Azure DevOps Services |Azure DevOps Server |Azure DevOps Server 2022 |Azure DevOps Server 2020
要有效管理工作跟踪,请为特定对象、项目或集合向用户或组分配特定权限。 还可以为适用于特定用户或组的流程或项目定义自定义规则,相应地控制他们的操作。 对于大多数功能,我们建议将用户添加到项目的“参与者”组,这会授予全面的访问权限,并确保无缝高效的工作跟踪体验。
注意
对于公共项目,利益干系人访问权限为用户提供对工作跟踪功能的更多访问权限以及对 Azure Pipelines 的完全访问权限。 有关详细信息,请参阅利益干系人访问快速参考。
先决条件
| 类别 | 要求 |
|---|---|
| 权限 | 项目管理员组的成员或显式权限来管理工作跟踪区域,如本文所述。 |
| 类别 | 要求 |
|---|---|
| 权限 | 项目集合管理员组的成员或具有编辑集合进程的显式权限。 |
了解工作跟踪的角色和权限级别
下表总结了可以在对象、项目或集合级别设置的不同权限。 团队管理员角色提供添加和修改团队资源的访问权限。 此外,请参阅本文后面的 Boards、积压工作、冲刺、交付计划、测试管理和查询的默认权限。
角色或权限级别
设置的功能区域
团队管理员角色
添加团队管理员
对象级别权限
项目级别权限
项目集合级权限
包括可以在集合级别设置的所有权限。
- 创建、删除或编辑流程(继承流程模型)
- 从帐户中删除字段(继承流程模型)
- 管理流程权限(继承流程模型)
-
更改集合级别权限
项目集合级别权限包括可在集合级别设置的所有权限
Boards、积压工作和冲刺的默认权限
面板默认权限
任务
读取者
参与者
团队管理员
项目管理员
查看面板并打开工作项
✔️
✔️
✔️
将工作项添加到面板;通过拖放更新状态
✔️
✔️
通过拖放对工作项重新排序或重新设置子项的父级;更新卡片上的字段
✔️
✔️
将工作项添加到面板;通过拖放更新状态、重新排序或重新设置子项的父级;更新卡片上的字段
✔️
✔️
将子项添加到清单
✔️
✔️
分配给冲刺(从卡片字段)
✔️
✔️
配置面板设置
✔️
积压工作默认权限
任务
读取者
参与者
团队管理员
项目管理员
查看积压工作和打开工作项
✔️
✔️
✔️
将工作项添加到积压工作中
✔️
✔️
使用批量编辑功能
✔️
✔️
将子项添加到积压工作项;确定积压工作的优先级或重新排序;使用“映射”窗格设置父项;使用“规划”窗格将项分配到冲刺
✔️
✔️
配置团队设置、积压工作级别、显示 bug、休息日
✔️
冲刺默认权限
任务
读取者
参与者
团队管理员项目管理员
查看冲刺积压工作、任务板和打开工作项
✔️
✔️
✔️
将工作项添加到冲刺积压工作或任务板
✔️
✔️
确定冲刺积压工作或任务板的优先级/重新排序;将子项添加到积压工作项;使用“规划”窗格将项重新分配到冲刺
✔️
✔️
查看团队产能和工作详细信息
✔️
✔️
✔️
设置团队产能
✔️
使用批量编辑功能
✔️
✔️
定义团队冲刺
✔️
创建子节点,修改区域或迭代路径下的工作项
区域路径权限允许你管理对编辑或修改分配到这些区域的工作项、测试用例或测试计划的访问。 可以限制对用户或组的访问。 还可以设置谁可以为项目添加或修改区域或迭代的权限。
按照以下步骤为项目定义区域和迭代。
选择项目设置>项目配置>面板,然后选择“区域”或“迭代”以修改区域路径或迭代路径。
选择要管理的节点的 ... 上下文菜单,然后选择“安全性”。
