Azure DevOps için güvenlik ad alanı ve izin başvurusu

  • Makale

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Bu makalede geçerli güvenlik ad alanları açıklanır, ilişkili izinler listelenir ve daha fazla bilgi için bağlantılar sağlanır. Güvenlik ad alanları, çeşitli varlıkların belirli kaynaklarda belirli eylemleri gerçekleştirmesi gereken erişim düzeyini belirleyerek belirteçlerde erişim denetim listelerini (ACL' ler) depolar. Bu varlıklar şunlardır:

  • Azure DevOps kullanıcıları
  • Azure DevOps kuruluş sahipleri
  • Azure DevOps güvenlik gruplarının üyeleri
  • Azure DevOps hizmet hesapları
  • Azure DevOps hizmet sorumluları

İş öğeleri veya Git depoları gibi her kaynak ailesi benzersiz bir ad alanı aracılığıyla güvenli hale getirilir. Her güvenlik ad alanı sıfır veya daha fazla ACL içerir. ACL bir belirteç, devralma bayrağı ve sıfır veya daha fazla erişim denetimi girdisi (ACL) kümesi içerir. Her ACE bir kimlik tanımlayıcısı, izin verilen izin bit maskesi ve reddedilen izin bit maskesinden oluşur. Belirteçler, Azure DevOps'taki kaynakları temsil eden rastgele dizelerdir.

Not

Ad alanları ve belirteçler Azure DevOps'un tüm sürümleri için geçerlidir. Burada listelenenler Azure DevOps 2019 ve sonraki sürümler için geçerlidir. Ad alanları zaman içinde değiştirilebilir. Ad alanlarının en son listesini almak için komut satırı araçlarından veya REST API'lerinden birini kullanın. Bazı ad alanları, bu makalenin devamında Kullanım dışı ve salt okunur ad alanları bölümünde listelendiği gibi kullanım dışı bırakılmıştır. Daha fazla bilgi için bkz . Güvenlik ad alanları sorgusu

İzin yönetimi araçları

İzinleri yönetmek için önerilen yöntem web portalı üzerindendir. Ancak portal aracılığıyla kullanılamayan izinleri ayarlamak veya ayrıntılı izinleri yönetmek için komut satırı araçlarını veya REST API'yi kullanın:

  • Azure DevOps Services için komutlarını az devops security permission kullanın.
  • Azure DevOps Server için TFSGüvenlik komutlarını kullanın.
  • Azure DevOps Git depoları için tf git izin komut satırı aracını kullanın.
  • Team Foundation Sürüm Denetimi (TFVC) depoları için TFVC izin komut satırı aracını kullanın.

Tüm Azure DevOps örnekleri için Güvenlik REST API'sini de kullanabilirsiniz.

Güvenlik ad alanları ve kimlikleri

Birçok güvenlik ad alanı, Güvenlik veya İzinler web portalı sayfası aracılığıyla ayarladığınız izinlere karşılık gelir. Diğer ad alanları veya belirli izinler web portalında görünmez ve güvenlik gruplarının veya Azure DevOps hizmet sorumlularının üyelerine varsayılan olarak erişim izni verir. Bu ad alanları, web portalı üzerinden nasıl yönetildiklerine bağlı olarak aşağıdaki kategorilere ayrılır:

  • Nesne düzeyi
  • Proje düzeyi
  • Kuruluş veya koleksiyon düzeyi
  • Sunucu düzeyi (yalnızca şirket içi)
  • Rol tabanlı
  • Yalnızca iç kullanım için

Hiyerarşi ve belirteçler

Güvenlik ad alanı hiyerarşik veya düz olabilir. Hiyerarşik ad alanında belirteçler, etkin izinlerin üst belirteçlerden alt belirteçlere devralındığı bir hiyerarşide bulunur. Buna karşılık, düz ad alanı içindeki belirteçlerin üst-alt ilişkisi yoktur.

