Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
La administración del acceso a características específicas en Azure DevOps puede ser fundamental para mantener el equilibrio adecuado de apertura y seguridad. Tanto si desea conceder o restringir el acceso a determinadas funcionalidades para un grupo de usuarios, comprender la flexibilidad más allá de los permisos estándar proporcionados por los grupos de seguridad integrados es clave.
Si no está familiarizado con el panorama de permisos y grupos, consulte Introducción a los permisos, el acceso y los grupos de seguridad. En este artículo se tratan los aspectos básicos de los estados de permiso y cómo heredan.
Sugerencia
La estructura del proyecto en Azure DevOps desempeña un papel fundamental en la determinación de la granularidad de los permisos en un nivel de objeto, como repositorios y rutas de acceso de área. Esta estructura es la base que permite ajustar los controles de acceso, lo que le permite delimitar específicamente qué áreas son accesibles o restringidas. Para obtener más información, consulte Acerca de los proyectos y escalado de la organización.
Prerrequisitos
| Categoría | Requisitos |
|---|---|
| Permisos | Miembro del grupo de Administradores de la Colección de Proyectos . Los propietarios de la organización son miembros automáticamente de este grupo. |
Uso de grupos de seguridad
Para un mantenimiento óptimo, se recomienda usar los grupos de seguridad predeterminados o establecer grupos de seguridad personalizados para administrar permisos. La configuración de permisos de los grupos Administradores de Proyecto y Administradores de Colección de Proyectos está establecida por diseño y no se puede alterar. Sin embargo, tiene la flexibilidad de modificar los permisos de todos los demás grupos.
La administración de permisos para algunos usuarios puede parecer factible, pero los grupos de seguridad personalizados proporcionan un enfoque más organizado. Simplifican la supervisión de los roles y sus permisos asociados, lo que garantiza la claridad y facilidad de diseño de administración y no se pueden modificar. Pero tiene la flexibilidad de modificar los permisos de todos los demás grupos.
Delegación de tareas a roles específicos
Como administrador u propietario de la organización, delegar tareas administrativas a los miembros del equipo que supervisan áreas específicas es un enfoque estratégico. Los roles integrados principales equipados con permisos predefinidos y asignaciones de roles incluyen:
- Lectores: Disponen de acceso de solo lectura al proyecto.
- Colaboradores: pueden contribuir al proyecto agregando o modificando contenido.
- Administrador del equipo: administra la configuración y los permisos relacionados con el equipo.
- Administradores de proyectos: tienen derechos administrativos sobre el proyecto.
- Administradores de colecciones de proyectos: supervisan toda la colección de proyectos y tienen el nivel más alto de permisos.
Estos roles facilitan la distribución de responsabilidades y simplifican la gestión de las áreas de proyecto.
Para obtener más información, consulte Permisos predeterminados y acceso y Cambio de permisos de nivel de colección de proyectos.
Para delegar tareas a otros miembros de la organización, considere la posibilidad de crear un grupo de seguridad personalizado y, a continuación, conceder permisos como se indica en la tabla siguiente.
Rol
Tareas que se deben realizar
Permisos para establecer en Permitir
Jefe de desarrollo (Git)
Administrar directivas de rama
Editar directivas, forzar inserción y administrar permisos
Consulte Establecimiento de permisos de rama.
Responsable de desarrollo (Control de versiones de Team Foundation (TFVC))
Administración de repositorios y ramas
Administrar etiquetas, Administrar rama y Administrar permisos
Consulte Establecimiento de permisos de repositorio de TFVC.
Arquitecto de software (Git)
Administrar repositorios
Creación de repositorios, forzar inserción y administrar permisos
Consulte Establecimiento de permisos de repositorio de Git.
Administradores de equipo
Agregar rutas de acceso de área para su equipo
Agregar consultas compartidas para su equipo
Crear nodos secundarios, Eliminar este nodo, Editar este nodo Vea Crear nodos secundarios, modificar elementos de trabajo en una ruta de acceso de área
Contribuir, Eliminar, Administrar permisos (para una carpeta de consulta), consulte Establecimiento de permisos de consulta.
