Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019
Questo articolo fornisce un riferimento completo per ogni utente, gruppo e autorizzazione predefiniti.
Per un riferimento rapido alle assegnazioni predefinite, vedere Autorizzazioni e accesso predefiniti. Per una panoramica della gestione delle autorizzazioni e della sicurezza, vedere Informazioni su autorizzazioni, accesso e gruppi di sicurezza, Informazioni sui ruoli di sicurezza e Informazioni sui livelli di accesso.
Per altre informazioni sull'aggiunta di utenti a un gruppo o sull'impostazione di un'autorizzazione specifica che è possibile gestire tramite il portale Web, vedere le risorse seguenti:
Utenti e gruppi
Wiki
DevOps
Note
Le immagini visualizzate nel portale Web potrebbero differire dalle immagini contenute in questo articolo a causa degli aggiornamenti di sistema, ma la funzionalità di base rimane invariata, a meno che non venga menzionata in modo esplicito.
Service accounts
Il sistema genera alcuni account di servizio per supportare operazioni specifiche. La tabella seguente descrive questi account utente, che vengono aggiunti a livello di organizzazione o raccolta.
| User name | Description |
|---|---|
| Servizio pool di agenti | Dispone dell'autorizzazione per ascoltare la coda di messaggi per il pool specifico per ricevere il lavoro. Nella maggior parte dei casi, non è necessario gestire direttamente i membri del gruppo, ovvero il processo di registrazione dell'agente lo gestisce automaticamente. Quando si registra l'agente, viene aggiunto automaticamente l'account del servizio specificato (in genere servizio di rete). Responsabile dell'esecuzione di operazioni di lettura/scrittura di Azure Boards e dell'aggiornamento degli elementi di lavoro quando gli oggetti GitHub cambiano. |
| Azure Boards | Aggiunta quando Azure Boards è connesso a GitHub. Non è necessario gestire i membri di questo gruppo. Responsabile della gestione della creazione del collegamento tra GitHub e Azure Boards. |
| PipelinesSDK | Aggiunta in base alle esigenze per supportare i token di ambito del servizio criteri Pipelines. Questo account utente è simile alle identità del servizio di compilazione, ma supporta il blocco delle autorizzazioni separatamente. In pratica, ai token che coinvolgono questa identità vengono concesse autorizzazioni di sola lettura per le risorse della pipeline e la possibilità monouso di approvare le richieste dei criteri. Questo account deve essere trattato nello stesso modo in cui vengono trattate le identità del servizio di compilazione. |
| ProjectName Build Service | Dispone delle autorizzazioni per eseguire i servizi di compilazione per il progetto ed è un utente legacy usato per le compilazioni XAML. È automaticamente un membro del gruppo di servizi di sicurezza, che viene usato per archiviare gli utenti a cui sono concesse le autorizzazioni, ma nessun altro gruppo di sicurezza. |
| Servizio di compilazione raccolta progetti | Dispone delle autorizzazioni per eseguire i servizi di compilazione per la raccolta. È automaticamente un membro del gruppo di servizi di sicurezza, che viene usato per archiviare gli utenti a cui sono concesse le autorizzazioni, ma nessun altro gruppo di sicurezza. |
Groups
È possibile concedere le autorizzazioni direttamente a un singolo utente o a un gruppo. L'uso dei gruppi semplifica le operazioni e il sistema fornisce diversi gruppi predefiniti a tale scopo. Questi gruppi e le autorizzazioni predefinite assegnati vengono definiti a livelli diversi: server (solo distribuzione locale), raccolta di progetti, progetto e oggetti specifici. È anche possibile creare gruppi personalizzati e concedere loro il set specifico di autorizzazioni appropriate per determinati ruoli nell'organizzazione.
Note
I gruppi di sicurezza vengono gestiti a livello di organizzazione, anche se vengono usati per progetti specifici. A seconda delle autorizzazioni utente, alcuni gruppi potrebbero essere nascosti nel portale Web. Per visualizzare tutti i nomi di gruppo all'interno di un'organizzazione, è possibile usare lo strumento dell'interfaccia della riga di comando di Azure DevOps o le API REST. Per altre informazioni, vedere Aggiungere e gestire gruppi di sicurezza.
