Gerenciar o acesso a recursos específicos
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Gerenciar o acesso a recursos específicos no Azure DevOps pode ser crucial para manter o equilíbrio certo entre abertura e segurança. Se você deseja conceder ou restringir o acesso a determinadas funcionalidades para um grupo de usuários, é fundamental entender a flexibilidade além das permissões padrão fornecidas por grupos de segurança internos.
Se você não estiver familiarizado com o cenário de permissões e grupos, consulte Introdução às permissões, acesso e grupos de segurança. Este artigo aborda o essencial sobre os estados de permissão e como eles herdam.
Dica
A estrutura do projeto no Azure DevOps desempenha um papel fundamental na determinação da granularidade das permissões em um nível de objeto, como repositórios e caminhos de área. Essa estrutura é a base que permite ajustar os controles de acesso, permitindo delinear especificamente quais áreas são acessíveis ou restritas. Para obter mais informações, consulte Sobre projetos e dimensionamento de sua organização.
Pré-requisitos
| Categoria | Requisitos |
|---|---|
| Permissões | Membro do grupo Administradores de Coleção de Projetos. Os proprietários da organização são automaticamente membros desse grupo. |
Usar grupos de segurança
Para uma manutenção ideal, recomendamos usar os grupos de segurança padrão ou estabelecer grupos de segurança personalizados para gerenciar permissões. As configurações de permissão para os Administradores de Projeto e os Administradores de Coleção de Projetos são fixadas por design e não podem ser alteradas. No entanto, você tem a flexibilidade de modificar permissões para todos os outros grupos.
Gerenciar permissões para alguns usuários individualmente pode parecer viável, mas os grupos de segurança personalizados oferecem uma abordagem mais organizada. Eles simplificam a supervisão das funções e das permissões associadas, garantindo clareza e facilidade de gerenciamento do design e não podem ser alterados. No entanto, você tem a flexibilidade de modificar as permissões para todos os outros grupos.
Delegar tarefas a funções específicas
Como administrador ou proprietário de uma organização, delegar tarefas administrativas a membros da equipe que supervisionam áreas específicas é uma abordagem estratégica. As principais funções internas equipadas com permissões predefinidas e atribuições de função incluem:
- Leitores: Ter acesso somente leitura ao projeto.
- Colaboradores: Pode contribuir para o projeto adicionando ou modificando conteúdo.
- Administrador da equipe: gerencie as configurações e permissões relacionadas à equipe.
- Administradores de projeto: têm direitos administrativos sobre o projeto.
- Administradores de coleção de projetos: supervisionam toda a coleção de projetos e têm o nível mais alto de permissões.
Essas funções facilitam a distribuição de responsabilidades e agilizam o gerenciamento das áreas do projeto.
Para obter mais informações, consulte Permissões e acesso padrão e Alterar permissões no nível da coleção de projetos.
Para delegar tarefas a outros membros em sua organização, considere criar um grupo de segurança personalizado e, em seguida, conceder permissões conforme indicado na tabela a seguir.
Função
Tarefas a serem executadas
Permissões a serem definidas como Permitir
Líder de desenvolvimento (Git)
Gerenciar políticas de branch
Editar políticas, Forçar push e Gerenciar permissões
Confira Definir permissões de branch.
Líder de desenvolvimento (TFVC (Controle de Versão do Team Foundation))
Gerenciar repositório e branches
Administrar rótulos, gerenciar branch e gerenciar permissões
Consulte Definir permissões de repositório TFVC.
Arquiteto de software (Git)
Gerenciar repositórios
Criar repositórios, forçar push e gerenciar permissões
Confira Definir permissões do repositório Git
Administradores da equipe
Adicionar caminhos de área para sua equipe
Adicionar consultas compartilhadas para sua equipe
Criar nós filho, Excluir este nó, Editar este nó Consulte Criar nós filho, modificar itens de trabalho em um caminho de área
Contribuir, Excluir, Gerenciar permissões (para uma pasta de consulta), consulte Definir permissões de consulta.
