Team Foundation Server のアクセス許可の参照
ユーザーが行えるタスクと行えないタスクは、アクセス許可によって決まります。 ユーザーが Team Foundation Server (TFS) リソースおよびチーム プロジェクトへのアクセス権を持つには、チーム プロジェクトまたは TFS グループに追加する必要があります。 TFS によるメンバーシップ、アクセス許可、およびアクセスの管理の概要については、TFS でのユーザーおよびグループの管理を参照してください。
このトピックでは、組み込みの各 TFS グループへの TFS アクセス許可とその既定の割り当てについて説明します。 さらに、アクセス許可を設定するために使用できるツールについても説明します。 組み込みグループには 3 つの分類があり、アクセス許可レベルは 4 つ、アクセス許可の状態は 5 つあります。 機能タスクへの各ユーザーのアクセス権限は、ユーザーまたはユーザーが属しているグループに割り当てられている、明示的または継承したアクセス許可の状態によって異なります。
このトピックの内容
|
.png "TFS の既定のグループとアクセス許可レベル") |
SharePoint 製品 または SQL Server Reporting Services のアクセス許可を割り当てるには、「チーム プロジェクトへのユーザーの追加」および「TFS でのレポートの表示および作成のためのアクセス許可の付与」を参照してください。
アクセス許可の新機能
以下の表に TFS アクセス許可モデルに追加されたアクセス許可および変更点をまとめます。 アプリケーション層サーバーにインストールされているバージョンに応じて異なります。
TFS のバージョン |
新規または変更されたアクセス許可 |
|---|---|
TFS 2013.3 |
テスト スイートの管理アクセス許可が追加され、テスト計画の管理アクセス許可のスコープが再設定されて、テスト計画のみを管理できます。 これらのアクセス許可は、区分パスに対して設定されます。 以前はテスト計画とテスト スイートの両方のアクセス許可管理を対象にしていました。 |
TFS 2013.2 |
タグ設定のアクセス許可が追加されました。 |
TFS 2013 |
Git リポジトリのアクセス許可が追加されました。 |
アクセス許可を設定するために使用できるツール
アクセス許可を設定するために、以下の表に示されているツールを使用できます。 アクセス許可を設定する対象が、サーバー、コレクション、またはプロジェクトのどのレベルであるかに応じて、異なるツールを使用します。 チーム プロジェクトへアクセスするためのほとんどのアクセス許可をユーザーおよびグループに設定するには、Team System Web Access (TWA) を使用します。
アクセス許可レベル |
TWA 管理ページまたはオブジェクト レベル セキュリティ |
チーム エクスプローラー (メモ 1) |
Team Foundation 管理コンソール |
TFSSecurity コマンド ライン ツール |
Tf コマンド ライン ツール |
TFSLabConfig コマンド ライン ツール |
|---|---|---|---|---|---|---|
サーバー レベル |
|
|
||||
コレクション レベル |
|
|
|
|
||
プロジェクト レベルおよびテスト レベル |
|
|
|
|||
ビルド レベル |
|
|
||||
作業項目クエリ |
|
|
|
|||
タグ設定 |
|
|||||
作業項目トラッキングの区分レベル |
|
|
|
|||
作業項目トラッキングのイテレーション レベル |
|
|
|
|||
Team Foundation バージョン管理 |
|
|
||||
Git リポジトリ |
|
|
||||
Lab Management |
|
|||||
リリース管理 (2) |
メモ
チーム エクスプローラーから一部のアクセス許可オプションにアクセスすると、Team Web Access のユーザー インターフェイスが表示されます。
配置にリリース管理を追加する場合、リリース管理、TFS、または Active Directory で定義するグループを使用してアクセス許可を管理できます。 Release Management Client を使用して、アクセス許可を管理します。
グループ内のユーザー メンバーシップを管理するために使用できる別のツールとして、CodePlex の TFSAdmin ツールがあります。
コマンド ライン ツール、名前空間、およびアクセス許可名
TFSSecurity コマンド ライン ツールを使用してアクセス許可を管理する場合、名前空間およびアクセス許可の名前も指定します。 以下のセクションで、名前空間とコマンド名について紹介します。 名前空間には、プロジェクト コレクションとサーバーの 2 つのグループがあります。 TFSSecurity /a コマンドを使用すると、名前空間の一覧が表示されます。 特定の名前空間で設定可能な一群のアクセス許可を取得するには、TFSSecurity /a Namespace /collection:CollectionNameURL を使用します。
Project collection 名前空間 |
Server 名前空間 |
|---|---|
TFSSecurity /a /collection:CollectionNameURL |
TFSSecurity /a /server:ServerNameURL |
組み込みの TFS グループ
TFS をインストールすると、サーバー レベルで 4 つのグループが定義されます。 プロジェクト コレクションを作成すると、コレクション レベルで 7 つのグループが作成され、作成したチーム プロジェクトごとにそのチーム プロジェクトをスコープとする 6 つのグループが作成されます。 これらの各グループは、既定のアクセス許可のセットに関連付けられています。 Team Foundation 管理者グループなど、既定のサーバー レベル グループは削除できません。
サーバー レベル |
コレクション レベル |
プロジェクト レベル |
|---|---|---|
|
|
|
メモ:
有効なユーザー グループについて、詳細は「有効なユーザーとは何ですか。」「有効なユーザー グループにはどのようにメンバーを設定しますか。」セクションに移動してください。
チーム グループは、チーム プロジェクトの名前で作成されます。 たとえば、"Code Sample" という名前のチーム プロジェクトを作成すると、"Code Sample チーム" という名前のチーム グループも作成されます。このチームの名前は変更できます。
加えて、追加のチームを作成すると、各チームのチーム グループが作成されます。
サーバー レベルのグループには、サーバー レベルのアクセス許可が割り当てられます。 コレクション レベルのグループには、コレクション、プロジェクト、およびオブジェクトに定義されたアクセス許可が割り当てられます。 プロジェクト レベル グループに割り当てられるアクセス許可には、プロジェクト レベルとオブジェクト レベルの両方が含まれます。
たとえば、以下の図は、プロジェクト レベルの投稿者グループに割り当てられるアクセス許可を示しています。
.png "Contributor ロールの既定のアクセス許可")
プロジェクト管理者グループ アクセス許可には、投稿者グループに割り当てられるアクセス許可と、さらにいくつかのアクセス許可が含まれます。
.png "Project Admininistrator ロールの既定のアクセス許可")
サーバー レベル グループ
既定では、TFS をインストールした時点で、以下のグループがアプリケーション層のサーバー レベルに存在します。
グループ名 (接頭部: Team Foundation\ |
アクセス許可 |
既定のユーザー アカウント |
|---|---|---|
Team Foundation Administrators |
TFS に対するすべての操作を実行できます。 このグループに所属させるユーザーは、TFS の総合的な管理制御が必要な最小限のユーザーに限定する必要があります。 |
Team Foundation アプリケーション サービスをホストするサーバーの、ローカルの Administrators グループ (BUILTIN\Administrators)。 Server\Team Foundation Service Accounts グループ、および \Project Server Integration Service Accounts グループのメンバー。 |
Team Foundation Valid Users |
ソース コード、作業項目、およびビルド定義への読み取りアクセスが割り当てられます。 TWA 機能へのアクセスは、ライセンスまたは割り当てられているアクセス レベル グループによって異なります。 重要 このグループに対して [インスタンスレベル情報の表示] アクセス許可の設定を [拒否] または [設定なし] に設定すると、ユーザーは配置にアクセスできなくなります。 |
TFS 内で追加されたすべてのユーザーおよびグループが自動的に追加されます。 このグループのメンバーシップは変更できません。 |
Team Foundation Service Accounts |
TFS のサービス レベル アクセス許可が割り当てられます。 |
インストール時に提供されたサービス アカウントが追加されます。 このグループには、サービス アカウントのみを含め、ユーザー アカウントまたはユーザー アカウントを含むグループは含めないでください。 既定では、このグループは Team Foundation 管理者のメンバーです。 |
Project Server の統合のサービス アカウント |
TFS との相互運用のために構成されている Project Server 配置に対するサービス レベルのアクセス許可が割り当てられます。 加えて、このグループのメンバーには、TFS サービス レベルのアクセス許可が割り当てられます。 |
このグループには、サービス アカウントのみを含め、ユーザー アカウントまたはユーザー アカウントを含むグループは含めないでください。 既定では、このグループは Team Foundation 管理者のメンバーです。 |
SharePoint Web Application Services |
TFS のサービス レベルのアクセス許可のほかに、TFS で使用できるように構成されている SharePoint Web アプリケーションのサービス レベルのアクセス許可が割り当てられます。 |
このグループには、サービス アカウントのみを含め、ユーザー アカウントまたはユーザー アカウントを含むグループは含めないでください。 サービス アカウント グループと異なり、このグループは Team Foundation 管理者グループのメンバーではありません。 |
Team Foundation Proxy Service Accounts |
このグループのメンバーには、Team Foundation Server Proxy のサービス レベル アクセス許可と、TFS サービス レベルの一部のアクセス許可が割り当てられます。 |
このグループには、サービス アカウントのみを含め、ユーザー アカウントまたはユーザー アカウントを含むグループは含めないでください。 |
コレクション レベル グループ
既定では、コレクションを構成した時点で、以下のグループがコレクション レベルに存在します。
グループ名 (接頭部: TeamProjectCollectionName\ |
