Kom igång med behörigheter och åtkomst

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

I den här artikeln får du lära dig hur du kan hantera åtkomstnivåer och behörigheter via arv, säkerhetsgrupper, roller med mera i Azure DevOps. Kom igång genom att förstå följande viktiga begrepp.

• Om behörigheter:

  • Alla användare som läggs till i Azure DevOps läggs till i en eller flera standardsäkerhetsgrupper.
  • Säkerhetsgrupper tilldelas behörigheter som antingen tillåter eller nekar åtkomst till en funktion eller uppgift.
  • Medlemmar i en säkerhetsgrupp ärver de behörigheter som tilldelats gruppen.
  • Behörigheter definieras på olika nivåer: organisation/samling, projekt eller objekt.
  • Andra behörigheter hanteras via rollbaserade tilldelningar, till exempel teamadministratör, tilläggshantering och olika pipelineresursroller.
  • Administratörer kan definiera anpassade säkerhetsgrupper för att hantera behörigheter för olika funktionella områden.

• Om åtkomstnivåer:

  • Alla användare som läggs till i Azure DevOps tilldelas till en åtkomstnivå, vilket ger eller begränsar åtkomsten till att välja webbportalfunktioner.
  • Det finns tre huvudsakliga åtkomstnivåer: Intressent-, Basic- och Basic + Test-planer.
  • Intressentåtkomst ger kostnadsfri åtkomst till ett obegränsat antal användare till en begränsad uppsättning funktioner. Mer information finns i Snabbreferens för intressentåtkomst.

• Om förhandsversionsfunktioner:
  • När nya funktioner introduceras kan användarna aktivera eller inaktivera dem via förhandsversionsfunktioner för att få åtkomst till dem.
  • En liten delmängd av nya funktioner hanteras på organisationsnivå och aktiveras eller inaktiveras av organisationsägare.

Till exempel läggs de flesta Azure DevOps-användare till i säkerhetsgruppen Deltagare och beviljas grundläggande åtkomstnivå. Gruppen Deltagare ger läs- och skrivåtkomst till lagringsplatser, arbetsspårning, pipelines med mera. Grundläggande åtkomst ger åtkomst till alla funktioner och uppgifter för att använda Azure Boards, Azure Repos, Azure Pipelines och Azure Artifacts. Användare som behöver åtkomst för att hantera Azure-testplaner måste beviljas grundläggande och testplaner eller avancerad åtkomst.

Administratörer bör läggas till i gruppen Projektsamlingsadministratörer eller Projektadministratörer. Administratörer hanterar säkerhetsgrupper och behörigheter från webbportalen, främst från Projektinställningar. Deltagare hanterar även behörigheter för objekt som de skapar från webbportalen.

En översikt över standardbehörigheter finns i Snabbreferens för standardbehörigheter.

Säkerhetsgrupper och medlemskap

När du skapar en organisation, samling eller ett projekt skapar Azure DevOps en uppsättning standardsäkerhetsgrupper som automatiskt tilldelas standardbehörigheter. Fler säkerhetsgrupper definieras med följande åtgärder:

• När du skapar anpassade säkerhetsgrupper på följande nivåer:
  • Projektnivå
  • Organisations- eller samlingsnivå
  • Servernivå (endast lokalt)
• När du lägger till ett team skapas en gruppsäkerhetsgrupp

Du kan inte skapa en säkerhetsgrupp på objektnivå, men du kan tilldela en anpassad grupp till en objektnivå och tilldela behörigheter till den nivån. Mer information finns i Ange behörigheter på objektnivå.

Standardsäkerhetsgrupper

Följande säkerhetsgrupper definieras som standard för varje projekt och organisation. Du lägger vanligtvis till användare eller grupper i grupperna Läsare, Deltagare eller Projektadministratörer .

Project	Organisation eller samling
– Skapa administratörer -Bidragsgivare – Projektadministratörer – Projekt giltiga användare -Läsare – Versionsadministratörer - TeamName-teamet	– Projektsamlingsadministratörer – Byggadministratörer för projektsamling – Skapa tjänstkonton för Projektsamling – Proxytjänstkonton för projektsamling – Tjänstkonton för projektsamling – Testtjänstkonton för projektsamling – Giltiga användare i projektsamlingen – Projektomfattande användare – Säkerhetstjänstgrupp

En beskrivning av var och en av dessa grupper finns i Säkerhetsgrupper, tjänstkonton och behörigheter. För standardbehörighetstilldelningar som görs till de vanligaste standardsäkerhetsgrupperna, se Standardbehörigheter och åtkomst.