Hiyerarşik ad alanı içindeki belirteçler sabit uzunlukta veya değişken uzunlukta yol bölümlerine sahip olabilir. Belirteçlerin değişken uzunluklu yol bölümleri varsa, bir yol parçasının nerede sona erdiğini ve başka bir yolun nerede başladığını ayırt etmek için bir ayırıcı karakter kullanılır.

Güvenlik belirteçleri büyük/küçük harfe duyarlı değildir. Farklı ad alanları için belirteç örnekleri aşağıdaki bölümlerde verilmiştir.

Nesne düzeyinde ad alanları ve izinler

Aşağıdaki tabloda nesne düzeyi izinlerini yöneten ad alanları açıklanmaktadır. Bu izinlerin çoğu her nesne için web portalı sayfası üzerinden yönetilir. İzinler proje düzeyinde ayarlanır ve açıkça değiştirilmediği sürece nesne düzeyinde devralınır.

Namespace

İzinler

Açıklama

AnalyticsViews

Read
Edit
Delete
Execute
ManagePermissions

Raporları okumak, düzenlemek, silmek ve oluşturmak için Analiz görünümleri izinlerini proje düzeyinde ve nesne düzeyinde yönetir. Her analiz görünümü için bu izinleri kullanıcı arabiriminden yönetebilirsiniz.

Proje düzeyi izinleri için belirteç biçimi: $/Shared/PROJECT_ID
Örnek: $/Shared/xxxxxxxx-aaaa-1111-bbbb-11111

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Derleme

ViewBuilds
EditBuildQuality
RetainIndefinitely
DeleteBuilds
ManageBuildQualities
DestroyBuilds
UpdateBuildInformation
QueueBuilds
ManageBuildQueue
StopBuilds
ViewBuildDefinition
EditBuildDefinition
DeleteBuildDefinition
OverrideBuildCheckInValidation
AdministerBuildPermissions

Derleme izinlerini proje düzeyinde ve nesne düzeyinde yönetir.

Proje düzeyinde derleme izinleri için belirteç biçimi: PROJECT_ID
Belirli bir derleme tanımı kimliğine (örneğin, 12) yönelik izinleri güncelleştirmeniz gerekiyorsa, bu derleme tanımının güvenlik belirteci aşağıdaki örneğe benzer:
Proje düzeyinde, belirli derleme izinleri için belirteç biçimi: PROJECT_ID/12
Örnek: xxxxxxxx-aaaa-1111-bbbb-11111/12

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

CSS

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE
WORK_ITEM_READ
WORK_ITEM_WRITE
MANAGE_TEST_PLANS
MANAGE_TEST_SUITES

Alt düğümleri oluşturmak, düzenlemek ve silmek için alan yolu nesne düzeyi izinlerini yönetir ve düğümdeki iş öğelerini görüntüleme veya düzenleme izinlerini ayarlar. Daha fazla bilgi için bkz . İş izleme için izinleri ve erişimi ayarlama, Alt düğüm oluşturma, alan yolu altındaki iş öğelerini değiştirme.
Belirteç biçimi örneği: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

PanolarGizlilik

Read
Create
Edit
Delete
ManagePermissions
MaterializeDashboards

Panoları düzenlemek ve silmek için pano nesne düzeyinde izinleri yönetir ve bir proje panosunun izinlerini yönetir. Bu izinleri panolar kullanıcı arabirimi aracılığıyla yönetebilirsiniz.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Git Depoları

Administer
GenericRead
GenericContribute
ForcePush
CreateBranch
CreateTag
ManageNote
PolicyExempt
CreateRepository
DeleteRepository
RenameRepository
EditPolicies
RemoveOthersLocks
ManagePermissions
PullRequestContribute
PullRequestBypassPolicy

Git deposu izinlerini proje düzeyinde ve nesne düzeyinde yönetir. Bu izinleri Proje ayarları, Depolar yönetim arabirimi aracılığıyla yönetebilirsiniz.

