使用權限授與或限制存取

  • 發行項

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

您可以針對您在 Azure DevOps 中管理的資源授與或限制存取權。 您可能想要開放或關閉一組選取功能,以及一組選取使用者的存取權。 雖然內建安全組提供一組標準許可權指派,但您可能需要這些指派不符合更多的安全性需求。

如果您不熟悉如何管理權限和群組,請檢閱權限、存取權和安全性群組使用者入門,以瞭解權限狀態和繼承。

在本文中,您將瞭解如何執行下列工作:

  • 授與和限制許可權的建議方法
  • 將選取許可權指派給特定角色來委派工作
  • 限制使用者對組織信息的可見度
  • 將人員選擇器限制為專案使用者和群組
  • 限制檢視或修改物件的存取權
  • 根據使用者或群組限制工作專案的修改
  • 授與和限制許可權的建議方法
  • 將選取許可權指派給特定角色來委派工作
  • 限制檢視或修改物件的存取權
  • 根據使用者或群組限制工作專案的修改

提示

因為您在物件層級設定許多許可權,例如存放庫和區域路徑,因此您建構專案的方式會決定您可以開啟或關閉的區域。

基於維護目的,建議您使用內建安全組或 自定義安全組來管理許可權

您無法變更 Project 管理員 istrators 群組或 Project Collection 管理員 istrators 群組的許可權設定,這是設計方式。 不過,針對所有其他群組,您可以變更許可權。

如果您管理一些使用者,您可能會發現變更個別許可權是有效的選項。 不過,自定義安全組可讓您更妥善地追蹤指派給這些角色的角色和許可權。

將工作委派給特定角色

身為系統管理員或帳戶擁有者,最好將系統管理工作委派給領導或管理區域的小組成員。 默認許可權和角色指派隨附的幾個主要內建角色包括:

  • 讀取者
  • 參與者
  • 團隊 管理員 斯特爾(角色)
  • Project 管理員 istrators
  • Project Collection 管理員 istrators

如需上述角色許可權的摘要,請參閱默認許可權和存取權,或針對 Project Collection 管理員 istrators,請參閱變更專案集合層級許可權

若要將工作委派給組織內的其他成員,請考慮建立自定義安全組,然後授與下表所示的許可權。

Role

要執行的工作

設定為 [允許] 的許可權

開發主管 (Git)

管理分支原則

編輯原則、強制推送及管理許可權
請參閱 設定分支許可權

開發負責人(TFVC)

管理存放庫和分支

管理員 註冊標籤、管理分支及管理許可權
請參閱 設定 TFVC 存放庫許可權

軟體架構師 (Git)

管理存放庫

建立存放庫、強制推送和管理許可權
請參閱 設定 Git 存放庫許可權

小組管理員

為其小組新增區域路徑
為小組新增共享查詢

建立子節點、刪除此節點、編輯此節點請參閱 建立子節點、修改區域路徑下的工作專案
參與、刪除、管理許可權(適用於查詢資料夾),請參閱 設定查詢許可權

參與者

在查詢資料夾下新增共用查詢,參與儀錶板

參與、刪除 (針對查詢資料夾),請參閱 設定查詢許可權
檢視、編輯及管理儀錶板,請參閱 設定儀錶板許可權

專案或產品管理員

新增區域路徑、反覆專案路徑和共享查詢
刪除和還原工作專案、將工作專案移出此專案、永久刪除工作專案

編輯專案層級資訊,請參閱 變更專案層級許可權

行程樣本管理員 (繼承行程模型

工作追蹤自定義

管理員 註冊進程許可權、建立新專案、建立程式、從帳戶刪除欄位、刪除程式、刪除專案、編輯程式
請參閱 變更專案集合層級許可權

行程樣本管理員 (託管的 XML 進程模型

工作追蹤自定義

編輯集合層級資訊,請參閱 變更專案集合層級許可權

專案管理(內部部署 XML 行程模型

工作追蹤自定義

編輯專案層級資訊,請參閱 變更專案層級許可權

許可權管理員

管理專案、帳戶或集合的許可權

針對專案,編輯專案層級資訊
針對帳戶或集合,編輯實例層級 (或集合層級) 資訊
若要瞭解這些許可權的範圍,請參閱 許可權查閱指南。 若要要求變更許可權,請參閱 要求增加許可權等級

