Správa přístupu ke konkrétním funkcím

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Správa přístupu ke konkrétním funkcím v Azure DevOps může být zásadní pro zachování správné rovnováhy otevřenosti a zabezpečení. Bez ohledu na to, jestli chcete udělit nebo omezit přístup k určitým funkcím pro skupinu uživatelů, je potřeba pochopit flexibilitu nad rámec standardních oprávnění poskytovaných integrovanými skupinami zabezpečení.

Pokud s oprávněními a skupinami na šířku začínáte, přečtěte si článek Začínáme s oprávněními, přístupem a skupinami zabezpečení, které se týkají základních stavů oprávnění a způsobu jejich dědění.

Tip

Struktura projektu v Azure DevOps hraje klíčovou roli při určování členitosti oprávnění na úrovni objektu, jako jsou úložiště a cesty oblastí. Tato struktura je základem, který umožňuje doladit řízení přístupu, což vám umožní konkrétně vypsat, které oblasti jsou přístupné nebo omezené. Další informace najdete v tématu O projektech a škálování organizace.

Použití skupin zabezpečení

Pro optimální údržbu doporučujeme použít buď výchozí skupiny zabezpečení, nebo vytvořit vlastní skupiny zabezpečení pro správu oprávnění. Nastavení oprávnění pro skupiny Správci projektů a Správci kolekcí projektů jsou opravena návrhem a nelze je změnit. Máte ale možnost upravovat oprávnění pro všechny ostatní skupiny.

Správa oprávnění pro malý počet uživatelů může vypadat jako proveditelná, ale vlastní skupiny zabezpečení nabízejí uspořádanější přístup k dohledu nad rolemi a oprávněními přidruženými k těmto rolím, což zajišťuje přehlednost a snadnost správy.

Delegování úkolů na konkrétní role

Jako správce nebo vlastník účtu delegování administrativních úkolů členům týmu, kteří dohlížejí na konkrétní oblasti, je strategický přístup. Mezi primární předdefinované role vybavené předdefinovanými oprávněními a přiřazeními rolí patří:

  • Čtenáři: Mají k projektu přístup jen pro čtení.
  • Přispěvatelé: Můžou přispívat do projektu přidáním nebo úpravou obsahu.
  • Správce týmu: Správa nastavení a oprávnění souvisejících s týmem
  • Správci projektů: Mají oprávnění správce k projektu.
  • Správci kolekcí projektů: Dohlížejí na celou kolekci projektů a mají nejvyšší úroveň oprávnění.

Tyto role usnadňují distribuci odpovědností a zjednodušují řízení oblastí projektů.

Další informace naleznete v tématu Výchozí oprávnění a přístup a změnit oprávnění na úrovni kolekce projektů.

Pokud chcete úkoly delegovat na jiné členy ve vaší organizaci, zvažte vytvoření vlastní skupiny zabezpečení a udělení oprávnění, jak je uvedeno v následující tabulce.

Role

Úkoly, které se mají provést

Oprávnění nastavená na Povolit

Vedoucí vývoje (Git)

Správa zásad větví

Úprava zásad, vynucení nabízených oznámení a správy oprávnění
Viz Nastavení oprávnění větve.

Vedoucí vývoje (TFVC)

Správa úložiště a větví

Správa popisků, správa větví a oprávnění Spravovat
Viz Nastavení oprávnění úložiště TFVC.

Softwarový architekt (Git)

Správa úložišť

Vytváření úložišť, vynucení nabízených oznámení a správy oprávnění
Viz Nastavení oprávnění úložiště Git

Správci týmu

Přidání cest oblastí pro svůj tým
Přidání sdílenýchdotazůch

Vytvoření podřízených uzlů, odstranění tohoto uzlu, úprava tohoto uzlu viz Vytvoření podřízených uzlů, úprava pracovních položek v cestě k oblasti
Přispívání, odstranění, správa oprávnění (pro složku dotazu), viz Nastavení oprávnění dotazu.

Přispěvatelé

Přidání sdílených dotazů do složky dotazu, přispívání do řídicích panelů

Přispívání, odstranění (pro složku dotazu), viz Nastavení oprávnění dotazu
Zobrazit, upravit a spravovat řídicí panely, viz Nastavení oprávnění řídicího panelu.

Projekt nebo produktový manažer

Přidání cest oblastí, cest iterace a sdílených dotazů
Odstranění a obnovení pracovních položek, přesunutí pracovních položek mimo tento projekt, trvalé odstranění pracovních položek

Úprava informací na úrovni projektu, viz Změna oprávnění na úrovni projektu.

Správce šablon procesů (model procesu dědičnosti)

Přizpůsobení sledování práce

Správa oprávnění procesu, Vytváření nových projektů, Vytvoření procesu, Odstranit pole z účtu, Odstranit proces, Odstranit projekt, Upravit proces
Viz Změna oprávnění na úrovni kolekce projektů.

Správce šablon procesů (model hostovaného procesu XML)

Přizpůsobení sledování práce

Upravit informace na úrovni kolekce, viz Změna oprávnění na úrovni kolekce projektu.

Řízení projektů (místní model procesu XML)

Přizpůsobení sledování práce

Úprava informací na úrovni projektu, viz Změna oprávnění na úrovni projektu.

Správce oprávnění

Správa oprávnění pro projekt, účet nebo kolekci

V případě projektu upravte informace na úrovni projektu.
V případě účtu nebo kolekce upravte informace o úrovni instance (nebo na úrovni kolekce).
Informace o rozsahu těchto oprávnění najdete v průvodci vyhledáváním oprávnění. Pokud chcete požádat o změnu oprávnění, přečtěte si téma Žádost o zvýšení úrovní oprávnění.