Note
I gruppi di sicurezza vengono gestiti a livello di raccolta, anche se vengono usati per progetti specifici. A seconda delle autorizzazioni utente, alcuni gruppi potrebbero essere nascosti nel portale Web. Per visualizzare tutti i nomi di gruppo all'interno di una raccolta, è possibile usare lo strumento dell'interfaccia della riga di comando di Azure DevOps o le API REST. Per altre informazioni, vedere Aggiungere e gestire gruppi di sicurezza.
Server-level groups
Quando si installa Azure DevOps Server, il sistema crea gruppi predefiniti con autorizzazioni a livello di distribuzione a livello di server. Non è possibile rimuovere o eliminare i gruppi predefiniti a livello di server.
Non è possibile rimuovere o eliminare i gruppi a livello di server predefiniti.
Il nome completo di ognuno di questi gruppi è [Team Foundation]\{nome gruppo}. Il nome completo del gruppo amministratori a livello di server è quindi [Team Foundation]\Team Foundation Administrators.
Group name
Permissions
Membership
Account del servizio Azure DevOps
Dispone delle autorizzazioni a livello di servizio per l'istanza del server.
Contiene l'account del servizio fornito durante l'installazione
Questo gruppo deve contenere solo account di servizio e non account utente o gruppi che contengono account utente. Per impostazione predefinita, questo gruppo è membro di Team Foundation Administrators.
To add an account to this group after you install Azure DevOps Server, use the TFSSecurity.exe utility in the Tools subfolder of your on-premises installation directory. Usare il comando seguente: TFSSecurity /g+ "[TEAM FOUNDATION]\Team Foundation Service Accounts" n:domain\username /server:http(s)://azuredevopsservername.
Account del servizio proxy di Azure DevOps
Dispone delle autorizzazioni a livello di servizio per il proxy del server Di Azure DevOps e di alcune autorizzazioni a livello di servizio.
Note
Questo account viene creato quando si installa il servizio proxy di Azure DevOps.
Questo gruppo deve contenere solo account di servizio e non account utente o gruppi che contengono account utente.
Utenti validi di Azure DevOps
Dispone dell'autorizzazione per visualizzare le informazioni a livello di istanza del server.
Contiene tutti gli utenti noti per esistere nell'istanza del server. Non è possibile modificare l'appartenenza a questo gruppo.
Amministratori di Team Foundation
Dispone delle autorizzazioni per eseguire tutte le operazioni a livello di server.
Local Administrators group (BUILTIN\Administrators) for any server that hosts Azure DevOPs/Team Foundation application services.
Server\Team Foundation Service Accounts group and the members of the \Project Server Integration Service Accounts group.
Limitare questo gruppo al minor numero di utenti che richiedono il controllo amministrativo completo sulle operazioni a livello di server.
Note
Se la distribuzione usa Reporting, prendere in considerazione l'aggiunta dei membri di questo gruppo ai gruppi content Manager in Reporting Services.
Collection-level groups
Quando si crea un'organizzazione o una raccolta di progetti in Azure DevOps, il sistema crea gruppi a livello di raccolta con autorizzazioni in tale raccolta. Non è possibile rimuovere o eliminare i gruppi predefiniti a livello di raccolta.
Note
Per abilitare la pagina di anteprima pagina Impostazioni autorizzazioni organizzazioni v2 , vedere Abilitare le funzionalità di anteprima. La pagina di anteprima fornisce una pagina di impostazioni di gruppo che la pagina corrente non lo fa.
La pagina anteprima non è disponibile per le versioni locali.
Il nome completo di ognuno di questi gruppi è [{nome raccolta}]\{nome gruppo}. Il nome completo del gruppo di amministratori per la raccolta predefinita è quindi [Raccolta predefinita]\Amministratori raccolta progetti.
Group name
Permissions
Membership
Amministratori raccolta di progetti
Dispone delle autorizzazioni per eseguire tutte le operazioni per la raccolta.
Contains the Local Administrators group (BUILTIN\Administrators) for the server where the application-tier services are installed. Contains the members of the CollectionName/Service Accounts group. Limitare questo gruppo al minor numero di utenti che richiedono il controllo amministrativo completo sulla raccolta.