您也可以授與權限來管理下列物件的權限:

限制使用者對組織和專案信息的可見度

重要

  • 本節所述的有限可見度功能僅適用於透過入口網站進行互動。 使用 REST API 或 azure devops CLI 命令,項目成員可以存取受限制的數據。
  • 在 Microsoft Entra ID 中具有預設存取權之有限群組中的來賓使用者,無法搜尋具有人員選擇器的使用者。 當組織的預覽功能關閉,或來賓使用者不是有限群組的成員時,來賓使用者可以如預期般搜尋所有 Microsoft Entra 使用者。

根據預設,新增至組織的使用者可以檢視所有組織和專案資訊和設定。 若要限制只存取您新增使用者的那些專案,您可以啟用 限制用戶可見性和共同作業至組織的特定專案 預覽功能。 如需詳細資訊,請參閱 管理預覽功能

啟用此功能后,新增至 專案範圍使用者 群組的使用者無法檢視大部分 的組織設定 ,而且只能連線到他們新增至的專案。

警告

當組織啟用 [將用戶可見度和共同作業限制為特定專案預覽功能] 時,專案範圍用戶無法透過 Microsoft Entra 群組成員資格搜尋已新增至組織的使用者,而不是透過明確的用戶邀請。 這是非預期的行為,且正在處理解決方案。 若要自行解決此問題,請停用將 用戶可見性和共同作業限製為組織的特定專案 預覽功能。

將人員選擇器限制為專案使用者和群組

對於使用 Microsoft Entra 識別元管理其使用者和群組的組織,人員選擇器支援搜尋新增至 Microsoft Entra 識別碼的所有使用者和群組,而不只是新增至專案的使用者或群組。 人員 選擇器支援下列 Azure DevOps 函式:

  • 從工作追蹤身分識別欄位選取使用者身分識別,例如 [指派給]
  • 在工作項目討論或 RTF 欄位中使用 @mention 、提取要求討論、認可批注或變更集或擱置集批注選取使用者或群組
  • 使用 wiki頁面@mention 選取使用者或群組

如下圖所示,您只要開始輸入人員選擇器方塊,直到您找到符合用戶名稱或安全組為止。

人員選擇器螢幕快照

新增至 [專案範圍使用者 ] 群組的使用者和群組只能從人員選擇器查看並選取他們所連線之專案中的使用者和群組。 若要設定所有項目成員的人員選擇器的範圍,請參閱 管理您的組織、限制身分識別搜尋和選取

限制檢視或修改物件的存取權

Azure DevOps 的設計目的是讓所有有效的用戶檢視系統中定義的所有物件。 您可以將權限狀態設定為 [拒絕] 來限制資源的存取。 您可以為屬於自訂安全組的成員或個別使用者設定許可權。 若要深入瞭解如何設定這些類型的許可權,請參閱 要求增加許可權等級

要限制的區域

設定為 Deny 的許可權

檢視或參與存放庫

檢視、參與
請參閱 設定 Git 存放庫許可權設定 TFVC 存放庫許可權

在區域路徑內檢視、建立或修改工作專案

編輯此節點中的工作專案、檢視此節點中的工作專案
請參閱 設定工作追蹤的許可權和存取權、修改區域路徑下的工作專案。

檢視或更新選取組建和發行管線

編輯建置管線、檢視組建管線
編輯發行管線、檢視發行管線
您可以在物件層級設定這些許可權。 請參閱 設定組建和發行許可權

編輯儀表板

檢視儀表板
請參閱 設定儀錶板許可權

限制修改工作項目或選取欄位

如需說明如何限制修改工作專案或選取欄位的範例,請參閱 範例規則案例

下一步

拿掉使用者帳戶