Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Die Verwaltung des Zugriffs auf bestimmte Funktionen in Azure DevOps kann entscheidend sein, um das richtige Gleichgewicht zwischen Offenheit und Sicherheit zu wahren. Wenn Sie einer Gruppe von Benutzern den Zugriff auf bestimmte Funktionen gewähren oder einschränken möchten, ist es wichtig, die Flexibilität zu verstehen, die über die Standardberechtigungen der integrierten Sicherheitsgruppen hinausgeht.
Wenn Sie mit der Berechtigungs- und Gruppenlandschaft noch nicht vertraut sind, lesen Sie Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen. Dieser Artikel befasst sich mit den wichtigsten Status der Berechtigungen und wie sie vererbt werden.
Tipp
Die Struktur Ihres Projekts in Azure DevOps spielt eine entscheidende Rolle bei der Bestimmung der Granularität von Berechtigungen auf Objektebene, wie z. B. Repositories und Bereichspfade. Diese Struktur bildet die Grundlage für die Feinabstimmung der Zugangskontrollen und ermöglicht es Ihnen, genau festzulegen, welche Bereiche zugänglich oder eingeschränkt sind. Weitere Informationen finden Sie unter Informationen zu Projekten und Skalieren Ihrer organization.
Voraussetzungen
| Kategorie | Anforderungen |
|---|---|
| Berechtigungen | Mitglied der Gruppe Projektsammlungsadministratoren. Organisationsbesitzer sind automatisch Mitglieder dieser Gruppe. |
Sicherheitsgruppen verwenden
Für eine optimale Wartung empfehlen wir die Verwendung der Standardsicherheitsgruppen oder das Einrichten von benutzerdefinierten Sicherheitsgruppen, um Berechtigungenzu verwalten. Die Berechtigungseinstellungen für die Gruppen Projektadministratoren und Projektsammlungsadministratoren sind vorgegeben und können nicht geändert werden. Sie haben jedoch die Möglichkeit, Berechtigungen für alle anderen Gruppen zu ändern.
Die Verwaltung von Berechtigungen für einzelne Benutzer mag machbar erscheinen, aber angepasste Sicherheitsgruppen bieten einen besser organisierten Ansatz. Sie optimieren die Aufsicht über Rollen und die zugehörigen Berechtigungen, sorgen für Klarheit und ein einfaches Managementdesign, das nicht geändert werden kann. Sie haben jedoch die Möglichkeit, die Berechtigungen für alle anderen Gruppen zu ändern.
Delegieren von Aufgaben an bestimmte Rollen
Ein strategischer Ansatz besteht darin, als Administrator oder Organisationsbesitzer administrative Aufgaben an Teammitglieder zu delegieren, die für bestimmte Bereiche zuständig sind. Zu den primären integrierten Rollen, die mit vordefinierten Berechtigungen und Zuweisungen ausgestattet sind, gehören:
- Readers: Sie haben nur Lesezugriff auf das Projekt.
- Contributors: Sie können zum Projekt beitragen, indem sie Inhalte hinzufügen oder ändern.
- Team Administrator: Verwalten Sie teambezogene Einstellungen und Berechtigungen.
- Project Administrators: Sie haben administrative Rechte für das Projekt.
- Project Collection Administrators: Sie haben die Aufsicht über die gesamte Projektsammlung und verfügen über die höchste Berechtigungsstufe.
Diese Rollen erleichtern die Verteilung der Zuständigkeiten und rationalisieren die Verwaltung der Projektbereiche.
Weitere Informationen finden Sie unter Standardberechtigungen und -zugriff und Ändern von Berechtigungen auf Projektsammlungsebene.
Um Aufgaben an andere Mitglieder in Ihrer Organisation zu delegieren, erwägen Sie, eine benutzerdefinierte Sicherheitsgruppe zu erstellen und dann Berechtigungen zu erteilen, wie in der folgenden Tabelle angegeben.