グループ レベルのアクセス許可 |
アカウントの割り当て |
|---|---|---|
Project Collection Administrators |
チーム プロジェクト コレクションに対するすべての操作を実行できます。 |
既定では、TFS のアプリケーション層サービスがインストールされているサーバーのローカルの Administrators グループ (BUILTIN\Administrators) が追加されます。 加えて、TeamProjectCollectionName\Service Accounts グループのメンバーも追加されます。 このグループに所属させるユーザーは、コレクションの総合的な管理制御が必要な最小限のユーザーに限定する必要があります。 |
Project Collection Valid Users |
コレクションに定義されているチーム プロジェクトにアクセスできます。 重要 このグループに対して [コレクションレベル情報の表示] アクセス許可の設定を [拒否] または [設定なし] に設定すると、ユーザーはコレクションにアクセスできなくなります。 |
チーム プロジェクト コレクション内で追加されたすべてのユーザーおよびグループが追加されます。 このグループのメンバーシップは変更できません。 |
Project Collection Service Accounts |
コレクションおよび TFS に対するサービス レベルのアクセス許可が割り当てられます。 |
インストール時に提供されたサービス アカウントが追加されます。 このグループには、サービス アカウントおよびサービス アカウントだけを含むグループのみを含める必要があります。 既定では、このグループは Team Foundation 管理者および Team Foundation サービス アカウントのメンバーになります。 |
Project Collection Build Administrators |
コレクションのビルド リソースおよびアクセス許可を管理できます。 |
このグループに所属するユーザーは、このコレクションのビルド サーバーおよびサービスの総合的な管理制御が必要な最小限のユーザーに限定します。 |
Project Collection Build Service Accounts |
コレクションに対してビルド サービスを実行するのに必要なアクセス許可が割り当てられます。 |
このグループには、サービス アカウント、およびサービス アカウントを含んでいるグループだけが属するように制限します。 |
Project Collection Proxy Service Accounts |
コレクションに対してプロキシ サービスを実行するのに必要なアクセス許可が割り当てられます。 |
このグループには、サービス アカウント、およびサービス アカウントを含んでいるグループだけが属するように制限します。 |
Project Collection Test Service Accounts |
コレクションに対するテスト サービス アクセス許可が割り当てられます。 |
このグループには、サービス アカウント、およびサービス アカウントを含んでいるグループだけが属するように制限します。 |
プロジェクト レベル グループ
既定では、チーム プロジェクトの作成の時点で以下のグループが存在します。 これらのグループのアクセス許可のスコープはプロジェクト レベルです。
グループ (接頭部: ProjectName\ |
グループ レベルのアクセス許可 |
補足メモ |
|---|---|---|
Project Administrators |
プロジェクトを作成できない場合でも、チーム プロジェクトのあらゆる面を管理できます。 |
ユーザーのアクセス許可を管理する、チームを作成する、イテレーション パスを定義する、または作業項目をトラッキングするユーザーに割り当てます。 |
Build Administrators |
プロジェクトに対するビルド リソースおよびビルド アクセス許可を管理できます。 メンバーは、テスト環境の管理、テストの実行の作成、ビルドの管理を実行できます。 |
|
Contributors |
プロジェクト コード ベースおよび作業項目のトラッキングのすべてに貢献できます。 |
既定では、チーム プロジェクトをこのグループに追加したときに作成されたチーム グループ、およびチームに追加したすべてのユーザーがこのグループのメンバーになります。 さらに、一覧で別のグループを選択しない限り、チーム プロジェクト用に作成したすべてのチームが既定でこのグループに追加されます。 |
Readers |
プロジェクトを表示できますが、修正はできません。 |
進行中の作業を表示できるようにする必要のある関係者に割り当てます。 |
TeamName |
投稿者グループに割り当てられているのと同じアクセス許可を継承します。 プロジェクト コード ベースおよび作業項目のトラッキングのすべてに貢献できます。 |
チーム プロジェクトを作成すると、既定のチーム グループが作成され、既定ではチーム プロジェクトの貢献者グループに追加されます。 作成する新しいチームにも専用のグループが作成され、貢献者グループに追加されます。 |
TFS のすべてのプロジェクトには、これらのプロジェクト レベル グループだけでなく、次の 2 つのコレクション レベル グループがあります。
TeamProjectCollectionName**\Project Collection Administrators**
このコレクション レベルのグループのアクセス許可は変更できません。
TeamProjectCollectionName**\Project Collection Build Service Accounts**
このグループの [プロジェクトレベル情報を表示します] のアクセス許可を削除したり [拒否] に設定したりしないでください。
許可、拒否、設定なし、および他のアクセス許可の状態
TFS は、アクセス許可のセキュリティ保護のために、最小アクセス許可モデルを使用します。 つまり、同じアクセス許可が割り当てられている 2 つのグループにあるユーザーが属していて、一方のグループではそのアクセス許可について [許可] が割り当てられており、別のグループに [拒否] が割り当てられている場合、[許可] よりも [拒否] が優先されます。 このルールには、プロジェクト コレクション管理者グループおよび Team Foundation Server 管理者グループに属するユーザーに関していくつかの例外があります。
アクセス許可について、[拒否] と [許可] の 2 つの明示的な承認状態を指定できます。 他にも、[継承された許可]、[継承された拒否]、および [設定なし] という 3 つの状態があります。 [設定なし] は暗黙的な拒否状態です。
アクセス許可 |
承認 |
|---|---|
許可 |
特定のアクセス許可に関連付けられているタスクを実行する権限をユーザーに明示的に付与します。 通常、[許可] はグループ メンバーシップから継承されます。 ユーザーがタスクにアクセスするには、関連するアクセス許可について [許可] または [継承された許可] が設定される必要があります。 |
拒否 |
特定のアクセス許可に関連付けられているタスクをユーザーが実行できないことを明示的に指定します。 通常、[拒否] はグループ メンバーシップから継承されます。 |
[継承された許可]/[継承された拒否] |
ユーザーが属するグループに設定されたアクセス許可に基づいて、そのアクセス許可に関連付けられたタスクの実行をそのユーザーに許可または拒否します。 |
設定しない |
特定のアクセス許可に関連付けられているタスクをユーザーが実行できないことを暗黙的に指定します。 ただし、アクセス許可が明示的に [拒否] にも [許可] にも設定されていないため、そのアクセス許可に対する承認が、そのユーザーまたはグループが所属している他のグループから継承される場合があります。 既定では、ほとんどのアクセス許可は、[拒否] にも [許可] にも設定されていません。 アクセス許可は、[設定なし] のままです。 |
アクセス許可の状態は、以下に示す優先設定に従います。
[拒否] のアクセス許可は、[許可] を含む、他のすべてのアクセス許可設定に優先します。 たとえば、ユーザーがプロジェクト内の 2 つのグループに所属しているとします。 一方のグループでは、[テスト結果の発行] のアクセス許可が [拒否] に設定されており、もう一方のグループでは、このアクセス許可が [許可] に設定されています。 この場合、[拒否] の設定が優先されるため、ユーザーはテスト結果の発行を承認されません。
このルールの例外を以下に示します。
[拒否] のアクセス許可は、階層の親から継承されている場合は優先されません。 以下の機能では、階層的なアクセス許可設定がサポートされます。
Team Foundation バージョン管理のソース管理フォルダー
Git リポジトリ
作業項目トラッキングの区分ノードおよびイテレーション ノード
作業項目の共有クエリおよびクエリ フォルダー
ソース管理フォルダー、リポジトリ、区分子ノードなどの特定のオブジェクトに設定されている明示的なアクセス許可は、親オブジェクトから継承されたアクセス許可より優先されます。 たとえば、ソース管理フォルダーに [拒否] が設定されている場合でも、そのサブフォルダーの 1 つに [許可] が設定されているなら、後者が優先されます。
ユーザーがプロジェクト コレクション管理者グループまたは Team Foundation 管理者グループなどの管理者グループに属しているときに、アクセス許可の明示的な記述がない場合。
[継承された許可] は [設定なし] よりも優先されます。
継承
ユーザーまたはグループのアクセス許可が [設定なし] である場合、TFS 内のアクセス許可が継承されるため、そのユーザーまたはグループが所属する他のグループの明示的なアクセス許可の状態が適用されます。 たとえば、ユーザーまたはグループのアクセス許可を確認するときに、アクセス許可に [許可] および [継承された許可] の両方が設定されている場合があります。 継承された許可は、ユーザーまたはグループが属している他のグループから継承されたものです。 この例では、ユーザーはプロジェクト レベルのグループと、プロジェクトのコレクション レベルのグループに属している可能性があります。 それらのグループのいずれかでアクセス許可が明示的に [許可] に設定されており、もう一方のグループで同じアクセス許可が [設定なし] の場合、ユーザーには、[継承された許可] のアクセス許可が付与され、そのアクセス許可により制御される操作を実行できます。 ユーザーは、両方のグループのアクセス許可を継承し、[許可] のアクセス許可が、[設定なし] のアクセス許可よりも優先されます。
.png "アクセス許可の継承")
アクセス許可が継承された理由を確認するには、アクセス許可の設定をポイントして、[理由] をクリックします。 新しいウィンドウが開きます。 そのアクセス許可の継承情報が示されます。
![[セキュリティ] ページ、Contributor ロール、アクセス許可](images/ms252477.alm_prm_viewwhy(vs.120).png "[セキュリティ] ページ、Contributor ロール、アクセス許可")
一部のオブジェクト レベルの [セキュリティ] ダイアログ ボックスには、継承の有効化/無効化のオプションがあります。 このオプションを使用すると、フォルダー、共有クエリ、および他のオブジェクトに関する継承を無効にすることができます。
