Azure DevOps のセキュリティ名前空間とアクセス許可のリファレンス
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
この記事では、有効なセキュリティ名前空間について説明し、関連するアクセス許可を一覧表示し、詳細情報へのリンクを提供します。 セキュリティ名前空間は、アクセス制御リスト ( ACL) をトークンに格納し、さまざまなエンティティが特定のリソースに対して特定のアクションを実行する必要があるアクセス レベルを決定します。 次のエンティティが含まれます。
- Azure DevOps ユーザー
- Azure DevOps 組織の所有者
- Azure DevOps セキュリティ グループのメンバー
- Azure DevOps サービス アカウント
- Azure DevOps サービス プリンシパル
作業項目や Git リポジトリなどのリソースの各ファミリは、一意の名前空間によって保護されます。 各セキュリティ名前空間には、0 個以上の ACL が含まれています。 ACL には、トークン、継承フラグ、0 個以上のアクセス制御エントリ (ACE) のセットが含まれます。 各 ACE は、ID 記述子、許可されたアクセス許可ビットマスク、および拒否されたアクセス許可ビットマスクで構成されます。 トークンは、Azure DevOps のリソースを表す任意の文字列です。
注意
名前空間とトークンは、Azure DevOps のすべてのバージョンで有効です。 ここに記載されているものは、Azure DevOps 2019 以降のバージョンで有効です。 名前空間は、時間の経過と同時に変更される可能性があります。 名前空間の最新の一覧を取得するには、コマンド ライン ツールまたは REST API のいずれかを実行します。 一部の名前空間は、この記事で後述する「 非推奨と読み取り専用の名前空間 」セクションに記載されているように非推奨になりました。 詳細については、「 Security 名前空間クエリ」を参照してください。
アクセス許可管理ツール
アクセス許可を管理するための推奨される方法は、Web ポータルを使用することです。 ただし、ポータルで使用できないアクセス許可を設定したり、詳細なアクセス許可を管理したりするには、コマンド ライン ツールまたは REST API を使用します。
- Azure DevOps Services の場合は、
az devops security permissionコマンドを使用します。 - Azure DevOps Server の場合は、TFSSecurity コマンドを使用します。
- Azure DevOps Git リポジトリの場合は、 tf git アクセス許可コマンド ライン ツールを使用します。
- Team Foundation バージョン管理 (TFVC) リポジトリの場合は、TFVC アクセス許可コマンド ライン ツールを使用します。
すべての Azure DevOps インスタンスに対して、 Security REST API を使用することもできます。
セキュリティ名前空間とその ID
多くのセキュリティ名前空間は、[ セキュリティ ] または [アクセス許可] Web ポータル ページで設定した アクセス許可 に対応しています。 その他の名前空間または特定のアクセス許可は Web ポータルから表示されず、セキュリティ グループまたは Azure DevOps サービス プリンシパルのメンバーに既定でアクセス権を付与します。 これらの名前空間は、Web ポータルを使用して管理する方法に基づいて、次のカテゴリにグループ化されます。
- オブジェクト レベル
- プロジェクト レベル
- 組織レベルまたはコレクション レベル
- サーバー レベル (オンプレミスのみ)
- ロールベース
- 内部使用のみ
階層とトークン
セキュリティ名前空間は、階層型でもフラット型でもかまいません。 階層型名前空間では、有効なアクセス許可が親トークンから子トークンに継承される階層にトークンが存在します。 これに対し、フラット名前空間のトークンには親子関係はありません。
階層型名前空間のトークンには、固定長または可変長のパス部分を含めることができます。 トークンに可変長パス部分がある場合は、区切り文字を使用して、1 つのパス 部分の終了位置と開始位置を区別します。
セキュリティ トークンでは、大文字と小文字は区別されません。 次のセクションでは、さまざまな名前空間のトークンの例を示します。
オブジェクト レベルの名前空間とアクセス許可
次の表では、オブジェクト レベルのアクセス許可を管理する名前空間について説明します。 これらのアクセス許可のほとんどは、各オブジェクトの Web ポータル ページを使用して管理されます。 権限はプロジェクト レベルで設定され、明示的に変更されない限りオブジェクト レベルで継承されます。
Namespace
アクセス許可
説明
Read
Edit
Delete
Execute
ManagePermissions
レポートの読み取り、編集、削除、生成を行うプロジェクト レベルおよびオブジェクト レベルのアクセス許可を Analytics ビューで管理します。 これらのアクセス許可は、ユーザー インターフェイスから 分析ビューごとに管理できます。
プロジェクト レベルのアクセス許可のトークン形式: $/Shared/PROJECT_ID
例: $/Shared/xxxxxxxx-aaaa-1111-bbbb-11111
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ビルド
ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions
プロジェクト レベルおよびオブジェクト レベルでビルド権限を管理します。
プロジェクト レベルのビルドアクセス許可のトークン形式: PROJECT_ID
特定のビルド定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのビルド定義のセキュリティ トークンは次の例のようになります。
プロジェクト レベルの特定のビルドアクセス許可のトークン形式: PROJECT_ID/12
例: xxxxxxxx-aaaa-1111-bbbb-11111/12
ID: xxxxxxxx-aaaa-1111-bbbb-11111
CSS
