Gérer l’accès à des fonctionnalités spécifiques
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2019
La gestion de l’accès à des fonctionnalités spécifiques dans Azure DevOps peut être cruciale pour maintenir l’équilibre approprié de l’ouverture et de la sécurité. Que vous souhaitiez accorder ou restreindre l’accès à certaines fonctionnalités pour un groupe d’utilisateurs, comprendre la flexibilité au-delà des autorisations standard fournies par les groupes de sécurité intégrés est clé.
Si vous êtes nouveau dans le domaine des autorisations et des groupes, consultez Commencez avec les autorisations, l'accès et les groupes de sécurité. Cet article couvre l’essentiel des états d’autorisation et la mécanique de leur héritage.
Conseil
La structure de votre projet dans Azure DevOps joue un rôle essentiel dans la détermination de la granularité des autorisations au niveau d’un objet, comme les dépôts et les chemins d’accès de zone. Cette structure est la base qui vous permet d’affiner les contrôles d’accès, ce qui vous permet de délimiter spécifiquement les zones accessibles ou restreintes. Pour plus d’informations, consultez À propos des projets et de la mise à l’échelle de votre organization.
Prérequis
| Category | Spécifications |
|---|---|
| Permissions | Membre du groupe Administrateurs de regroupements de projets . Les propriétaires d’organisation sont automatiquement membres de ce groupe. |
Utiliser des groupes de sécurité
Pour une maintenance optimale, nous recommandons d’utiliser les groupes de sécurité par défaut ou de créer des groupes de sécurité personnalisés pour gérer les autorisations. Les paramètres d’autorisation des groupes Administrateurs de projet et Administrateurs de collection de projets sont fixés par conception et ne peuvent pas être modifiés. Vous pouvez toutefois modifier les autorisations pour tous les autres groupes.
La gestion des autorisations pour quelques utilisateurs de manière individuelle peut sembler envisageable, mais les groupes de sécurité personnalisés offrent une approche plus organisée. Ils simplifient la supervision des rôles et de leurs autorisations associées, garantissant la clarté et la facilité de conception de la gestion, et ne peuvent pas être modifiés. Toutefois, vous avez la possibilité de modifier les autorisations pour tous les autres groupes.
Déléguer des tâches à des rôles spécifiques
En tant qu’administrateur ou propriétaire de l’organisation, déléguer des tâches administratives aux membres de l’équipe qui supervisent des domaines spécifiques constitue une approche stratégique. Les rôles intégrés principaux équipés d’autorisations prédéfinies et d’attributions de rôles sont les suivants :
- Lecteurs : disposez d’un accès en lecture seule au projet.
- Contributeurs : peut contribuer au projet en ajoutant ou en modifiant du contenu.
- Administrateur d’équipe : Gérer les paramètres et autorisations liés à l’équipe.
- Administrateurs de projet : disposez de droits d’administration sur le projet.
- Administrateurs de regroupement de projets : supervisez l’ensemble de la collection de projets et disposez du niveau d’autorisations le plus élevé.
Ces rôles facilitent la distribution des responsabilités et simplifient la gestion des domaines du projet.
Pour plus d’informations, consultez Autorisations par défaut et accès et Modifier les autorisations au niveau de la collection de projets.
Pour déléguer des tâches à d’autres membres de votre organisation, envisagez de créer un groupe de sécurité personnalisé, puis d’accorder des autorisations comme indiqué dans le tableau suivant.
Rôle
Tâches à effectuer
Autorisations à définir sur Autoriser
Responsable de développement (Git)
Gérer les stratégies de branche
Modifier des stratégies, Forcer l’envoi (Push) et Gérer les autorisations
Consultez Définir les autorisations de branche.
Responsable développement (Team Foundation Version Control (TFVC))
Gérer le dépôt et les branches
Administrer les étiquettes, Gérer la branche et Gérer les autorisations
Consultez Définir les autorisations de dépôt TFVC.
Architecte logiciel (Git)
Gérer les dépôts
Créer des référentiels, Forcer l’envoi (Push) et Gérer les autorisations
Consultez Définir les autorisations de dépôt Git.
Des administrateurs d'équipe
Ajouter des chemins d’accès aux zones pour leur équipe
Ajouter des requêtes partagées pour son équipe
Créer des nœuds enfants, Supprimer ce nœud, Modifier ce nœud Voir Créer des nœuds enfants, modifier des éléments de travail sous un chemin d’accès de zone
Contribuer, Supprimer, Gérer les autorisations (pour un dossier de requête), consultez Définir des autorisations de requête.