För användare som har till uppgift att hantera funktioner på projektnivå – till exempel team, områdes- och iterationssökvägar, lagringsplatser, tjänstkrokar och tjänstslutpunkter – lägger du till dem i gruppen Projektadministratörer . För användare som har till uppgift att hantera funktioner på organisations- eller samlingsnivå– till exempel projekt, principer, processer, kvarhållningsprinciper, agent- och distributionspooler och tillägg – lägger du till dem i gruppen Administratörer för projektsamling. Mer information finns i Om inställningar på användar-, team-, projekt- och organisationsnivå.

En beskrivning av varje grupp och varje behörighet finns i Behörigheter och gruppreferenser, Grupper.

Hantering av medlemskap, behörighet och åtkomstnivå

Azure DevOps styr åtkomsten via dessa tre sammankopplade funktionella områden:

• Medlemskapshantering stöder tillägg av enskilda användarkonton och grupper i standardsäkerhetsgrupper. Varje standardgrupp är associerad med en uppsättning standardbehörigheter. Alla användare som läggs till i en säkerhetsgrupp läggs till i gruppen Giltiga användare. En giltig användare är någon som kan ansluta till ett projekt, en samling eller en organisation.

• Behörighetshantering styr åtkomsten till specifika funktionella uppgifter på olika nivåer i systemet. Behörigheter på objektnivå anger behörigheter för en fil, mapp, bygg-pipeline eller en delad fråga. Behörighetsinställningarna motsvarar Tillåt, Neka, Ärvd tillåt, Ärvd neka, System tillåt, System neka och Inte inställd. Mer information finns i Behörighetsarv och säkerhetsgrupper senare i den här artikeln.

• Åtkomstnivåhantering styr åtkomsten till webbportalfunktioner. Baserat på vad som har köpts för en användare anger administratörer användarens åtkomstnivå till Intressent, Basic, Basic + Test eller Visual Studio Enterprise (tidigare Avancerat).

Varje funktionsområde använder säkerhetsgrupper för att förenkla hanteringen i hela distributionen. Du lägger till användare och grupper genom webbadministrationskontexten. Behörigheter anges automatiskt baserat på den säkerhetsgrupp som du lägger till användare i. Eller behörigheter baseras på objekt-, projekt-, samlings- eller servernivå som du lägger till grupper till.

Medlemmar i säkerhetsgrupper kan vara en kombination av användare, andra grupper och Microsoft Entra-grupper.

Active Directory- och Microsoft Entra-säkerhetsgrupper

Du kan fylla i säkerhetsgrupper genom att lägga till enskilda användare. För enkel hantering är det dock enklare om du fyller i dessa grupper med hjälp av Microsoft Entra-ID för Azure DevOps Services och Active Directory (AD) eller Windows-användargrupper för Azure DevOps Server. Med den här metoden kan du hantera gruppmedlemskap och behörigheter mer effektivt på flera datorer.

Om du bara behöver hantera en liten uppsättning användare kan du hoppa över det här steget. Men om du förutser att din organisation kan växa kanske du vill konfigurera Active Directory eller Microsoft Entra-ID. Om du planerar att betala för extra tjänster måste du också konfigurera Microsoft Entra-ID för användning med Azure DevOps för att stödja fakturering.

Kommentar

Utan Microsoft Entra-ID måste alla Azure DevOps-användare logga in med Microsoft-konton och du måste hantera kontoåtkomst för enskilda användarkonton. Även om du hanterar kontoåtkomst med hjälp av Microsoft-konton måste du konfigurera en Azure-prenumeration för att kunna hantera fakturering.

Information om hur du konfigurerar Microsoft Entra-ID för användning med Azure DevOps Services finns i Anslut din organisation till Microsoft Entra-ID.

När din organisation är ansluten till Microsoft Entra-ID finns det många organisationsprinciper som du kan aktivera eller inaktivera för att skydda din organisation. Mer information finns i Om säkerhet, autentisering och auktorisering, Säkerhetsprinciper.

