Solucionar problemas de acesso e permissão

Serviços de DevOps do Azure | Azure DevOps Server 2022 - Azure DevOps Server 2019

Devido à extensa estrutura de segurança e permissão do Azure DevOps, talvez seja necessário investigar por que um usuário não tem acesso a um projeto, serviço ou recurso esperado. Encontre orientação passo a passo para entender e resolver problemas que um usuário pode encontrar ao se conectar a um projeto ou acessar um serviço ou recurso de DevOps do Azure.

Antes de usar este guia, recomendamos que se familiarize com o seguinte conteúdo:

Gorjeta

Ao criar um grupo de segurança do Azure DevOps, rotule-o claramente para indicar se ele se destina a limitar o acesso.

Você pode definir permissões nos seguintes níveis:

  • Nível do objeto
  • Nível do projeto
  • Organização ou nível de coleta do projeto
  • Direito de acesso
  • Função de administrador da equipe

Problemas comuns de acesso e permissão

Veja os motivos mais comuns pelos quais um membro do projeto não pode acessar um projeto, serviço ou recurso:

Problema Ação de solução de problemas
Seu nível de acesso não suporta o acesso ao serviço ou recurso. Para determinar se é a causa, determine o nível de acesso e o status da assinatura do usuário.
A sua associação a um grupo de segurança não suporta o acesso a uma funcionalidade ou foi-lhes explicitamente negada a permissão para uma funcionalidade. Para determinar se é a causa, rastreie uma permissão.
O usuário recebeu permissão recentemente, mas seu cliente precisa de uma atualização para reconhecer as alterações. Faça com que o usuário atualize ou reavalie suas permissões.
O usuário está tentando exercer um recurso concedido apenas a um administrador de equipe para uma equipe específica, no entanto, não é concedida essa função. Para adicioná-los à função, consulte Adicionar, remover administrador da equipe.
O usuário não habilitou um recurso de visualização. Peça ao usuário que abra os recursos de visualização e determine o status de ativação/desativação do recurso específico. Para obter mais informações, consulte Gerenciar recursos de visualização.
O membro do projeto foi adicionado a um grupo de segurança de escopo limitado, como o grupo Usuários com escopo do projeto. Para determinar se é a causa, procure as associações de grupo de segurança do usuário.

Problemas menos comuns de acesso e permissão

Razões menos comuns para o acesso limitado são quando ocorreu um dos seguintes eventos:

Problema Ação de solução de problemas
Um administrador de projeto desativou um serviço. Neste caso, ninguém tem acesso ao serviço para deficientes. Para determinar se um serviço está desabilitado, consulte Ativar ou desativar um serviço de DevOps do Azure.
Um Administrador de Coleção de Projetos desativou um recurso de visualização, que o desabilita para todos os membros do projeto na organização. Consulte Gerir funcionalidades de pré-visualização.
As regras de grupo que regem o nível de acesso do usuário ou a associação ao projeto estão restringindo o acesso. Consulte Determinar o nível de acesso e o status da assinatura de um usuário.
As regras personalizadas foram definidas para o fluxo de trabalho de um tipo de item de trabalho. consulte Regras aplicadas a um tipo de item de trabalho que restringem a operação de seleção.

Determinar o nível de acesso e o status da assinatura de um usuário

Você pode atribuir usuários ou grupos de usuários a um dos seguintes níveis de acesso:

  • Interveniente
  • Básica
  • Planos Básico + Teste
  • Assinatura do Visual Studio

Para obter mais informações sobre como restringir os níveis de acesso no Azure DevOps, consulte Níveis de acesso suportados.

Para usar os recursos do Azure DevOps, os usuários devem ser adicionados a um grupo de segurança com as permissões apropriadas e ter acesso ao portal da Web. As limitações de recursos são baseadas no nível de acesso e no grupo de segurança do usuário.

Os usuários podem perder o acesso pelos seguintes motivos:

Motivo da perda de acesso Ação de solução de problemas
A assinatura do Visual Studio do usuário expirou. Enquanto isso, esse usuário pode trabalhar como um Stakeholder, ou você pode dar ao usuário acesso básico até que o usuário renove sua assinatura. Depois de o utilizador iniciar sessão, o Azure DevOps restaura o acesso automaticamente.
A subscrição do Azure utilizada para faturação já não está ativa. Todas as compras feitas com esta assinatura são afetadas, incluindo assinaturas do Visual Studio. Para corrigir esse problema, visite o portal de conta do Azure.
A subscrição do Azure utilizada para faturação foi removida da sua organização. Saiba mais sobre como vincular sua organização

Caso contrário, no primeiro dia do mês do calendário, os usuários que não entraram na sua organização por mais tempo perderão o acesso primeiro. Se sua organização tiver usuários que não precisam mais de acesso, remova-os da organização.