Contributeurs
Ajouter des requêtes partagées sous un dossier de requête, Contribuer aux tableaux de bord
Contribuer, Supprimer (pour un dossier de requête), voir Définir des autorisations de requête
Afficher, modifier et gérer les tableaux de bord, voir Définir les autorisations de tableau de bord.
Chef de projet ou de produit
Ajouter des chemins d’accès de zone, des chemins d’itération et des requêtes partagées
Supprimer et restaurer des éléments de travail, Déplacer des éléments de travail hors de ce projet, Supprimer définitivement les éléments de travail
Modifier les informations au niveau du projet, consultez Modifier les autorisations au niveau du projet.
Gestionnaire de modèles de processus (modèle de processus d’héritage)
Personnalisation du suivi du travail
Administrer les autorisations de processus, Créer des projets, Créer un processus, Supprimer le champ du compte, Processus de suppression, Supprimer le projet, Modifier le processus
Consultez Modifier les autorisations au niveau de la collection de projets.
Gestionnaire de modèles de processus (modèle de processus XML hébergé)
Personnalisation du suivi du travail
Modifier les informations au niveau de la collection, consultez Modifier les autorisations au niveau de la collection de projets.
Gestion de projet (modèle de processus XML local)
Personnalisation du suivi du travail
Modifier les informations au niveau du projet, consultez Modifier les autorisations au niveau du projet.
Gestionnaire d’autorisations
Gérer les autorisations d’un projet, d’un compte ou d’une collection
Pour un projet, Modifier les informations au niveau du projet
Pour un compte ou une collection, modifier les informations au niveau de l’instance (ou au niveau de la collection)
Pour comprendre l’étendue de ces autorisations, consultez Guide de recherche d’autorisations. Pour demander une modification des autorisations, consultez Demander une augmentation des niveaux d’autorisation.
Outre l’attribution d’autorisations à des individus, vous pouvez gérer les autorisations pour différents objets dans Azure DevOps. Ces objets comprennent les éléments suivants :
Ces liens fournissent des étapes détaillées et des instructions pour la configuration et la gestion des autorisations efficacement pour les zones respectives d’Azure DevOps.
Limiter la visibilité des utilisateurs
Avertissement
Tenez compte des limitations suivantes lors de l’utilisation de cette fonctionnalité en préversion :
- Les fonctionnalités de visibilité limitée décrites dans cette section s’appliquent uniquement aux interactions via le portail web. Avec les API REST ou
azure devopsles commandes CLI, les membres du projet peuvent accéder aux données restreintes. - Les utilisateurs du groupe limité peuvent uniquement sélectionner les utilisateurs qui sont explicitement ajoutés à Azure DevOps et non les utilisateurs qui ont accès via l’appartenance au groupe Microsoft Entra.
- Les utilisateurs invités qui sont membres du groupe limité avec un accès par défaut dans l’ID Microsoft Entra ne peuvent pas rechercher d’utilisateurs avec le sélecteur de personnes.
Organisations et projets
Par défaut, les utilisateurs ajoutés à une organisation peuvent consulter toutes les informations et tous les paramètres de l'organisation et du projet. Vous pouvez restreindre l'accès à des utilisateurs spécifiques, tels que les parties prenantes, les utilisateurs de Microsoft Entra ou les membres d'un groupe de sécurité particulier, grâce à la fonctionnalité de prévisualisation Limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques pour l'organisation. Une fois la fonctionnalité activée, tout utilisateur ou groupe ajouté au groupe des utilisateurs du projet est soumis aux restrictions suivantes :
- L’accès est limité uniquement aux projets auxquels ils sont explicitement ajoutés.
- Les vues affichant des listes d'utilisateurs, de projets, de détails de facturation, de données d'utilisation et d'autres informations accessibles via les paramètres de l'organisation sont restreintes.
- L'ensemble des personnes ou des groupes qui apparaissent dans les sélections de recherche du sélecteur de personnes et la possibilité de @mentionner des personnes sont limités.
Recherche et sélection de l'identité
Avec l’ID Microsoft Entra, vous pouvez utiliser des sélecteurs de personnes pour rechercher n’importe quel utilisateur ou groupe dans votre organisation, pas seulement ceux de votre projet actuel. Les sélecteurs de personnes prennent en charge les fonctions Azure DevOps suivantes :
- Sélection d’une identité utilisateur à partir d’un champ d’identité de suivi du travail, tel que affecté à
- Sélection d'un utilisateur ou d'un groupe à l'aide de @mention dans une discussion sur un élément de travail ou un champ de texte riche, une discussion sur une requête pull, des commentaires sur un commit, ou des commentaires sur un changeset ou un shelveset.