.png "継承オプションが付いたセキュリティ ダイアログ ボックス")
アクセス許可の割り当て時にすべきこととすべきでないこと
すべきこと:
多くのユーザーを管理する場合は、Windows グループを使用します。
プロジェクトの作業項目クエリを作成して共有できるようにする必要のあるユーザーまたはグループに、投稿アクセス許可を付与することを検討してください。
多くのチームを追加する場合は、Team Administrators グループを TFS に作成して、プロジェクト管理者が使用可能なアクセス許可のサブセットをそのグループに割り当てることを検討します。
チームを追加する場合は、チーム リーダー、スクラム マスター、さらに区分パス、イテレーション パス、クエリを作成および修正する必要のあるチームの他のメンバーに、どのアクセス権限を割り当てるかを検討します。
すべきでないこと:
プロジェクト管理者グループに追加した閲覧者グループにアカウントを追加しないでください。 追加すると、いくつかのアクセス許可に [拒否] 状態が割り当てられることになります。
有効なユーザー グループの既定の割り当てを変更しないでください。 いずれかの有効ユーザー グループに対して [インスタンスレベル情報の表示] アクセス許可を削除するか、または [拒否] に設定した場合は、設定したグループに応じて、そのグループ内のどのユーザーも、チーム プロジェクト、コレクション、または配置にアクセスできなくなります。
‘サービス アカウントにのみ割り当てます’ と注記されているアクセス許可をユーザー アカウントに割り当てないでください。
サーバーレベルのアクセス許可
サーバー レベルのアクセス許可は、配置内のすべてのプロジェクトおよびコレクションに影響を与える可能性のあるアクセス許可を付与します。 サーバー レベルのアクセス許可は、Team Foundation 管理コンソールから、または TFSSecurity コマンド ライン ツールを使用して設定できます。
これらのアクセス許可は、Team Foundation 管理者などの、サーバー レベルのユーザーおよびグループに対して、およびユーザーが追加したサーバー レベルのカスタム グループに対して設定できます。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
SharePoint Web アプリケーションのサービス |
Team Foundation 管理者 |
Team Foundation Service アカウント |
|---|---|---|---|---|---|---|
ウェアハウスの管理 (メモ 1) |
管理 |
ウェアハウス |
ウェアハウス コントロール Web サービスを使用して、データ ウェアハウスまたは SQL Server Analysis キューブの処理または設定変更ができます。 |
.png "チェック マーク"){kind=icon} |
|
|
チーム プロジェクト コレクションの作成 |
CreateCollection |
CollectionManagement |
チーム プロジェクト コレクションを作成および管理できます。 |
|
|
|
チーム プロジェクト コレクションの削除 (メモ 2) |
DeleteCollection |
CollectionManagement |
配置からチーム プロジェクト コレクションを削除できます。 |
|
|
|
インスタンス レベル情報の編集 (メモ 3) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
サーバー |
TFS ユーザーおよびグループについてサーバー レベルのアクセス許可を編集したり、サーバー レベルのグループをコレクションに追加したり、コレクションから削除したりできます。 |
|
|
|
他のユーザーの代わりに要求 |
Impersonate |
サーバー |
他のユーザーまたはサービスの代わりに操作を実行できます。 サービス アカウントにのみ割り当てます。 |
|
|
|
イベントのトリガー |
TRIGGER_EVENT |
サーバー |
TFS アラート イベントをトリガーできます。 サービス アカウント、および Team Foundation 管理グループのメンバーにのみ割り当てます。 |
|
|
|
Web Access のすべての機能を使用 (メモ 4) |
FullAccess |
サーバー |
TWA のすべての機能を使用できます。 |
|
|
|
インスタンス レベル情報の表示 (メモ 5) |
GENERIC_READ |
サーバー |
サーバー レベルのグループのメンバーシップ、およびそれらのユーザーのアクセス許可を参照できます。 |
|
|
|
メモ:
データ ウェアハウスと Analysis Services キューブのリビルドや完全な処理を行うには、追加のアクセス許可が必要になる場合があります。
チーム プロジェクト コレクションを削除しても、コレクション データベースは SQL Server から削除されません。
インスタンス レベル情報の編集では、そのインスタンスに定義されているプロジェクト コレクションすべてにある定義済みチーム プロジェクトすべてに関して、以下のタスクを実行できます。
チームとすべてのチーム関連機能の追加と管理
区分およびイテレーションの作成および修正
チェックイン ポリシーの編集
共有作業項目クエリの編集
プロジェクトレベルおよびコレクション レベルのアクセス許可 ACL の編集
グローバル リストの作成と変更
イベント サブスクリプション (電子メールまたは SOAP) の編集。
[インスタンスレベル情報の編集] のアクセス許可をメニューから設定した場合、対象のユーザーには、バージョン管理のアクセス許可の変更も暗黙的に許可されます。 これらのすべてのアクセス許可をコマンド プロンプトで付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。
[Web Access のフル アクセス許可機能を使用] アクセス許可が [拒否] に設定されている場合、ユーザーには制限付きグループに対して許可されている機能だけが表示されます (「アクセス レベルの変更」を参照)。 [拒否] は暗黙的な許可よりも優先されます。 Team Foundation 管理者などの管理グループ メンバーのアカウントであっても同じです。
Team Foundation の有効ユーザー グループには、[インスタンスレベル情報の表示] アクセス許可も割り当てられます。
コレクション レベルのアクセス許可
コレクション レベルのアクセス許可は、コレクション全体に対するタスクへの権限を付与します。以下に示すユーザーまたはグループに設定できます。
プロジェクト コレクション管理者などのコレクション レベルのユーザーおよびグループ
コレクションに追加するプロジェクト レベルのグループ
コレクションに追加するカスタム グループ
コレクション レベルのアクセス許可は、コレクションの TWA 管理ページまたはTeam Foundation 管理コンソールから設定するか、TFSSecurity コマンド ライン ツールまたは tf コマンド ライン ツールを使用して設定できます。 すべてのアクセス許可は、それらが設定された特定のコレクションが対象範囲として指定されます。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
プロジェクト コレクション サービス アカウント |
プロジェクト コレクション ビルド サービス アカウント |
プロジェクト コレクション ビルド管理者 |
プロジェクト コレクション管理者 (メモ 1) |
|---|---|---|---|---|---|---|---|
ビルド リソースの管理のアクセス許可 |
AdministerBuildResourcePermissions |
BuildAdministration |
ビルド リソースのアクセス許可を変更できます。 |
|
|
|
|
Project Server の統合の管理 |
AdministerProjectServer |
ProjectServerAdministration |
TFS と Project Server の統合を構成して、2 つのサーバー製品の間でデータの同期を有効にできます。 |
|
|
||
シェルブされた変更の管理 |
AdminShelvesets tf: AdminShelvesets |
VersionControlPrivileges |
他のユーザーが作成したシェルブセットを削除できます。 |
|
|
|
|
ワークスペースの管理 |
AdminWorkspaces tf: AdminWorkspaces |
VersionControlPrivileges |
他のユーザーのためにワークスペースを作成したり、他のユーザーが作成したワークスペースを削除したりできます。 |
|
|
|
|
トレース設定の変更 |
DIAGNOSTIC_TRACE |
Collection |
TFS Web サービスに関するより詳細な診断情報を収集するためのトレースの設定を変更できます。 |
|
|||
ワークスペースの作成 (メモ 2) |
tf: CreateWorkspace |
VersionControlPrivileges |
バージョン管理ワークスペースを作成できます。 |
|
|
|
|
新規プロジェクトの作成 (メモ 3) |
CREATE_PROJECTS |
Collection |
チーム プロジェクト コレクションでプロジェクトを作成できます。 |
|
|||
チーム プロジェクトの削除 (メモ 4) |
削除 |
プロジェクト |
チーム プロジェクトを削除できます。 |
|
|||
コレクション レベル情報の編集 (メモ 5) |
GENERIC_WRITE tf: AdminConfiguration tf: AdminConnections |
Collection VersionControlPrivileges |
ユーザーとグループの追加、およびユーザーとグループのコレクション レベルのアクセス許可の編集ができます。 |
|
|
||
他のユーザーの代わりに要求 |
Impersonate |
サーバー |
他のユーザーまたはサービスの代わりに操作を実行できます。 サービス アカウントにのみ割り当てます。 |
|
|||
ビルド リソースの管理 |
ManageBuildResources |
BuildAdministration |
ビルド コンピューター、ビルド エージェント、およびビルド コントローラーを管理できます。 |
|
|
|
|
プロセス テンプレートの管理 |
MANAGE_TEMPLATE |
Collection |
プロセス テンプレートをダウンロード、作成、編集、およびアップロードできます。 |
|
|||
テスト コントローラーの管理 |
MANAGE_TEST_CONTROLLERS |
Collection |
テスト コントローラーを登録および登録解除できます。 |
|
|||
イベントのトリガー (メモ 6) |
TRIGGER_EVENT |
Collection |
コレクション内でプロジェクト アラート イベントをトリガーできます。 サービス アカウントにのみ割り当てます。 |
|
|
||
ビルド リソースの使用 |
UseBuildResources |
BuildAdministration |
ビルド エージェントを予約して割り当てることができます。 ビルド サービスのサービス アカウントにのみ割り当てます。 |
|
|
|
|
