使用权限授予或限制访问权限

Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018

可以授予或限制对在Azure DevOps中管理的资源的访问权限。 你可能希望打开或关闭对一组选择功能的访问权限,并为一组选择的用户打开或关闭访问权限。 虽然内置安全组提供一组标准权限分配,但可能需要这些分配未满足的其他安全要求。

如果你不熟悉管理权限和组,请查看具有权限、访问权限和安全组的开始,了解权限状态和继承。

本文介绍如何执行以下任务:

  • 用于授予和限制权限的建议方法
  • 通过将选择权限分配给特定角色来委托任务
  • 限制组织信息的可见性
  • 将人员选取器限制为项目用户和组
  • 限制对查看或修改对象的访问
  • 根据用户或组限制对工作项的修改
  • 用于授予和限制权限的建议方法
  • 通过将选择权限分配给特定角色来委托任务
  • 限制对查看或修改对象的访问
  • 根据用户或组限制对工作项的修改

提示

由于在对象级别(如存储库和区域路径)上设置了许多权限,因此构建项目的方式决定了可以打开或关闭的区域。

出于维护目的,我们建议使用内置安全组或 自定义安全组来管理权限

无法更改Project管理员组或Project集合管理员组的权限设置(按设计)。 但是,对于所有其他组,可以更改权限。

如果管理少量用户,你可能会发现将单个权限更改为有效选项。 但是,自定义安全组允许更好地跟踪分配给这些角色的角色和权限。

将任务委托给特定角色

作为管理员或帐户所有者,最好将管理任务委派给领导或管理区域的团队成员。 附带默认权限和角色分配的主要内置角色包括:

  • 读取者
  • 作者
  • 团队管理员 (角色)
  • 项目管理员
  • Project Collection Administrators

有关上述角色的权限摘要,请参阅“默认权限和访问权限”或“Project集合管理员”,请参阅“更改项目集合级别权限”。

若要将任务委托给组织内的其他成员,请考虑创建自定义安全组,然后根据下表所示授予权限。

角色

要执行的任务

设置为“允许”的权限

开发主管 (Git)

管理分支策略

编辑策略、强制推送和管理权限
请参阅 “设置分支权限”。

开发主管 (TFVC)

管理存储库和分支

管理标签、管理分支和管理权限
请参阅 设置 TFVC 存储库权限

软件架构师 (Git)

管理存储库

创建存储库、强制推送和管理权限
请参阅 设置 Git 存储库权限

团队管理员

为其团队添加区域路径
为团队添加共享查询

创建子节点,删除此节点,编辑此节点,请参阅 创建子节点,修改区域路径下的工作项
参与、删除、管理查询文件夹) 的权限 (,请参阅 “设置查询权限”。

作者

在查询文件夹下添加共享查询,参与仪表板

参与、删除查询文件夹) (,请参阅 “设置查询权限”
查看、编辑和管理仪表板,请参阅 “设置仪表板权限”。

Project或产品经理

添加区域路径、迭代路径和共享查询
删除和还原工作项,将工作项移出此项目,永久删除工作项

编辑项目级信息,请参阅 更改项目级权限

进程模板管理器 (继承进程模型)

工作跟踪自定义

管理进程权限、创建新项目、创建进程、从帐户中删除字段、删除进程、删除项目、编辑进程
请参阅 更改项目集合级权限

进程模板管理器 (托管 XML 进程模型)

工作跟踪自定义

编辑集合级别信息,请参阅 更改项目集合级别权限

Project管理 (本地 XML 进程模型)

工作跟踪自定义

编辑项目级信息,请参阅 更改项目级权限

权限管理器

管理项目、帐户或集合的权限

对于项目,编辑项目级信息
对于帐户或集合,请编辑实例级 (或集合级) 信息
若要了解这些权限的范围,请参阅 权限查找指南。 若要请求更改权限,请参阅 “请求增加权限级别”。

还可以授予管理以下对象的权限:

限制组织和项目信息的可见性

默认情况下,添加到组织的用户可以查看所有组织和项目信息和设置。 若要仅限制对添加用户的那些项目的访问权限,可以启用对 组织特定项目预览功能的“限制用户可见性和协作 ”。 若要启用此功能,请参阅 “管理”或“启用功能”。

启用此功能后,添加到Project范围的用户组的用户无法查看大多数组织设置,并且只能连接到已向其添加的项目。

将人员选取器限制为项目用户和组

对于使用Azure Active Directory (Azure AD) 管理其用户和组的组织,人员选取器支持搜索添加到Azure AD的所有用户和组,而不仅仅是添加到项目中的用户和组。 人员选取器支持以下Azure DevOps功能:

  • 从工作跟踪标识字段中选择用户标识,例如“已分配给
  • 在工作项讨论或富文本字段中使用 @mention 选择用户或组、拉取请求讨论、提交批注或变更集或搁置批注
  • 使用 wiki 页面中 @mention 选择用户或组

如下图所示,只需在人员选取器框中键入内容,直到找到与用户名或安全组匹配的匹配项。

Screenshot of people picker

添加到Project范围用户组的用户和组只能查看和选择他们从人员选取器连接到的项目中的用户和组。 若要限定所有项目成员的人员选取器的范围,请参阅 “管理组织”、“限制标识搜索”和“选择”。

限制对查看或修改对象的访问

Azure DevOps旨在使所有有效用户能够查看系统中定义的所有对象。 可以通过将权限状态设置为 “拒绝”来限制对资源的访问。 可以为属于自定义安全组的成员或单个用户设置权限。 若要详细了解如何设置这些类型的权限,请参阅 请求增加权限级别

要限制的区域

设置为“拒绝”的权限

查看或参与存储库

查看、参与
请参阅 “设置 Git 存储库权限 ”或 “设置 TFVC 存储库权限”。

在区域路径中查看、创建或修改工作项

编辑此节点中的工作项,查看此节点中的工作项
请参阅 设置工作跟踪的权限和访问权限,修改区域路径下的工作项

查看或更新选择生成和发布管道

编辑生成管道,查看生成管道
编辑发布管道,查看发布管道
在对象级别设置这些权限。 请参阅 “设置生成和发布权限”。

编辑仪表板

查看仪表板
请参阅 “设置仪表板权限”。

限制修改工作项或选择字段

有关演示如何限制修改工作项或选择字段的示例,请参阅 示例规则方案

后续步骤