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES
子ノードを作成、編集、削除するためのエリア パス オブジェクト レベルのアクセス許可を管理し、ノード内の作業項目を表示または編集するためのアクセス許可を設定します。 詳細については、「 作業追跡のアクセス許可とアクセスの設定」、子ノードの作成、領域パスの下の作業項目の変更を参照してください。
トークン形式の例: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards
ダッシュボードを編集および削除するためのダッシュボード オブジェクト レベルのアクセス許可を管理し、プロジェクト ダッシュボードのアクセス許可を管理します。 これらのアクセス許可は、 dashboards ユーザー インターフェイスを使用して管理できます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy
プロジェクト レベルおよびオブジェクト レベルで Git リポジトリのアクセス許可を管理します。 これらのアクセス許可は、 プロジェクト設定のリポジトリ管理インターフェイスを使用して管理できます。
Administerアクセス許可は、2017 年いくつかのより細かいアクセス許可に分割されており、使用しないでください。
プロジェクト レベルのアクセス許可のトークン形式: repoV2/PROJECT_ID
リポジトリ レベルのアクセス許可を更新するには、 を追加 RepositoryID する必要があります。
リポジトリ固有のアクセス許可のトークン形式: repoV2/PROJECT_ID/REPO_ID
ブランチ レベルのアクセス許可のトークン形式についてはセキュリティ サービスの git リポジトリ トークンで説明されています。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
イテレーション
GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
子ノードの作成、編集、削除、および子ノードのアクセス許可の表示を行う反復パス オブジェクト レベルのアクセス許可を管理します。 Web ポータルを使用して管理するには、「 作業追跡のアクセス許可とアクセス権を設定する」の「子ノードの作成」を参照してください。
トークンの形式: 'vstfs:///Classification/Node/Iteration_Identifier/'
たとえば、チームに対して次のイテレーションが構成されているとします。
– ProjectIteration1
TeamIteration1
– TeamIteration1ChildIteration1
– TeamIteration1ChildIteration2
– TeamIteration1ChildIteration3
TeamIteration2
– TeamIteration2ChildIteration1
– TeamIteration2ChildIteration2
ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1のアクセス許可を更新するには、セキュリティ トークンは次の例のようになります。
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier
ID: xxxxxxxx-aaaa-1111-bbbb-11111
MetaTask
Administer
Edit
Delete
タスク グループを編集および削除するためのタスク グループのアクセス許可を管理し、タスク グループのアクセス許可を管理します。 Web ポータルを使用して管理するには、「 パイプラインのアクセス許可とセキュリティ ロール、タスク グループのアクセス許可」を参照してください。
プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
metaTask レベルのアクセス許可のトークン形式: PROJECT_ID/METATASK_ID
MetaTask に parentTaskIdがある場合、セキュリティ トークンは次の例のようになります。
トークンの形式: PROJECT_ID/PARENT_TASK_ID/METATASK_ID
ID: xxxxxxxx-aaaa-1111-bbbb-11111
プラン
View
Edit
Delete
Manage
配信プランを 表示、編集、削除、管理するための配信プランのアクセス許可を管理します。 これらのアクセス許可は、 各プランの Web ポータルを使用して管理できます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ReleaseManagement
ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension
プロジェクトおよびオブジェクト レベルでリリース定義のアクセス許可を管理します。
プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
例: xxxxxxxx-aaaa-1111-bbbb-11111
特定のリリース定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのリリース定義のセキュリティ トークンは次の例のようになります。
特定のリリース定義のアクセス許可のトークン形式: PROJECT_ID/12
例: xxxxxxxx-aaaa-1111-bbbb-11111/12
リリース定義 ID がフォルダーに存在する場合、セキュリティ トークンは次のようになります。
トークンの形式: PROJECT_ID/{folderName}/12
ステージの場合、トークンは のようになります。 PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}
ID: xxxxxxxx-aaaa-1111-bbbb-11111
WorkItemQueryFolders
Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo
作業項目クエリとクエリ フォルダーのアクセス許可を管理します。 Web ポータルでこれらのアクセス許可を管理するには、「 クエリまたはクエリ フォルダーに対するアクセス許可を設定するを参照してください。
トークン形式の例: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
プロジェクト レベルの名前空間とアクセス許可
次の表では、プロジェクト レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、 Web ポータルの管理コンテキストを使用して管理されます。 プロジェクト管理者にはすべてのプロジェクト レベルのアクセス許可が付与され、他のプロジェクト レベルのグループには特定のアクセス許可が割り当てられます。
Namespace
アクセス許可
説明
Project
GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS
プロジェクト レベルのアクセス許可を管理します。
アクセス許可はAGILETOOLS_BACKLOG、Azure Boardsバックログへのアクセスを管理します。 この設定は内部アクセス許可の設定であり、変更しないでください。
ルート トークンの形式: $PROJECT
組織内の各プロジェクトのアクセス許可をセキュリティで保護するためのトークン。
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
という名前のプロジェクトがあるとします Test Project 1。
コマンドを使用az devops project showして、このプロジェクトのプロジェクト ID を取得できます。
az devops project show --project "Test Project 1"
このコマンドは、xxxxxxxx-aaaa-1111-bbbb-11111などのproject-idを返します。
そのため、プロジェクト関連のアクセス許可 Test Project 1 をセキュリティで保護するトークンは次のとおりです。
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-aaaa-1111-bbbb-11111'
**ID:** 'xxxxxxxx-aaaa-1111-bbbb-11111'
Enumerate
Create
Update
Delete
作業項目タグを作成、削除、列挙、および使用するためのアクセス許可を管理します。 作成タグ定義アクセス許可は、アクセス許可管理インターフェイスを使用して管理できます。
プロジェクト レベルのアクセス許可のトークン形式: /PROJECT_ID
例: /xxxxxxxx-aaaa-1111-bbbb-11111
ID: xxxxxxxx-aaaa-1111-bbbb-11111
VersionControlItems
Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch
Team Foundation バージョン管理 (TFVC) リポジトリのアクセス許可を管理します。 プロジェクト用の TFVC リポジトリは 1 つだけです。 これらのアクセス許可は、 repositories 管理インターフェイスを使用して管理できます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
組織レベルの名前空間とアクセス許可
次の表では、組織レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、Web ポータルの 組織設定 コンテキストを使用して管理されます。 Organization の所有者と Project Collection Administrators グループのメンバーには、これらのアクセス許可のほとんどが付与されます。 詳細については、「 プロジェクト コレクション レベルのアクセス許可を変更する」を参照してください。
コレクション レベルの名前空間とアクセス許可
次の表では、組織レベルのアクセス許可を管理する名前空間について説明します。 一覧表示されているアクセス許可のほとんどは、Web ポータルの [コレクション設定 ] コンテキストを使用して管理されます。 Project Collection Administrators グループのメンバーには、これらのアクセス許可の大部分が付与されます。 詳細については、「 プロジェクト コレクション レベルのアクセス許可を変更する」を参照してください。
Namespace
アクセス許可
説明
AuditLog
Read
Write
Manage_Streams
Delete_Streams
監査ログの読み取りまたは書き込み、監査ストリームの管理または削除を行う監査アクセス許可を管理します。
トークンの形式: /AllPermissions
ID: xxxxxxxx-aaaa-1111-bbbb-11111
BuildAdministration
ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies
ビルド リソースのアクセス許可を表示、管理、使用、または管理するためのアクセスを管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
コレクション
GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES
組織またはコレクション レベルでアクセス許可を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Process
Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions
プロセスを作成、削除、管理するためのアクセス許可を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Workspaces
Read
Use
Checkin
Administer
棚上げされた変更、ワークスペース、および組織またはコレクション レベルでワークスペースを作成する機能を管理するためのアクセス許可を管理します。 Workspaces 名前空間は TFVC リポジトリに適用されます。
ルート トークンの形式: /
特定のワークスペースのトークン形式: /{workspace_name};{owner_id}
