设置工作跟踪权限
Azure DevOps Services | Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018
通过向用户或组授予对象、项目或集合的特定权限,授予或限制对各种工作跟踪功能的访问权限。 或者,可以为应用于可能限制或要求用户执行选择操作的用户或组的进程或项目指定自定义规则。 一般情况下,需要将用户添加到项目的“参与者”组,以便提供对大多数功能的访问权限,如 “权限”和“工作跟踪访问权限”中所述。
注意
对于公共项目,利益干系人访问权限使用户能够更好地访问工作跟踪功能和完全访问Azure Pipelines。 若要了解详细信息,请参阅 利益干系人访问快速参考。
先决条件
- 若要设置工作跟踪权限,你必须是Project管理员组的成员,或者具有显式权限来管理工作跟踪区域,如本文所述。
- 若要设置进程权限,你必须是Project集合管理员组的成员,或者具有显式权限才能编辑收集进程。
通过自定义规则支持业务工作流
自定义规则未设置权限,但在运行时确实会影响用户的有效权限,以修改工作项或设置工作项字段的值。 Azure Boards支持以下支持业务工作流的工作跟踪自定义。
- 在工作项创建、状态更改、指定状态时应用选择规则。
- 当字段值为空、设置为特定值或已更改或未更改为值时,应用选择规则。
- 在从指定状态移动时,将转换限制为特定状态。
- 根据修改工作项的用户或组成员身份应用选择规则。
规则设置的常见操作包括:
- 使字段是必需的或只读
- 清除或设置字段的值,或将字段值复制到另一个字段
- 隐藏字段。
例如,可以指定有效限制一组用户执行以下任务的规则:
- 创建工作项
- 将工作项转换为已关闭或已完成状态
- 更改字段的值。
或者,执行以下自动化:
- 根据状态更改重新分配工作项
- 基于对子工作项所做的状态更改对父工作项的状态转换。
对将自定义规则应用于系统字段存在一些限制。 例如,不能指定设置或清除 区域路径 或 迭代路径 的值的规则,因为这些规则是系统字段。 若要了解有关自定义规则的详细信息,可以定义自定义规则和系统字段限制,请参阅 规则和规则评估。 有关定义自定义规则的示例方案,请参阅 示例规则方案。
工作跟踪角色和权限级别
下表汇总了可以在对象、项目或集合级别设置的不同权限。 团队管理员角色提供添加和修改团队资源的访问权限。
角色或权限级别
功能区域集
团队管理员角色
若要将用户添加到团队管理员角色,请参阅 “添加团队管理员”。
对象级别权限
项目级别的权限
Project集合级权限
- 创建、删除或编辑进程 (继承进程模型)
- 从帐户中删除字段 (继承进程模型)
- 管理进程权限 (继承进程模型)
- 编辑集合级别权限
Project集合级别权限包括可在集合级别设置的所有权限。
- 编辑集合级别权限
Project集合级别权限包括可在集合级别设置的所有权限。
注意
如果尚未定义要设置其权限的组,请先创建组,通常位于项目级别。 若要了解如何操作,请参阅 添加或删除用户或组,管理安全组。
创建子节点,修改区域或迭代路径下的工作项
区域路径权限允许你授予或修改编辑或修改分配给这些区域的工作项、测试用例或测试计划的权限。 可以限制对用户或组的访问。 还可以为可以添加或修改项目的区域或迭代的人员设置权限。
注意
Project授予创建或编辑区域路径或迭代路径的权限的成员与控制配置团队区域路径和迭代路径的权限分开。 若要配置团队设置,必须添加到团队管理员角色,或成为Project管理员组的成员。 *
从Project 设置>Project配置中为项目定义区域和迭代。
选择 (1) Project 设置,然后在Boards下选择 (2) Project 配置,然后选择 (3 个) 区域或迭代以修改区域路径或迭代路径。
选择要管理的节点的 ... 上下文菜单,然后选择 “安全性”。
选择组或项目成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。
例如,此处添加了 “禁止访问组”,并禁止此组的成员查看、修改或编辑 帐户管理 区域路径中的工作项。
可以为权限指定两个显式授权状态: 拒绝 和 允许。 此外,权限可以存在于另外三种状态之一。 若要了解详细信息,请参阅具有权限、访问权限和安全组开始。
(可选) 选择 继承 滑块以禁用继承。 禁用继承将保留所有继承的权限作为显式访问控制项, (ACE) 。
完成后,只需关闭对话框即可。 所做的更改会自动保存。
从Project 设置>Project配置中为项目定义区域和迭代。
选择 (1) Project 设置,然后在Boards下选择 (2) Project 配置,然后选择 (3) 区域。
