Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Este artigo mostra como exibir permissões e verificar o acesso efetivo para usuários e grupos nos níveis de organização, projeto e repositório (ou outro objeto). Ele explica os estados de permissão (Permitir, Negar, Herdar), como a herança e a associação de grupo afetam as permissões efetivas e as etapas para solucionar problemas comuns de acesso.
O que você aprenderá:
- Onde exibir atribuições de permissão no portal da Web.
- Como verificar permissões efetivas para um usuário ou grupo.
- Razões comuns pelas quais as permissões não têm o efeito esperado (herança, negações, acesso de partes interessadas, mapeamento de grupos do Microsoft Entra ID).
Etapas rápidas:
- Abra as configurações da Organização ou as configurações do Projeto>Segurança (ou Permissões).
- Selecione o objeto (projeto, repositório ou grupo) e exiba as permissões atribuídas.
- Use a interface de Usuários/Grupos ou a interface de Permissões Efetivas para inspecionar o acesso efetivo.
- Se necessário, examine as associações de grupo e negue as regras que anulam as permissões.
Observação
Os recursos de gerenciamento de permissões e a interface do usuário variam ligeiramente entre o Azure DevOps Services (nuvem) e o Servidor do Azure DevOps local. As diretrizes a seguir destacam as diferenças de UI quando aplicável.
Noções básicas do modelo de permissão
As permissões no Azure DevOps usam três estados de atribuição:
- Permitir – concede explicitamente uma permissão.
- Negar – nega explicitamente uma permissão e substitui Allow.
- Herdar — nenhuma atribuição explícita neste nível; a permissão é herdada de escopos superiores ou filiação a grupos.
As permissões efetivas são computadas avaliando as atribuições em:
- O próprio objeto (projeto, repositório, caminho de área etc.)
- Escopos pai (coleção, organização, projeto)
- Associações de grupo (grupos internos, grupos personalizados, grupos de ID do Microsoft Entra)
- Atribuições de negação explícitas têm precedência
O que as permissões "efetivas" significam:
Permissões efetivas são o acesso à rede que um usuário ou grupo realmente tem em um objeto depois que o Azure DevOps avalia cada atribuição de permissão relevante. O sistema combina atribuições explícitas de Permitir e Negar entre o objeto, os escopos superiores e todas as associações de grupos; as entradas de negação explícitas têm prioridade. Na prática, "permissões efetivas" mostram o resultado final (o que alguém pode realmente fazer), não todas as atribuições individuais que contribuíram para esse resultado.
Para obter um aprofundamento sobre a resolução de permissões e a herança, consulte Sobre permissões, estados de permissão.
Onde exibir permissões
Você pode exibir permissões em vários locais no portal da Web dependendo do objeto:
- Nível de organização ou coleção: Configurações da organização>Segurança (ou Configurações da organização>Permissões).
- Nível do projeto: Configurações do projeto>Permissões (ou Configurações do projeto>Segurança em interfaces de usuário mais antigas).
- Repositório, pipeline, quadro ou outro recurso: Abra o recurso e, em seguida, Configurações ou Segurança (por exemplo, Repos> selecione repositório>Segurança).
A página Permissões de Segurança/ mostragrupos e usuários atribuídos e uma matriz de permissão que você pode filtrar por usuário ou grupo.
Verificar permissões efetivas (interface do usuário)
Faça login no
https://dev.azure.com/{Your_Organization}.Vá para o objeto que você deseja inspecionar (Organização, Projeto, Repositório etc.).
Selecione as configurações do Projeto ouas Permissões de Configurações> da Organização(ou Segurança).
Escolha Usuários ou Grupos, selecione a identidade que você deseja inspecionar e, em seguida, exiba a grade de permissões.
Use qualquer link ou botão "Permissões efetivas" fornecido (se presente) para calcular a permissão efetiva final para a identidade selecionada no objeto escolhido.
- Faça login no servidor ou no portal da sua coleção.
- Vá para configurações do Projeto>Segurança (ou configurações de Organização/Coleção > Segurança).
- Selecione o grupo ou o usuário e examine a matriz de permissões. Use o filtro e os controles de permissões efetivas na caixa de diálogo.
Verificar permissões efetivas (linha de comando/REST)
Se preferir a automação, use a API REST para ler ACLs ou os módulos da CLI/PowerShell do Azure DevOps para verificar a permissão de script. Procure o namespace de segurança do recurso e avalie os bits de ACL para calcular o acesso efetivo.
Cenários comuns e solução de problemas
- "Deny supera Permitir: uma negação explícita em qualquer escopo prevalece." Verifique se há negações em escopos superiores ou inferiores e na pertinência a grupos.
- Associação em vários grupos: As permissões efetivas combinam as atribuições de grupo; uma negação em qualquer grupo se aplica.
- Herança dos escopos pai: se uma permissão estiver como Herdar no nível corrente, verifique os escopos pai para atribuições.
- Mapeamento de grupo do Microsoft Entra ID: se os usuários forem adicionados por meio de grupos do Microsoft Entra, verifique se o grupo correto está sincronizado com o Azure DevOps e se a associação do grupo é o que você espera.
- Limites de acesso de partes interessadas: os usuários com acesso de partes interessadas têm disponibilidade limitada de funcionalidades, independentemente das atribuições de permissão. Portanto, verifique o nível de acesso se um usuário não pode executar uma ação.
- Acesso dinâmico ou temporário: algumas políticas (como acesso condicional) ou provisionamento externo podem afetar a entrada/acesso— verifique as políticas de acesso condicional do Microsoft Entra se a entrada falhar.
Lista de verificação para rápida solução de problemas
- Confirme a conta de usuário que está sendo usada para entrar (corresponde à identidade mostrada no Azure DevOps).
- Inspecione as associações diretas e indiretas a grupos do usuário.
- Pesquise as atribuições de Negação explícitas nos escopos de objeto e pai.
- Verifique o nível de acesso do usuário (Stakeholder vs Basic) e os limites de licenciamento.
- Se você estiver usando grupos do Microsoft Entra, confirme a sincronização e a associação do grupo.
- Se necessário, use REST/CLI para listar ACLs para o recurso e avaliar programaticamente.
Auditoria e histórico
Utilize os logs de auditoria (configurações da organização > logs de auditoria) para controlar alterações em grupos de segurança, atribuições de permissão e mudanças na associação se sua organização tiver a auditoria ativada. Eventos de auditoria podem ajudar a rastrear quando uma permissão ou associação foi alterada.
Links e ferramentas úteis
- Sobre permissões e grupos de segurança
- Definir permissões no nível do objeto
- Guia de pesquisa de permissões
- Gerenciar usuários e grupos