ビルド リソースの表示 |
ViewBuildResources |
BuildAdministration |
コレクションに構成されたビルド コントローラーおよびビルド エージェントを表示できますが、使用はできません。 |
|
|
|
|
コレクションレベル情報の表示 |
GENERIC_READ |
Collection |
コレクション レベルのグループのメンバーシップとアクセス許可を表示できます。 |
|
|
|
|
システムの同期情報の表示 |
SYNCHRONIZE_READ |
Collection |
同期アプリケーション プログラミング インターフェイスを呼び出すことができます。 サービス アカウントにのみ割り当てます。 |
|
|
メモ:
これに加えて、これらの TFS グループに対して次の既定の割り当てが与えられます。
プロジェクト コレクションの有効ユーザー グループ: ワークスペースの作成、ビルド リソースの表示、コレクション レベル情報の表示。
プロジェクト コレクション プロキシ サービス アカウント: ワークスペースの作成、ビルド リソースの表示、コレクション レベル情報の表示。
プロジェクト コレクション テスト サービス アカウント: ワークスペースの作成、テスト コントローラーの管理、ビルド リソースの表示、コレクション レベル情報の表示。
[ワークスペースの作成] アクセス許可は、プロジェクト コレクションの有効なユーザー グループ内のメンバーシップの一部として、すべてのユーザーに付与されます。
配置に応じて、追加のアクセス許可が必要となる場合があります。 さらに、新しいチーム プロジェクトの作成ウィザードを正常に完了するために、.管理者として Visual Studio または Team Explorer を実行する必要があります。
チーム プロジェクトを削除すると、プロジェクトに関連付けられたすべてのデータが削除されます。 プロジェクトが削除される前のポイントにコレクションを復元する以外に、チーム プロジェクトの削除を元に戻すことはできません。
コレクション レベル情報の編集では、そのコレクションに定義されているチーム プロジェクトすべてに関して、以下のタスクを実行できます。
チームとすべてのチーム関連機能の追加と管理
区分およびイテレーションの作成および修正
チェックイン ポリシーの編集
共有作業項目クエリの編集
プロジェクトレベルおよびコレクション レベルのアクセス許可 ACL の編集
グローバル リストの作成と変更
プロジェクト レベルまたはコレクション レベルのイベントに対するイベント サブスクリプション (電子メールまたは SOAP) の編集。
TWA で [コレクション レベル情報の編集] を [許可] に設定すると、ユーザーはコレクション レベルの TFS グループを追加または削除でき、これらのユーザーがバージョン管理のアクセス許可を変更するのを暗黙的に許可します。 これらのすべてのアクセス許可をコマンド プロンプトで付与するには、tf.exe Permission コマンドを使用して、AdminConfiguration および AdminConnections のアクセス許可と GENERIC_WRITE を付与する必要があります。
このアクセス許可を持つユーザーは、プロジェクト コレクション管理者などの組み込みのコレクション レベルのグループを削除できません。
このアクセス許可を他のユーザーに追加すると、サービス拒否攻撃が許可される可能性があります。
プロジェクト レベル、テスト レベル、およびオブジェクト レベルのアクセス許可
プロジェクトレベルのアクセス許可は、単一のプロジェクトのユーザーおよびグループに固有です。 プロジェクト内では、そのプロジェクトに作成されたオブジェクトに対してアクセス許可を設定できます。たとえば、区分、イテレーション、ソース管理フォルダー、クエリ、クエリ フォルダー、およびビルド定義などです。 チーム プロジェクトまたはコレクションに追加したユーザーおよびグループに、プロジェクト レベルおよびオブジェクト レベルのアクセス許可を設定できます。
これらの組み込みのプロジェクト レベルおよびコレクション レベルのグループには、既定の多くのアクセス許可が割り当てられます。
プロジェクト レベルのグループ: ビルダー、投稿者、プロジェクト管理者、および閲覧者
コレクション レベルのグループ: プロジェクト コレクション管理者、コレクション ビルド サービス アカウント、プロジェクト コレクション プロキシ サービス アカウント、およびプロジェクト コレクション テスト サービス アカウント
プロジェクト レベルおよびテスト レベルのアクセス許可
プロジェクト レベルのアクセス許可は、プロジェクトの TWA 管理ページから、または TFSSecurity コマンド ライン ツールを使用して設定できます。 すべてのプロジェクト レベルのアクセス許可は、それが設定される特定のチーム プロジェクトに関する承認をユーザーに付与します。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
ビルド管理者、投稿者、およびチーム |
プロジェクト管理者 (メモ 1) |
|---|---|---|---|---|---|
タグ定義の作成 |
Create |
タグ設定 |
作業項目フォームを使ってタグを追加できます。 |
|
|
テストの実行を作成 |
PUBLISH_TEST_RESULTS |
プロジェクト |
テスト結果を追加および削除でき、テストの実行を追加または変更できます。 |
|
|
チーム プロジェクトの削除 |
Del |
プロジェクト |
TFS からチーム プロジェクトを削除できます。 |
|
|
テストの実行を削除します |
DELETE_TEST_RESULTS |
プロジェクト |
スケジュールされたテストを削除できます。 |
|
|
プロジェクト レベル情報の編集 (メモ 2) |
GENERIC_WRITE |
プロジェクト |
ユーザーおよびグループに対するプロジェクト レベルのアクセス許可を編集できます。 |
|
|
テスト構成の管理 |
MANAGE_TEST_CONFIGURATIONS |
プロジェクト |
テスト構成を作成および削除できます。 |
|
|
テスト環境の管理 |
MANAGE_TEST_ENVIRONMENTS |
プロジェクト |
このアクセス許可が割り当てられたユーザーは、テスト環境を作成したり削除したりできます。 |
|
|
プロジェクトレベル情報を表示します |
GENERIC_READ |
プロジェクト |
プロジェクト レベルのグループのメンバーシップとアクセス許可を表示できます。 |
|
|
テストの実行を表示する |
VIEW_TEST_RESULTS |
プロジェクト |
チーム プロジェクト区分パスの下にあるテスト計画を表示できます。 |
|
|
メモ:
これに加えて、これらの TFS グループに対して次の既定の割り当てが与えられます。
リーダー: タグ定義の作成、プロジェクトレベル情報の表示、テスト実行の表示。
プロジェクト コレクション管理者: テストの実行の削除を除いて、プロジェクト管理者と同じアクセス許可
プロジェクト コレクション ビルド管理者: テストの実行の削除を除いて、プロジェクト管理者と同じアクセス許可
プロジェクト コレクション ビルド サービス アカウント: テスト実行の作成、テスト構成の管理、テスト環境の管理、プロジェクトレベル情報の表示、テスト実行の表示。
プロジェクト コレクション テスト サービス アカウント: テスト実行の作成、テスト構成の管理、テスト環境の管理、プロジェクトレベル情報の表示。
プロジェクトレベル情報の編集では、チーム プロジェクトに関する以下のタスクを実行することができます。
チームとすべてのチーム関連機能の追加と管理
区分およびイテレーションの作成および修正
チェックイン ポリシーの編集
共有作業項目クエリの編集
プロジェクトレベルのアクセス許可 ACL の編集
グローバル リストの作成と変更
プロジェクト レベルのイベントに対するイベント サブスクリプション (電子メールまたは SOAP) の編集。
ビルド レベルのアクセス許可
すべてのビルドまたは特定のビルド定義に対するビルドレベルのアクセス許可を設定するには、TWA またはチーム エクスプローラーのビルド定義に関するコンテキスト メニュー、または TFSSecurity コマンド ライン ツールを使用します。
アクセス許可名 (UI) |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
貢献者 |
ビルド定義作成者またはビルダー |
ビルド管理者 |
プロジェクト管理者 (メモ 1) |
|---|---|---|---|---|---|---|---|
ビルド管理のアクセス許可 |
AdministerBuildPermissions |
ビルド |
他のユーザーのビルド アクセス許可を管理できます。 |
|
|||
ビルド定義の削除 |
DeleteBuildDefinition |
ビルド |
このプロジェクトのビルド定義を削除できます。 |
|
|
|
|
ビルドの削除 |
DeleteBuilds |
ビルド |
完了したビルドを削除できます。 |
|
|
|
|
ビルドの破棄 |
DestroyBuilds |
ビルド |
完了したビルドを完全に削除できます。 |
|
|
||
ビルド定義の編集 (メモ 2) |
EditBuildDefinition |
ビルド |
このプロジェクトのビルド定義を作成または変更できます。 |
|
|
|
|
ビルドの品質を編集します |
EditBuildQuality |
ビルド |
チーム エクスプローラーまたは Team Web Access を通してビルドの品質に関する情報を追加できます。 |
|
|
|
|
ビルド品質評価の管理 |
ManageBuildQualities |
ビルド |
ビルドの品質を追加または削除できます。 |
|
|
||
ビルド キューの管理 |
ManageBuildQueue |
ビルド |
キューに入れられたビルドをキャンセル、優先順位を付け直す、または延期することができます。 |
|
|
||
ビルドによるチェックインの妥当性確認のオーバーライド (メモ 3) |
OverrideBuildCheckInValidation |
ビルド |
変更のシェルブとビルドをシステムにトリガーせずに、ゲート ビルド定義に影響を与える変更セットをコミットすることができます。 |
||||
ビルドをキューに挿入 |
QueueBuilds |
ビルド |
Team Foundation ビルド のインターフェイスを通して、または、コマンド プロンプトでビルドをキューに入れることができます。 また、キューに入っているビルドも停止できます。 |
|
|
|
|
無期限に保持 |
RetainIndefinitely |
ビルド |
どの適用可能な保持ポリシーによっても自動的に削除されないようにビルドにマークを付けることができます。 |
|
|
||
ビルドの停止 |
StopBuilds |
ビルド |
キューに入れられたビルドや他のユーザーが開始したビルドも含めて、進行中のすべてのビルドを停止できます。 |
|
|
||
ビルド情報の更新 |
UpdateBuildInformation |
ビルド |
ビルド情報ノードをシステムに追加することや、ビルドの品質評価に関する情報を追加することができます。 サービス アカウントにのみ割り当てます。 |
||||
ビルド定義の表示 |
ViewBuildDefinition |
ビルド |