Rolle
Auszuführende Aufgaben
Berechtigungen, die auf Zulassen festgelegt werden sollen
Entwicklungsleiter (Git)
Verwalten von Branchrichtlinien
Bearbeiten von Richtlinien, Pushen erzwingen und Berechtigungen verwalten
Weitere Informationen finden Sie unter Festlegen von Branchberechtigungen.
Entwicklungsleiter (Team Foundation Version Control (TFVC))
Verwalten von Repositorys und Branches
Verwalten von Bezeichnungen, Verwalten von Branch und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von TFVC-Repositoryberechtigungen.
Softwarearchitekt (Git)
Verwalten von Repositorys
Erstellen von Repositorys, Erzwingen von Push und Verwalten von Berechtigungen
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen.
Teamadministratoren
Hinzufügen von Bereichspfaden für ihr Team
Hinzufügen freigegebener Abfragen für ihr Team
Erstellen untergeordneter Knoten, Löschen dieses Knotens, Bearbeiten dieses Knotens Siehe Erstellen untergeordneter Knoten, Ändern von Arbeitselementen unter einem Bereichspfad
Mitwirken, Löschen, Verwalten von Berechtigungen (für einen Abfrageordner) finden Sie unter Festlegen von Abfrageberechtigungen.
Beitragende
Hinzufügen freigegebener Abfragen unter einem Abfrageordner, Mitwirken zu Dashboards
Mitwirken, Löschen (für einen Abfrageordner), siehe Festlegen von Abfrageberechtigungen
Anzeigen, Bearbeiten und Verwalten von Dashboards finden Sie unter Festlegen von Dashboardberechtigungen.
Projekt- oder Produktmanager
Hinzufügen von Bereichspfaden, Iterationspfaden und freigegebenen Abfragen
Löschen und Wiederherstellen von Arbeitselementen, Verschieben von Arbeitselementen aus diesem Projekt, Dauerhaftes Löschen von Arbeitselementen
Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.
Prozessvorlagen-Manager (Vererbungsprozessmodell)
Anpassung der Arbeitsnachverfolgung
Verwalten von Prozessberechtigungen, Erstellen neuer Projekte, Prozess erstellen, Feld aus Konto löschen, Löschprozess, Projekt löschen, Prozess bearbeiten
Weitere Informationen finden Sie unter Ändern von Berechtigungen auf Sammlungsebene des Projekts.
Prozessvorlagen-Manager (gehostetes XML-Prozessmodell)
Anpassung der Arbeitsnachverfolgung
Bearbeiten von Informationen auf Sammlungsebene finden Sie unter Ändern von Berechtigungen auf Projektsammlungsebene.
Projektverwaltung (lokales XML-Prozessmodell)
Anpassung der Arbeitsnachverfolgung
Bearbeiten von Informationen auf Projektebene finden Sie unter Ändern von Berechtigungen auf Projektebene.
Berechtigungs-Manager
Verwalten von Berechtigungen für ein Projekt, konto oder eine Sammlung
Bearbeiten von Informationen auf Projektebene für ein Projekt
Bearbeiten von Informationen auf Instanzebene (oder Sammlungsebene) für ein Konto oder eine Sammlung
Informationen zum Umfang dieser Berechtigungen finden Sie unter Leitfaden zur Berechtigungssuche. Informationen zum Anfordern einer Änderung der Berechtigungen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Neben der Zuweisung von Berechtigungen an Einzelpersonen können Sie innerhalb von Azure DevOps auch Berechtigungen für verschiedene Objekte verwalten. Zu diesen Objekten zählen:
Diese Links bieten detaillierte Schritte und Richtlinien für die Einrichtung und effektive Verwaltung von Berechtigungen für die jeweiligen Bereiche in Azure DevOps.