选择组或项目成员,然后更改权限设置。 要添加用户或组,请在搜索框中输入他们的名称。
例如,在这里我们添加了“拒绝访问组”,并拒绝该组成员查看、修改或编辑“帐户管理”区域路径中的工作项的能力。
可以为权限指定两种显式授权状态:拒绝和允许。 此外,权限可以存在于其他三种状态之一。 有关详细信息,请参阅关于权限、访问权限和安全组。
(可选)选择“继承”滑块以禁用继承。 禁用“继承”会将所有继承的权限保留为显式访问控制项 (ACE)。
完成后,关闭对话框。 更改将自动保存。
按照以下步骤为项目定义区域和迭代。
选择 “项目设置>项目配置>区域”。
选择要管理的节点的 ... 上下文菜单,然后选择“安全性”。
选择组或团队成员,然后更改权限设置。 要添加用户或组,请在搜索框中输入他们的名称。
在以下示例中,我们添加了“拒绝访问组”,并拒绝该组成员查看、修改或编辑“客户服务”区域路径中的工作项的能力。
可以为权限指定两种显式授权状态:拒绝和允许。 权限也可以存在于其他三种状态之一。 有关详细信息,请参阅关于权限、访问权限和安全组。
(可选)将“继承”切换为“关闭”以禁用继承。 禁用“继承”会将所有继承的权限保留为显式访问控制项 (ACE)。
完成后,关闭对话框。 更改将自动保存。
工作项的默认权限
注意
可以更改工作项类型,或者将工作项移动到项目集合中的另一个项目。 这些功能需要禁用数据仓库。 在禁用了数据仓库的情况下,可以使用 Analytics Service 为报告需求提供支持。 要详细了解如何禁用数据仓库,请参阅禁用数据仓库和多维数据集。
任务或权限
读取者
参与者
项目管理员
查看此节点中的工作项(区域路径权限)
✔️
✔️
✔️
编辑此节点中的工作项(区域路径权限)
✔️
✔️
编辑此节点中的工作项注释(区域路径权限)
✔️
✔️
创建标记定义
✔️
✔️
更改工作项类型(项目级权限)
✔️
✔️
将工作项移出此项目(项目级权限)
✔️
✔️
通过电子邮件发送工作项
✔️
✔️
✔️
应用工作项模板
✔️
✔️
删除和还原工作项(项目级权限)(能够从回收站还原)
✔️
✔️
永久删除工作项(项目级权限)
✔️
提供反馈(通过 Microsoft 反馈客户端)
✔️
✔️
✔️
✔️
注意
工作项要遵守适用于它们的规则。 基于用户或组成员身份的条件规则会缓存在 Web 浏览器中。 如果你发现自己被限制更新某个工作项,可能是受制于以下规则之一。 如果你认为遇到的问题并不适用,请参阅工作项表单 IndexDB 缓存问题。 有关详细信息,请参阅规则和规则评估。
使用自定义规则
自定义规则不控制权限,但它们会影响用户是否可以修改工作项或设置工作项字段的值。 Azure Boards 支持以下支持业务工作流的工作跟踪自定义。
| 自定义 | 示例 |
|---|---|
| 在工作项创建、状态更改和指定状态时应用规则。 | - 将字段设置为只读 - 将字段设置为必填项 |
| 当字段值为空、设置为特定值、更改或未更改为某个值时应用规则。 | - 如果字段为空或满足某些条件,清除该字段的值 - 如果字段为空或满足特定条件,为该字段设置预定义值 - 将一个字段的值复制到另一个字段 - 基于某些条件或值隐藏字段 |
| 应用规定工作项可以从给定状态移动到什么状态的规则。 | - 基于状态更改重新分配工作项 - 指定工作项只能从“状态 A”过渡到“状态 B” - 基于子工作项的状态更改管理父工作项的状态过渡 |