ID: xxxxxxxx-aaaa-1111-bbbb-11111
VersionControlPrivileges
CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration
Team Foundation バージョン管理 (TFVC) リポジトリのアクセス許可を管理します。
アクセス許可を
AdminConfiguration使用すると、ユーザーとグループのサーバー レベルのアクセス許可を編集できます。 このアクセス許可により、ユーザーはAdminConnections、オンプレミスのサーバー レベルのリポジトリのファイルまたはフォルダーの内容を読み取る権限が付与されます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
サーバー レベルの名前空間とアクセス許可
次の表では、オンプレミス インスタンスに対して定義されているセキュリティ名前空間とアクセス許可について説明します。 Azure DevOps Server管理コンソールを使用して、Team Foundation Administrators グループのメンバーに付与されるこれらのアクセス許可を管理できます。 これらのアクセス許可の詳細については、「 アクセス許可とグループ、サーバー レベルのアクセス許可」を参照してください。
Namespace
アクセス許可
説明
CollectionManagement
CreateCollection
DeleteCollection
プロジェクト コレクションを作成および削除するためのアクセス許可セットをサーバー レベルで管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
サーバー
GenericRead
GenericWrite
Impersonate
TriggerEvent
サーバー レベルで設定されたアクセス許可を管理します。 インスタンス レベルの情報を編集し、他のユーザーに代わって要求を行い、イベントをトリガーするアクセス許可が含まれています。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Warehouse
Administer
ウェアハウス コントロール Web サービスを使用して、データ ウェアハウスまたはSQL Server分析キューブの設定を処理または変更するアクセス許可を付与します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ロールベースの名前空間とアクセス許可
次の表では、ロールベースのセキュリティを管理するために使用されるセキュリティ名前空間とアクセス許可について説明します。 「 パイプラインのアクセス許可とセキュリティ ロール」の説明に従って、パイプライン リソースの Web ポータルからロールの割り当てを管理できます。
Namespace
アクセス許可
説明
DistributedTask
View
Manage
Listen
AdministerPermissions
Use
Create
エージェント プール リソースにアクセスするためのアクセス許可を管理します。 既定では、次のロールとアクセス許可がプロジェクト レベルで割り当てられ、作成されるエージェント プールごとに継承されます。
- Project Valid Users グループのすべてのメンバーに対する閲覧者ロール (
Viewアクセス許可のみ) - ビルド管理者、プロジェクト管理者、リリース管理者グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
- 共同作成者グループのすべてのメンバーに対するユーザー ロール (
View、Use、およびCreateアクセス許可) - 共同作成者グループのすべてのメンバーに対する作成者ロール (
View、Use、およびCreateアクセス許可)
ID:xxxxxxxx-aaaa-1111-bbbb-11111
環境
View
Manage
ManageHistory
Administer
Use
Create
環境を作成および管理するためのアクセス許可を管理します。 既定では、次のアクセス許可が割り当てられます。
- Project Valid Users グループのすべてのメンバーに対する閲覧者ロール (
Viewアクセス許可のみ) - 共同作成者グループのすべてのメンバーに対する作成者ロール (
View、Use、およびCreateアクセス許可) - プロジェクト管理者グループのすべてのメンバーに対する作成者ロール (
View、Use、およびCreateアクセス許可) - 特定の環境を作成したユーザーに対する管理者ロール (すべてのアクセス許可)。
ID:xxxxxxxx-aaaa-1111-bbbb-11111
ExtensionManagement
ViewExtensions
ManageExtensions
ManageSecurity
マネージャー ロールは、Marketplace 拡張機能のセキュリティを管理するために使用される唯一のロールです。 マネージャー ロールのメンバーは、拡張機能をインストールし、拡張機能のインストール要求に応答できます。 その他のアクセス許可は、既定のセキュリティ グループとサービス プリンシパルのメンバーに自動的に割り当てられます。 マネージャー ロールにユーザーを追加するには、「 拡張機能のアクセス許可を管理する」を参照してください。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ライブラリ
View
Administer
Create
ViewSecrets
Use
Owner
ライブラリ アイテムを作成および管理するためのアクセス許可を管理します。これには、セキュリティで保護されたファイルと変数グループが含まれます。 個々のアイテムのロール メンバーシップは、ライブラリから自動的に継承されます。 既定では、次のアクセス許可が割り当てられます。
- Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに対する閲覧者ロール (
Viewアクセス許可のみ) - 共同作成者グループのすべてのメンバーに対する作成者ロール (