Para obter mais informações sobre permissões, consulte Permissões e grupos e o Guia de pesquisa de permissões.

Rastrear uma permissão

Use o rastreamento de permissões para determinar por que as permissões de um usuário não estão permitindo que ele acesse um recurso ou função específico. Saiba como um usuário ou administrador pode investigar a herança de permissões. Para rastrear uma permissão do portal da Web, abra a página de permissão ou segurança para o nível correspondente. Para obter mais informações, consulte Solicitar um aumento nos níveis de permissão.

Se um usuário estiver tendo problemas de permissões e você usar grupos de segurança padrão ou grupos personalizados para permissões, use o rastreamento para investigar de onde essas permissões estão vindo. Problemas de permissões podem ser devido a alterações atrasadas. Pode levar até 1 hora para que as associações de grupo ou as alterações de permissões do Microsoft Entra se propaguem pelo Azure DevOps. Se um usuário tiver problemas que não sejam resolvidos imediatamente, aguarde um dia para ver se eles são resolvidos. Para obter mais informações sobre gerenciamento de usuários e acessos, consulte Gerenciar usuários e acesso no Azure DevOps.

Se um usuário tiver problemas de permissões e você usar grupos de segurança padrão ou grupos personalizados para permissões, você poderá investigar de onde essas permissões estão vindo usando nosso rastreamento de permissões. Problemas de permissões podem ser porque o usuário não tem o nível de acesso necessário.

Os usuários podem receber suas permissões efetivas diretamente ou por meio de grupos.

Conclua as etapas a seguir para que os administradores possam entender de onde exatamente essas permissões estão vindo e ajustá-las, conforme necessário.

  1. Selecione Configurações do>projeto Permissões>Usuários e, em seguida, selecione o usuário.

    Captura de ecrã da caixa de filtro, introduza o nome de utilizador.

    Agora você deve ter uma exibição específica do usuário que mostre quais permissões eles têm.

  2. Para rastrear por que um usuário tem ou não nenhuma das permissões listadas, selecione o ícone de informações ao lado da permissão em questão.

Captura de tela da seleção do ícone de informações ao lado da permissão em questão.

O rastreamento resultante permite que você saiba como eles estão herdando a permissão listada. Em seguida, você pode ajustar as permissões do usuário ajustando as permissões fornecidas aos grupos em que ele está.

  1. Selecione Configurações do projeto>Segurança e, em seguida, digite o nome de usuário na caixa de filtro.

    Captura de ecrã a mostrar a introdução do nome de utilizador na caixa de filtro, Azure DevOps Server 2019.

    Agora você deve ter uma exibição específica do usuário que mostre quais permissões eles têm.

  2. Rastreie por que um usuário tem ou não nenhuma das permissões listadas. Passe o cursor sobre a permissão e escolha Motivo.

    Captura de ecrã de Escolher Porquê na vista de lista de permissões para obter informações ao nível do projeto, Azure DevOps Server 2019.

O rastreamento resultante permite que você saiba como eles estão herdando a permissão listada. Em seguida, você pode ajustar as permissões do usuário ajustando as permissões fornecidas aos grupos em que ele está.

Captura de ecrã de Rastreio a mostrar permissões herdadas, Azure DevOps Server 2019.

Para obter mais informações, consulte Gerenciar o acesso a recursos e funções específicos ou Solicitar um aumento nos níveis de permissão.

Atualizar ou reavaliar permissões

Veja o cenário a seguir onde atualizar ou reavaliar permissões pode ser necessário.

Problema

Os usuários são adicionados a um grupo do Azure DevOps ou do Microsoft Entra. Esta ação concede acesso herdado a uma organização ou projeto. Mas, eles não têm acesso imediatamente. Os usuários devem aguardar ou sair, fechar o navegador e entrar novamente para atualizar suas permissões.

Os usuários são adicionados a um grupo de DevOps do Azure. Esta ação concede acesso herdado a uma organização ou projeto. Mas, eles não têm acesso imediatamente. Os usuários devem aguardar ou sair, fechar o navegador e entrar novamente para atualizar suas permissões.

Solução

Vá para Configurações do>usuário Permissões>Reavalie as permissões. Esta função reavalia as suas associações e permissões de grupo e, em seguida, quaisquer alterações recentes entram em vigor imediatamente.

Captura de ecrã do controlo Reavaliar permissões.

Regras aplicadas a um tipo de item de trabalho que restringem operações de seleção

Antes de personalizar um processo, recomendamos que você revise Configurar e personalizar Painéis do Azure, que fornece orientação sobre como personalizar os Painéis do Azure para atender às suas necessidades de negócios.