İzinAdminister, 2017'de birkaç tane daha ayrıntılı izinlere ayrılmıştır ve kullanılmamalıdır.
Proje düzeyi izinleri için belirteç biçimi: repoV2/PROJECT_ID
Depo düzeyi izinlerini güncelleştirmek için eklemeniz RepositoryID gerekir.

Depoya özgü izinler için belirteç biçimi: repoV2/PROJECT_ID/REPO_ID

Dal düzeyi izinler için belirteç biçimi, güvenlik hizmeti için Git depo belirteçleri bölümünde açıklanmıştır.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Yineleme

GENERIC_READ
GENERIC_WRITE
CREATE_CHILDREN
DELETE

Alt düğümleri oluşturmak, düzenlemek ve silmek ve alt düğüm izinlerini görüntülemek için yineleme yolu nesne düzeyi izinlerini yönetir. Web portalı üzerinden yönetmek için bkz . İş izleme için izinleri ve erişimi ayarlama, Alt düğümler oluşturma.
Belirteç biçimi: 'vstfs:///Classification/Node/Iteration_Identifier/'
Ekibiniz için aşağıdaki yinelemelerin yapılandırıldığını varsayalım.
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

için izinlerini güncelleştirmek için ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1güvenlik belirteci aşağıdaki örneğe benzer:
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

MetaTask

Administer
Edit
Delete

Görev gruplarını düzenlemek ve silmek ve görev grubu izinlerini yönetmek için görev grubu izinlerini yönetir. Web portalı üzerinden yönetmek için bkz . İşlem hattı izinleri ve güvenlik rolleri, Görev grubu izinleri.

Proje düzeyi izinleri için belirteç biçimi: PROJECT_ID
Meta Görev düzeyi izinleri için belirteç biçimi: PROJECT_ID/METATASK_ID

MetaTask'ta varsa parentTaskId, Güvenlik belirteci aşağıdaki örneğe benzer:
Belirteç Biçimi: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Planlama

View
Edit
Delete
Manage

Teslim Planlarının teslimat planlarını görüntüleme, düzenleme, silme ve yönetme izinlerini yönetir. Bu izinleri her plan için web portalı üzerinden yönetebilirsiniz.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

ReleaseManagement

ViewReleaseDefinition
EditReleaseDefinition
DeleteReleaseDefinition
ManageReleaseApprovers
ManageReleases
ViewReleases
CreateReleases
EditReleaseEnvironment
DeleteReleaseEnvironment
AdministerReleasePermissions
DeleteReleases
ManageDeployments
ManageReleaseSettings
ManageTaskHubExtension

Proje ve nesne düzeyinde yayın tanımı izinlerini yönetir.

Proje düzeyi izinleri için belirteç biçimi: PROJECT_ID
Örnek: xxxxxxxx-aaaa-1111-bbbb-11111
Belirli bir yayın tanımı kimliğine (örneğin, 12) yönelik izinleri güncelleştirmeniz gerekiyorsa, bu sürüm tanımının güvenlik belirteci aşağıdaki örneğe benzer:

Belirli yayın tanımı izinleri için belirteç biçimi: PROJECT_ID/12
Örnek: xxxxxxxx-aaaa-1111-bbbb-11111/12
Yayın tanımı kimliği bir klasörde yer alırsa, güvenlik belirteçleri aşağıdaki gibi görünür:
Belirteç biçimi: PROJECT_ID/{folderName}/12
Aşamalar için belirteçler şöyle görünür: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

WorkItemQueryFolders

Read
Contribute
Delete
ManagePermissions
FullControl
RecordQueryExecutionInfo

İş öğesi sorguları ve sorgu klasörleri için izinleri yönetir. Bu izinleri web portalı üzerinden yönetmek için bkz . Sorgularda veya sorgu klasörlerinde izinleri ayarlama. Belirteç biçimi örneği: POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Proje düzeyinde ad alanları ve izinler

Aşağıdaki tabloda proje düzeyi izinlerini yöneten ad alanları açıklanmaktadır. Listelenen izinlerin çoğu web portalı yönetici bağlamı üzerinden yönetilir. Proje Yöneticilerine tüm proje düzeyinde izinler verilirken, diğer proje düzeyindeki grupların belirli izin atamaları vardır.