Information om hur du hanterar organisationsåtkomst med Microsoft Entra-ID finns i följande artiklar:

• Lägga till eller ta bort användare med Microsoft Entra ID
• Felsöka åtkomst med Microsoft Entra-ID

Azure DevOps registrerar de ändringar som görs i en Microsoft Entra-grupp inom en timme efter ändringen i Microsoft Entra ID. Alla behörigheter som ärvs via gruppmedlemskap uppdateras. Om du vill uppdatera ditt Microsoft Entra-medlemskap och ärvda behörigheter i Azure DevOps loggar du ut och loggar sedan in igen eller utlöser en uppdatering för att omvärdera din behörighet.

Giltiga användargrupper

När du lägger till konton för användare direkt i en säkerhetsgrupp läggs de automatiskt till i en av de giltiga användargrupperna.

• Giltiga användare för projektsamling: Alla medlemmar har lagts till i en grupp på organisationsnivå.
• Giltiga projektanvändare: Alla medlemmar har lagts till i en grupp på projektnivå.

Standardbehörigheterna som tilldelas dessa grupper är främst begränsade till läsåtkomst, till exempel Visa byggresurser, Visa information på projektnivå och Visa information på samlingsnivå.

Alla användare som du lägger till i ett projekt kan visa objekten i andra projekt i en samling. Om du behöver begränsa visningsåtkomsten kan du ange begränsningar via noden områdessökväg.

Om du tar bort eller nekar behörigheten Visa information på instansnivå för någon av grupperna Giltiga användare kan inga medlemmar i gruppen komma åt projektet, samlingen eller distributionen, beroende på vilken grupp du har angett.

Gruppen Project-Scoped Users (Projektomfattningsanvändare)

Som standard kan användare som läggs till i en organisation visa all information och inställningar för organisationen och projektet. De här inställningarna omfattar en lista över användare, en lista över projekt, faktureringsinformation, användningsdata med mera som nås via Organisationsinställningar.

Viktigt!

• Funktionerna för begränsad synlighet som beskrivs i det här avsnittet gäller endast interaktioner via webbportalen. Med REST-API:er eller azure devops CLI-kommandon kan projektmedlemmar komma åt begränsade data.
• Gästanvändare som är medlemmar i den begränsade gruppen med standardåtkomst i Microsoft Entra-ID kan inte söka efter användare med personväljaren. När förhandsgranskningsfunktionen är inaktiveradför organisationen, eller när gästanvändare inte är medlemmar i den begränsade gruppen, kan gästanvändare som förväntat söka i alla Microsoft Entra-användare.

Om du vill begränsa utvalda användare, till exempel Intressenter, Microsoft Entra-gästanvändare eller medlemmar i en viss säkerhetsgrupp, kan du aktivera funktionen Begränsa användarnas synlighet och samarbete till specifika projekts förhandsversion för organisationen. När det är aktiverat begränsas alla användare eller grupper som läggs till i gruppen Project-Scoped Users från att komma åt sidorna Organisationsinställningar , förutom Översikt och Projekt, och är begränsade till att endast komma åt de projekt som de har lagts till i.

Varning

När funktionen Begränsa användarens synlighet och samarbete för specifika projektförhandsgranskning är aktiverad för organisationen kan användare med projektomfattning inte söka efter användare som har lagts till i organisationen via Microsoft Entra-gruppmedlemskap, i stället för via en explicit användarinbjudan. Detta är ett oväntat beteende och en lösning bearbetas. Om du vill lösa problemet själv inaktiverar du funktionen Begränsa användarens synlighet och samarbete till specifika projektförhandsgranskning för organisationen.

Mer information finns i Hantera förhandsgranskningsfunktioner.

Kommentar

Säkerhetsgrupper tillhör organisationsnivån, även om de bara har åtkomst till ett visst projekt. Vissa grupper kan vara dolda i webbportalen beroende på användarbehörigheter. Du hittar alla gruppnamn i en organisation med cli-verktyget azure devops eller våra REST-API:er. Mer information finns i Lägga till och hantera säkerhetsgrupper.

Åtkomstnivåer

Åtkomstnivåer styr vilka funktioner som är synliga för användare i webbportalen. Åtkomst beror på användarlicenser.

Om du vill ge en användare åtkomst till funktioner för flexibel portföljhantering eller hantering av testfall ändrar du åtkomstnivåer, inte behörigheter.

Om du anger åtkomstnivå för användare eller grupper får de inte åtkomst till ett projekt eller webbportalen. Endast användare eller grupper som läggs till i ett team eller en säkerhetsgrupp kan ansluta till ett projekt och webbportalen. Kontrollera att användarna har både de behörigheter och den åtkomstnivå de behöver. Det gör du genom att se till att de läggs till i projektet eller i ett team.