チーム プロジェクト用に作成されたビルド定義を表示できます。 |
|
|
|
|
ビルドの表示 |
ViewBuilds |
ビルド |
このチーム プロジェクトのキューに入れられたビルドと完了したビルドを表示できます。 |
|
|
|
|
メモ:
これに加えて、これらの組み込みグループに対して次の既定の割り当てが与えられます。
閲覧者: ビルド定義の表示とビルドの表示。
プロジェクト コレクション管理者: ビルド情報の更新を除くすべてのアクセス許可。
プロジェクト コレクション ビルド管理者: ビルドによるチェックインの妥当性確認のオーバーライドとビルド情報の更新を除くすべてのアクセス許可。
プロジェクト コレクション ビルド サービス アカウント: ビルドの品質の編集、ビルド キューの管理、ビルド情報の更新、ビルドによるチェックインの妥当性確認のオーバーライド、ビルドをキューに挿入、ビルド定義の表示、およびビルドの表示。
プロジェクト コレクション テスト サービス アカウント: ビルド情報の更新、ビルド定義の表示、およびビルドの表示。
特定のビルド定義のアクセス許可を制御する場合には、ビルド定義の継承をオフにします。
継承をオンにすると、グループまたはユーザーのプロジェクト レベルで定義されているビルド アクセス許可にビルド定義は従います。 たとえば、カスタムのビルド マネージャー グループに、プロジェクト Fabrikam のビルドを手動でキューに入れるように設定されたアクセス許可があるとします。 プロジェクト Fabrikam に関して継承がオンになっているビルド定義すべてでは、ビルド マネージャー グループのメンバーはビルドを手動でキューに入れることができます。
ただし、プロジェクト Fabrikam に関して継承をオフにすると、特定のビルド定義のビルドを手動でキューに入れる操作をプロジェクト管理者だけに限定するアクセス許可を設定できます。 このようにすると、対象ビルド定義に特有のアクセス許可が設定できます。
ビルドによるチェックインの妥当性確認のオーバーライド アクセス許可は、ビルド サービス用のサービス アカウントとコードの品質に責任を持つビルド管理者に対してのみ割り当てます。 詳細については、「ゲート チェックイン ビルドによって制御されている保留中の変更内容のチェックイン」を参照してください。
作業項目クエリのアクセス許可
作業項目クエリ アクセス許可は、TWA またはチーム エクスプローラーからの共有クエリーのショートカットメニューから、または、TFSSecurity コマンド ライン ツールを使用して設定することができます。 すべてのアクセス許可は、それらが設定された特定のクエリまたはクエリ フォルダーが対象範囲として指定されます。
プロジェクトの作業項目クエリを作成して共有できるようにする必要のあるユーザーまたはグループに、投稿アクセス許可を付与することを検討してください。 クエリ グラフを作成するには、上級のアクセス許可が必要です。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
閲覧者、投稿者、ビルド管理者 |
作成所有者、プロジェクト管理者、プロジェクト コレクション管理者 |
|---|---|---|---|---|---|
投稿 |
CONTRIBUTE |
WorkItemQueryFolders |
このクエリまたはクエリ フォルダーを表示して変更できます。 |
|
|
削除 |
Del |
WorkItemQueryFolders |
クエリまたはクエリ フォルダーとその内容を削除できます。 |
|
|
権限の管理 |
MANAGEPERMISSIONS |
このクエリまたはクエリ フォルダーに対するアクセス許可を管理できます。 |
|
||
読み取り |
READ |
WorkItemQueryFolders |
クエリまたはフォルダー内のクエリを表示して使用できますが、クエリまたはクエリ フォルダーの内容を変更することはできません。 |
|
|
FullControl |
WorkItemQueryFolders |
クエリまたはクエリ フォルダーとその内容に対するアクセス許可を表示、編集、削除、および管理できます。 |
|
タグ設定のアクセス許可
タグを使用すると、作業項目のグループ分けや分類がすばやくできます。 タグ付けのアクセス許可は、TFS 2013.2 以降のバージョンがインストールされた内部設置型の TFS 配置で利用できます。 TWA 管理の [セキュリティ] ページで、タグ定義の作成を設定できます。 他のすべてのアクセス許可の設定には、TFSSecurity コマンド ライン ツールを使用します。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
読み取りユーザー |
貢献者 |
プロジェクト管理者 (メモ 1) |
|---|---|---|---|---|---|---|
タグ定義の作成 (メモ 2) |
CREATE |
タグ設定 |
新しいタグを作成して、それらを作業項目に割り当てることができます。 このアクセス許可のないユーザーは、チーム プロジェクトのタグの既存のセットから選択できるだけです。 |
|
|
|
タグ定義の削除 (メモ 3、4) |
Del |
タグ設定 |
そのプロジェクトに使用可能なタグのリストからタグを削除できます。 |
|
||
タグ定義の列挙 (メモ 4、5) |
ENUMERATE |
タグ設定 |
チーム プロジェクト内の作業項目に使用可能なタグのリストを表示できます。 このアクセス許可のないユーザーには、作業項目フォームまたはクエリ エディターで選択できるタグの一覧がありません。 |
|
|
|
タグ定義の更新 (メモ 4) |
UPDATE |
タグ設定 |
REST API を使用してタグの名前を変更できます。 |
|
|
メモ:
また、プロジェクト コレクション サービス アカウント グループには、すべてのタグ設定アクセス許可が明示的に割り当てられます。
リーダーと共同作成者は [タグ定義の作成] アクセス許可を継承します。このアクセス許可は、プロジェクトの有効ユーザー グループに関しては [許可] に明示的に設定されています。
[Create tag definition] (タグ定義の作成) のアクセス許可は、チーム プロジェクト レベルのセキュリティ設定に表示されますが、タグ設定のアクセス許可は実際には、ユーザー インターフェイスに表示されるときにプロジェクト レベルでスコープが設定される、コレクション レベルのアクセス許可です。 TFSSecurity コマンドの使用時に、タグ設定のアクセス許可のスコープを 1 つのチーム プロジェクトに設定するには、コマンド構文の一部としてプロジェクトの GUID を指定する必要があります。 スコープを設定しないと、変更はチーム プロジェクト コレクション全体に適用されます。 これらのアクセス許可を変更または設定するときは、この点に注意してください。
タグを削除するための UI サポートは存在しません。 タグを削除するには、そのタグに関連付けられた割り当てを削除します。 割り当て先のないタグは、使用されないまま 3 日間が経過すると、TFS によって自動的に削除されます。
UI には表示されません。設定に使用できるのは TFSSecurity コマンドだけです。
リーダーおよび共同作成者に関してプロジェクトレベル情報の表示を [許可] に設定すると、これらのグループのユーザーが、既存のタグを表示できるようになります ([タグ定義の列挙] アクセス許可)。
作業項目トラッキングの区分レベルのアクセス許可
区分レベルのアクセス許可は、区分ツリー階層における位置に基づいて、プロジェクト用に定義された作業項目へのアクセスを許可または制限します。
また、区分レベルのアクセス許可は、TWA 管理の区分用のページから、または、TFSSecurity コマンド ライン ツールを使用して定義または設定することができます。 すべてのアクセス許可は、それらが設定された特定の区分パスが対象範囲として指定されます。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
貢献者 |
ビルド管理者 |
プロジェクト コレクション ビルド サービス アカウント (メモ 1) |
|---|---|---|---|---|---|---|
子ノードの作成 (メモ 2) |
CREATE_CHILDREN |
CSS |
区分ノードを作成できます。 このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、子区分ノードを移動したり並べ替えたりできます。 |
|||
このノードの削除 (メモ 2) |
Del |
CSS |
このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、区分ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。 削除されたノードに子ノードがある場合、それらのノードも削除されます。 |
|||
このノードの編集 (メモ 2) |
GENERIC_WRITE |
CSS |
このノードのアクセス許可を設定したり、区分ノードの名前を変更したりできます。 |
|||
このノードの作業項目の編集 (メモ 3) |
WORK_ITEM_WRITE |
CSS |
この区分ノードの作業項目を編集できます。 |
|
|
|
テスト計画の管理 (メモ 4) |
MANAGE_TEST_PLANS |
CSS |
ビルド設定やテスト設定などのテスト計画プロパティを変更できます。 |
|
|
|
テスト スイートの管理 (メモ 4) |
MANAGE_TEST_SUITES |
CSS |
テスト スイートの作成と削除、テスト スイートに対するテスト ケースの追加と削除、テスト スイートに関連付けられたテスト構成の変更、およびスイート階層の変更 (テスト スイートの移動) を実行できます。 |
|
|
|
このノードのアクセス許可を表示します |
GENERIC_READ |
CSS |
このノードのセキュリティ設定を表示できます。 |
|
|
|
このノードの作業項目の表示 (メモ 5) |
WORK_ITEM_READ |
CSS |
この区分ノードの作業項目を表示できますが、変更はできません。 |
|
|
|
メモ:
これに加えて、これらの組み込みグループに対して次の既定の割り当てが与えられます。
リーダー: このノードに対するアクセス許可の表示、および表示専用アクセス許可。
プロジェクト コレクション テスト サービス アカウント: 表示専用アクセス許可。
Team Foundation 管理者、プロジェクト コレクション管理者、プロジェクト管理者: すべての CSS アクセス許可。 [インスタンスレベル情報の編集]、[コレクションレベル情報の編集]、または [プロジェクトレベル情報の編集] のアクセス許可を付与されているユーザーまたはグループは、区分ノードの作成および管理を実行できます。
プロジェクト コレクションの有効ユーザーまたはプロジェクトの有効ユーザーのメンバー、あるいは [コレクションレベル情報の表示] または [プロジェクトレベル情報の表示] アクセス許可を付与されているユーザーとグループは、任意の区分ノードのアクセス許可を表示できます。
区分ノードの削除、追加、または名前の変更をする必要のある手動で追加したユーザーまたはグループに、このアクセス許可を追加することを検討してください。
区分ノードの作業項目を編集する必要のある手動で追加したユーザーまたはグループに、このアクセス許可を追加することを検討してください。