选择要管理的节点的 ... 上下文菜单,然后选择 “安全性”。
选择组或团队成员,然后更改权限设置。 若要添加用户或组,请在搜索框中输入其名称。
例如,我们在此处添加了 “禁止访问组”,并禁止此组的成员能够在客户服务区域路径中查看、修改或编辑工作项。
可以为权限指定两个显式授权状态: 拒绝 和 允许。 此外,权限可以存在于另外三种状态之一。 若要了解详细信息,请参阅具有权限、访问权限和安全组开始。
(可选) 将 继承 切换为 关闭 以禁用继承。 禁用继承将保留所有继承的权限作为显式访问控制项, (ACE) 。
完成后,选择 “保存更改”。
从项目的 Web 门户中,选择
齿轮图标。
如果当前正在团队上下文中工作,请将鼠标悬停在
并选择“Project设置”。
选择 “工作 ”,然后选择 “区域”。
选择 ...要管理的节点的上下文菜单,然后选择 “安全性”。
设置查询或查询文件夹的权限
可以指定谁可以在对象级别添加或编辑查询文件夹或查询。 若要管理查询或查询文件夹的权限,你必须是查询或文件夹的创建者、Project管理员或Project集合管理员组的成员,或者通过对象的“安全”对话框授予显式访问权限。
“查询文件夹权限”对话框
有关详细信息,请参阅 设置对共享查询或查询文件夹的权限。 若要了解有关查询的详细信息,请参阅 创建托管查询以列出、更新或图表工作项。
设置工作项标记的权限
默认情况下,参与者组的所有用户都可以创建标记并将其添加到工作项。 若要为组或用户设置权限以限制此功能,可以在项目级别将 “创建”标记定义 设置为 “拒绝 ”。 若要了解如何操作,请参阅 更改项目级组的权限级别。
编辑或管理传递计划的权限
传递计划是项目中的对象。 可以管理每个计划的计划权限,这与管理共享查询或查询文件夹的权限的方式类似。 交付计划的创建者和Project集合管理员和Project管理员组的所有成员都有权编辑、管理和删除计划。
“传递计划权限”对话框
若要了解详细信息,请参阅 “编辑或管理传递计划”权限。 若要了解有关交付计划的详细信息,请参阅 评审团队计划。
移动或永久删除工作项
默认情况下,Project管理员和参与者可以通过将其移动到回收站来更改工作项类型并删除工作项。 只有Project管理员可以永久删除工作项并测试项目。 Project管理员可以根据需要向其他团队成员授予权限。
例如,作为项目管理员,你可以授予已创建的用户、团队组或其他组以拥有这些权限。 打开项目的“安全”页,然后选择要授予权限的用户或组。 若要了解如何访问项目级 安全性,请参阅 更改项目级权限。
注意
将工作项移出此项目权限要求项目使用继承的进程模型。
在此示例中,我们授予分配给团队管理员角色的成员,这些成员属于团队管理员组、将工作项移动到另一个项目以及永久删除工作项的权限。
管理测试计划和测试套件
除了上一部分中设置的项目级权限外,团队成员还需要权限来管理为区域路径设置的测试项目。
打开区域路径 的安全 页 ,然后选择要授予权限的用户或组。
将“管理测试计划”和“管理测试套件”的权限设置为“允许”。
若要完全访问测试功能集,必须将访问级别设置为“基本 + Test Plans”。 具有基本访问权限且有权永久删除工作项和管理测试项目的用户只能删除孤立的测试用例。
自定义继承的进程
默认情况下,只有Project集合管理员可以创建和编辑进程。 但是,这些管理员可以通过为特定用户显式设置 “创建进程”、“ 删除进程”或 “编辑进程 ”权限,向其他团队成员授予权限。
若要自定义进程,需要向特定进程的用户帐户授予 “编辑”进程 权限。
注意
如果为组织启用了“限制用户可见性和协作”特定项目预览功能,则添加到Project范围内的用户组的用户将无法访问“进程”设置。 若要了解详细信息,请参阅 “管理组织”,限制项目的用户可见性等。
打开 ... 继承进程的上下文菜单,然后选择 “安全性”。 若要打开此页面,请参阅 使用继承的进程自定义项目。
添加要向其授予权限的人员的帐户名称,将权限设置为 “允许 ”,然后选择“ 保存更改”。
在这里,我们添加克里斯蒂教堂,并允许她编辑该过程。
注意
每个进程都是一个安全单元,并且具有 (ACL) 控制创建、编辑和删除继承进程的单个访问控制列表。 在集合级别,项目集合管理员可以选择可从谁继承哪些进程。 创建新的继承进程时,进程创建者和项目集合管理员可以完全控制该过程,还可以为其他用户和组设置单独的 ACL 以编辑和删除该过程。
用于限制对工作项的访问的其他选项
有关自定义工作项类型以支持限制的其他选项 ,请参阅“限制访问”、“根据用户或组限制修改工作 项”。