
Munkaelemek törlése és visszaállítása, Munkaelemek áthelyezése a projektből, Munkaelemek végleges törlése

Projektszintű információk szerkesztése, lásd: Projektszintű engedélyek módosítása.

Folyamatsablon-kezelő (Öröklési folyamatmodell)

A munkakövetés testreszabása

Rendszergazda folyamatengedélyek regisztrálása, Új projektek létrehozása, Folyamat létrehozása, Mező törlése a fiókból, Folyamat törlése, Projekt törlése, Folyamat szerkesztése
Lásd: Projektcsoportszintű engedélyek módosítása.

Folyamatsablon-kezelő (üzemeltetett XML-folyamatmodell)

A munkakövetés testreszabása

Gyűjteményszintű információk szerkesztése, lásd: Projektcsoportszintű engedélyek módosítása.

Projektkezelés (helyszíni XML-folyamatmodell)

A munkakövetés testreszabása

Projektszintű információk szerkesztése, lásd: Projektszintű engedélyek módosítása.

Engedélyek kezelője

Projekt, fiók vagy gyűjtemény engedélyeinek kezelése

Projekt esetén a projektszintű információk szerkesztése
Fiók vagy gyűjtemény esetén a példányszintű (vagy gyűjteményszintű) információk szerkesztése
Az engedélyek hatókörének megismeréséhez tekintse meg az Engedélykeresési útmutatót. Az engedélyek módosításának kéréséhez lásd: Engedélyszintek növelésének kérése.

A következő objektumok engedélyeinek kezeléséhez is adhat engedélyeket:

A felhasználók láthatóságának korlátozása a szervezeti és projektinformációkra

Fontos

  • Az ebben a szakaszban ismertetett korlátozott láthatósági funkciók csak a webes portálon keresztüli interakciókra vonatkoznak. A REST API-k vagy azure devops CLI-parancsok segítségével a projekttagok hozzáférhetnek a korlátozott adatokhoz.
  • Azok a vendégfelhasználók, akik a Microsoft Entra-azonosítóban alapértelmezett hozzáféréssel rendelkező korlátozott csoport tagjai, nem kereshetnek felhasználókat a személyválasztóval. Ha az előzetes verziójú funkció ki van kapcsolva a szervezet számára, vagy ha a vendégfelhasználók nem tagjai a korlátozott csoportnak, a vendégfelhasználók a várt módon kereshetnek az összes Microsoft Entra-felhasználóban.

A szervezethez hozzáadott felhasználók alapértelmezés szerint megtekinthetik az összes szervezeti és projektinformációt és -beállítást. Ha csak azokhoz a projektekhez szeretné korlátozni a hozzáférést, amelyekhez felhasználókat ad hozzá, engedélyezheti a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójával. További információ: Előzetes verziójú funkciók kezelése.

Ha ez a funkció engedélyezve van, a Projekt hatókörű felhasználók csoporthoz hozzáadott felhasználók nem tekinthetik meg a legtöbb szervezeti beállítást, és csak azokhoz a projektekhez tudnak csatlakozni, amelyekhez hozzáadták őket.

Figyelmeztetés

Ha engedélyezve van a felhasználók láthatóságának és együttműködésének korlátozása adott projektekhez – előzetes verziójú funkció a szervezet számára, a projekt hatókörű felhasználók nem kereshetnek olyan felhasználókat, akiket a Microsoft Entra csoporttagságán keresztül adtak hozzá a szervezethez, nem pedig explicit felhasználói meghívással. Ez egy váratlan viselkedés, és a megoldás folyamatban van. A probléma önálló megoldásához tiltsa le a felhasználók láthatóságának és együttműködésének korlátozását a szervezet adott projektek előzetes verziójának funkciójával.

Személyek kiválasztásának korlátozása felhasználók és csoportok kivetítésére

Azon szervezetek számára, amelyek a Microsoft Entra ID használatával kezelik a felhasználókat és csoportokat, a személyválasztók támogatják a Microsoft Entra-azonosítóhoz hozzáadott összes felhasználó és csoport keresését, nem csak a projekthez hozzáadott felhasználókat vagy csoportokat. Kapcsolatok választók az alábbi Azure DevOps-függvényeket támogatják:

  • Felhasználói identitás kiválasztása munkakövetési identitásmezőből, például hozzárendelve
  • Felhasználó vagy csoport kijelölése @mention egy munkaelem-vitafórumban vagy rich-text mezőben, lekéréses kérelem megvitatása, megjegyzések véglegesítése, változáskészlet vagy polckészlet megjegyzései
  • Felhasználó vagy csoport kijelölése @mention wikilapról

Ahogy az alábbi képen is látható, egyszerűen kezdjen begépelni egy személyválasztó mezőbe, amíg meg nem találja a felhasználónevet vagy a biztonsági csoportot.

Képernyőkép a személyválasztóról

A Projekt hatókörű felhasználók csoporthoz hozzáadott felhasználók és csoportok csak a felhasználókat és csoportokat láthatják és jelölhetik ki abban a projektben, amelyhez egy személyválasztóból csatlakoznak. Az összes projekttag személyválasztóinak hatókörét a szervezet kezelése, az identitáskeresés és a kijelölés korlátozása című témakörben találhatja meg.

Objektumok megtekintéséhez vagy módosításához való hozzáférés korlátozása

Az Azure DevOps úgy lett kialakítva, hogy az összes érvényes felhasználó megtekinthesse a rendszerben definiált összes objektumot. Az erőforrásokhoz való hozzáférést úgy korlátozhatja, hogy a jogosultsági állapotot Megtagadás értékre állítja. Egyéni biztonsági csoporthoz vagy egyéni felhasználóhoz tartozó tagokhoz is beállíthat engedélyeket. Ha többet szeretne megtudni az ilyen típusú engedélyek beállításáról, olvassa el a Jogosultsági szintek növelésének kérése című témakört.

Korlátozandó terület

A Megtagadás beállításhoz szükséges engedélyek

Tárház megtekintése vagy közreműködés

Megtekintés, közreműködés
Lásd: Git-adattárengedélyek beállítása vagy TFVC-adattárengedélyek beállítása.

Munkaelemek megtekintése, létrehozása vagy módosítása egy terület elérési útján belül

A csomópont munkaelemeinek szerkesztése, a csomópont munkaelemeinek megtekintése
Lásd: Engedélyek és hozzáférés beállítása a munkakövetéshez, munkaelemek módosítása egy terület elérési útján.

Buildelési és kiadási folyamatok kiválasztása vagy frissítése

Buildfolyamat szerkesztése, buildelési folyamat megtekintése
Kiadási folyamat szerkesztése, kiadási folyamat megtekintése
Ezeket az engedélyeket az objektum szintjén állíthatja be. Lásd: Összeállítási és kiadási engedélyek beállítása.

Irányítópult szerkesztése

Irányítópultok megtekintése
Lásd: Irányítópult-engedélyek beállítása.

Munkaelemek módosításának korlátozása vagy mezők kijelölése

A munkaelemek módosításának korlátozását vagy a mezők kijelölését bemutató példákért tekintse meg a mintaszabály-forgatókönyveket.

Következő lépések

Felhasználói fiókok eltávolítása