針對存取權和權限問題進行疑難排解 (部分機器翻譯)

  • 發行項

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

由於 Azure DevOps 的廣泛安全性和許可權結構,您可能會調查使用者為何無法存取預期的專案、服務或功能。 尋找逐步指引,以瞭解和解決專案成員連線到專案或存取 Azure DevOps 服務或功能時可能發生的問題。

使用本指南之前,建議您先熟悉下列內容:

提示

當您建立 Azure DevOps 安全組時,請以容易辨識其建立來限制存取的方式加以標記。

權限會設定為下列其中一個層級:

  • 物件層級
  • 專案層級
  • 組織或專案集合層級
  • 安全性角色
  • 小組系統管理員角色

常見的存取和許可權問題

請參閱下列最常見的原因,專案成員無法存取專案、服務或功能:

問題 疑難解答動作
其存取層級不支援存取服務或功能。 若要判斷其是否為原因, 請判斷使用者的存取層級和訂用帳戶狀態
安全組中的成員資格不支援存取功能,或已明確拒絕對功能的許可權。 若要判斷其是否為原因, 請追蹤許可權
使用者最近已獲授與許可權,不過需要重新整理,用戶端才能辨識變更。 讓使用者重新 整理或重新評估其許可權
用戶嘗試練習僅針對特定小組授與小組系統管理員的功能,但尚未獲授與該角色。 若要將它們新增至角色,請參閱 新增、移除小組管理員
使用者尚未啟用預覽功能。 讓用戶開啟預覽功能,並判斷特定功能的開啟/關閉狀態。 如需詳細資訊,請參閱 管理預覽功能
項目成員已新增至有限的範圍安全組,例如 Project 範圍使用者群組。 若要判斷其是否為原因, 請查閱使用者的安全組成員資格

較不常見的存取和許可權問題

有限存取的較不常見原因是發生下列其中一個事件:

問題 疑難解答動作
專案管理員已停用服務。 在此情況下,沒有人可以存取已停用的服務。 若要判斷服務是否已停用,請參閱 開啟或關閉 Azure DevOps 服務。
Project Collection 管理員 istrator 停用預覽功能,這會停用組織中所有專案成員的預覽功能。 請參閱 管理預覽功能
管理使用者存取層級或專案成員資格的群組規則會限制存取。 請參閱 判斷使用者的存取層級和訂用帳戶狀態
自訂規則已定義至工作項目類型的工作流程。 請參閱 套用至限制選取作業之工作專案類型的規則。

判斷使用者的存取層級和訂用帳戶狀態

您可以將使用者或使用者群組指派給下列其中一個存取層級:

  • 利害關係人
  • 基本
  • Basic + Test Plans
  • Visual Studio 訂用帳戶

如需 Azure DevOps 中存取層級限制的詳細資訊,請參閱 支援的存取層級

若要使用 Azure DevOps 功能,用戶必須新增至具有適當許可權的安全組。 使用者也需要存取入口網站。 根據使用者指派的存取層級和安全組,選取功能的限制。

使用者可能會因為下列原因而失去存取權:

遺失存取的原因 疑難解答動作
使用者的 Visual Studio 訂用帳戶已過期。 同時,此使用者可以 以項目關係人身分運作,或者您可以授與使用者基本存取權,直到使用者更新其訂用帳戶為止。 使用者登入之後,Azure DevOps 會自動還原存取權。
用於計費的 Azure 訂用帳戶已不再有效。 使用此訂用帳戶進行的所有購買都會受到影響,包括 Visual Studio 訂用帳戶。 若要修正此問題,請流覽 Azure 帳戶入口網站
用於計費的 Azure 訂用帳戶已從您的組織中移除。 深入瞭解 如何連結您的組織