Namespace

İzinler

Açıklama

Project

GENERIC_READ
GENERIC_WRITE
DELETE
PUBLISH_TEST_RESULTS
ADMINISTER_BUILD
START_BUILD
EDIT_BUILD_STATUS
UPDATE_BUILD
DELETE_TEST_RESULTS
VIEW_TEST_RESULTS
MANAGE_TEST_ENVIRONMENTS
MANAGE_TEST_CONFIGURATIONS
WORK_ITEM_DELETE
WORK_ITEM_MOVE
WORK_ITEM_PERMANENTLY_DELETE
RENAME
MANAGE_PROPERTIES
MANAGE_SYSTEM_PROPERTIES
BYPASS_PROPERTY_CACHE
BYPASS_RULES
SUPPRESS_NOTIFICATIONS
UPDATE_VISIBILITY
CHANGE_PROCESS
AGILETOOLS_BACKLOG
AGILETOOLS_PLANS

Proje düzeyi izinlerini yönetir.
İzin, AGILETOOLS_BACKLOG Azure Boards kapsamlarına erişimi yönetir. Bu ayar bir iç izin ayarıdır ve değiştirilmemelidir.

Kök belirteç biçimi: $PROJECT
Kuruluşunuzdaki her proje için izinleri güvenli bir şekilde sağlamak için belirteç.
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.

adlı Test Project 1bir projeniz olduğunu varsayalım.
komutunu kullanarak az devops project show bu projenin proje kimliğini alabilirsiniz.
az devops project show --project "Test Project 1"
komutu bir project-iddöndürür, örneğin, xxxxxxxx-aaaa-1111-bbbb-11111.
Bu nedenle, projeyle ilgili izinlerin güvenliğini sağlamak için Test Project 1 belirteci şu şekildedir:
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-aaaa-1111-bbbb-11111'


**Id:** 'xxxxxxxx-aaaa-1111-bbbb-11111'

Etiketleme

Enumerate
Create
Update
Delete

İş öğesi etiketleri oluşturma, silme, listeleme ve kullanma izinlerini yönetir. İzinler yönetim arabirimi aracılığıyla Etiket tanımı oluşturma iznini yönetebilirsiniz.

Proje düzeyi izinleri için belirteç biçimi: /PROJECT_ID
Örnek: /xxxxxxxx-aaaa-1111-bbbb-11111

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

VersionControlItems

Read
PendChange
Checkin
Label
Lock
ReviseOther
UnlockOther
UndoOther
LabelOther
AdminProjectRights
CheckinOther
Merge
ManageBranch

Team Foundation Sürüm Denetimi (TFVC) deposunun izinlerini yönetir. Bir proje için yalnızca bir TFVC deposu vardır. Bu izinleri depo yönetim arabirimi aracılığıyla yönetebilirsiniz.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Kuruluş düzeyinde ad alanları ve izinler

Aşağıdaki tabloda kuruluş düzeyinde izinleri yöneten ad alanları açıklanmaktadır. Listelenen izinlerin çoğu web portalı Kuruluş ayarları bağlamı üzerinden yönetilir. Kuruluş sahibine ve Proje Koleksiyonu Yöneticileri grubunun üyelerine bu izinlerin çoğu verilir. Daha fazla bilgi için bkz. proje koleksiyonu düzeyindeki grup izinlerini değiştirme.

Koleksiyon düzeyinde ad alanları ve izinler

Aşağıdaki tabloda kuruluş düzeyinde izinleri yöneten ad alanları açıklanmaktadır. Listelenen izinlerin çoğu web portalı Koleksiyon ayarları bağlamı üzerinden yönetilir. Proje Koleksiyonu Yöneticileri grubunun üyelerine bu izinlerin çoğu verilir. Daha fazla bilgi için bkz. proje koleksiyonu düzeyindeki grup izinlerini değiştirme.