Colaboradores
Agregar consultas compartidas en una carpeta de consultas, Contribuir a los paneles
Contribuir, Eliminar (para una carpeta de consulta), consulte Establecimiento de permisos de consulta.
Ver, editar y administrar paneles, consulte Establecer permisos de panel.
Administrador de proyectos o productos
Agregar rutas de acceso de área, rutas de acceso de iteración y consultas compartidas
Eliminar y restaurar elementos de trabajo, Mover elementos de trabajo fuera de este proyecto, eliminar permanentemente elementos de trabajo
Editar información de nivel de proyecto, consulte Cambio de permisos de nivel de proyecto.
Administrador de plantillas de proceso (modelo de proceso de herencia)
Personalización del seguimiento del trabajo
Administrar permisos de proceso, Crear nuevos proyectos, Crear proceso, Eliminar campo de cuenta, Eliminar proceso, Eliminar proceso, Eliminar proyecto, Editar proceso
Consulte Cambio de permisos de nivel de colección de proyectos.
Administrador de plantillas de proceso (modelo de proceso XML hospedado)
Personalización del seguimiento del trabajo
Editar información de nivel de colección, consulte Cambio de permisos de nivel de colección de proyectos.
Administración de proyectos (modelo de proceso XML local)
Personalización del seguimiento del trabajo
Editar información de nivel de proyecto, consulte Cambio de permisos de nivel de proyecto.
Administrador de permisos
Administrar permisos para un proyecto, una cuenta o una colección
Para un proyecto, editar información de nivel de proyecto
Para una cuenta o colección, editar información de nivel de instancia (o de colección)
Para comprender el ámbito de estos permisos, consulte la Guía de búsqueda de permisos. Para solicitar un cambio en los permisos, consulte Solicitar un aumento en los niveles de permisos.
Además de asignar permisos a usuarios, puede administrar permisos para varios objetos dentro de Azure DevOps. Estos objetos incluyen:
Estos vínculos proporcionan pasos y directrices detallados para configurar y administrar permisos de forma eficaz para las áreas respectivas de Azure DevOps.
Limitar la visibilidad del usuario
Advertencia
Tenga en cuenta las siguientes limitaciones al usar esta característica en versión preliminar:
- Las características de visibilidad limitadas descritas en esta sección solo se aplican a las interacciones a través del portal web. Con las API REST o
azure devopslos comandos de la CLI, los miembros del proyecto pueden acceder a los datos restringidos. - Los usuarios del grupo limitado solo pueden seleccionar usuarios que se agregan explícitamente a Azure DevOps y no a los usuarios que tienen acceso a través de la pertenencia a grupos de Microsoft Entra.
- Los usuarios invitados que sean miembros del grupo limitado con acceso predeterminado en Microsoft Entra ID no pueden buscar usuarios con el selector de personas.
Organizaciones y proyectos
De forma predeterminada, los usuarios agregados a una organización pueden ver toda la información de la organización y la configuración del proyecto. Puede restringir usuarios específicos, como partes interesadas, usuarios de Microsoft Entra o miembros de un grupo de seguridad determinado, con la característica Limitar la visibilidad y la colaboración del usuario a proyectos específicos de la organización. Una vez que la función está activada, cualquier usuario o grupo que se añada al grupo Usuarios con ámbito de proyecto queda restringido de las siguientes maneras:
- El acceso se limita solo a los proyectos a los que se agregan explícitamente.
- Las vistas que muestran listas de usuarios, proyectos, detalles de facturación, datos de uso y más, accedidas a través de Configuración de la organización, están restringidas.
- Se limita el conjunto de personas o grupos que aparecen en las selecciones de búsqueda del selector de personas y la capacidad de @mencionar personas.
