特定の機能へのアクセスを管理する
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Azure DevOps で特定の機能へのアクセスを管理することは、開放性とセキュリティの適切なバランスを維持するために重要な場合があります。 ユーザー グループの特定の機能へのアクセスを許可または制限する場合でも、組み込みのセキュリティ グループによって提供される標準的なアクセス許可を超える柔軟性を理解することが重要です。
アクセス許可とグループのランドスケープを初めて使用する場合は、「 アクセス許可、アクセス、セキュリティ グループの概要アクセス許可の状態と継承方法について説明します。
ヒント
Azure DevOps のプロジェクトの構造は、リポジトリやエリア パスなど、オブジェクト レベルでアクセス許可の粒度を決定する際に重要な役割を果たします。 この構造は、アクセス制御を微調整できる基盤であり、アクセス可能または制限されている領域を具体的に示すことができます。 詳細については、「プロジェクトとorganizationのスケーリングについて」を参照してください。
セキュリティ グループを使用する
最適なメンテナンスを行うために、既定のセキュリティ グループを使用するか、 カスタム セキュリティ グループを確立してアクセス許可を管理することをお勧めします。 プロジェクト管理者グループとプロジェクト コレクション管理者グループのアクセス許可設定は、設計によって修正され、変更することはできません。 ただし、他のすべてのグループのアクセス許可を柔軟に変更できます。
少数のユーザーに対するアクセス許可を個別に管理することは実現可能に思えるかもしれませんが、カスタム セキュリティ グループでは、ロールとそれらのロールに関連付けられているアクセス許可を監視するためのより整理されたアプローチが提供され、管理が明確になり、容易になります。
特定のロールにタスクを委任する
管理者またはアカウント所有者は、特定の領域を監督するチーム メンバーに管理タスクを委任することは戦略的アプローチです。 定義済みのアクセス許可とロールの割り当てを備えた主な組み込みロールは次のとおりです。
- 閲覧者: プロジェクトへの読み取り専用アクセス権を持ちます。
- 共同作成者: コンテンツを追加または変更することで、プロジェクトに貢献できます。
- チーム管理者: チーム関連の設定とアクセス許可を管理します。
- プロジェクト管理者: プロジェクトに対する管理者権限を持っています。
- プロジェクト コレクション管理者: プロジェクト コレクション全体を監視し、最高レベルのアクセス許可を持っています。
これらの役割は、責任の配分を容易にし、プロジェクト領域の管理を合理化します。
詳細については、「 既定のアクセス許可とアクセス と Change プロジェクトのコレクション レベルのアクセス許可を参照してください。
組織内の他のメンバーにタスクを委任するには、カスタム セキュリティ グループを作成し、次の表に示すようにアクセス許可を付与することを検討してください。
ロール
実行するタスク
[許可] に設定するアクセス許可
開発リーダー (Git)
ブランチ ポリシーを管理する
ポリシーの編集、プッシュの強制、アクセス許可の管理
「 ブランチのアクセス許可を設定する」を参照してください。
開発リーダー (TFVC)
リポジトリとブランチを管理する
ラベルの管理、ブランチの管理、アクセス許可の管理
「TFVC リポジトリのアクセス許可を設定する」を参照してください。
ソフトウェア アーキテクト (Git)
リポジトリの管理
リポジトリの作成、プッシュの強制、アクセス許可の管理
「Git リポジトリのアクセス許可を設定する」を参照してください
チーム管理者
チームのエリア パスを追加する
チームの共有クエリを追加する
子ノードの作成、このノードの削除、このノードの編集「子ノードの作成、エリア パスの下の作業項目の変更」を参照してください
投稿、削除、アクセス許可の管理 (クエリ フォルダーの場合)、「 クエリのアクセス許可を設定する」を参照してください。
共同作成者
クエリ フォルダーの下に共有クエリを追加する(ダッシュボードに投稿する)
投稿、削除 (クエリ フォルダーの場合)、「クエリのアクセス許可を設定する」を参照してください
ダッシュボードの表示、編集、管理については、「 ダッシュボードのアクセス許可を設定する」を参照してください。
プロジェクトまたは製品マネージャー
エリア パス、イテレーション パス、および共有クエリを追加する
作業項目の削除と復元、このプロジェクトから作業項目を移動する、作業項目を完全に削除する
プロジェクト レベルの情報を編集する、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。
プロセス テンプレート マネージャー (継承プロセス モデル)
作業追跡のカスタマイズ
プロセスのアクセス許可の管理、新しいプロジェクトの作成、プロセスの作成、アカウントからの削除フィールド、プロセスの削除、プロジェクトの削除、プロセスの編集
「 プロジェクトコレクションレベルの権限を変更する」を参照してください。
プロセス テンプレート マネージャー (ホステッド XML プロセス モデル)
作業追跡のカスタマイズ
コレクション レベルの情報を編集する、「 プロジェクトのコレクション レベルのアクセス許可を変更する」を参照してください。
プロジェクト管理 (オンプレミス XML プロセス モデル)
作業追跡のカスタマイズ
プロジェクト レベルの情報を編集する、「 プロジェクト レベルのアクセス許可を変更する」を参照してください。
アクセス許可マネージャー
プロジェクト、アカウント、またはコレクションのアクセス許可を管理する
プロジェクトの場合は、プロジェクト レベルの情報を編集します