Colaboradores
Adicionar consultas compartilhadas em uma pasta de consulta, Contribuir com painéis
Contribuir, Excluir (para uma pasta de consulta), consulte Definir permissões de consulta
Exibir, editar e gerenciar painéis, consulte Definir permissões de painel.
Gerente de projeto ou produto
Adicionar caminhos de área, caminhos de iteração e consultas compartilhadas
Excluir e restaurar itens de trabalho, Mover itens de trabalho para fora deste projeto, Excluir permanentemente itens de trabalho
Editar informações no nível do projeto, consulte Alterar permissões no nível do projeto.
Gerenciador de modelos de processo (modelo de processo de herança)
Personalização de acompanhamento de trabalho
Administrar permissões de processo, Criar novos projetos, Criar processo, Excluir campo da conta, Excluir processo, Excluir projeto, Editar processo
Confira Alterar permissões no nível da coleção do projeto.
Gerenciador de modelos de processo (modelo de processo XML hospedado)
Personalização de acompanhamento de trabalho
Editar informações no nível da coleção, confira Alterar permissões no nível da coleção do projeto.
Gerenciamento de projetos (modelo de processo XML local)
Personalização de acompanhamento de trabalho
Editar informações no nível do projeto, consulte Alterar permissões no nível do projeto.
Gerenciador de permissões
Gerenciar permissões para um projeto, conta ou coleção
Para um projeto, edite informações no nível do projeto
Para uma conta ou coleção, edite informações no nível da instância (ou no nível da coleção)
Para entender o escopo dessas permissões, consulte Guia de pesquisa de permissão. Para solicitar uma alteração nas permissões, consulte Solicitar um aumento nos níveis de permissão.
Além de atribuir permissões a indivíduos, você pode gerenciar permissões para vários objetos no Azure DevOps. Esses objetos incluem:
Esses links fornecem etapas e diretrizes detalhadas para configurar e gerenciar permissões de forma eficaz para as respectivas áreas no Azure DevOps.
Limitar a visibilidade do usuário
Aviso
Considere as seguintes limitações ao usar este recurso de visualização:
- Os recursos de visibilidade limitados descritos nesta seção se aplicam apenas a interações por meio do portal da Web. Com as APIs REST ou
azure devopscomandos da CLI, os membros do projeto podem acessar os dados restritos. - Os usuários do grupo limitado só podem selecionar usuários que são adicionados explicitamente ao Azure DevOps e não aos usuários que têm acesso por meio da associação de grupo do Microsoft Entra.
- Os usuários convidados que são membros do grupo limitado com acesso padrão na ID do Microsoft Entra não podem pesquisar usuários com o seletor de pessoas.
Organizações e projetos
Por padrão, os usuários adicionados a uma organização podem exibir todas as informações e configurações da organização e do projeto. Você pode restringir usuários específicos, como stakeholders, usuários do Microsoft Entra ou membros de um grupo de segurança específico, com a versão prévia do recurso Limitar a visibilidade e a colaboração do usuário a projetos específicos da organização. Depois que o recurso é ativado, qualquer usuário ou grupo que é adicionado ao grupo Usuários no Escopo do Projeto fica restrito das seguintes maneiras:
- O acesso é limitado apenas aos projetos aos quais eles são adicionados explicitamente.
- Visualizações que mostram listas de usuários, projetos, detalhes de cobrança, dados de uso e outras informações acessados por meio de Configurações da organização são restritas.
- O conjunto de pessoas ou grupos que aparecem em seleções de busca de pessoas, bem como a capacidade de mencionar pessoas usando @mention, é limitada.