テスト スイートの管理アクセス許可が TFS 2013.3 の更新で追加されました。 この区分ノードのテスト計画またはテスト スイートを管理する必要のある手動で追加したユーザーまたはグループに、これらのアクセス許可を追加することを検討してください。
[このノードの作業項目を表示します] を [拒否] に設定した場合、ユーザーはこの区分ノードの作業項目を表示できなくなります。 [拒否] は暗黙的な許可よりも優先されます。 Team Foundation 管理者などの管理グループ メンバーのアカウントであっても同じです。
作業項目トラッキングのイテレーション レベルのアクセス許可
イテレーションレベルのアクセス許可は、イテレーション パスを作成して管理するためのアクセスを許可または制限します。
また、イテレーションレベルのアクセス許可は、TWA 管理のイテレーション用のページから、または、TFSSecurity コマンド ライン ツールを使用して、チーム プロジェクトまたはコレクションに追加するユーザーとグループに対して設定できます。 すべてのアクセス許可は、それらが設定された特定のイテレーション パスに範囲指定されます。
作業項目トラッキングの操作には、複数のアクセス許可が必要なものもあります。 たとえば、ノードの削除には複数のアクセス許可が必要です。
チーム管理者、スクラム マスター、またはチーム リーダーに、ノードを作成、編集、または削除するためのアクセス許可を付与することを検討してください。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
プロジェクト管理者 (メモ 1) |
|---|---|---|---|---|
子ノードの作成 (メモ 2) |
CREATE_CHILDREN |
イテレーション |
イテレーション ノードを作成できます。 このアクセス許可と [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードを移動したり並べ替えたりできます。 |
|
このノードの削除 (メモ 2) |
Del |
イテレーション |
このアクセス許可と、別のノードに対する [このノードを編集します] のアクセス許可の両方を持つユーザーは、イテレーション ノードの削除と、削除したノードの既存の作業項目の再分類を実行できます。 削除されたノードに子ノードがある場合、それらのノードも削除されます。 |
|
このノードの編集 (メモ 2) |
GENERIC_WRITE |
イテレーション |
このノードに対するアクセス許可を設定したり、イテレーション ノードの名前を変更したりできます。 |
|
このノードのアクセス許可の表示 (メモ 3) |
GENERIC_READ |
イテレーション |
このノードのセキュリティ設定を表示できます。 |
|
メモ:
Team Foundation 管理者およびプロジェクト コレクション管理者には、すべてのイテレーション アクセス許可が付与されます。 [インスタンスレベル情報の編集]、[コレクションレベル情報の編集]、または [プロジェクトレベル情報の編集] のアクセス許可を付与されいるユーザーまたはグループは、イテレーション ノードの作成および管理を実行できます。
イテレーション ノードの削除、追加、または名前の変更をする必要のある手動で追加したユーザーまたはグループに、このアクセス許可を追加することを検討してください。
プロジェクト コレクションの有効ユーザーまたはプロジェクトの有効ユーザーのメンバー、あるいは [コレクションレベル情報の表示] または [プロジェクトレベル情報の表示] アクセス許可を持つユーザーとグループは、任意のイテレーション ノードのアクセス許可を表示できます。
Team Foundation バージョン管理 (TFVC) のアクセス許可
TFVC ソース コード ファイルとフォルダーに対するアクセス許可は、TWA またはチーム エクスプローラーのファイルまたはフォルダー定義のコンテキスト メニューから、または tf permission コマンド ライン ツールを使用して設定できます。 このアクセス許可は、TFVC をソース管理システムとして使用するようにセットアップしたチーム プロジェクトにのみ表示されます。
バージョン管理のアクセス許可では、管理者グループのアクセス許可よりも明示的な拒否の方が優先されます。
アクセス許可名 |
TFSSecurity 動作および tf perm |
TFSSecurity 名前空間 |
説明 |
貢献者 |
ビルド管理者 |
プロジェクト コレクション ビルド サービス アカウント |
プロジェクト管理者 (メモ 1) |
|---|---|---|---|---|---|---|---|
ラベルの管理 |
tf: LabelOther |
VersionControlItems |
他のユーザーが作成したラベルを編集または削除できます。 |
|
|||
チェックイン (メモ 2) |
tf: Checkin |
VersionControlItems |
項目をチェックインして、コミットされた変更セット コメントを修正できます。 保留中の変更は、チェックイン時にコミットされます。 |
|
|
|
|
別のユーザーの変更をチェックインする |
tf: CheckinOther |
VersionControlItems |
他のユーザーが行った変更をチェックインできます。 保留中の変更は、チェックイン時にコミットされます。 |
|
|
||
チェックアウト (メモ 2) |
tf: PendChange |
VersionControlItems |
フォルダー内の項目に対する保留中の変更をチェックアウトして実行できます。 保留中の変更には、ファイルの追加、編集、名前の変更、削除、削除取り消し、分岐、マージなどが含まれます。 保留中の変更もチェックインする必要があるので、ユーザーはチームと変更を共有するための [チェックイン] アクセス許可も必要になります。 |
|
|
|
|
[ラベル] |
tf: Label |
VersionControlItems |
項目にラベルを付けることができます。 |
|
|
|
|
ロック |
tf: Lock |
VersionControlItems |
フォルダーまたはファイルをロックまたはロック解除できます。 |
|
|
|
|
分岐の管理 |
tf: ManageBranch |
VersionControlItems |
そのパス内のフォルダーを分岐に変換することや、分岐に対するプロパティの編集、親の再設定、およびフォルダーへの変換のアクションを実行することができます。このアクセス許可を持っているユーザーは、対象のパスに対するマージ アクセス許可も持っている場合にのみ、この分岐を分岐させることができます。 ユーザーは、[分岐の管理] のアクセス許可を持たない分岐から分岐を作成することはできません。 |
|
|
||
アクセス許可の管理 (メモ 3) |
tf: AdminProjectRights |
VersionControlItems |
バージョン管理のフォルダーとファイルに対する他のユーザーのアクセス許可を管理できます。 |
|
|||
マージ (メモ 4) |
tf: Merge |
VersionControlItems |
変更をこのパスにマージできます。 |
|
|
|
|
読み取り |
tf: Read |
VersionControlItems |
ファイルまたはフォルダーの内容を読み取ることができます。 フォルダーに対して [読み取り] のアクセス許可を持つユーザーは、フォルダー内のファイルを開くためのアクセス許可を持っていなくても、そのフォルダーの内容と、フォルダーに含まれているファイルのプロパティを確認できます。 |
|
|
|
|
他のユーザーの変更を編集 (メモ 5) |
tf: ReviseOther |
VersionControlItems |
他のユーザーがチェックインしたファイルであっても、それに対するコメントを編集できます。 |
|
|||
他のユーザーの変更を元に戻す (メモ 5) |
tf: UndoOther |
VersionControlItems |
他のユーザーが行なった保留中の変更を元に戻すことができます。 |
|
|||
他のユーザーの変更のロック解除 (メモ 5) |
tf: UnlockOther |
VersionControlItems |
他のユーザーがロックしたファイルをロック解除できます。 |
|
メモ:
これに加えて、プロジェクト コレクション管理者とプロジェクト コレクション サービス アカウントには、継承された許可としてすべてのアクセス許可が設定されます。
閲覧者グループには、表示専用アクセス許可、つまり読み取りが割り当てられます。
プロジェクトの開発に参加している手動で追加したユーザーまたはグループ、変更のチェックインとチェックアウトを可能にする必要のあるユーザー、フォルダー内の項目に対する保留中の変更を実行可能にする必要のあるユーザー、コミットされた変更セットのコメントを修正可能にする必要のあるユーザーに、これらのアクセス許可を追加することを検討してください。
プロジェクトが制限の厳しい開発手法を採用している場合を除き、プロジェクトの開発に参加している手動で追加したユーザーまたはグループ、およびプライベートな分岐を作成できる必要のある手動で追加したユーザーまたはグループに、このアクセス許可を追加することを検討してください。
プロジェクトが制限の厳しい開発手法を採用している場合を除き、プロジェクトの開発に参加している手動で追加したユーザーまたはグループ、およびソース ファイルをマージできる必要のある手動で追加したユーザーまたはグループに、このアクセス許可を追加することを検討してください。
プロジェクトの監督または監視を担当している手動で追加したユーザーまたはグループ、およびチェックイン済みのファイル (他のユーザーがチェックインしたファイルも含む) に対するコメントを変更する可能性がある、または、変更しなければならない手動で追加したユーザーまたはグループに、このアクセス許可を追加することを検討してください。
Git リポジトリのアクセス許可
Git プロジェクト、リポジトリ、または分岐に対するアクセス許可を、コンテキスト メニューから、または TWA の管理ページから、あるいは TFSSecurity コマンド ライン ツールlを使用して、設定できます。 このアクセス許可は、Git をソース管理システムとして使用するようにセットアップされたチーム プロジェクトにのみ表示されます。
プロジェクトまたはリポジトリに対するすべてのアクセス許可を設定できます。 分岐に対して、管理、投稿、および履歴の書き換えと破棄 (強制プッシュ) のアクセス許可を設定できます。 リポジトリと分岐は、プロジェクト レベルで行われた割り当てから、アクセス許可を継承します。
既定で、プロジェクトレベルとコレクションレベルのリーダー グループには読み取りアクセス許可しか付与されません。
アクセス許可名 |
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
貢献者 |
ビルド管理者 |
プロジェクト管理者 (メモ 1) |
|---|---|---|---|---|---|---|
管理 (メモ 2) |
管理 |
GitRepositories |
リポジトリの名前を変更したり、新しいリポジトリを追加したり、データベースを検証したり、分岐に対するアクセス許可を設定したりできます。 このアクセス許可を持つユーザーが、強制アクセス許可も持っている場合は、リポジトリを削除できます。 分岐レベルでは、分岐に対するアクセス許可の設定と、分岐の削除が可能です。 |