View、Use、およびCreateアクセス許可) - ライブラリ アイテムを作成したメンバーに対する作成者ロール (
View、Use、Create、およびOwnerアクセス許可) - ビルド管理者、プロジェクト管理者、リリース管理者グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
詳細については、「 資産セキュリティ ロールのライブラリを参照してください。
ID:xxxxxxxx-aaaa-1111-bbbb-11111
ServiceEndpoints
Use
Administer
Create
ViewAuthorization
ViewEndpoint
サービス接続を作成および管理するためのアクセス許可を管理します。 個々のアイテムのロール メンバーシップは、プロジェクト レベルのロールから自動的に継承されます。 既定では、次のロールが割り当てられます。
- Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに対する閲覧者ロール (
Viewアクセス許可のみ) - Endpoint Creators サービス セキュリティ グループのメンバーに対する作成者ロール (
View、Use、およびCreateアクセス許可)。 - エンドポイント管理者サービス セキュリティ グループのメンバーに対する管理者ロール (すべてのアクセス許可)。
ロールは、 サービス接続セキュリティ ロールを介して割り当てられます。
ID:xxxxxxxx-aaaa-1111-bbbb-11111
内部名前空間とアクセス許可
次の表では、Web ポータルを介して表示されないセキュリティ名前空間とアクセス許可について説明します。 これらは主に、既定のセキュリティ グループのメンバーまたは内部リソースへのアクセスを許可するために使用されます。 これらのアクセス許可の設定は変更しないことを強くお勧めします。
Namespace
アクセス許可
説明
AccountAdminSecurity
Read
Create
Modify
組織アカウント所有者の読み取りまたは変更を行うアクセス許可を管理します。 これらのアクセス許可は、組織の所有者とプロジェクト コレクション管理者グループのメンバーに割り当てられます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Analytics
Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii
Analytics サービスに対する読み取り、アクセス許可の管理、クエリの実行を行うアクセス許可を管理します。
プロジェクト レベルのアクセス許可のトークン形式: $/PROJECT_ID
例: $/xxxxxxxx-aaaa-1111-bbbb-11111
ID: xxxxxxxx-aaaa-1111-bbbb-11111
BlobStoreBlobPrivileges
Read
Delete
Create
SecurityAdmin
データ ストアのセキュリティの読み取り、削除、作成、管理を行うアクセス許可を設定します。 これらのアクセス許可は、複数の Azure DevOps サービス プリンシパルに割り当てられます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
Boards
View
Create
ChangeMetadata
MoveCard
Delete
Manage
アクセス許可とボードへのアクセスを管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
BoardsExternalIntegration
Read
Write
Azure Boardsとの外部統合の読み取り/書き込みアクセス許可を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
チャット
ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions
Slack や Microsoft Teams などの Azure DevOps と統合されたチャット サービスのアクセス許可を管理します。 詳細については、「Slack のAzure Boards」、「Microsoft Teams でのAzure Boards」、「Slack を使用したAzure Pipelines」、「Microsoft Teams を使用した Azure Pipelines」、「Slack を使用したAzure Repos」、「Microsoft Teams でのAzure Repos」を参照してください。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ディスカッション スレッド
Administer
GenericRead
GenericContribute
Moderate
Azure Pipelines のコード レビュー ディスカッションのセットアップを表示、管理、モデレート、および投稿するためのアクセス許可を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
EventPublish
Read
Write
通知ハンドラーの読み取りおよび書き込みアクセス権を付与します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
EventSubscriber
GENERIC_READ
GENERIC_WRITE
通知サブスクライバーの読み取りおよび書き込みアクセス権を付与します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
EventSubscription
GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION
通知の表示、編集、登録解除、または SOAP サブスクリプションの作成を行うメンバーのアクセス許可を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ID
Read
Write
Delete
ManageMembership
CreateScope
RestoreScope