Pesquisa e seleção de identidade
Com a ID do Microsoft Entra, você pode usar os seletores de pessoas para procurar qualquer usuário ou grupo em sua organização, não apenas os que estão em seu projeto atual. Os seletores de pessoas dão suporte às seguintes funções do Azure DevOps:
- Seleção de uma identidade de usuário de um campo de identidade de acompanhamento de trabalho, como Atribuído a
- Seleção de um usuário ou grupo usando @mention em um campo de discussão de item de trabalho ou rich text, uma discussão de solicitação de pull, comentários de commit ou comentários de conjunto de alterações ou de conjunto de prateleiras
- Seleção de um usuário ou grupo usando @mention de uma página wiki
Conforme mostrado na imagem a seguir, comece inserindo um nome de usuário ou grupo de segurança em uma caixa de pesquisa de pessoas até encontrar uma correspondência.
Usuários e grupos que são adicionados ao grupo Project-Scoped Usuários só podem ver e selecionar usuários e grupos no projeto ao qual estão conectados através de uma ferramenta de seleção de pessoas.
Ativar o recurso de visualização e adicionar usuários ao grupo de segurança
Execute as seguintes etapas para ativar o recurso de visualização e adicionar usuários e grupos ao grupo Project-Scoped Usuários:
Ative a versão prévia do recurso Limitar visibilidade e colaboração do usuário a projetos específicospara a organização.
Adicione os usuários ao seu projeto, conforme descrito em Adicionar usuários a um projeto ou equipe. Os usuários adicionados a uma equipe são adicionados automaticamente ao projeto e ao grupo de equipes.
Abra as configurações de Organizações>Segurança>Permissões e escolha Usuários no Escopo do Projeto. Selecione a guia Membros.
Adicione todos os usuários e grupos que você deseja incluir no escopo do projeto ao qual estão sendo adicionados. Para mais informações, consulte Definir permissões no nível do projeto ou da coleção.
O grupo Usuários no Escopo do Projeto aparece apenas em Permissões>Grupos quando a versão prévia do recurso Limitar a visibilidade e a colaboração do usuário a projetos específicos está ativada.
Todos os grupos de segurança no Azure DevOps são considerados entidades de nível de organização, mesmo que tenham permissões apenas para um projeto específico. Isso significa que os grupos de segurança são gerenciados no nível da organização.
No portal da Web, a visibilidade de alguns grupos de segurança pode ser restrita com base nas permissões do usuário. No entanto, você ainda pode descobrir os nomes de todos os grupos de segurança em uma organização usando a ferramenta de CLI azure devops ou as APIs REST. Para obter mais informações, consulte Adicionar e gerenciar grupos de segurança.
Restringir o acesso para exibir ou modificar objetos
O Azure DevOps foi projetado para permitir que todos os usuários autorizados exibam todos os objetos definidos no sistema. No entanto, você pode personalizar o acesso aos recursos definindo o estado de permissão como Negar. Você pode definir permissões para membros que pertencem a um grupo de segurança personalizado ou para usuários individuais. Para obter mais informações, consulte Solicitar um aumento nos níveis de permissão.
Área a ser restrita
Permissões a serem definidas como Negar
Exibir ou contribuir para um repositório
Exibir, Contribuir
Consulte Definir permissões de repositório Git ou Definir permissões de repositório TFVC.
Exibir, criar ou modificar itens de trabalho dentro de um caminho de área
Editar itens de trabalho neste nó, Exibir itens de trabalho neste nó
Consulte Definir permissões e acesso para acompanhamento de trabalho, Modificar itens de trabalho em um caminho de área.
Exibir ou atualizar pipelines de build e lançamento selecionados
Editar pipeline de build, Exibir pipeline de build
Editar pipeline de lançamento, Exibir pipeline de lançamento
Você define essas permissões no nível do objeto. Consulte Definir permissões de build e versão.
Editar um painel
Exibir dashboards
Consulte Definir permissões de painel.
Restringir a modificação de itens de trabalho ou selecionar campos
Para obter exemplos que ilustram como restringir a modificação de itens de trabalho ou selecionar campos, consulte Cenários de regra de exemplo.