|
||
分岐の作成 |
CreateBranch |
GitRepositories |
リポジトリで分岐を発行できます。このアクセス許可がなくても、ユーザーはローカル リポジトリで分岐を作成できます。このアクセス許可は、サーバーへのローカル分岐の発行を制限するだけです。ユーザーがサーバー上で新しい分岐を作成すると、既定で、その分岐に対する管理、投稿、および強制のアクセス許可が付与されます。 |
|
|
|
投稿 |
GenericContribute |
GitRepositories |
変更をリポジトリにプッシュできます。 分岐レベルでは、変更を分岐にプッシュできます。 |
|
|
|
メモの管理 |
ManageNote |
GitRepositories |
Git メモをリポジトリにプッシュして編集できます。強制アクセス許可を持っている場合は、項目からメモを削除することもできます。メモの詳細については、こちらのトピックを参照してください。 |
|
|
|
読み取り |
GenericRead |
GitRepositories |
リポジトリの内容を複製、フェッチ、プル、および探索できますが、加えた変更をリポジトリにプッシュすることはできません。 |
|
|
|
履歴の書き換えと破棄 (強制プッシュ) |
ForcePush |
GitRepositories |
更新を強制できます。すべてのユーザーからのコミットが上書きまたは破棄されます。 コミットを削除すると、履歴が変更されます。 このアクセス許可がないと、ユーザーは自分自身が行った変更を破棄できません。 履歴の書き換えと破棄は、分岐を削除する場合にも必要です。 履歴の書き換えと破棄によって、ユーザーは履歴を変更したり、履歴からコミットを削除したりできるため、このアクセス許可を持つユーザーは、サーバーから変更および変更の履歴を削除できます。 ????????????????????????????????? 分岐レベルでは、分岐の履歴を書き換えおよび破棄できます。 |
|||
タグの作成 |
CreateTag |
GitRepositories |
タグをリポジトリにプッシュできます。強制アクセス許可を持っている場合は、タグを編集したり、項目から削除したりすることもできます。 |
|
|
|
メモ:
プロジェクト コレクション管理者とプロジェクト コレクション サービス アカウントの場合、すべてのアクセス許可に関して、継承が許可に設定されます。
閲覧者グループとプロジェクト コレクション ビルド サービス アカウント グループには、表示専用アクセス許可の読み取りが割り当てられます。
プロジェクトの開発に参加している手動で追加したユーザーまたはグループに、すべてのアクセス許可を追加することを検討してください。
Lab Management のアクセス許可
Visual Studio Lab Management のアクセス許可は、仮想マシン、環境、および他のリソースに固有です。 また、Lab Management 内のオブジェクトの作成者には、自動的にそのオブジェクトに対するすべてのアクセス許可が付与されます。 これらのアクセス許可は、TFSLabConfig permissions コマンド ライン ツールを使用して設定できます。
既定で、プロジェクトレベルとコレクションレベルのリーダー グループにはラボ リソースの表示 (読み取り) アクセス許可しか付与されません。
アクセス許可名 |
TFSLabConfig perm |
説明 |
投稿者 (メモ 1) |
プロジェクト管理者 |
プロジェクト コレクション ビルド サービス |
Team Foundation 管理者、プロジェクト コレクション管理者 |
|---|---|---|---|---|---|---|
環境と仮想マシンの削除 |
削除 |
環境とテンプレートを削除できます。 削除するオブジェクトに対してアクセス許可がチェックされます。 |
|
|
||
ラボの場所の削除 |
DeleteLocation |
Lab Management リソースの場所を削除できます。この場所には、コレクション ホスト グループ、コレクション ライブラリ共有、プロジェクト ホスト グループ、およびプロジェクト ライブラリ共有が含まれます。 場所を削除するには、その場所に対する [ラボの場所の削除] のアクセス許可が必要です。 |
|
|
||
環境と仮想マシンの編集 |
Edit |
環境とテンプレートを編集できます。 編集するオブジェクトに対してアクセス許可がチェックされます。 |
|
|
|
|
環境の操作 |
EnvironmentOps |
環境でのスナップショットの開始、停止、一時停止、管理、および環境での他の操作の実行ができます。 |
|
|
||
仮想マシンのインポート |
Create |
VMM ライブラリ共有から仮想マシンをインポートできます。このアクセス許可は、Lab Management でオブジェクトを作成するだけで、Virtual Machine Manager ホスト グループとライブラリ共有には何も書き込まないため、書き込みとは異なります。 |
|
|
|
|
子権限の管理 |
ManageChildPermissions |
すべての子 Lab Management オブジェクトのアクセス許可を変更できます。 たとえば、ユーザーがチーム プロジェクト ホスト グループに対して [子権限の管理] を持っている場合、ユーザーはそのチーム プロジェクト ホスト グループにあるすべての環境のアクセス許可を変更できます。 |
|
|
||
ラボの場所の管理 |
ManageLocation |
Lab Management リソースの場所を編集できます。この場所には、コレクション ホスト グループ、コレクション ライブラリ共有、プロジェクト ホスト グループ、およびプロジェクト ライブラリ共有が含まれます。 特定の場所を編集するには、その場所に対する [ラボの場所の管理] のアクセス許可が必要です。 コレクション レベルの場所 (コレクション ホスト グループとコレクション ライブラリ共有) に対してこのアクセス許可があると、プロジェクト レベルの場所 (プロジェクト ホスト グループとプロジェクト ライブラリ共有) を作成できます。 |
|
|
||
権限の管理 |
ManagePermissions |
Lab Management オブジェクトに対するアクセス許可を変更できます。 このアクセス許可は、アクセス許可を変更するオブジェクトに対してチェックされます。 |
|
|||
スナップショットの管理 |
ManageSnapshots |
スナップショットの取得、スナップショットへの復元、スナップショットの名前変更、スナップショットの削除、スナップショットの読み取りなど、環境のすべてのスナップショット管理タスクを実行できます。 |
|
|
|
|
環境の一時停止 |
Pause |
環境を一時停止できます。 |
|
|
|
|
[開始] |
[開始] |
環境を開始できます。 |
|
|
|
|
Stop |
Stop |
環境を停止できます。 |
|
|
|
|
ラボ リソースの表示 |
読み取り |
さまざまな Lab Management リソースに関する情報を表示できます。これには、コレクション ホスト グループ、プロジェクト ホスト グループ、および環境が含まれます。 特定のラボ リソースの情報を参照するには、そのリソースに対する [ラボ リソースの表示] のアクセス許可が必要です。 |
|
|
|
|
環境と仮想マシンの書き込み |
Write |
プロジェクト ホスト グループの環境を作成できます。 プロジェクト ライブラリ共有に対してこのアクセス許可を持つユーザーは、環境およびテンプレートを保存できます。 |
|
|
|
|
メモ:
- リーダー グループには、表示専用アクセス許可、つまり読み取りが割り当てられます。
リリース管理のアクセス許可
リリース管理では、ユーザーに割り当てられたロール、グループに割り当てられた明示的な機能のアクセス許可、またはリリース オブジェクトの特定のインスタンスに割り当てられたアクセス許可に基づいて、アクセス許可を割り当てることができます。 また、リリース パス内の特定のステージに承認者と検証者を割り当てて、配置されるアプリケーションが品質基準を満たしていることを確認することができます。
ロール ベース: 2 つのロールは、サービス リリース マネージャーとサービス ユーザーです。 リリース マネージャーは、リンク先のグループに関係なく、すべての機能を管理できます。 サービス ユーザーは、サービス アカウント ロールに対応します。 ユーザーのアクセスを制限するには、ユーザーをロールに割り当てないでください。 代わりに、リンク先のグループに割り当てられているアクセス許可を継承させます。
グループ: 特定の機能領域へのアクセスを制限するには、そのグループが与えるアクセス許可を割り当てます。 そのグループのメンバーは、グループに割り当てられているアクセス許可を継承します。 アクセスを制限するには、既定ですべてのアクセス許可がある [全員] グループに付与されているアクセス許可を変更する必要があります。
オブジェクト: ロールおよびグループに加えて、リリース パスおよびリリース テンプレートのセキュリティを編集、表示、および管理するためのアクセスを制限できます。 これは、リリース パスの [セキュリティ] タブとリリース テンプレートの [プロパティ] ページを使用して行います。
承認者と検証者: 承認者と検証者は、リリースの各ステップまたはステージでサインオフする必要があります。 リリース パスを設定するとき、承認者と検証者を割り当てます。 すべての承認者と検証者は、リリース管理でユーザーまたはグループのメンバーとして追加する必要があります。
リリース管理では 1 つの既定のグループ、[全員] が定義されます。リリース管理に追加するすべてのアカウントはこのグループに所属します。 また、特定のアクセス許可は、リリース マネージャーおよびサービス ユーザー ロールに割り当てられます。
リリース管理クライアントから、リリース管理のアクセス許可を管理します。 [Where set] (設定) 列に表示されるサブメニューを開くと、これらのアクセス許可を設定できます。 これらのアクセス許可を設定する方法の詳細については、「リリース管理へのユーザーとグループ、および制御アクセスの追加」を参照してください。 リリース管理をインストールするには、ここにアクセスします。
アクセス許可名またはユーザー ロール |
[Where set] (設定) |
説明 |
全員 |
リリース マネージャー ロール |
サービス ユーザー ロール |
|---|---|---|---|---|---|
リリース マネージャー |
[管理] > [My Profile and New User (マイ プロファイルと新しいユーザー)] ページ |
リリース管理サーバーを管理したり、TFS とリリース管理間の接続を管理したり、次のオブジェクトを管理したりできます。
追加を検討する対象: リリース管理サーバーを管理するユーザー。 |
|
||
サービス ユーザー |
[管理] > [My Profile and New User (マイ プロファイルと新しいユーザー)] ページ |
配置または Web アプリケーション プールを管理できます。 追加を検討する対象: サーバー アプリケーション プール、配置エージェントの Windows サービス、および Windows サービスのリリース管理監視を実行するために割り当てられるサービス アカウントの ID。 |
|
||
ビュー |