Búsqueda y selección de identidades
Con Microsoft Entra ID, puede usar selectores de personas para buscar cualquier usuario o grupo de su organización, no solo los del proyecto actual. Personas selectores admiten las siguientes funciones de Azure DevOps:
- Selección de una identidad de usuario de un campo de identidad de seguimiento de trabajo, como Asignado a
- Selección de un usuario o grupo mediante @mention en un campo de discusión de elementos de trabajo o texto enriquecido, una discusión de solicitud de incorporación de cambios, comentarios de confirmación o comentarios de conjunto de cambios o comentarios de conjunto de cambios
- Selección de un usuario o grupo mediante @mention desde una página wiki
Como se muestra en la siguiente imagen, empiece a escribir un nombre de usuario o grupo de seguridad en un cuadro selector de personas hasta que encuentre una coincidencia.
Los usuarios y grupos que se agregan al grupo Usuarios deProject-Scoped solo pueden ver y seleccionar usuarios y grupos en el proyecto al que están conectados desde un selector de personas.
Activar la característica de vista previa y agregar usuarios al grupo de seguridad
Realice los pasos siguientes para activar la característica de vista previa y agregar usuarios y grupos al grupo usuarios de Project-Scoped:
Active la función Limitar la visibilidad y la colaboración de los usuarios a proyectos específicosprevisualizar para la organización.
Agregue los usuarios al proyecto como se describe en Agregar usuarios a un proyecto o equipo. Los usuarios agregados a un equipo se agregan automáticamente al proyecto y al grupo de equipos.
Abra Configuración de la organización>Seguridad>Permisos y elija Usuarios con ámbito de proyecto. Seleccione la pestaña Miembros.
Agregue todos los usuarios y grupos que desea añadir al ámbito del proyecto al que se agregan. Para obtener más información, vea Establecer permisos en el nivel de proyecto o colección.
El grupo Usuarios con ámbito de proyecto solo aparece en Permisos>Grupos cuando está activada la función de vista previa Limitar la visibilidad y la colaboración de usuarios a proyectos específicos.
Todos los grupos de seguridad de Azure DevOps se consideran entidades de nivel de organización, aunque solo tengan permisos para un proyecto específico. Esto significa que los grupos de seguridad se administran en el nivel de organización.
Desde el portal web, es posible que la visibilidad de algunos grupos de seguridad esté restringida en función de los permisos del usuario. Sin embargo, todavía puede descubrir los nombres de todos los grupos de seguridad de una organización mediante el uso de la herramienta CLI de azure devops o las API REST. Para obtener más información, consulte Agregar y administrar grupos de seguridad.
Restringir el acceso para ver o modificar objetos
Azure DevOps está diseñado para permitir que todos los usuarios autorizados vean todos los objetos definidos dentro del sistema. Sin embargo, puede adaptar el acceso a los recursos estableciendo el estado de permiso en Denegar. Puede establecer permisos para los miembros que pertenecen a un grupo de seguridad personalizado o para usuarios individuales. Para obtener más información, consulte Solicitar un aumento en los niveles de permisos.
Área que se va a restringir
Permisos para configurar como Denegar
Ver o contribuir a un repositorio
Ver, contribuir
Consulte Establecimiento de permisos de repositorio de Git o Establecimiento de permisos de repositorio tfVC.
Ver, crear o modificar elementos de trabajo dentro de una ruta de acceso de área
Editar elementos de trabajo en este nodo, Ver elementos de trabajo en este nodo
Consulte Establecer permisos y acceso para el seguimiento del trabajo, Modificar elementos de trabajo en una ruta de acceso de área.
Visualización o actualización de las canalizaciones de compilación y versión
Editar canalización de compilación, Ver canalización de compilación
Editar canalización de versión, Ver canalización de versión
Estos permisos se establecen en el nivel de objeto. Consulte Establecimiento de permisos de compilación y versión.
Edición de paneles
Visualización de paneles
Consulte Establecimiento de permisos de panel.
Restringir la modificación de elementos de trabajo o seleccionar campos
Para obtener ejemplos que muestran cómo restringir la modificación de elementos de trabajo o seleccionar campos, consulte Escenarios de reglas de ejemplo.