アカウントまたはコレクションの場合は、インスタンス レベル (またはコレクション レベル) の情報を編集します
これらのアクセス許可のスコープについては、「 アクセス許可の参照ガイド」を参照してください。 アクセス許可の変更を要求するには、「アクセス許可 レベルの引き上げを要求する」を参照してください。
個人にアクセス許可を割り当てるだけでなく、Azure DevOps 内のさまざまなオブジェクトのアクセス許可を管理できます。 これらのオブジェクトは次のとおりです。
これらのリンクは、Azure DevOps のそれぞれの領域に対するアクセス許可を効果的に設定および管理するための詳細な手順とガイドラインを提供します。
ユーザーの可視性を組織とプロジェクトの情報に制限する
重要
- このセクションで説明する制限付き可視性機能は、Web ポータルを介した操作にのみ適用されます。 REST API または
azure devops
CLI コマンドを使用すると、プロジェクト メンバーは制限付きデータにアクセスできます。 - Microsoft Entra ID で既定のアクセス権を持つ制限付きグループのメンバーであるゲスト ユーザーは、ユーザー 選択ウィンドウでユーザーを検索できません。 プレビュー機能がオフになった場合組織化またはゲスト ユーザーが制限付きグループのメンバーでない場合、ゲスト ユーザーは、想定どおりにすべての Microsoft Entra ユーザーを検索できます。
既定では、ユーザーが組織に追加されると、すべての組織およびプロジェクトの情報と設定が表示されます。 このアクセスを調整するために、 ユーザーの可視性とコラボレーションを特定のプロジェクトに合わせて調整 プレビュー機能を組織レベルで有効にすることができます。 詳細については、「 プレビュー機能の管理」を参照してください。
この機能をアクティブにすると、 Project-Scoped Users グループに含まれるユーザーの可視性が制限され、ほとんどの Organization 設定を表示できなくなります。 アクセスは、明示的に追加されたプロジェクトに限定され、より制御された安全な環境が確保されます。
警告
Limit ユーザーの可視性と特定のプロジェクトへのコラボレーションを有効にするとプレビュー機能により、プロジェクト スコープのユーザーは、明示的なユーザー招待ではなく、Microsoft Entra グループ メンバーシップを通じて組織に追加されたユーザーを検索できなくなります。 これは予期しない動作であり、解決が進行中です。 この問題を解決するには、組織の Limit ユーザーの可視性と特定のプロジェクトへのコラボレーション プレビュー機能を無効にします。
ユーザー ピッカーをプロジェクト のユーザーとグループに制限する
Microsoft Entra ID と統合する組織の場合、ユーザー選択機能を使用すると、1 つのプロジェクトに限定されることなく、Microsoft Entra ID 内のすべてのユーザーとグループを包括的に検索できます。
ユーザー 選択ウィンドウでは、次の Azure DevOps 機能がサポートされています。
- 割り当て先などの作業追跡 ID フィールドからユーザー ID を選択する。
- @mentionを使用して、作業項目のディスカッション、pull request ディスカッション、コミット コメント、変更セットやシェルブセットのコメントなど、さまざまなディスカッションやコメントでユーザーまたはグループを選択します。
- @mentionを使用して Wiki ページからユーザーまたはグループを選択する。
ユーザー 選択ウィンドウを使用する場合、情報を入力すると、次の例に示すように、一致するユーザー名またはセキュリティ グループが表示されます。
Project-Scoped Users グループ内のユーザーとグループの場合、可視性と選択は、接続されたプロジェクト内のユーザーとグループに限定されます。 すべてのプロジェクト メンバーのユーザー 選択ウィンドウのスコープを拡張するには、「 組織の管理」の「ID 検索と選択の制限を参照してください。
オブジェクトの表示または変更へのアクセスを制限する
Azure DevOps は、すべての承認されたユーザーがシステム内で定義されているすべてのオブジェクトを表示できるように設計されています。 ただし、アクセス許可の状態を Deny に設定することで、リソースへのアクセスを調整できます。 カスタム セキュリティ グループに属しているメンバーまたは個々のユーザーにアクセス許可を設定できます。 詳細については、「 アクセス許可レベルの引き上げを要求する」を参照してください。
制限する領域
[拒否] に設定するアクセス許可
リポジトリを表示または投稿する
表示、投稿
「 Git リポジトリのアクセス許可を設定する」 または 「TFVC リポジトリのアクセス許可を設定する」を参照してください。
エリア パス内の作業項目を表示、作成、または変更する
このノードの作業項目の編集、このノードの作業項目の表示
「 作業の追跡のためのアクセス許可とアクセスの設定」、エリア パスの下にある作業項目の変更に関するページを参照してください。
選択したビルド パイプラインとリリース パイプラインを表示または更新する
ビルド パイプラインの編集、ビルド パイプラインの表示
リリース パイプラインの編集、リリース パイプラインの表示
これらのアクセス許可は、オブジェクト レベルで設定します。 「 ビルドとリリースのアクセス許可を設定する」を参照してください。
ダッシュボードを編集する
ダッシュボードの表示
「ダッシュボードのアクセス許可を設定する」を参照してください。
作業項目または選択フィールドの変更を制限する
作業項目の変更を制限する方法やフィールドを選択する方法を示す例については、「 サンプル ルールシナリオ」を参照してください。