Namespace

İzinler

Açıklama

AuditLog

Read
Write
Manage_Streams
Delete_Streams

Denetim günlüğünü okumak veya yazmak ve denetim akışlarını yönetmek veya silmek için denetim izinlerini yönetir.

Belirteç biçimi: /AllPermissions
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

BuildAdministration

ViewBuildResources
ManageBuildResources
UseBuildResources
AdministerBuildResourcePermissions
ManagePipelinePolicies

Derleme kaynaklarını görüntüleme, yönetme, kullanma veya yönetme izinlerine erişimi yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Koleksiyon

GENERIC_READ
GENERIC_WRITE
CREATE_PROJECTS
TRIGGER_EVENT
MANAGE_TEMPLATE
DIAGNOSTIC_TRACE
SYNCHRONIZE_READ
MANAGE_TEST_CONTROLLERS
DELETE_FIELD
MANAGE_ENTERPRISE_POLICIES

Kuruluş veya koleksiyon düzeyinde izinleri yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

İşlem

Edit
Delete
Create
AdministerProcessPermissions
ReadProcessPermissions

İşlem oluşturma, silme ve yönetme izinlerini yönetir.
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Çalışma Alanları

Read
Use
Checkin
Administer

Rafa alınan değişiklikleri, çalışma alanlarını ve kuruluş veya koleksiyon düzeyinde çalışma alanı oluşturma özelliğini yönetme izinlerini yönetir. Çalışma Alanları ad alanı TFVC deposu için geçerlidir.

Kök belirteç biçimi: /
Belirli bir çalışma alanı için belirteç biçimi: /{workspace_name};{owner_id}

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

VersionControlPrivileges

CreateWorkspace
AdminWorkspaces
AdminShelvesets
AdminConnections
AdminConfiguration

Team Foundation Sürüm Denetimi (TFVC) deposu için izinleri yönetir.

İzin, AdminConfiguration kullanıcılara kullanıcılar ve gruplar için sunucu düzeyinde izinleri düzenleme olanağı verir. İzin, AdminConnections kullanıcılara şirket içi, sunucu düzeyinde bir deponun dosya veya klasörünün içeriğini okuma olanağı verir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Sunucu düzeyinde ad alanları ve izinler

Aşağıdaki tabloda, şirket içi örnekler için tanımlanan bu güvenlik ad alanları ve izinler açıklanmaktadır. Team Foundation Yöneticileri grubunun üyelerine verilen bu izinleri Azure DevOps Server yönetim konsolu aracılığıyla yönetebilirsiniz. Bu izinlerin açıklamaları için bkz . İzinler ve gruplar, Sunucu düzeyinde izinler.

Namespace

İzinler

Açıklama

CollectionManagement

CreateCollection
DeleteCollection

Proje koleksiyonları oluşturmak ve silmek için sunucu düzeyinde ayarlanan izinleri yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Sunucu

GenericRead
GenericWrite
Impersonate
TriggerEvent

Sunucu düzeyinde ayarlanan izinleri yönetir. Örnek düzeyi bilgilerini düzenleme, başkaları adına istekte bulunma ve olayları tetikleme izinlerini içerir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Ambar

Administer

Ambar Denetimi Web Hizmeti'ni kullanarak veri ambarı veya SQL Server Çözümleme küpü için ayarları işleme veya değiştirme izni verir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Rol tabanlı ad alanları ve izinler

Aşağıdaki tabloda rol tabanlı güvenliği yönetmek için kullanılan güvenlik ad alanları ve izinler açıklanmaktadır. İşlem hattı kaynakları için web portalı üzerinden rol atamalarını, İşlem hattı izinleri ve güvenlik rolleri açıklandığı gibi yönetebilirsiniz.