Einschränken der Benutzersichtbarkeit
Warnung
Beachten Sie die folgenden Einschränkungen bei der Verwendung dieses Vorschaufeatures:
- Die in diesem Abschnitt beschriebenen Features für eingeschränkte Sichtbarkeit gelten nur für Interaktionen über das Webportal. Mit den REST-APIs oder
azure devopsCLI-Befehlen können Projektmitglieder auf die eingeschränkten Daten zugreifen. - Benutzer in der eingeschränkten Gruppe können nur Benutzer auswählen, die Azure DevOps explizit hinzugefügt werden, und nicht Benutzer, die über die Microsoft Entra-Gruppenmitgliedschaft Zugriff haben.
- Gastbenutzer, die Mitglieder der eingeschränkten Gruppe mit Standardzugriff in Microsoft Entra ID sind, können mit der Personenauswahl nicht nach Benutzern suchen.
Organisationen und Projekte
Standardmäßig können Benutzer, die einer Organisation hinzugefügt wurden, alle Organisations- und Projektinformationen und -einstellungen anzeigen. Sie können bestimmte Benutzer, z. B. Projektbeteiligte, Microsoft Entra-Benutzer oder Mitglieder einer bestimmten Sicherheitsgruppe, mit der Vorschaufunktion Benutzersichtbarkeit und -zusammenarbeit auf bestimmte Projekte beschränken für die Organisation einschränken. Sobald das Feature aktiviert wurde, werden für alle Benutzer oder Gruppen, die der Gruppe Projektbezogene Benutzer hinzugefügt wurden, wie folgende Einschränkungen festgelegt:
- Der Zugriff ist nur auf die Projekte beschränkt, denen sie explizit hinzugefügt werden.
- Ansichten, die Listen von Benutzern, Projekten, Abrechnungsdetails, Nutzungsdaten und mehr anzeigen, auf die über die Organisationseinstellungen zugegriffen wird, sind eingeschränkt zugänglich.
- Die Personen oder Gruppen, die in den Personenauswahl-Suchergebnissen angezeigt werden, und die Möglichkeit, Personen zu @nennen, sind eingeschränkt.
Suche und Auswahl von Identitäten
Mit der Microsoft Entra-ID können Sie personenauswahlen verwenden, um nach einem beliebigen Benutzer oder jeder Gruppe in Ihrer Organisation zu suchen, nicht nur nach den Personen in Ihrem aktuellen Projekt. Personenauswahl unterstützt die folgenden Azure DevOps-Funktionen:
- Auswahl einer Benutzeridentität aus einem Arbeitsverfolgungsidentitätsfeld, z. B . Zugewiesen an
- Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention in einer Arbeitselementdiskodiumsdiskussion oder einem Rich-Text-Feld, einer Pull Request-Diskussion, Commitkommentaren oder Changeset- oder Regaletkommentaren
- Auswahl eines Benutzers oder einer Gruppe mithilfe von @mention auf einer Wiki-Seite
Beginnen Sie wie in der folgenden Abbildung gezeigt, einen Benutzer- oder Sicherheitsgruppennamen in ein Personenauswahlfeld einzugeben, bis Sie eine Übereinstimmung gefunden haben.
Benutzer und Gruppen, die der Gruppe Project-Scoped Users hinzugefügt werden, können nur Benutzer und Gruppen in dem Projekt anzeigen und auswählen, mit denen sie verbunden sind.
Aktivieren des Vorschaufeatures und Hinzufügen von Benutzern zur Sicherheitsgruppe
Führen Sie die folgenden Schritte aus, um die Previewfunktion zu aktivieren und der Gruppe „Projektbezogene Benutzer“ Benutzer hinzuzufügen:
Aktivieren Sie für die Organisation die Previewfunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken.
Fügen Sie die Benutzer zu Ihrem Projekt hinzu, wie in Hinzufügen von Benutzern zu einem Projekt oder Teambeschrieben. Benutzer, die einem Team hinzugefügt werden, werden automatisch zur Projekt- und Teamgruppe hinzugefügt.
Öffnen Sie Organisationseinstellungen>Sicherheitsberechtigungen>Berechtigungen, und wählen Sie Project-Scoped Benutzeraus. Wählen Sie die Registerkarte Mitglieder aus.