Note
Se la distribuzione usa Reporting Services, prendere in considerazione l'aggiunta dei membri di questo gruppo ai gruppi Responsabili contenuto di Team Foundation in Reporting Services.
Amministratori compilazione raccolta progetti
Dispone delle autorizzazioni per amministrare le risorse di compilazione e le autorizzazioni per la raccolta.
Limitare questo gruppo al minor numero di utenti che richiedono il controllo amministrativo completo su server e servizi di compilazione per questa raccolta.
Account servizio di compilazione raccolta di progetti
Dispone delle autorizzazioni per eseguire i servizi di compilazione per la raccolta.
Limitare questo gruppo a gruppi e account di servizio che contengono solo account di servizio. Si tratta di un gruppo legacy usato per le compilazioni XAML. Usare l'utente project collection build service ({organizzazione}) per gestire le autorizzazioni per le compilazioni correnti.
Account servizio proxy raccolta di progetti
Dispone delle autorizzazioni per eseguire il servizio proxy per la raccolta.
Limitare questo gruppo a gruppi e account di servizio che contengono solo account di servizio.
Account servizio raccolta di progetti
Dispone delle autorizzazioni a livello di servizio per la raccolta e per Azure DevOps Server.
Contiene l'account del servizio fornito durante l'installazione. Questo gruppo deve contenere solo account di servizio e gruppi che contengono solo account di servizio. Per impostazione predefinita, questo gruppo è membro del gruppo Administrators.
Account servizio test raccolta di progetti
Dispone delle autorizzazioni del servizio di test per la raccolta.
Limitare questo gruppo a gruppi e account di servizio che contengono solo account di servizio.
Utenti validi raccolta di progetti
Dispone delle autorizzazioni per accedere ai progetti team e visualizzare le informazioni nella raccolta.
Contiene tutti gli utenti e i gruppi aggiunti in qualsiasi punto della raccolta. Non è possibile modificare l'appartenenza a questo gruppo.
Ha accesso limitato per visualizzare le impostazioni e i progetti dell'organizzazione diversi da quelli a cui vengono aggiunti in modo specifico. Inoltre, le opzioni di selezione utenti sono limitate a tali utenti e gruppi aggiunti in modo esplicito al progetto a cui l'utente è connesso.
Aggiungere utenti a questo gruppo quando si vuole limitare la visibilità e l'accesso ai progetti a cui si aggiungono in modo esplicito. non aggiungere utenti a questo gruppo se vengono aggiunti anche al gruppo Amministratori raccolta progetti.
Note
The Project-Scoped Users group becomes available with limited access when the organization-level preview feature, Limit user visibility and collaboration to specific projects is enabled. Per altre informazioni, tra cui callout importanti correlati alla sicurezza, vedere Gestire l'organizzazione, Limitare la visibilità degli utenti per i progetti e altro ancora.
Gruppo di servizi di sicurezza
Usato per archiviare gli utenti con autorizzazioni, ma non aggiunto ad altri gruppi di sicurezza.
Non assegnare utenti a questo gruppo. Se si stanno rimuovendo utenti da tutti i gruppi di sicurezza, verificare se è necessario rimuoverli da questo gruppo.
Project-level groups
Per ogni progetto creato, il sistema crea i gruppi a livello di progetto seguenti. These groups are assigned project-level permissions.
Note
Per abilitare la pagina di anteprima per la pagina Impostazioni autorizzazioni progetto, vedere Abilitare le funzionalità di anteprima.
La pagina anteprima non è disponibile per le versioni locali.
Tip
Il nome completo di ognuno di questi gruppi è [{nome progetto}]\{nome gruppo}. For example, the contributors group for a project called "My Project" is [My Project]\Contributors.
Group name
Permissions
Membership
Build Administrators
Dispone delle autorizzazioni per amministrare le risorse di compilazione e le autorizzazioni di compilazione per il progetto. I membri possono gestire gli ambienti di test, creare esecuzioni di test e gestire le compilazioni.
Assegnare agli utenti che definiscono e gestiscono le pipeline di compilazione.