Namespace

İzinler

Açıklama

DistributedTask

View
Manage
Listen
AdministerPermissions
Use
Create

Aracı havuzu kaynaklarına erişim izinlerini yönetir. Varsayılan olarak, aşağıdaki roller ve izinler proje düzeyinde atanır ve oluşturulan her aracı havuzu için devralınır:

  • Proje Geçerli Kullanıcıları grubunun tüm üyeleri için okuyucu rolü (View yalnızca izinler)
  • Derleme Yöneticileri, Proje Yöneticileri ve Yayın Yöneticileri gruplarının üyelerine yönetici rolü (tüm izinler).
  • Katkıda Bulunan grubunun tüm üyeleri için kullanıcı rolü (View, Useve Create izinleri)
  • Katkıda Bulunan grubunun tüm üyeleri için oluşturucu rolü (View, Useve Create izinleri)

    KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Ortam

View
Manage
ManageHistory
Administer
Use
Create

Ortam oluşturma ve yönetme izinlerini yönetir. Varsayılan olarak, aşağıdaki izinler atanır:

  • Proje Geçerli Kullanıcıları grubunun tüm üyeleri için okuyucu rolü (View yalnızca izinler)
  • Katkıda Bulunan grubunun tüm üyeleri için oluşturucu rolü (View, Useve Create izinleri)
  • Proje Yöneticileri grubunun tüm üyeleri için oluşturucu rolü (View, Useve Create izinleri)
  • Belirli bir Ortamı oluşturan kullanıcıya yönetici rolü (tüm izinler).

    KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

ExtensionManagement

ViewExtensions
ManageExtensions
ManageSecurity

Yönetici rolü, Market uzantılarının güvenliğini yönetmek için kullanılan tek roldür. Yönetici rolünün üyeleri uzantıları yükleyebilir ve uzantıların yüklenmesine yönelik istekleri yanıtlayabilir. Diğer izinler, varsayılan güvenlik gruplarının ve hizmet sorumlularının üyelerine otomatik olarak atanır. Yönetici rolüne kullanıcı eklemek için bkz . Uzantı izinlerini yönetme.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Kitaplık

View
Administer
Create
ViewSecrets
Use
Owner

Güvenli dosyalar ve değişken grupları içeren kitaplık öğeleri oluşturma ve yönetme izinlerini yönetir. Tek tek öğeler için rol üyelikleri kitaplıktan otomatik olarak devralınır. Varsayılan olarak, aşağıdaki izinler atanır:

  • Proje Geçerli Kullanıcılar grubunun ve Proje Koleksiyonu Derleme Hizmeti hesabının tüm üyeleri için okuyucu rolü (View yalnızca izinler)
  • Katkıda Bulunanlar grubunun tüm üyeleri için oluşturucu rolü (View, Useve Create izinleri)
  • Kitaplık öğesini oluşturan üyenin oluşturucu rolü (View, Use, Createve Owner izinleri)
  • Derleme Yöneticileri, Proje Yöneticileri ve Yayın Yöneticileri gruplarının üyelerine yönetici rolü (tüm izinler).
    Daha fazla bilgi için bkz . Kitaplık varlığı güvenlik rolleri.

    KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

ServiceEndpoints

Use
Administer
Create
ViewAuthorization
ViewEndpoint

Hizmet bağlantıları oluşturma ve yönetme izinlerini yönetir. Tek tek öğeler için rol üyelikleri proje düzeyindeki rollerden otomatik olarak devralınır. Varsayılan olarak, aşağıdaki roller atanır:

  • Proje Geçerli Kullanıcılar grubunun ve Proje Koleksiyonu Derleme Hizmeti hesabının tüm üyeleri için okuyucu rolü (View yalnızca izinler)
  • Endpoint Creators hizmet güvenlik grubunun üyeleri için oluşturucu rolü (View, Useve Create izinleri).
  • Uç Nokta Yöneticileri hizmet güvenlik grubunun üyelerine yönetici rolü (tüm izinler).
    Roller, Hizmet bağlantısı güvenlik rolleri aracılığıyla atanır.

    KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

İç ad alanları ve izinler

Aşağıdaki tabloda, web portalı aracılığıyla ortaya çıkarilmeyen güvenlik ad alanları ve izinler açıklanmaktadır. Bunlar öncelikli olarak varsayılan güvenlik gruplarının üyelerine veya iç kaynaklara erişim vermek için kullanılır. Bu izin ayarlarını hiçbir şekilde değiştirmenizi kesinlikle öneririz.

Namespace

İzinler

Açıklama

AccountAdminSecurity

Read
Create
Modify

Kuruluş hesabı sahibini okuma veya değiştirme izinlerini yönetir. Bu izinler, kuruluş sahibine ve Proje Koleksiyonu Yöneticisi grubunun üyelerine atanır.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Analiz

Read
Administer
Stage
ExecuteUnrestrictedQuery
ReadEuii

Analytics hizmetine yönelik okuma, yönetme ve sorgu yürütme izinlerini yönetir.

Proje düzeyi izinleri için belirteç biçimi: $/PROJECT_ID
Örnek: $/xxxxxxxx-aaaa-1111-bbbb-11111

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

BlobStoreBlobPrivileges

Read
Delete
Create
SecurityAdmin

Veri deposunun güvenliğini okuma, silme, oluşturma ve yönetme izinlerini ayarlar. Bu izinler birkaç Azure DevOps hizmet sorumlusuna atanır.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Boards

View
Create
ChangeMetadata
MoveCard
Delete
Manage

İzinleri ve panolara erişimi yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

BoardsExternalIntegration

Read
Write

Azure Boards ile dış tümleştirmelerin okuma/yazma izinlerini yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Sohbet

ReadChatRoomMetadata
UpdateChatRoomMetadata
CreateChatRoom
CloseChatRoom
DeleteChatRoom
AddRemoveChatRoomMember
ReadChatRoomMessage
WriteChatRoomMessage
UpdateChatRoomMessage
DeleteChatRoomMessage
ReadChatRoomTranscript
ManageChatPermissions

Slack ve Microsoft Teams gibi Azure DevOps ile tümleştirilmiş sohbet hizmetlerinin izinlerini yönetir. Daha fazla bilgi için bkz . Slack ile Azure Boards, Microsoft Teams ile Azure Boards, Slack ile Azure Pipelines, Microsoft Teams ile Azure Pipelines, Slack ile Azure Repos ve Microsoft Teams ile Azure Repos.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Tartışma İş Parçacıkları

Administer
GenericRead
GenericContribute
Moderate

Azure Pipelines için kod gözden geçirme tartışmalarını görüntüleme, yönetme, denetleme ve buna katkıda bulunma izinlerini yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

EventPublish

Read
Write

Bildirim işleyicisi için okuma ve yazma erişimi verir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

EventSubscriber

GENERIC_READ
GENERIC_WRITE

Bildirim aboneleri için okuma ve yazma erişimi verir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

EventSubscription

GENERIC_READ
GENERIC_WRITE
UNSUBSCRIBE
CREATE_SOAP_SUBSCRIPTION

Bildirimleri görüntülemek, düzenlemek ve abonelikten çıkmak veya SOAP aboneliği oluşturmak için üye izinlerini yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Kimlik

Read
Write
Delete
ManageMembership
CreateScope
RestoreScope

Kullanıcı hesabı kimlik bilgilerini okuma, yazma ve silme izinlerini yönetir; grup üyeliğini yönetin ve kimlik kapsamlarını oluşturun ve geri yükleyin. İzin ManageMembership , Proje Yöneticileri ve Proje Koleksiyonu Yöneticileri gruplarının üyelerine otomatik olarak verilir.
Proje düzeyi izinleri için belirteç biçimi: PROJECT_ID
Örnek: xxxxxxxx-aaaa-1111-bbbb-11111
[xxxxxxxxx-aaaa-1111-bbbb-11111]:
Belirteç: xxxxxxxx-aaaa-1111-bbbb-11111\xxxxxxxx-aaaa-1111-bbbb-11111

