Compartilhar via


Recursos concedidos aos membros do projeto

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019 | TFS 2018

Um projeto de DevOps do Azure é um contêiner e um limite de segurança para seus ativos de desenvolvimento de software: itens de trabalho, código, compilações, etc. Quando adiciona alguém como membro de um projeto, também está a confiar nessa pessoa alguns privilégios adicionais. Um membro do projeto tem acesso a recursos no nível da organização e grupos (ou escopos) adicionais além do projeto. Se alguém ainda não for membro da sua organização, ao adicioná-lo a um projeto, você implicitamente concederá a ele esse acesso adicional.

Nota

Se o recurso de visualização Limitar a visibilidade e a colaboração do usuário a projetos específicos estiver habilitado para a organização, os usuários adicionados ao grupo Usuários com escopo do projeto não poderão acessar projetos aos quais não foram adicionados. Para obter mais informações e chamadas importantes relacionadas à segurança, consulte Gerenciar sua organização, Limitar a visibilidade do usuário para projetos e muito mais.

Grupos e âmbitos adicionais

Nos bastidores, um membro do projeto pertence a um ou mais grupos de segurança relacionados ao projeto, como "Usuários válidos do projeto" e "Colaboradores do projeto". Essa pessoa também é membro de um grupo no nível da organização conhecido como "Usuários válidos da coleção de projetos". Além disso, a identidade dessa pessoa aparece no serviço de identidade que apoia a organização. As contas de usuário apoiadas pelo Microsoft Entra ID podem ter identidades nativas ou identidades de convidado, que concedem diferentes níveis de acesso.

Recursos ao nível da organização

Os membros do projeto têm acesso a recursos além do projeto específico. Esses recursos incluem aqueles definidos no nível da organização (nuvem) ou no nível de coleta de projetos (local):

  • Informações sobre outros membros, incluindo o seu endereço de e-mail e outros detalhes de contacto, que estão ocultas a não-membros.

  • A área Configurações, incluindo grupos de segurança e permissões.

  • Todas as extensões instaladas.

  • Processar metadados de todos os processos na organização, o que inclui os tipos de item de trabalho, seus campos e itens da lista de opções. Os itens da lista de opções podem mostrar informações confidenciais, como datas de lançamento, conforme mostrado na imagem a seguir:

    Edit field release in feature

  • Quando o OM do cliente WIT é usado, o que inclui o uso da integração do Excel e do Visual Studio, ele armazena informações confidenciais em um cache no disco local. Esse cache inclui os metadados de todos os processos na organização e as identidades e associações de grupo de todos os membros da organização.

  • Quando um usuário é adicionado ao grupo Administradores de compilação no nível do projeto, ele tem a capacidade de criar pipelines que são executados com o escopo da coleção de projetos (em toda a conta). Um pipeline com escopo de coleção de projeto pode acessar recursos em outro projeto, como repositórios Git, que o usuário não pode. (Você pode alterar isso removendo o permissão de Ler do Project Collection Build Service).

A decisão de confiança

Estes recursos e grupos são necessários para o bom funcionamento de um membro de um projeto. Seus colaboradores geralmente são colegas e outras pessoas com quem você tem um relacionamento existente. Antes de adicionar alguém de fora desse grupo confiável, pense cuidadosamente se ele deve ter acesso aos itens mencionados anteriormente.