Contributors
Dispone delle autorizzazioni per contribuire completamente alla codebase del progetto e al rilevamento degli elementi di lavoro. Le autorizzazioni principali che non hanno sono autorizzazioni che gestiscono o amministrano le risorse.
Per impostazione predefinita, il gruppo di team creato quando si crea un progetto viene aggiunto a questo gruppo e qualsiasi utente aggiunto al team o al progetto è membro di questo gruppo. Inoltre, tutti i team creati per un progetto vengono aggiunti a questo gruppo.
Readers
Dispone delle autorizzazioni per visualizzare le informazioni sul progetto, la codebase, gli elementi di lavoro e altri artefatti, ma non modificarli.
Assegnare ai membri dell'organizzazione o alla raccolta che si desidera fornire autorizzazioni di sola visualizzazione a un progetto. Questi utenti possono visualizzare backlog, bacheche, dashboard e altro ancora, ma non aggiungere o modificare elementi.
Dispone delle autorizzazioni per amministrare tutti gli aspetti dei team e del progetto, anche se non possono creare progetti team.
Assegnare agli utenti che richiedono le funzioni seguenti: gestire le autorizzazioni utente, creare o modificare i team, modificare le impostazioni del team, definire percorsi di area o iterazione o personalizzare il rilevamento degli elementi di lavoro. I membri del gruppo Project Administrators dispongono delle autorizzazioni per eseguire le attività seguenti:
- Aggiungere e rimuovere utenti dall'appartenenza al progetto
- Aggiungere e rimuovere gruppi di sicurezza personalizzati da un progetto
- Aggiungere e amministrare tutti i team di progetto e le funzionalità correlate al team
- Modificare gli ACL di autorizzazione a livello di progetto
- Modificare le sottoscrizioni di eventi (posta elettronica o SOAP) per i team o gli eventi a livello di progetto.
Utenti validi progetto
Dispone delle autorizzazioni per accedere e visualizzare le informazioni sul progetto.
Contiene tutti gli utenti e i gruppi aggiunti in qualsiasi punto del progetto. Non è possibile modificare l'appartenenza a questo gruppo.
Note
È consigliabile non modificare le autorizzazioni predefinite per questo gruppo.
Release Administrators
Dispone delle autorizzazioni per gestire tutte le operazioni di rilascio.
Assegnare agli utenti che definiscono e gestiscono le pipeline di versione.
Note
Il gruppo Release Administrator viene creato contemporaneamente alla prima pipeline di versione. Non viene creato per impostazione predefinita quando viene creato il progetto.
Dispone delle autorizzazioni per contribuire completamente alla codebase del progetto e al rilevamento degli elementi di lavoro.
Il gruppo Team predefinito viene creato quando si crea un progetto e per impostazione predefinita viene aggiunto al gruppo Collaboratori per il progetto. Tutti i nuovi team creati hanno anche un gruppo creato per loro e aggiunto al gruppo Collaboratori.
Aggiungere membri del team a questo gruppo. Per concedere l'accesso per configurare le impostazioni del team, aggiungere un membro del team al ruolo di amministratore del team.
Ruolo di amministratore del team
Per ogni team aggiunto, è possibile assegnare uno o più membri del team come amministratori. Il ruolo di amministratore del team non è un gruppo con un set di autorizzazioni definite. Al contrario, il ruolo di amministratore del team è responsabile della gestione degli asset del team. Per altre informazioni, vedere Gestire i team e configurare gli strumenti del team. Per aggiungere un utente come amministratore del team, vedere Aggiungere un amministratore del team.
Note
Gli amministratori del progetto possono gestire tutte le aree amministrative del team per tutti i team.
Permissions
Il sistema gestisce le autorizzazioni a diversi livelli, ovvero organizzazione, progetto, oggetto e autorizzazioni basate sui ruoli, e per impostazione predefinita le assegna a uno o più gruppi predefiniti. È possibile gestire la maggior parte delle autorizzazioni tramite il portale Web. Gestire altre autorizzazioni con lo strumento da riga di comando.Manage more permissions with the command line tool (CLI).
