Concedere o limitare un accesso usando le autorizzazioni

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

È possibile concedere o limitare l'accesso alle risorse gestite in Azure DevOps. È possibile aprire o chiudere l'accesso a un set selezionato di funzionalità e per un set selezionato di utenti. Sebbene i gruppi di sicurezza predefiniti forniscano un set standard di assegnazioni di autorizzazioni, potrebbero essere necessari più requisiti di sicurezza non soddisfatti da queste assegnazioni.

Se non si ha familiarità con l'amministrazione di autorizzazioni e gruppi, consultare la sezione Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza per informazioni sugli stati di autorizzazione e sull'ereditarietà.

Questo articolo illustra come eseguire le attività seguenti:

• Metodo consigliato per concedere e limitare le autorizzazioni
• Delegare le attività assegnando autorizzazioni di selezione a ruoli specifici
• Limitare la visibilità degli utenti alle informazioni sull'organizzazione
• Limitare la selezione utenti a utenti e gruppi di progetto
• Limitare l'accesso alla visualizzazione o alla modifica di oggetti
• Limitare la modifica degli elementi di lavoro in base a un utente o a un gruppo

Suggerimento

Poiché si impostano molte autorizzazioni a livello di oggetto, ad esempio repository e percorsi di area, la struttura del progetto determina le aree che è possibile aprire o chiudere.

Metodo consigliato per concedere e limitare le autorizzazioni

A scopo di manutenzione, è consigliabile usare i gruppi di sicurezza predefiniti o i gruppi di sicurezza personalizzati per gestire le autorizzazioni.

Non è possibile modificare le impostazioni di autorizzazione per il gruppo Project Amministrazione istrators o il gruppo Project Collection Amministrazione istrators, ovvero in base alla progettazione. Tuttavia, per tutti gli altri gruppi, è possibile modificare le autorizzazioni.

Se si gestiscono alcuni utenti, è possibile che vengano modificate le singole autorizzazioni un'opzione valida. Tuttavia, i gruppi di sicurezza personalizzati consentono di tenere traccia dei ruoli e delle autorizzazioni assegnati a tali ruoli.

Delegare le attività a ruoli specifici

In qualità di amministratore o proprietario dell'account, è consigliabile delegare attività amministrative a tali membri del team che conducono o gestiscono un'area. Diversi dei ruoli predefiniti principali inclusi con autorizzazioni predefinite e assegnazioni di ruolo sono:

• Readers
• Collaboratori
• Team Amministrazione istrator (ruolo)
• Project Amministrazione istrators
• Amministrazione istrator della raccolta di progetti

Per un riepilogo delle autorizzazioni per i ruoli precedenti, vedere Autorizzazioni e accesso predefiniti o per l'Amministrazione istrator della raccolta di progetti, vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Per delegare le attività ad altri membri all'interno dell'organizzazione, è consigliabile creare un gruppo di sicurezza personalizzato e quindi concedere le autorizzazioni come indicato nella tabella seguente.

Ruolo

Attività da eseguire

Autorizzazioni da impostare su Consenti

Lead di sviluppo (Git)

Gestire i criteri dei rami

Modificare i criteri, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni per i rami.

Responsabile sviluppo (TFVC)

Gestire repository e rami

Amministrazione ister labels, Manage branch e Manage permissions
Vedere Impostare le autorizzazioni del repository TFVC.

Progettista software (Git)

Gestire i repository

Creare repository, forzare il push e gestire le autorizzazioni
Vedere Impostare le autorizzazioni del repository Git

Amministratori del team

Aggiungere percorsi di area per il team
Aggiungere query condivise per il team

Creare nodi figlio, eliminare questo nodo, modificare questo nodo Vedere Creare nodi figlio, modificare gli elementi di lavoro in un percorso di area
Contribuire, eliminare, gestire le autorizzazioni (per una cartella di query), vedere Impostare le autorizzazioni per le query.

Collaboratori

Aggiungere query condivise in una cartella di query, Contribuire ai dashboard

Contribuire, eliminare (per una cartella di query), vedere Impostare le autorizzazioni per le query
Visualizzare, modificare e gestire i dashboard, vedere Impostare le autorizzazioni del dashboard.

Project o product manager

Aggiungere percorsi di area, percorsi di iterazione e query condivise
Eliminare e ripristinare elementi di lavoro, spostare gli elementi di lavoro da questo progetto, eliminare definitivamente gli elementi di lavoro

Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.

Gestione modelli di processo (modello di processo di ereditarietà)

Personalizzazione del rilevamento del lavoro

Amministrazione ister process permissions, Create new projects, Create process, Delete field from account, Delete process, Delete project, Edit process
Vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Gestione modelli di processo (modello di processo XML ospitato)

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di raccolta, vedere Modificare le autorizzazioni a livello di raccolta del progetto.

Gestione dei progetti (modello di processo XML locale)

Personalizzazione del rilevamento del lavoro

Modificare le informazioni a livello di progetto, vedere Modificare le autorizzazioni a livello di progetto.

Gestione autorizzazioni

Gestire le autorizzazioni per un progetto, un account o una raccolta

Per un progetto, Modificare le informazioni a livello di progetto
Per un account o una raccolta, Modificare le informazioni a livello di istanza (o a livello di raccolta)
Per comprendere l'ambito di queste autorizzazioni, vedere Guida alla ricerca delle autorizzazioni. Per richiedere una modifica delle autorizzazioni, vedere Richiedere un aumento dei livelli di autorizzazione.

È anche possibile concedere autorizzazioni per gestire le autorizzazioni per gli oggetti seguenti:

• Impostare autorizzazioni del repository Git
• Gestire le autorizzazioni del ramo Git
• Impostare le autorizzazioni del repository TFVC
• autorizzazioni di compilazione e rilascio di Amministrazione ister
• Gestire le autorizzazioni wiki.