Fügen Sie alle Benutzer und Gruppen hinzu, die Sie auf das Projekt, dem sie hinzugefügt wurden, beschränken möchten. Weitere Informationen finden Sie unter Festlegen von Berechtigungen auf Projekt- oder Sammlungsebene.
Die Gruppe Projektbezogene Benutzer wird nur dann unter Berechtigungen>Gruppen angezeigt, wenn die Previewfunktion Benutzersichtbarkeit und Zusammenarbeit auf bestimmte Projekte einschränken aktiviert ist.
Alle Sicherheitsgruppen in Azure DevOps gelten als Entitäten auf Organisationsebene, auch wenn sie nur über Berechtigungen für ein bestimmtes Projekt verfügen. Dies bedeutet, dass Sicherheitsgruppen auf Organisationsebene verwaltet werden.
Im Webportal kann die Sichtbarkeit einiger Sicherheitsgruppen basierend auf den Berechtigungen des Benutzers eingeschränkt werden. Sie können jedoch weiterhin die Namen aller Sicherheitsgruppen innerhalb einer Organisation ermitteln, indem Sie das azure devops CLI-Tool oder die REST-APIs verwenden. Weitere Informationen finden Sie unter Hinzufügen und Verwalten von Sicherheitsgruppen.
Einschränken des Zugriffs zum Anzeigen oder Ändern von Objekten
Azure DevOps ist so konzipiert, dass alle autorisierten Benutzer alle definierten Objekte innerhalb des Systems sehen können. Sie können jedoch den Zugriff auf Ressourcen anpassen, indem Sie den Status der Berechtigung auf Ablehnen setzen. Sie können Berechtigungen für Mitglieder, die zu einer benutzerdefinierten Sicherheitsgruppe gehören, oder für einzelne Benutzer festlegen. Weitere Informationen finden Sie unter Anfordern einer Erhöhung der Berechtigungsstufen.
Bereich, der eingeschränkt werden soll
Berechtigungen, die auf Verweigern festgelegt werden sollen
Anzeigen oder Mitwirken zu einem Repository
Anzeigen, Mitwirken
Weitere Informationen finden Sie unter Festlegen von Git-Repositoryberechtigungen oder Festlegen von TFVC-Repositoryberechtigungen.
Anzeigen, Erstellen oder Ändern von Arbeitselementen innerhalb eines Bereichspfads
Bearbeiten von Arbeitselementen in diesem Knoten, Anzeigen von Arbeitselementen in diesem Knoten
Weitere Informationen finden Sie unter Festlegen von Berechtigungen und Zugriff für die Arbeitsnachverfolgung, Ändern von Arbeitselementen unter einem Bereichspfad.
Anzeigen oder Aktualisieren ausgewählter Build- und Releasepipelines
Buildpipeline bearbeiten, Buildpipeline anzeigen
Releasepipeline bearbeiten, Releasepipeline anzeigen
Sie legen diese Berechtigungen auf Objektebene fest. Weitere Informationen finden Sie unter Festlegen von Build- und Freigabeberechtigungen.
Bearbeiten eines Dashboards
Dashboards anzeigen
Weitere Informationen finden Sie unter Festlegen von Dashboardberechtigungen.
Einschränken der Änderung von Arbeitselementen oder Auswählen von Feldern
Beispiele, die veranschaulichen, wie Änderungen von Arbeitselementen eingeschränkt oder Felder ausgewählt werden, finden Sie unter Beispielregelszenarien.
Nächste Schritte
Verwandte Inhalte
- Standardberechtigungen und Zugriffsberechtigungen anzeigen
- Verwenden des Leitfadens zu Berechtigungen
- Erste Schritte mit Berechtigungen, Zugriff und Sicherheitsgruppen
- Referenz zu Berechtigungen und Gruppen
- Ändern von Berechtigungen auf Projektebene
- Ändern von Berechtigungen auf Projektsammlungsebene