Il sistema gestisce le autorizzazioni a livelli diversi, ovvero server, raccolta, progetto, oggetto e autorizzazioni basate sui ruoli, e per impostazione predefinita le assegna a uno o più gruppi predefiniti. È possibile gestire la maggior parte delle autorizzazioni tramite il portale Web. Gestire altre autorizzazioni con lo strumento da riga di comando.Manage more permissions with the command line tool (CLI).
Nelle sezioni seguenti viene fornita l'autorizzazione dello spazio dei nomi dopo l'etichetta di autorizzazione visualizzata nell'interfaccia utente. For example:
Creare una definizione di tag
Tagging, Create
Per altre informazioni, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.
Server-level permissions
Gestire le autorizzazioni a livello di server tramite la Console di amministrazione di Team Foundation o lo strumento da riga di comando TFSSecurity. Agli amministratori di Team Foundation vengono concesse tutte le autorizzazioni a livello di server. Altri gruppi a livello di server dispongono di assegnazioni di autorizzazioni selezionate.
Permission (UI)
Namespace permission
Description
Valido solo per Azure DevOps Server 2020 e versioni precedenti configurate per supportare i report di SQL Server. Può elaborare o modificare le impostazioni per il data warehouse o il cubo SQL Server Analysis usando il servizio Web controllo warehouse.
Potrebbero essere necessarie altre autorizzazioni per elaborare o ricompilare completamente il data warehouse e il cubo di analisi.
Può creare e amministrare le raccolte.
Può eliminare una raccolta dalla distribuzione.
Note
L'eliminazione di una raccolta non comporta l'eliminazione del database di raccolta da SQL Server.
Può modificare le autorizzazioni a livello di server per utenti e gruppi e aggiungere o rimuovere gruppi a livello di server dalla raccolta.
Note
La modifica delle informazioni a livello di istanza include la possibilità di eseguire queste attività definite in tutte le raccolte definite per l'istanza:
- Modify Extensions and Analytics settings
- Consente in modo implicito all'utente di modificare le autorizzazioni di controllo della versione e le impostazioni del repository
- Edit event subscriptions or alerts for global notifications, project-level, and team-level events
- Modificare tutte le impostazioni a livello di progetto e team per i progetti definiti nelle raccolte
- Creare e modificare elenchi globali
Per concedere tutte queste autorizzazioni al prompt dei comandi, è necessario usare il tf.exe Permission comando per concedere le AdminConfiguration autorizzazioni e AdminConnections oltre a GENERIC_WRITE.
Può eseguire operazioni per conto di altri utenti o servizi. Assegnare solo agli account del servizio.
Può attivare eventi di avviso a livello di server. Assegnare solo agli account di servizio e ai membri del gruppo Azure DevOps o Team Foundation Administrators.
Può usare tutte le funzionalità del portale Web locale. Questa autorizzazione è deprecata con Azure DevOps Server 2019 e versioni successive.
Note
Se l'autorizzazione Usa funzionalità complete di Accesso Web è impostata su Nega, l'utente visualizza solo le funzionalità consentite per il gruppo Stakeholder (vedere Modificare i livelli di accesso). Nega esegue l'override di qualsiasi consenti implicito, anche per gli account membri di gruppi amministrativi, ad esempio Gli amministratori di Team Foundation.
Può visualizzare l'appartenenza al gruppo a livello di server e le autorizzazioni di tali utenti.
Note
L'autorizzazione Visualizza informazioni a livello di istanza viene assegnata anche al gruppo Utenti validi di Azure DevOps.
Organization-level permissions
Gestire le autorizzazioni a livello di organizzazione tramite il contesto di amministrazione del portale Web o con i comandi az devops security group. Agli amministratori della raccolta di progetti vengono concesse tutte le autorizzazioni a livello di organizzazione. Altri gruppi a livello di organizzazione dispongono di assegnazioni di autorizzazioni selezionate.
Note
Per abilitare la pagina di anteprima per la pagina Impostazioni autorizzazioni progetto, vedere Abilitare le funzionalità di anteprima.
Important
L'autorizzazione per aggiungere o rimuovere gruppi di sicurezza a livello di organizzazione o raccolta, aggiungere e gestire l'appartenenza a gruppi o gruppi a livello di raccolta e modificare elenchi di controllo di accesso a livello di progetto e raccolta viene assegnato a tutti i membri del gruppo Amministratori raccolta progetti. Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.