[アプリの構成] > [リリース テンプレート] > [プロパティ] [パスの構成] > [リリース パス] |
リリース テンプレートまたはリリース パスを表示でき、および特定のリリース テンプレートおよびリリース パスへの表示アクセスを特定のユーザーに選択的に割り当てることができます。 追加を検討する対象: 特定のリリース テンプレートまたはリリース パスを表示する必要があるが、編集する必要はないユーザーまたはグループ。 |
|
|
|
Edit |
[アプリの構成] > [リリース テンプレート] > [プロパティ] [パスの構成] > [リリース パス] |
リリース テンプレートまたはリリース パスを編集したり、特定のリリース テンプレートと、特定のユーザーへのリリース パスを編集可能なユーザーを選択したりできます。 追加を検討する対象: 特定のリリース テンプレートまたはリリース パスを編集する必要があるユーザーまたはグループ。 |
|
|
|
リリースできる |
[アプリの構成] > [リリース テンプレート] > [プロパティ] |
リリースを開始したり、表示可能なリリース テンプレートからリリースを開始できるユーザーを指定したりできます。 追加を検討する対象: リリースを開始するユーザーまたはグループ。 このアクセス許可があると、表示できるリリース テンプレートからリリースを開始できるユーザーを指定することができます。 |
|
|
|
セキュリティの管理 |
[アプリの構成] > [リリース テンプレート] > [プロパティ] [パスの構成] > [リリース パス] |
どのグループがリリース テンプレートまたはリリース パスを表示、編集、または管理するためのアクセス許可を持つかを管理できます。 追加を検討する対象: どのグループがリリース テンプレートまたはリリース パスを表示、編集、または管理するためのアクセス許可を持つかを管理するユーザーまたはグループ。 このアクセス許可があると、リリース テンプレートおよびリリース パスの作成者は、特定のテンプレートまたはパスを表示、編集、またはリリースできるユーザーを制御できます。 |
|
|
|
リリース テンプレートを作成できる |
[アプリの構成] > [リリース テンプレート] |
リリース テンプレートを定義できます。 このアクセス許可がない場合は、[アプリの構成] > [リリース テンプレート] タブの [新規作成] ボタンが非表示になります。 追加を検討する対象: リリースを作成、開始、または承認する必要があるユーザーまたはグループ。 |
|
|
|
リリース パスを作成できる |
[パスの構成] > [リリース パス] |
リリース パスのステージ、承認プロセス、およびセキュリティを定義できます。 このアクセス許可がない場合は、[パスの構成] > [リリース パス] タブの [新規作成] ボタンが非表示になります。 追加を検討する対象: アプリケーションの配置で使用されるリリース構成を管理する必要があるユーザーまたはグループ。 |
|
|
|
環境を管理できる |
[パスの構成] > [環境] |
リリース パスを構成するステージと各ステージのサーバーとセキュリティを定義できます。 このアクセス許可がない場合は、[パスの構成] > [環境] タブが非表示になります。 追加を検討する対象: リリース パスを定義するために使用されるサーバーおよび環境を管理する必要があるユーザーまたはグループ。 |
|
|
|
サーバーを管理できる |
[パスの構成] > [サーバー] |
システムにアプリケーションを配置するためのリリース パスを定義できます。 このアクセス許可は、テストするアプリケーション、ステージ、および運用サーバーを配置するためのサーバー使用の定義へのアクセスをサポートします。 このアクセス許可がない場合は、[パスの構成] > [サーバー] タブが非表示になります。 追加を検討する対象: システムにアプリケーションを配置するためのリリース パスを定義するユーザーまたはグループ。 このアクセス許可は、テストするアプリケーション、ステージ、および運用サーバーを配置するために使用されるサーバーの定義へのアクセスをサポートします。 |
|
|
|
インベントリを管理できる |
[インベントリ] > [Actions and Tools (アクションおよびツール)] |
システムにアプリケーションを配置するためのカスタム ツールまたはアクションを定義できます。 このアクセス許可を使用すると、ユーザーはアクションおよびツールを表示、編集、作成できます。 「Release Management 用のアプリを配置するためのリリース アクション」を参照してください。 このアクセス許可がない場合、[インベントリ] タブは非表示になります。 追加を検討する対象: システムにアプリケーションを配置するためのカスタム ツールまたはアクションを定義するユーザーまたはグループ。 このアクセス許可があると、アプリケーションの配置で使用されるアクションおよびツールを表示、編集、および作成できます。 |
|
|
|
アクションおよびコンポーネントでカスタム ツールを使用可能 |
[アプリの構成] > [コンポーネント] > [配置] [アプリの構成] > [リリース テンプレート] > [コンポーネント] > [配置] |
[ツールなし] が選択されている場合に、[コマンド] フィールドと [引数] フィールドを編集できます。 このアクセス許可がない場合、ユーザーはこれらのフィールドを編集できません。 追加を検討する対象: リリース パスまたはリリース テンプレートを定義するか、リリースを開始するユーザーまたはグループ。 これがあると、[ツールなし] が選択されているときに "コマンド" および "引数" フィールドを編集できます。 |
|
|
|
値とターゲット サーバーの編集 |
[アプリの構成] > [リリース テンプレート] |
特定のリリースまたはステージの配置シーケンスと構成変数を編集できます。 このアクセス許可がない場合、ステージ情報は読み取り専用です。 追加を検討する対象: リリース パスまたはリリース テンプレートを定義するか、リリースを開始するユーザーまたはグループ。 これがあると、特定のリリースまたはステージの配置シーケンスと構成変数を編集できます。 |
|
|
|
承認と環境の編集 |
[パスの構成] > [リリース パス] > [ステージ] |
特定のステージの承認と環境を編集できます。 このアクセス許可がない場合、ステージ情報は読み取り専用です。 追加を検討する対象: リリース パスまたはリリース テンプレートを定義するユーザーまたはグループ。 これがあると、特定のステージの承認および環境を編集できます。このアクセス許可がないと、ステージ情報は読み取り専用です。 |
|
|
|
Q & A
Q: アクセス許可とアクセス レベルの違いは何ですか。
A: TFS の機能の中には、適切なライセンス レベルを持っているユーザーしか利用できないものがあります。 それらの機能へのアクセスは、アクセス許可ではなく、Team Web Access のライセンス グループのメンバーシップによって制御されます。 「アクセス レベルの変更」を参照してください。
Q: チーム管理者に割り当てられるアクセス許可は何ですか。
A:: チーム管理者には、ここに記載されている複数のロールベースのアクセス許可が付与されます。
Q: 警告に関連付けられているアクセス許可は何ですか。
A: TWA を介して定期受信できる警告に関連付けられている UI アクセス許可はありません。
既定では、すべての共同作成者は自身のために警告を定期受信できます。 プロジェクト コレクション管理者およびプロジェクト管理者、または [コレクションレベル情報の編集] あるいは [プロジェクトレベル情報の編集] アクセス許可を持つユーザーまたはグループ メンバーは、他のユーザーまたはチームの警告を設定できます。
警告のアクセス許可は、TFSSecurity をコレクション レベルで使用して管理できます。 Team Foundation イベント サービスは、柔軟性と拡張性と実現するように設計されています。
TFSSecurity 動作 |
TFSSecurity 名前空間 |
説明 |
プロジェクト コレクション管理者およびプロジェクト コレクション サービス アカウント |
|---|---|---|---|
CREATE_SOAP_SUBSCRIPTION |
EventSubscription |
SOAP ベースの Web サービス サブスクリプションを作成できます。 |
|
GENERIC_READ |
EventSubscription |
チーム プロジェクトに定義されているサブスクリプション イベントを表示できます。 |
|
GENERIC_WRITE |
EventSubscription |
他のユーザーまたはチーム用の警告を作成できます。 |
|
UNSUBSCRIBE |
EventSubscription |
イベント サブスクリプションの定期受信を解除できます。 |
|
Q: グループを参照する機能またはツールは他にありますか。
A: 次の機能が、組み込み TFS グループとカスタム (ユーザーが作成した) TFS グループを参照します。
Q: 有効なユーザーとは何ですか。有効なユーザー グループにはどのようにメンバーを設定しますか。
A: ユーザーのアカウントを直接 TFS グループに追加する、または Windows グループを通して追加すると、それらが自動的に有効なユーザー グループのいずれかに追加されます。
Server\Team Foundation の有効なユーザー: サーバーレベルのグループに追加されたすべてのメンバー。
ProjectCollectionName\プロジェクト コレクションの有効なユーザー: プロジェクトコレクション レベル グループに追加されたすべてのメンバー。
TeamProjectName\プロジェクトの有効なユーザー: プロジェクトレベル グループに追加されたすべてのメンバー。
これらのグループに割り当てられた既定のアクセス許可は、主に、ビルド リソースの表示、プロジェクトレベル情報の表示、コレクションレベル情報の表示などの読み取りアクセスに制限されます。
これは、1 つのチーム プロジェクトに追加したすべてのユーザーが 1 つのコレクション内の他のチーム プロジェクトのオブジェクトを表示できることを意味します。 表示アクセスを制限する必要がある場合は、区分パス ノードを通して制限を設定することができます。 その他の方法については、「関数およびタスクへのアクセスの制限」を参照してください。
いずれかの有効ユーザー グループに対して [インスタンスレベル情報の表示] アクセス許可を削除するか、または [拒否] に設定した場合は、設定したグループに応じて、そのグループ内のどのユーザーも、チーム プロジェクト、コレクション、または配置にアクセスできなくなります。
加えて、VALIDUSER 要素を使用して、作業項目トラッキングに対するアクセスを許可または制限することができます。
Q: レポートまたはプロジェクト ポータルにアクセスするためのアクセス許可はどのように管理すればいいですか。
A: TFS のユーザーに Reporting Services および SharePoint 製品 でアクセス許可を設定する方法の詳細については、「チーム プロジェクト コレクションの管理アクセス許可の設定」と「Team Foundation Server の管理アクセス許可の設定」を参照してください。
カスタム グループの作成、リソースへのアクセスを制御するためのアクセス許可とその他のオプションを構成する方法の詳細例については、「関数およびタスクへのアクセスの制限」を参照してください。