| 根据修改工作项的用户或组成员身份应用规则。 | 指定限制组创建工作项、将工作项过渡到已关闭或已完成状态或更改字段值的规则 |
对系统字段应用自定义规则有一些限制。 例如,你不能指定设置或清除区域路径或迭代路径值的规则,因为它们是系统字段。 有关详细信息,请参阅 规则和规则评估 以及 示例自定义规则方案。
对查询或查询文件夹设置权限
可以指定谁可以在对象级别添加或编辑查询文件夹或查询。 若要管理查询或查询文件夹的权限,请成为查询或文件夹的创建者、 项目管理员 或 项目集合管理员 组的成员,或通过对象的 “安全 ”对话框授予显式访问权限。
“查询文件夹权限”对话框
有关详细信息,请参阅 在 Azure Boards 中使用托管查询跟踪工作。
查询的默认权限
提示
默认情况下, 参与者 无法创建和保存共享查询。 我们建议 项目管理员 为每个团队创建一个查询文件夹,并为团队管理员或团队组查询授予管理其文件夹的权限。 需要删除权限才能重命名或移动共享查询或文件夹,需要文件夹的参与权限才能将查询移动到文件夹。 有关详细信息,请参阅对查询和查询文件夹设置权限。
任务
读取者
参与者
项目管理员
查看和运行托管查询、查看查询图表
✔️
✔️
✔️
创建并保存托管的我的查询、查询图表
✔️
✔️
创建、删除和保存共享查询、图表、文件夹
✔️
临时即席搜索由语义搜索引擎提供支持。
设置工作项标记的权限
默认情况下, 参与者 组的所有用户都可以创建标记并将其添加到工作项。 若要设置组或用户限制此功能的权限,可以在项目级别将 “创建标记定义 ”设置为 “拒绝 ”。 若要了解如何作,请参阅 “更改项目级权限”。
管理交付计划的权限
交付计划是项目中的一个对象。 可以像管理共享查询或查询文件夹的权限一样管理每个计划的权限。 交付计划的创建者和 项目集合管理员 和 项目管理员 组的所有成员都有权编辑、管理和删除计划。
授予私有项目的 利益干系人 访问权限的用户无权访问交付计划,而授予 公共项目的利益干系人 访问权限与常规参与者授予 基本 访问权限的权限相同。 有关利益干系人与基本访问的比较图表,请参阅 功能矩阵。
若要编辑交付计划的权限,请成为计划创建者、 项目管理员 或 项目集合管理员 组的成员,或通过计划 的安全 对话框授予显式权限。
打开面板>交付计划。
若要向组或用户授予管理或编辑特定计划的权限,请选择
垂直省略号,然后选择 “安全性”。
添加要向其授予权限或限制访问权限的用户、团队组或其他安全组。 有关详细信息,请参阅更改项目级权限。 默认情况下,非管理员无法删除或编辑计划。
选择用户或组后,将你希望他们拥有的权限设置为“允许”。 将管理设置为允许使用户能够管理计划的权限。
完成后,关闭对话框。 更改将自动保存。
省略号,然后选择 “安全性”。
交付计划的默认权限
任务
读取者
参与者
团队管理员
项目管理员
查看交付计划
✔️
✔️
✔️
创建、编辑或删除交付计划,参与者只能编辑或删除他们创建的计划
✔️
✔️
管理交付计划的权限,参与者只能管理他们创建的计划的权限
✔️
✔️
移动或永久删除工作项
默认情况下, 项目管理员 和 参与者 可以通过将其移动到 回收站来更改工作项类型并删除工作项。 只有 项目管理员 才能永久删除工作项和测试项目。 项目管理员可以根据需要向其他团队成员授予权限。
例如,作为项目管理员,你可以向用户、团队组或你创建的其他组授予这些权限。 打开项目的“安全性”页面,然后选择要授予权限的用户或组。 要了解如何访问项目级“安全性”,请参阅更改项目级权限。
注意
将工作项移出此项目权限要求项目使用继承流程模型。