Non è possibile modificare le autorizzazioni per il gruppo Amministratori raccolta progetti. Inoltre, anche se è possibile modificare le assegnazioni di autorizzazioni per un membro di questo gruppo, le autorizzazioni valide saranno comunque conformi a quelle assegnate al gruppo di amministratori per cui sono membri.
Permission (UI)
Namespace permission
Description
General
Può modificare le impostazioni di traccia per raccogliere informazioni di diagnostica più dettagliate sui servizi Web Azure DevOps.
Può aggiungere un progetto a un'organizzazione o a una raccolta di progetti. Potrebbero essere necessarie altre autorizzazioni a seconda della distribuzione locale.
Può eliminare un progetto. L'eliminazione di un progetto elimina tutti i dati associati al progetto. Non è possibile annullare l'eliminazione di un progetto, ad eccezione del ripristino della raccolta a un punto prima dell'eliminazione del progetto.
Può impostare le impostazioni a livello di organizzazione e di progetto.
Note
La modifica delle informazioni a livello di istanza include la possibilità di eseguire queste attività per tutti i progetti definiti in un'organizzazione o in una raccolta:
- Modify organization Overview settings and Extensions
- Modificare le autorizzazioni di controllo della versione e le impostazioni del repository
- Edit event subscriptions or alerts for global notifications, project-level, and team-level events
- Modificare tutte le impostazioni a livello di progetto e team per i progetti definiti nelle raccolte
Può visualizzare le autorizzazioni a livello di organizzazione per un utente o un gruppo.
Service Account
Può eseguire operazioni per conto di altri utenti o servizi. Assegnare questa autorizzazione solo agli account del servizio.
Può attivare gli eventi di avviso del progetto all'interno della raccolta. Assegnare solo agli account del servizio.
Può chiamare le interfacce di programmazione dell'applicazione di sincronizzazione. Assegnare solo agli account del servizio.
Boards
Can modify permissions for customizing work tracking by creating and customizing inherited processes.
Può creare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards. Per impostazione predefinita, agli utenti viene concesso l'accesso Basic e Stakeholder.
Può eliminare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards.
Può modificare un processo ereditato personalizzato.
Repos
Si applica solo al controllo della versione di Team Foundation (TFVC)
Può eliminare gli scaffali creati da altri utenti.
Può creare un'area di lavoro del controllo della versione. L'autorizzazione Crea un'area di lavoro viene concessa a tutti gli utenti come parte dell'appartenenza all'interno del gruppo Utenti validi della raccolta di progetti.
Pipelines
Amministrare le autorizzazioni per le risorse di compilazione
BuildAdministration, AdministerBuildResourcePermissions
Può modificare le autorizzazioni per le risorse di compilazione a livello di organizzazione o raccolta di progetti, tra cui:
- Impostare i criteri di conservazione
- Impostare i limiti delle risorse per le pipeline
- Aggiungere e gestire pool di agenti
- Aggiungere e gestire i pool di distribuzione
Note
Oltre a questa autorizzazione, Azure DevOps fornisce autorizzazioni basate sui ruoli che regolano la sicurezza dei pool di agenti. Other, object-level settings will override those set at the organization or project-level.
Può gestire computer di compilazione, agenti di compilazione e controller di compilazione.
Può gestire le impostazioni della pipeline impostate tramite impostazioni dell'organizzazione, pipeline, impostazioni.
Può riservare e allocare agenti di compilazione. Assegnare solo agli account di servizio per i servizi di compilazione.
Può visualizzare, ma non usare, controller di compilazione e agenti di compilazione configurati per un'organizzazione o una raccolta di progetti.
Test Plans
Può registrare e annullare la registrazione dei controller di test.
Può eliminare un flusso di controllo. I flussi di controllo sono in anteprima. Per altre informazioni, vedere Creare lo streaming di controllo.
Può aggiungere un flusso di controllo. I flussi di controllo sono in anteprima. Per altre informazioni, vedere Creare lo streaming di controllo.
