使用权限授予或限制访问权限

  • 项目

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

可以授予或限制对在 Azure DevOps 中管理的资源的访问权限。 你可能想要打开或关闭对一组精选功能和一组选定用户的访问权限。 虽然内置安全组提供一组标准权限分配,但可能需要这些分配无法满足的更多安全要求。

如果你不熟悉管理权限和组,请查看 权限、访问权限和安全组入门 ,了解权限状态和继承。

本文介绍如何执行以下任务:

  • 用于授予和限制权限的建议方法
  • 通过向特定角色分配选择权限来委托任务
  • 限制用户对组织信息的可见性
  • 将人员选取器限制为项目用户和组
  • 限制对查看或修改对象的访问
  • 基于用户或组限制对工作项的修改
  • 用于授予和限制权限的建议方法
  • 通过向特定角色分配选择权限来委托任务
  • 限制对查看或修改对象的访问
  • 基于用户或组限制对工作项的修改

提示

由于你在对象级别设置了许多权限,例如存储库和区域路径,因此项目的结构方式决定了可以打开或关闭的区域。

出于维护目的,建议使用内置安全组或 自定义安全组来管理权限

不能更改“项目管理员”组或“项目集合管理员”组的权限设置,这是设计使然。 但是,对于所有其他组,可以更改权限。

如果你管理一些用户,你可能会发现更改单个权限是一个有效的选项。 但是,使用自定义安全组可以更好地跟踪分配给这些角色的角色和权限。

将任务委托给特定角色

作为管理员或帐户所有者,最好将管理任务委托给领导或管理某个区域的团队成员。 附带默认权限和角色分配的几个main内置角色包括:

  • Readers
  • 作者
  • 团队管理员 (角色)
  • 项目管理员
  • Project Collection Administrators

有关上述角色的权限摘要,请参阅 默认权限和访问权限;对于项目集合管理员,请参阅 更改项目集合级别权限

若要将任务委托给组织中的其他成员,请考虑创建自定义安全组,然后授予权限,如下表所示。

角色

要执行的任务

要设置为“允许”的权限

开发主管 (Git)

管理分支策略

编辑策略、强制推送和管理权限
请参阅 设置分支权限

开发主管 (TFVC)

管理存储库和分支

管理标签、管理分支和管理权限
请参阅 设置 TFVC 存储库权限

软件架构师 (Git)

管理存储库

创建存储库、强制推送和管理权限
请参阅 设置 Git 存储库权限

团队管理员

为其团队添加区域路径
为其团队添加共享查询

创建子节点、删除此节点、编辑此节点 请参阅 创建子节点,修改区域路径下的工作项
参与、删除、管理查询文件夹的权限 () ,请参阅 设置查询权限

作者

在查询文件夹“参与仪表板”下添加共享查询

参与、删除查询文件夹) (,请参阅 设置查询权限
查看、编辑和管理仪表板,请参阅设置仪表板权限

项目或产品经理

添加区域路径、迭代路径和共享查询
删除和还原工作项、将工作项移出此项目、永久删除工作项

编辑项目级信息,请参阅 更改项目级权限

进程模板管理器 (继承过程模型)

工作跟踪自定义

管理进程权限、创建新项目、创建流程、从帐户中删除字段、删除进程、删除项目、编辑流程
请参阅 更改项目集合级别权限

进程模板管理器 (托管 XML 进程模型)

工作跟踪自定义

编辑集合级别信息,请参阅 更改项目集合级别权限

项目管理 (本地 XML 过程模型)

工作跟踪自定义

编辑项目级信息,请参阅 更改项目级权限

权限管理器

管理项目、帐户或集合的权限

对于项目,请编辑项目级信息
对于帐户或集合,编辑实例级 (或集合级) 信息
若要了解这些权限的范围,请参阅 权限查找指南。 若要请求更改权限,请参阅 请求提高权限级别

还可以授予权限以管理以下对象的权限:

限制用户对组织和项目信息的可见性

重要

  • 本部分所述的有限可见性功能仅适用于通过 Web 门户的交互。 使用 REST API 或 azure devops CLI 命令,项目成员可以访问受限数据。
  • 在 Microsoft Entra ID 中具有默认访问权限的受限组中具有成员的来宾用户无法搜索具有人员选取器的用户。 当预览功能为组织关闭或来宾用户不是受限组的成员时,来宾用户可以按预期搜索所有 Microsoft Entra 用户。

默认情况下,添加到组织的用户可以查看所有组织和项目信息和设置。 若要仅访问添加用户的那些项目,可以启用组织的 “将用户可见性和协作限制到特定项目 ”预览功能。 有关详细信息,请参阅 管理预览功能

启用此功能后,添加到 Project-Scoped Users 组的用户无法查看大多数 组织设置 ,并且只能连接到已向其添加的项目。

警告

为组织启用特定项目预览功能的“限制用户可见性和协作”时,项目范围内的用户无法通过 Microsoft Entra 组成员身份(而不是显式用户邀请)搜索已添加到组织的用户。 这是一种意外的行为,正在处理解决方法。 若要自行解决此问题,请禁用组织的 “将用户可见性和协作限制为特定项目 ”预览功能。

将人员选取器限制为项目用户和组

对于使用 Microsoft Entra ID 管理其用户和组的组织,人员选取器支持搜索添加到 Microsoft Entra ID 的所有用户和组,而不仅仅是添加到项目中的用户或组。 人员选取器支持以下 Azure DevOps 函数:

  • 从工作跟踪标识字段(例如“分配到”)中选择用户标识
  • 在工作项讨论或富文本字段中使用 @提及 选择用户或组、拉取请求讨论、提交评论或变更集或搁置批注
  • 使用 wiki 页面中的 @提及 选择用户或组

如下图所示,只需在人员选取器框中键入内容,直到找到与用户名或安全组匹配项为止。

人员选取器屏幕截图

添加到 “项目范围用户 ”组的用户和组只能从人员选取器查看和选择他们连接到的项目中的用户和组。 若要为所有项目成员限定人员选取器的范围,请参阅 管理组织、限制标识搜索和选择

限制对查看或修改对象的访问

Azure DevOps 旨在使所有有效用户能够查看系统中定义的所有对象。 可以通过将权限状态设置为 “拒绝”来限制对资源的访问。 可以为属于自定义安全组的成员或单个用户设置权限。 若要详细了解如何设置这些类型的权限,请参阅 请求增加权限级别

要限制的区域

要设置为“拒绝”的权限

查看存储库或参与存储库

查看、参与
请参阅 设置 Git 存储库权限设置 TFVC 存储库权限

查看、创建或修改区域路径内的工作项

编辑此节点中的工作项,查看此节点中的工作项
请参阅 设置工作跟踪的权限和访问权限,修改区域路径下的工作项

查看或更新选择的生成和发布管道

编辑生成管道,查看生成管道
编辑发布管道,查看发布管道
可以在对象级别设置这些权限。 请参阅 设置生成和发布权限

编辑仪表板

查看仪表板
请参阅设置仪表板权限

限制修改工作项或选择字段

有关演示如何限制修改工作项或选择字段的示例,请参阅 示例规则方案

后续步骤

删除用户帐户