在以下示例中,我们向分配给团队管理员角色的成员以及属于团队管理员组的成员授予将工作项移动到另一个项目的权限,并永久删除工作项。
管理测试计划和测试套件
除了上一部分中设置的项目级权限外,团队成员还需要管理为区域路径设置的测试项目的权限。
打开区域路径的“安全”页,然后选择要授予权限的用户或组。
将“管理测试计划”和“管理测试套件”的权限设置为“允许”。
要拥有对测试功能集的完全访问权限,你的访问级别必须设置为“基本 + 测试计划”。 具有 基本 访问权限且有权永久删除工作项和管理测试项目的用户只能删除孤立的测试用例。
测试管理的默认权限
测试计划、测试套件、测试用例和其他测试项目是支持手动和探索性测试的特定工作项类型。 有关详细信息,请参阅 “更改项目级权限”。
权限
级别
读取者
参与者
项目管理员
查看测试运行
项目级别
✔️
✔️
✔️
创建测试运行
删除测试运行
项目级别
✔️
✔️
管理测试配置
管理测试环境
项目级别
✔️
✔️
创建标记定义
删除和还原工作项
项目级别
✔️
✔️
永久删除工作项
项目级别
✔️
查看此节点中的工作项
区域路径
✔️
✔️
✔️
编辑此节点中的工作项
管理测试计划
管理测试套件
区域路径
✔️
✔️
注意
“更改工作项类型”权限不适用于特定于测试的工作项。 即使你从工作项窗体中选择了此功能,也不允许更改工作项类型。
基于 Web 的测试用例管理和测试执行控制对以下操作的访问的区域权限。
管理测试套件权限使用户能够执行以下任务:
- 创建和修改测试套件
- 向测试套件添加或从中移除测试用例
- 更改与测试套件关联的测试配置
- 通过移动测试套件修改套件层次结构
管理测试计划权限使用户能够执行以下任务:
- 创建和修改测试计划
- 向测试计划添加或从中移除测试套件
- 更改测试计划属性(如生成和测试设置)
自定义继承的进程
默认情况下,只有 项目集合管理员可以 创建和编辑进程。 但是,这些管理员可以通过将“创建流程”、“删除流程”或“编辑流程”显式设置为特定用户的集合级别权限,从而授予其他团队成员权限。
要自定义进程,需要向用户帐户授予特定进程的“编辑进程”权限。
注意
如果为组织启用了“限制用户可见性和协作”功能,则添加到 Project-Scoped 用户组的用户无法访问进程设置。 有关包括重要安全相关标注的详细信息,请参阅 “管理组织”,限制用户可见性。
打开继承进程的 ... 上下文菜单,然后选择 “安全性”。 要打开此页面,请参阅使用继承的过程自定义项目。
输入用户名,将适用的权限设置为“允许”,然后退出。 页面会自动保存。
注意
流程是具有用于创建、编辑和删除的不同 ACL 的可保护实体。 集合级别的项目集合管理员确定继承的流程。 新的继承进程向创建者和 项目集合管理员授予完全控制权,他们还可以将 ACL 分配给其他人进行进程管理。
工作项的更多访问选项
若要了解有关自定义工作项类型以支持限制的选项的详细信息,请参阅 限制修改工作项或选择字段。
向团队成员授予其他权限
要让团队自主工作,你可能希望向他们提供他们默认没有的权限。 建议的任务包括向团队管理员或团队负责人提供以下权限:
默认情况下,团队成员将继承为项目 参与者 组的成员提供的权限。 此组的成员可以添加和修改源代码、创建和删除测试运行,以及创建和修改工作项。 他们可以在 Git 项目上协作或与其他团队成员协作并将工作签入团队的代码库 (TFVC)。
如果你的本地部署包括报告,请将用户添加到这些资源。 请参阅授予查看或创建 SQL Server 报表的权限。