- Sélection d’un utilisateur ou d’un groupe à l’aide de @mention à partir d’une page wiki
Comme le montre l'image suivante, commencez à saisir le nom d'un utilisateur ou d'un groupe de sécurité dans la boîte de sélection des personnes jusqu'à ce que vous trouviez une correspondance.
Les utilisateurs et groupes ajoutés au groupe Project-Scoped Utilisateurs peuvent uniquement voir et sélectionner des utilisateurs et des groupes dans le projet auquel ils sont connectés à partir d’un sélecteur de personnes.
Activer la fonctionnalité d’aperçu et ajouter des utilisateurs au groupe de sécurité
Procédez comme suit pour activer la fonctionnalité d’aperçu et ajouter des utilisateurs et des groupes au groupe Project-Scoped Utilisateurs :
Activez la fonctionnalité Limiter la visibilité et la collaboration des utilisateurs à des projets spécifiques pour l'organisation.
Ajoutez les utilisateurs à votre projet comme décrit dans Ajouter des utilisateurs à un projet ou une équipe. Les utilisateurs ajoutés à une équipe sont automatiquement ajoutés au projet et au groupe d’équipe.
Ouvrez les paramètres Organisations>>Autorisations de sécurité et choisissez Project-Scoped Utilisateurs. Cliquez sur l’onglet Membres.
Ajoutez tous les utilisateurs et groupes auxquels vous souhaitez étendre le projet auquel ils sont ajoutés. Pour plus d’informations, consultez Définir des autorisations au niveau du projet ou de la collection.
Le groupe des utilisateurs Project-Scoped apparaît uniquement sous les groupes >Autorisations lorsque la fonction de prévisualisation "Limiter la visibilité des utilisateurs et la collaboration à des projets spécifiques" est activée.
Tous les groupes de sécurité dans Azure DevOps sont considérés comme des entités au niveau de l’organisation, même s’ils disposent uniquement d’autorisations pour un projet spécifique. Cela signifie que les groupes de sécurité sont gérés au niveau de l’organisation.
À partir du portail web, la visibilité de certains groupes de sécurité peut être limitée en fonction des autorisations de l’utilisateur. Toutefois, vous pouvez toujours découvrir les noms de tous les groupes de sécurité au sein d’une organisation à l’aide de l’outil azure devops azure devops CLI ou des API REST. Pour plus d’informations, consultez Ajouter et gérer des groupes de sécurité.
Restreindre l’accès à l’affichage ou à la modification d’objets
Azure DevOps est conçu pour permettre à tous les utilisateurs autorisés d’afficher tous les objets définis dans le système. Toutefois, vous pouvez adapter l’accès aux ressources en définissant l’état d’autorisation sur Refuser. Vous pouvez définir des autorisations pour les membres appartenant à un groupe de sécurité personnalisé ou pour des utilisateurs individuels. Pour plus d’informations, consultez Demander une augmentation des niveaux d’autorisation.
Zone à restreindre
Autorisations à définir sur Refuser
Afficher ou contribuer à un dépôt
Afficher, Contribuer
Consultez Définir des autorisations de dépôt Git ou Définir des autorisations de dépôt TFVC.
Afficher, créer ou modifier des éléments de travail dans un chemin d’accès de zone
Modifier les éléments de travail dans ce nœud, Afficher les éléments de travail dans ce nœud
Consultez Définir les autorisations et l’accès pour le suivi du travail, Modifier les éléments de travail sous un chemin d’accès de zone.
Afficher ou mettre à jour des pipelines de build et de mise en production sélectionnés
Modifier le pipeline de build, Afficher le pipeline de build
Modifier le pipeline de mise en production, Afficher le pipeline de mise en production
Vous définissez ces autorisations au niveau de l’objet. Consultez Définir des autorisations de génération et de mise en production.
Modifier un tableau de bord
Afficher des tableaux de bord
Consultez Définir des autorisations de tableau de bord.
Restreindre la modification des éléments de travail ou sélectionner des champs
Pour obtenir des exemples illustrant comment restreindre la modification d’éléments de travail ou de champs sélectionnés, consultez Exemples de scénarios de règle.
Étapes suivantes
Articles connexes
- Afficher les autorisations et accès par défaut
- Utiliser le guide de recherche d’autorisations
- Bien démarrer avec les autorisations, l’accès et les groupes de sécurité
- Se référer aux permissions et aux groupes
- Modifier les autorisations au niveau du projet
- Modifier les autorisations au niveau de la collection de projets