Limitare la visibilità degli utenti alle informazioni sull'organizzazione e sul progetto

Importante

• Le funzionalità di visibilità limitate descritte in questa sezione si applicano solo alle interazioni tramite il portale Web. Con le API REST o azure devops i comandi dell'interfaccia della riga di comando, i membri del progetto possono accedere ai dati limitati.
• Gli utenti guest membri del gruppo limitato con accesso predefinito in Microsoft Entra ID non possono cercare gli utenti con la selezione utenti. Quando la funzionalità di anteprima è disattivata per l'organizzazione o quando gli utenti guest non sono membri del gruppo limitato, gli utenti guest possono cercare tutti gli utenti di Microsoft Entra, come previsto.

Per impostazione predefinita, gli utenti aggiunti a un'organizzazione possono visualizzare tutte le informazioni e le impostazioni del progetto. Per limitare l'accesso solo ai progetti a cui si aggiungono utenti, è possibile abilitare la funzionalità Limita visibilità utente e collaborazione a progetti specifici per l'organizzazione. Per altre informazioni, vedere Gestire le funzionalità di anteprima.

Con questa funzionalità abilitata, gli utenti aggiunti al gruppo Utenti con ambito progetto non possono visualizzare la maggior parte delle impostazioni dell'organizzazione e possono connettersi solo a tali progetti a cui sono stati aggiunti.

Avviso

Quando la funzionalità Limita visibilità utente e collaborazione a progetti specifici è abilitata per l'organizzazione, gli utenti con ambito progetto non sono in grado di cercare gli utenti aggiunti all'organizzazione tramite l'appartenenza al gruppo Microsoft Entra, anziché tramite un invito esplicito dell'utente. Si tratta di un comportamento imprevisto e si sta lavorando a una risoluzione. Per risolvere automaticamente questo problema, disabilitare la funzionalità Limita visibilità utente e collaborazione a progetti specifici per l'organizzazione.

Limitare la selezione utenti a utenti e gruppi di progetto

Per le organizzazioni che gestiscono gli utenti e i gruppi usando Microsoft Entra ID, gli utenti selezionatori supportano la ricerca in tutti gli utenti e i gruppi aggiunti all'ID Microsoft Entra, non solo per gli utenti o i gruppi aggiunti a un progetto. Persone le selezione supportano le funzioni di Azure DevOps seguenti:

• Selezione di un'identità utente da un campo identità di rilevamento del lavoro, ad esempio Assegnato a
• Selezione di un utente o di un gruppo utilizzando @mention in un campo di discussione o rtf di un elemento di lavoro, una discussione di richiesta pull, commenti di commit o set di modifiche o commenti degli scaffali
• Selezione di un utente o di un gruppo utilizzando @mention da una pagina wiki

Come illustrato nell'immagine seguente, è sufficiente iniziare a digitare in una casella di selezione utenti fino a quando non viene trovata una corrispondenza con un nome utente o un gruppo di sicurezza.

Gli utenti e i gruppi aggiunti al gruppo Utenti con ambito progetto possono visualizzare e selezionare solo utenti e gruppi nel progetto a cui sono connessi da una selezione utenti. Per definire l'ambito delle selezioni utenti per tutti i membri del progetto, vedere Gestire l'organizzazione, Limitare la ricerca e la selezione delle identità.

Limitare l'accesso alla visualizzazione o alla modifica di oggetti

Azure DevOps è progettato per consentire a tutti gli utenti validi di visualizzare tutti gli oggetti definiti nel sistema. È possibile limitare l'accesso alle risorse impostando lo stato di autorizzazione su Nega. È possibile impostare le autorizzazioni per i membri che appartengono a un gruppo di sicurezza personalizzato o per un singolo utente. Per altre informazioni su come impostare questi tipi di autorizzazioni, vedere Richiedere un aumento dei livelli di autorizzazione.

Area da limitare

Autorizzazioni da impostare su Nega

Visualizzare o contribuire a un repository

Visualizza, Contribuisci
Vedere Impostare le autorizzazioni del repository Git o Impostare le autorizzazioni del repository TFVC.

Visualizzare, creare o modificare elementi di lavoro all'interno di un percorso di area

Modificare gli elementi di lavoro in questo nodo, visualizzare gli elementi di lavoro in questo nodo
Vedere Impostare le autorizzazioni e l'accesso per il rilevamento del lavoro, Modificare gli elementi di lavoro in un percorso di area.

Visualizzare o aggiornare selezionare pipeline di compilazione e versione

Modificare la pipeline di compilazione, Visualizzare la pipeline di compilazione
Modificare la pipeline di versione, visualizzare la pipeline di versione
Queste autorizzazioni vengono impostate a livello di oggetto. Vedere Impostare le autorizzazioni di compilazione e rilascio.

Modificare un dashboard

Visualizzare dashboard
Vedere Impostare le autorizzazioni del dashboard.

Limitare la modifica degli elementi di lavoro o selezionare i campi

Per esempi che illustrano come limitare la modifica degli elementi di lavoro o selezionare i campi, vedere Scenari di regole di esempio.

Passaggi successivi

Rimuovere gli account utente

Articoli correlati

• Risolvere i problemi di autorizzazione
• Regole e valutazione delle regole
• Autorizzazioni e accesso predefiniti
• Guida alla ricerca delle autorizzazioni
• Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza
• Informazioni di riferimento su autorizzazioni e gruppi
• Modificare le autorizzazioni a livello di progetto
• Modificare le autorizzazioni a livello di raccolta del progetto