ユーザー アカウント ID 情報の読み取り、書き込み、削除を行うアクセス許可を管理します。グループ メンバーシップを管理し、ID スコープを作成および復元します。 この ManageMembership 権限は、プロジェクト管理者およびプロジェクト コレクション管理者グループのメンバーに自動的に付与されます。
プロジェクト レベルのアクセス許可のトークン形式: PROJECT_ID
例: xxxxxxxx-aaaa-1111-bbbb-11111
グループ配信元 ID のグループ レベルのアクセス許可を変更するには [xxxxxxxx-aaaa-1111-bbbb-11111]:
トークン: xxxxxxxx-aaaa-1111-bbbb-11111\xxxxxxxx-aaaa-1111-bbbb-11111
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ライセンス
Read
Create
Modify
Delete
Assign
Revoke
ライセンス レベルを表示、追加、変更、および削除する機能を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に付与されます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
PermissionLevel
Read
Create
Update
Delete
アクセス許可レポートを作成およびダウンロードする機能を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
OrganizationLevelData
Project-Scoped Users
プロジェクト スコープ ユーザー グループをサポートする名前空間にシステム レベルの拒否アクセス許可を適用します。 グループのメンバーは、組織レベルのデータに対する限られた可視性を受け取ります。 詳細については、「 組織の管理」、「プロジェクトのユーザーの可視性を制限する」を参照してください。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
PipelineCachePrivileges
Read
Write
パイプライン キャッシュ エントリの読み取りと書き込みのアクセス許可を管理します。 これらのアクセス許可は、内部の Azure DevOps サービス原則にのみ割り当てられます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ReleaseManagement
ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems
Release Managementユーザー インターフェイス要素へのアクセスを管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
SearchSecurity
ReadMembers
ReadAnonymous
このセキュリティ名前空間は、ユーザーが有効か匿名/パブリックであるかを知るために使用されます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
ServiceHooks
ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents
サービス フック サブスクリプションを表示、編集、削除し、サービス フック イベントを発行するためのアクセス許可を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に割り当てられます。 DeleteSubscriptions は使用されなくなりました。 EditSubscriptions では、サービス フックを削除できます。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
UtilizationPermissions
QueryUsageSummary
クエリの使用状況に対するアクセス許可を管理します。 既定では、Project Collection Administrators グループのすべてのメンバーと、関係者アクセス権を付与されたユーザーには、すべてのユーザーの使用状況の概要を照会するアクセス許可が付与されます。 詳細については、「 制限」を参照してください。
トークン形式: /
ID: xxxxxxxx-aaaa-1111-bbbb-11111
WorkItemTrackingAdministration
ManagePermissions
DestroyAttachments
作業の追跡と添付ファイルの破棄を管理するためのアクセス許可を管理します。
ID: xxxxxxxx-aaaa-1111-bbbb-11111
WorkItemTrackingProvision
Administer
ManageLinkTypes
作業追跡プロセスを変更し、リンクの種類を管理するためのアクセス許可を管理します。 WorkItemTrackingProvision 名前空間は、以前のバージョンのオンプレミスで主に使用される古いセキュリティ名前空間です。 Process 名前空間は、Azure DevOps Server 2019 以降のバージョンのプロセスを管理するために、この名前空間を置き換えます。
ルート トークンの形式: /$
特定のプロジェクトのトークン形式: $/PROJECT_ID
ID: xxxxxxxx-aaaa-1111-bbbb-11111
非推奨の名前空間と読み取り専用名前空間
次の名前空間は非推奨または読み取り専用です。 使用しないでください。
CrossProjectWidgetViewDataProviderFavoritesGraphIdentity2IdentityPickerJobLocationProjectAnalysisLanguageMetricsProxyPublishRegistrySecurity
ServicingOrchestrationSettingEntriesSocialStrongBoxTeamLabSecurityTestManagementVersionControlItems2ViewActivityPaneSecurityWebPlatformWorkItemsHubWorkItemTrackingWorkItemTrackingConfiguration