否則,在行事曆月份的第一天,尚未登入您組織的時間最長的使用者會先失去存取權。 如果您的組織有不再需要存取權的使用者,請 將其從您的組織移除。

如需許可權的詳細資訊,請參閱 許可權和群組許可權查閱指南

追蹤許可權

使用許可權追蹤來判斷使用者的許可權為何不允許他們存取特定功能或功能。 瞭解使用者或系統管理員如何調查許可權的繼承。 若要從入口網站追蹤許可權,請開啟對應層級的許可權或安全性頁面。 如需詳細資訊,請參閱 要求增加許可權等級

如果使用者有許可權問題,而且您使用預設安全組或自定義群組來取得許可權,您可以使用我們的許可權追蹤來調查這些許可權的來源。 許可權問題可能是因為變更延遲。 Microsoft Entra 群組成員資格或許可權變更最多可能需要 1 小時的時間,才能在整個 Azure DevOps 中傳播。 如果使用者遇到無法立即解決的問題,請等一天看看他們是否解決。 如需使用者和存取管理的詳細資訊,請參閱 在 Azure DevOps 中管理使用者和存取權。

如果使用者有許可權問題,而且您使用預設安全組或自定義群組來取得許可權,您可以使用我們的許可權追蹤來調查這些許可權的來源。 許可權問題可能是因為用戶沒有必要的存取層級。

使用者可以直接或透過群組接收其有效許可權。

完成下列步驟,讓系統管理員能夠視需要了解這些許可權的確切來源並加以調整。

  1. 選取 [項目設定>許可權>使用者],然後選取使用者。

    篩選方塊的螢幕快照,輸入用戶名稱。

    您現在應該有使用者特定的檢視,以顯示他們擁有的許可權。

  2. 若要追蹤使用者為何擁有或沒有任何列出的許可權,請選取有關許可權旁邊的資訊圖示。

選取有關許可權旁信息圖示的螢幕快照。

產生的追蹤可讓您知道它們如何繼承列出的許可權。 然後,您可以藉由調整提供給他們位於群組的許可權,來調整用戶的許可權。

  1. 選取 [項目設定>安全性],然後在篩選方塊中輸入用戶名稱。

    在 [Azure DevOps Server 2019] 篩選方塊中輸入使用者名稱的螢幕快照。

    您現在應該有使用者特定的檢視,以顯示他們擁有的許可權。

  2. 追蹤使用者執行或沒有任何列出的許可權的原因。 將滑鼠停留在許可權上方,然後選擇 [ 原因]。

    Azure DevOps Server 2019 在許可權清單檢視中選擇原因的螢幕快照。

產生的追蹤可讓您知道它們如何繼承列出的許可權。 然後,您可以藉由調整提供給他們所使用群組的許可權,來調整用戶的許可權。

顯示繼承許可權 Azure DevOps Server 2019 的追蹤螢幕快照。

如需詳細資訊,請參閱授與或限制選取功能或要求增加許可權等級的存取權。

重新整理或重新評估許可權

請參閱下列案例,其中可能需要重新整理或重新評估許可權。

問題

使用者會新增至 Azure DevOps 或 Microsoft Entra 群組。 此動作會將繼承的存取權授與組織或專案。 但是,它們不會立即取得存取權。 用戶必須等候或註銷、關閉瀏覽器,然後重新登入以重新整理其許可權。

使用者會新增至 Azure DevOps 群組。 此動作會將繼承的存取權授與組織或專案。 但是,它們不會立即取得存取權。 用戶必須等候或註銷、關閉瀏覽器,然後重新登入以重新整理其許可權。

解決方案

[用戶設定] 的 [ 許可權 ] 頁面上,您可以選取 [重新評估許可權]。 此函式會重新評估您的群組成員資格和許可權,然後任何最近的變更都會立即生效。

重新評估許可權控制件的螢幕快照。

套用至限制選取作業之工作專案類型的規則

在自定義程式之前,建議您先檢閱 設定和自定義 Azure Boards,其中提供如何自定義 Azure Boards 以符合業務需求的指引。

如需適用於限制作業的工作項目類型規則詳細資訊,請參閱:

從使用者隱藏組織設定

如果使用者只查看其專案,或從看到組織設定,下列資訊可能會說明原因。 若要限制使用者存取組織設定,您可以啟用 將用戶可見度和共同作業限制為特定項目 預覽功能。 如需包括重要安全性相關注標的詳細資訊,請參閱 管理您的組織、限制專案的用戶可見度等等

受限制使用者的範例包括項目關係人、Microsoft Entra 來賓使用者或安全組的成員。 啟用之後,新增至專案範圍使用者群組的任何使用者或群組都會受限於存取組織 設定 頁面,但 [概觀] 和 [專案] 除外。 它們只能存取已新增至其中的那些專案。

受限制使用者的範例包括項目關係人或安全組的成員。 啟用之後,新增至專案範圍使用者群組的任何使用者或群組都會受限於存取組織 設定 頁面,但 [概觀] 和 [專案] 除外。 它們只能存取已新增至其中的那些專案。

如需隱藏使用者組織設定的詳細資訊,請參閱 管理您的組織、限制專案的用戶可見度等等

使用 CLI 檢視、新增及管理許可權

您可以使用 命令,以更細微的層級 az devops security permission 檢視、新增及管理許可權。 如需詳細資訊,請參閱 使用命令行工具管理許可權。

具有較少許可權的群組規則

群組規則類型會依下列順序排列:訂閱者 > 基本 + 測試計劃 > 基本 > 項目關係人。 使用者一律會取得所有群組規則之間的最佳存取層級,包括 Visual Studio (VS) 訂用帳戶。

注意

  • 透過群組規則對 專案讀取器 所做的變更不會保存。 如果您需要調整專案讀取器,請考慮替代方法,例如 直接指派自定義安全組
  • 建議您定期檢閱 [使用者] 頁面的 [群組規則] 索引卷標上所列的規則。 如果對 Microsoft Entra ID 群組成員資格進行任何變更,這些變更會顯示在群組規則的下一次重新評估中,這些變更可在修改群組規則時視需要完成,或每隔 24 小時自動進行一次。 Azure DevOps 每小時會更新 Microsoft Entra 群組成員資格,但可能需要 24 小時,Microsoft Entra ID 才能更新 動態群組成員資格

請參閱下列範例,其中顯示訂閱者偵測因素如何納入群組規則。

範例 1:群組規則提供我更多存取權

如果我有 VS Pro 訂用帳戶,而且我在群組規則中提供基本 + 測試方案 – 會發生什麼事?

預期:我會收到基本 + 測試方案,因為群組規則提供給我的內容大於我的訂用帳戶。 群組規則指派一律會提供更大的存取權,而不是限制存取。

範例 2:群組規則提供我相同的存取權

我有 Visual Studio Test Pro 訂用帳戶,而且我位於一個群組規則中,提供我基本 + 測試計劃 – 會發生什麼事?

預期:我偵測到為Visual Studio Test Pro 訂閱者,因為存取權與群組規則相同。 我已經支付 Visual Studio Test Pro 的費用,所以我不想再付一次。

使用 GitHub

當您嘗試使用 GitHub 在 Azure DevOps 中部署程式代碼時,請參閱下列疑難解答資訊。

問題

即使將它們新增為組織和項目成員,您仍無法將其餘小組帶入組織和專案。 他們會收到電子郵件,但在登入時收到錯誤 401。

解決方案

您可能已使用不正確的身分識別登入 Azure DevOps。 完成下列步驟。

  1. 關閉所有瀏覽器,包括未執行 Azure DevOps 的瀏覽器。

  2. 開啟私人或無痕瀏覽會話。

  3. 移至下列 URL: https://aka.ms/vssignout

    顯示「正在註銷」的訊息。註銷之後,系統會將您重新導向至 dev.azure.microsoft.com。

  4. 再次登入 Azure DevOps 。 選取您的其他身分識別。