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Lisanslama

Read
Create
Modify
Delete
Assign
Revoke

Lisans düzeylerini görüntüleme, ekleme, değiştirme ve kaldırma özelliğini yönetir. Bu izinler, Proje Koleksiyonu Yöneticileri gruplarının üyelerine otomatik olarak verilir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

PermissionLevel

Read
Create
Update
Delete

İzin raporları oluşturma ve indirme özelliğini yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

OrganizationLevelData

Project-Scoped Users

Proje Kapsamlı Kullanıcı Grubunu destekleyen ad alanına sistem düzeyinde reddetme izni uygular. Grubun üyeleri kuruluş düzeyindeki veriler için sınırlı görünürlük elde eder. Daha fazla bilgi için bkz . Kuruluşunuzu yönetme, Projeler için kullanıcı görünürlüğünü sınırlama ve daha fazlası.
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

PipelineCachePrivileges

Read
Write

İşlem hattı önbellek girdilerini okuma ve yazma izinlerini yönetir. Bu izinler yalnızca iç Azure DevOps hizmet ilkelerine atanır.
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

ReleaseManagement

ViewTaskEditor
ViewCDWorkflowEditor
ExportReleaseDefinition
ViewLegacyUI
DeploymentSummaryAcrossProjects
ViewExternalArtifactCommitsAndWorkItems

Release Management kullanıcı arabirimi öğelerine erişimi yönetir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

AramaGüvenlik

ReadMembers ReadAnonymous

Bu güvenlik ad alanı, kullanıcının geçerli mi yoksa anonim mi yoksa genel mi olduğunu bilmek için kullanılır.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

ServiceHooks

ViewSubscriptions
EditSubscriptions
DeleteSubscriptions
PublishEvents

Hizmet kancası aboneliklerini görüntüleme, düzenleme ve silme ve hizmet kancası olaylarını yayımlama izinlerini yönetir. Bu izinler, Proje Koleksiyonu Yöneticileri grubunun üyelerine otomatik olarak atanır. DeleteSubscriptions artık kullanılmıyor; EditSubscriptions hizmet kancalarını silebilir.

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

UtilizationPermissions

QueryUsageSummary

Sorgu kullanımı izinlerini yönetir. Varsayılan olarak, Proje Koleksiyonu Yöneticileri gruplarının tüm üyelerine ve Paydaş erişimi verilen kullanıcılara herkes için kullanım özetini sorgulama izni verilir. Daha fazla bilgi için bkz . Hız sınırları.

Belirteç biçimi: /
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

WorkItemTrackingAdministration

ManagePermissions
DestroyAttachments

İş izleme ve ekleri yok etme izinlerini yönetir.
KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

WorkItemTrackingProvision

Administer
ManageLinkTypes

İş izleme işlemlerini değiştirme ve bağlantı türlerini yönetme izinlerini yönetir. WorkItemTrackingProvision ad alanı, çoğunlukla önceki şirket içi sürümler için kullanılan eski bir güvenlik ad alanıdır. İşlem ad alanı, Azure DevOps Server 2019 ve sonraki sürümlerdeki işlemleri yönetmek için bu ad alanının yerini alır.

Kök belirteç biçimi: /$
Belirli bir proje için belirteç biçimi: $/PROJECT_ID

KİMLİĞİ: xxxxxxxx-aaaa-1111-bbbb-11111

Kullanım dışı ve salt okunur ad alanları

Aşağıdaki ad alanları kullanım dışı veya salt okunur. Onları kullanma.

  • CrossProjectWidgetView
  • DataProvider
  • Favorites
  • Graph
  • Identity2
  • IdentityPicker
  • Job
  • Location
  • ProjectAnalysisLanguageMetrics
  • Proxy
  • Publish
  • Registry
  • Security
  • ServicingOrchestration
  • SettingEntries
  • Social
  • StrongBox
  • TeamLabSecurity
  • TestManagement
  • VersionControlItems2
  • ViewActivityPaneSecurity
  • WebPlatform
  • WorkItemsHub
  • WorkItemTracking
  • WorkItemTrackingConfiguration