授與給專案成員的資源

  • 發行項

Azure DevOps Services |Azure DevOps Server 2022 - Azure DevOps Server 2019 |TFS 2018

Azure DevOps 專案是軟體發展資產的容器和安全性界限:工作專案、程式碼、組建等。當您將某人新增為專案的成員時,您也會信任具有一些額外許可權的人員。 專案成員可以存取專案以外的組織層級資源和其他群組(或範圍)。 如果某人還不是貴組織的成員,當您將他們新增至專案時,會隱含地授與他們這個額外的存取權。

注意

如果已為組織啟用 [將使用者可見度和共同作業限制為特定專案 預覽功能],則新增至 [專案範圍使用者 ] 群組的使用者將無法存取他們尚未加入的專案。 如需詳細資訊和重要的安全性相關注標,請參閱 管理您的組織、限制專案的使用者可見度等等

其他群組和範圍

在幕後,專案成員屬於一或多個 專案相關安全性群組 ,例如「專案有效使用者」和「專案參與者」。 該人員也是組織層級群組的成員,稱為「專案集合有效使用者」。 此外,該人員的身分識別會出現在 可備份組織的身分識別服務 中。 由 Microsoft Entra ID 支援的使用者帳戶可以有 原生身 分識別或 來賓身分識別 ,以授與不同層級的存取權。

組織層級資源

專案成員可以存取特定專案以外的資源。 這些資源包括組織層級(雲端)或專案集合層級(內部部署)定義的資源:

  • 其他成員的相關資訊,包括其電子郵件地址和其他連絡人詳細資料,會從非成員隱藏。

  • 設定區域,包括安全性群組和許可權。

  • 所有已安裝的擴充功能。

  • 處理 組織中所有進程的中繼資料,其中包括工作專案類型、其欄位和挑選清單專案。 Picklist 專案可能會顯示敏感性資訊,例如發行日期,如下圖所示:

    Edit field release in feature

  • 使用 WIT 用戶端 OM 時,其中包含 Excel 和 Visual Studio 整合的使用方式,它會將敏感性資訊儲存在本機磁片上的快取中。 此快取包含組織中所有進程的中繼資料,以及組織所有成員的身分識別和群組成員資格。

  • 當使用者新增至專案層級的 Build 管理員istrators 群組時,他們能夠建立管線以專案集合 (帳戶範圍) 範圍執行。 具有專案集合範圍的管線可能會存取使用者無法存取另一個專案中的資源,例如 Git 存放庫。 (您可以移除 Project Collection Build Service 的讀取權限來變更此專案)。

信任決策

專案成員正常運作需要這些資源和群組。 您的共同作業者通常是同事和您有現有關聯性的其他人。 在您新增來自此信任群組外部的人員之前,請仔細思考他們是否應該能夠存取先前提及的專案。