Kromě přiřazování oprávnění jednotlivcům můžete spravovat oprávnění pro různé objekty v rámci Azure DevOps. Mezi tyto objekty patří:

Tyto odkazy obsahují podrobné kroky a pokyny pro efektivní nastavení a správu oprávnění pro příslušné oblasti v Azure DevOps.

Omezení viditelnosti uživatelů na informace o organizaci a projektu

Důležité

  • Omezené funkce viditelnosti popsané v této části se vztahují pouze na interakce prostřednictvím webového portálu. Pomocí rozhraní REST API nebo azure devops příkazů rozhraní příkazového řádku můžou členové projektu přistupovat k omezeným datům.
  • Uživatelé typu host, kteří jsou členy omezené skupiny s výchozím přístupem v Microsoft Entra ID, nemůžou vyhledávat uživatele s výběrem osob. Když je funkce Preview pro organizaci vypnutá nebo když uživatelé typu host nejsou členy omezené skupiny, můžou uživatelé typu host prohledávat všechny uživatele Microsoft Entra podle očekávání.

Když se uživatelé přidají do organizace, ve výchozím nastavení získají přehled o všech informacích a nastaveních organizace a projektu. Pokud chcete tento přístup přizpůsobit, můžete omezit viditelnost uživatelů a spolupráci na konkrétních projektech ve verzi Preview na úrovni organizace. Další informace najdete v tématu Správa funkcí ve verzi Preview.

Po aktivaci této funkce mají uživatelé, kteří jsou součástí skupiny Uživatelé s vymezeným projektem, omezenou viditelnost a nemůžou zobrazit většinu nastavení organizace. Jejich přístup je omezen na projekty, ke kterým byly explicitně přidány, a zajišťuje více řízené a zabezpečené prostředí.

Upozorňující

Povolením funkce Omezit viditelnost uživatelů a spolupráci na konkrétních projektech ve verzi Preview zabráníte uživatelům v hledání uživatelů přidaných do organizace prostřednictvím členství ve skupině Microsoft Entra, a ne prostřednictvím explicitní pozvánky uživatele. Jedná se o neočekávané chování a probíhá řešení. Pokud chcete tento problém vyřešit, zakažte funkci Omezit viditelnost a spolupráci uživatelů na konkrétní projekty ve verzi Preview pro organizaci.

Omezení výběru osob na uživatele a skupiny projektu

Pro organizace, které se integrují s Microsoft Entra ID, funkce pro výběr osob umožňuje komplexní vyhledávání ve všech uživatelích a skupinách v rámci Microsoft Entra ID bez omezení na jeden projekt.

Výběr osob podporuje následující funkce Azure DevOps:

  • Výběr identity uživatele z polí identity sledování práce, jako je Přiřazeno.
  • Pomocí @mention můžete vybrat uživatele nebo skupinu v různých diskuzích a komentářích, jako jsou diskuze o pracovních položkách, diskuze o žádostech o přijetí změn, potvrzení komentářů nebo komentáře k sadám změn a sadám odložených změn.
  • Použití @mention k výběru uživatele nebo skupiny ze stránky wikiwebu.

Při použití nástroje pro výběr osob se při zadávání informací zobrazí odpovídající uživatelská jména nebo skupiny zabezpečení, jak je znázorněno v následujícím příkladu.

Snímek obrazovky s výběrem osob

Pro uživatele a skupiny ve skupině Uživatelé s vymezeným projektem jsou viditelnost a výběr omezeny na uživatele a skupiny v rámci připojeného projektu. Pokud chcete rozšířit rozsah výběru osob pro všechny členy projektu, přečtěte si téma Správa organizace, omezení vyhledávání identit a výběr.

Omezení přístupu k zobrazení nebo úpravám objektů

Azure DevOps je navržený tak, aby všem autorizovaným uživatelům umožňoval zobrazit všechny definované objekty v systému. Přístup k prostředkům ale můžete přizpůsobit nastavením stavu oprávnění na Odepřít. Můžete nastavit oprávnění pro členy, kteří patří do vlastní skupiny zabezpečení nebo pro jednotlivé uživatele. Další informace najdete v tématu Žádost o zvýšení úrovní oprávnění.

Oblast, která se má omezit

Oprávnění k nastavení na Odepřít

Zobrazení nebo přispívání do úložiště

Zobrazit, Přispívat
Viz Nastavení oprávnění úložiště Git nebo Nastavení oprávnění úložiště TFVC.

Zobrazení, vytvoření nebo úprava pracovních položek v cestě oblasti

Upravit pracovní položky v tomto uzlu, zobrazit pracovní položky v tomto uzlu
Viz Nastavení oprávnění a přístupu pro sledování práce, Úprava pracovních položek v cestě oblasti.

Zobrazení nebo aktualizace výběrových kanálů buildu a verze

Úprava kanálu buildu, zobrazení kanálu buildu
Úprava kanálu verze, zobrazení kanálu verze
Tato oprávnění nastavíte na úrovni objektu. Viz Nastavení oprávnění k sestavení a vydání.

Úprava řídicího panelu

Zobrazení řídicích panelů
Viz Nastavení oprávnění řídicího panelu.

Omezení úprav pracovních položek nebo výběrových polí

Příklady, které ilustrují omezení úprav pracovních položek nebo výběrových polí, najdete v tématu Ukázkové scénáře pravidel.

Další kroky