Para obter mais informações sobre regras de tipo de item de trabalho que se aplicam à restrição de operações, consulte:

Ocultar configurações da organização dos usuários

Se um usuário estiver limitado a ver apenas seus projetos ou não puder acessar as configurações da organização, as informações a seguir podem explicar o motivo. Para impedir que os usuários acessem as configurações da organização, habilite o recurso Limitar a visibilidade e a colaboração do usuário a projetos específicos. Para obter mais informações, incluindo informações importantes relacionadas com segurança, veja Gerir a sua organização, Limitar a visibilidade do utilizador para projetos e muito mais.

Exemplos de usuários restritos incluem Stakeholders, usuários convidados do Microsoft Entra ou membros de um grupo de segurança. Uma vez habilitado, qualquer usuário ou grupo adicionado ao grupo Usuários com Escopo do Projeto é impedido de acessar as páginas de configurações da Organização, exceto Visão Geral e Projetos. Eles só podem acessar os projetos aos quais são adicionados.

Exemplos de usuários restritos incluem Partes interessadas ou membros de um grupo de segurança. Uma vez habilitado, qualquer usuário ou grupo adicionado ao grupo Usuários com Escopo do Projeto fica impedido de acessar as páginas Configurações da Organização, exceto Visão Geral e Projetos. Eles só podem acessar os projetos aos quais são adicionados.

Para obter mais informações, consulte Gerenciar sua organização, Limitar a visibilidade do usuário para projetos e muito mais.

Exibir, adicionar e gerenciar permissões com a CLI

Você pode exibir, adicionar e gerenciar permissões em um nível granular com os az devops security permission comandos. Para obter mais informações, consulte Gerenciar permissões com a ferramenta de linha de comando.

Regras de grupo com permissões menores

Os tipos de regras de grupo são classificados na seguinte ordem: Subscriber > Basic + Test Plans > Basic > Stakeholder. Os usuários sempre recebem o nível de acesso mais alto disponível para eles em todas as regras de grupo, incluindo qualquer assinatura do Visual Studio (VS).

Nota

  • As alterações feitas nos leitores de projeto por meio de regras de grupo não persistem. Para ajustar os leitores de projeto, considere métodos alternativos, como atribuição direta ou grupos de segurança personalizados.
  • Reveja regularmente as regras listadas no separador "Regras de grupo" da página "Utilizadores". As alterações na associação ao grupo Microsoft Entra ID aparecerão na próxima reavaliação das regras do grupo, que pode ser feita sob demanda, quando uma regra de grupo for modificada ou automaticamente a cada 24 horas. O Azure DevOps atualiza a associação ao grupo do Microsoft Entra a cada hora, mas pode levar até 24 horas para que o Microsoft Entra ID atualize a associação ao grupo dinâmico.

Veja os exemplos a seguir, mostrando como os fatores de deteção de assinante entram nas regras de grupo.

Exemplo 1: A regra de grupo dá-me mais acesso

Se eu tiver uma assinatura do VS Pro e estiver em uma regra de grupo que me dê Planos Básicos + de Teste – o que acontece?

Esperado: Eu recebo Planos Básicos + de Teste porque o que a regra de grupo me dá é maior do que a minha assinatura. A atribuição de regras de grupo sempre fornece o maior acesso, em vez de limitar o acesso.

Exemplo 2: A regra de grupo dá-me o mesmo acesso

Tenho uma assinatura do Visual Studio Test Pro e estou em uma regra de grupo que me dá Planos de Teste Básico + – o que acontece?

Esperado: Eu sou detetado como um assinante do Visual Studio Test Pro, porque o acesso é o mesmo que a regra de grupo. Já estou pagando pelo Visual Studio Test Pro, então não quero pagar novamente.

Trabalhar com o GitHub

Consulte as seguintes informações de solução de problemas para implantar código no Azure DevOps com o GitHub.

Problema

Você não pode trazer o resto da sua equipe para a organização e o projeto, apesar de adicioná-los como membros. Eles recebem e-mails, mas ao entrar, recebem um erro 401.

Solução

Você pode estar conectado ao Azure DevOps com uma identidade incorreta. Efetue os seguintes passos:

  1. Feche todos os navegadores, incluindo os navegadores que não estão executando o Azure DevOps.

  2. Abra uma sessão de navegação privada ou anónima.

  3. Vá para o seguinte URL: https://aka.ms/vssignout.

    Uma mensagem é exibida: "Sair em andamento". Depois de sair, você será redirecionado para dev.azure.microsoft.com.

  4. Entre no Azure DevOps novamente e escolha uma identidade diferente.

Outras áreas onde as permissões podem ser aplicadas