Behörigheter

Som du ser i följande bild kan säkerhetsgrupper som definierats på projekt- och samlingsnivå tilldelas behörigheter som tilldelats på objekt-, projekt- och organisationsnivå.

En beskrivning av varje standardsäkerhetsgrupp finns i Säkerhetsgrupper, tjänstkonton och behörigheter.

Behörighetstillstånd

En behörighet kan ha följande tilldelningar. De beviljar eller begränsar åtkomst enligt beskrivningen.

Användare eller grupp har behörighet att utföra en uppgift:

• Tillåt
• Tillåt (ärvt)
• Tillåt (system)

Användare eller grupp har inte behörighet att utföra en uppgift:

• Deny (Neka)
• Neka (ärvd)
• Neka (system)
• Inte inställt

Behörighetstillstånd	beskrivning
Tillåt	Uttryckligen ger användarna behörighet att utföra specifika uppgifter och ärvs inte från gruppmedlemskap.
Tillåt (ärvt)	Ger gruppmedlemmar behörighet att utföra specifika uppgifter.
Tillåt (system)	Beviljar behörighet som har företräde framför användarbehörigheter. Ej redigerbar och lagrad i en konfigurationsdatabas, osynlig för användare.
Deny (Neka)	Begränsar uttryckligen användare från att utföra specifika uppgifter och ärvs inte från gruppmedlemskap. För de flesta grupper och nästan alla behörigheter åsidosätter Neka Tillåt. Om en användare tillhör två grupper och en av dem har en specifik behörighet inställd på Neka, kan användaren inte utföra uppgifter som kräver den behörigheten även om de tillhör en grupp som har den behörigheten inställd på Tillåt.
Neka (ärvd)	Begränsar gruppmedlemmar från att utföra specifika uppgifter. Åsidosätter en explicit Tillåt.
Neka (system)	Begränsar behörighet som har företräde framför användarbehörigheter. Ej redigerbar och lagrad i en konfigurationsdatabas, osynlig för användare.
Inte inställt	Nekar implicit användarna möjligheten att utföra uppgifter som kräver den behörigheten, men tillåter medlemskap i en grupp som har den behörigheten att ha företräde, även kallat Tillåt (ärvd) eller Neka (ärvd).

I vissa fall kan medlemmar i grupperna Projektsamlingsadministratörer eller Team Foundation-administratörer alltid få behörigheten även om de nekas behörigheten i en annan grupp. I andra fall, till exempel borttagning av arbetsobjekt eller pipelines, går det inte att kringgå neka behörigheter som angetts någon annanstans om du är medlem i gruppen Administratörer för projektsamling.

Varning

När du ändrar en behörighet för en grupp ändras den behörigheten för alla användare som är medlemmar i den gruppen. Beroende på gruppens storlek kan du påverka möjligheten för hundratals användare att utföra sina jobb genom att bara ändra en behörighet. Så se till att du förstår de potentiella effekterna innan du gör en ändring.

Behörighetsarv och säkerhetsgrupper

Vissa behörigheter hanteras via en hierarki. I den här hierarkin kan behörigheter ärvas från den överordnade eller åsidosatta. Säkerhetsgrupper tilldelar en uppsättning behörigheter till medlemmarna i gruppen. Medlemmar i gruppen Deltagare eller Projektadministratörer tilldelas till exempel de behörigheter som anges som Tillåtna för dessa grupper.

Om en behörighet inte tillåts direkt eller nekas för en användare kan den ärvas på följande sätt.

• Användare ärver behörigheter från de grupper som de tillhör. När en användare har ett direkt- eller gruppmedlemskap Tillåt behörighet åsidosätter ett direkt- eller gruppmedlemskap Neka behörighet den.

  Medlemmar i Projektsamlingsadministratörer eller Team Foundation-administratörer behåller de flesta tillåtna behörigheterna, även om de tillhör andra grupper som nekar dessa behörigheter. Åtgärdsbehörigheter för arbetsobjekt är undantaget från den här regeln.

• Behörigheter på objektnivå som tilldelas för noder i en hierarki – områden, iterationer, versionskontrollmappar, arbetsobjektsfrågemappar – ärvs ned i hierarkin. En användares behörigheter som anges vid area-1 get ärvs av area-1/sub-area-1, om samma behörighet inte uttryckligen tillåts eller nekas för area-1/sub-area-1. Om en behörighet uttryckligen anges för ett objekt, till exempel area-1/sub-area-1, ärvs inte den överordnade noden, oavsett om den nekas eller tillåts. Om den inte har angetts ärvs behörigheterna för den noden från den närmaste överordnade noden som uttryckligen har behörigheten angivet. Slutligen, i objekthierarkin trumfar specificitet arv. Till exempel får en användare vars behörigheter uttryckligen anges till Neka för "area-1" men som också uttryckligen anges till Tillåt för "area-1/sub-area-1" en Tillåt på "area-1/sub-area-1".

För att förstå varför en behörighet ärvs kan du pausa över en behörighetsinställning och sedan välja Varför? Information om hur du öppnar en säkerhetssida finns i Visa behörigheter.

Kommentar

Information om hur du aktiverar sidan Förhandsgranskningssida för projektbehörigheter finns i Aktivera förhandsgranskningsfunktioner.

Förhandsgranskningssida

En ny dialogruta öppnas som visar arvsinformationen för den behörigheten.

Aktuell sida

Ett nytt fönster öppnas som visar arvsinformationen för den behörigheten.

Metodtips för behörigheter

Göra:

• Använd Microsoft Entra-ID, Active Directory eller Windows-säkerhetsgrupper när du hanterar många användare.
• När du lägger till ett team bör du överväga vilka behörigheter du vill tilldela till teamledare, scrum-huvudservrar och andra teammedlemmar. Överväg vem som skapar och ändrar områdessökvägar, iterationssökvägar och frågor.
• När du lägger till många team bör du överväga att skapa en anpassad grupp för teamadministratörer där du kan allokera en delmängd av de behörigheter som är tillgängliga för projektadministratörer.
• Överväg att ge arbetsobjektets frågemappar Behörighet att bidra till användare eller grupper som kräver möjligheten att skapa och dela frågor om arbetsobjekt för projektet.

Gör inte:

• Lägg inte till användare i flera säkerhetsgrupper, som innehåller olika behörighetsnivåer. I vissa fall kan behörighetsnivån Neka åsidosätta behörighetsnivån Tillåt .
• Ändra inte standardtilldelningarna som görs i grupperna Giltiga användare. Om du tar bort eller anger behörigheten Visa information på instansnivå till Neka för någon av grupperna Giltiga användare kan inga användare i gruppen komma åt projektet, samlingen eller distributionen, beroende på vilken grupp du har angett.
• Tilldela inte behörigheter som anges som "Tilldela endast till tjänstkonton" till användarkonton.

Rollbaserade behörigheter

Med rollbaserade behörigheter tilldelar du användarkonton eller säkerhetsgrupper till en roll, med varje roll tilldelad en eller flera behörigheter. Här är de primära rollerna och länkarna till mer information.

• Säkerhetsroller för artefakt eller paketflöde: Roller stöder olika behörighetsnivåer för att redigera och hantera paketflöden.
• Roll för Marketplace-tilläggshanteraren: Medlemmar i managerrollen kan installera tillägg och svara på begäranden om att tillägg ska installeras.
• Pipelinesäkerhetsroller: Flera roller används för att hantera biblioteksresurser, pipelineresurser på projektnivå och samlingsnivå.
• Teamadministratörsroll Teamadministratörer kan hantera alla teamverktyg.

Medlemmar i grupperna Projektadministratörer eller Projektsamlingsadministratörer kan hantera alla teamverktyg för alla team.

Förhandsfunktioner

Funktionsflaggor styr åtkomsten för att välja nya funktioner. Med jämna mellanrum introducerar Azure DevOps nya funktioner genom att placera dem bakom en funktionsflagga. Projektmedlemmar och organisationsägare kan aktivera eller inaktivera förhandsversionsfunktioner. Mer information finns i Hantera eller aktivera funktioner.

Nästa steg

Standardbehörigheter och åtkomst

Relaterade artiklar

• Felsöka problem med åtkomst och behörigheter
• Om säkerhet, autentisering och auktorisering
• Vad är Microsoft Entra-ID?
• Kom i gång med Microsoft Entra ID
• Referens för behörigheter och grupper
• Verktyg för säkerhets- och behörighetshantering
• Lägga till användare i en organisation
• Lägga till och hantera säkerhetsgrupper
• Hantera token, namnområden, behörigheter
• Så här fungerar fakturering
• Konfigurera fakturering för att betala för användare, pipelines och molnbaserad belastningstestning i Azure DevOps