Può visualizzare ed esportare i log di controllo. I log di controllo sono in anteprima. Per altre informazioni, vedere Accedere, esportare e filtrare i log di controllo.
Policies
Può abilitare e disabilitare i criteri di connessione delle applicazioni come descritto in Modificare i criteri di connessione delle applicazioni.
Collection-level permissions
Gestire le autorizzazioni a livello di raccolta tramite il contesto di amministrazione del portale Web o lo strumento da riga di comando TFSSecurity. Agli amministratori della raccolta di progetti vengono concesse tutte le autorizzazioni a livello di raccolta. Altri gruppi a livello di raccolta dispongono di assegnazioni di autorizzazioni selezionate.
Le autorizzazioni disponibili per Azure DevOps Server 2019 e versioni successive variano a seconda del modello di processo configurato per la raccolta. Per una panoramica dei modelli di processo, vedere Personalizzare il rilevamento del lavoro.
Modello di processo ereditato
Modello di processo XML locale
Important
L'autorizzazione per aggiungere o rimuovere gruppi di sicurezza a livello di organizzazione o raccolta, aggiungere e gestire l'appartenenza a gruppi o gruppi a livello di raccolta e modificare elenchi di controllo di accesso a livello di progetto e raccolta viene assegnato a tutti i membri del gruppo Amministratori raccolta progetti. Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.
Non è possibile modificare le autorizzazioni per il gruppo Amministratori raccolta progetti. Inoltre, anche se è possibile modificare le assegnazioni di autorizzazioni per un membro di questo gruppo, le autorizzazioni valide saranno comunque conformi a quelle assegnate al gruppo di amministratori per cui sono membri.
Permission (UI)
Namespace permission
Description
Amministrare le autorizzazioni per le risorse di compilazione
BuildAdministration, AdministerBuildResourcePermissions
Può modificare le autorizzazioni per le pipeline di compilazione a livello di raccolta del progetto. Sono inclusi gli artefatti seguenti:
Can modify permissions for customizing work tracking by creating and customizing inherited processes. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato. See also:
Può eliminare gli scaffali creati da altri utenti. Si applica quando tfvc viene usato come controllo del codice sorgente.
Può creare ed eliminare aree di lavoro per altri utenti. Si applica quando tfvc viene usato come controllo del codice sorgente.
Può modificare le impostazioni di traccia per raccogliere informazioni di diagnostica più dettagliate sui servizi Web Azure DevOps.
Può creare un'area di lavoro del controllo della versione. Si applica quando tfvc viene usato come controllo del codice sorgente. Questa autorizzazione viene concessa a tutti gli utenti come parte dell'appartenenza all'interno del gruppo Utenti validi della raccolta di progetti.
Può aggiungere progetti a una raccolta di progetti. È possibile che siano necessarie autorizzazioni aggiuntive a seconda della distribuzione locale.
Può creare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato.
Elimina campo dall'organizzazione
(in precedenza Elimina campo dall'account)
Collection, DELETE_FIELD
Può eliminare un campo personalizzato aggiunto a un processo. Per le distribuzioni locali, richiede che la raccolta sia configurata per supportare il modello di processo ereditato.
Può eliminare un processo ereditato usato per personalizzare il rilevamento del lavoro e Azure Boards. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato.
Note
L'eliminazione di un progetto elimina tutti i dati associati al progetto. Non è possibile annullare l'eliminazione di un progetto, ad eccezione del ripristino della raccolta a un punto prima dell'eliminazione del progetto.
Può impostare le impostazioni a livello di organizzazione e di progetto.
Note
La modifica delle informazioni a livello di raccolta include la possibilità di eseguire queste attività per tutti i progetti definiti in un'organizzazione o in una raccolta:
- Modify Extensions, and Analytics settings
- Modificare le autorizzazioni di controllo della versione e le impostazioni del repository
- Edit event subscriptions or alerts for global notifications, project-level, and team-level events
- Modificare tutte le impostazioni a livello di progetto e team per i progetti definiti nelle raccolte.
Può modificare un processo ereditato personalizzato. Richiede che la raccolta sia configurata per supportare il modello di processo ereditato.
Può eseguire operazioni per conto di altri utenti o servizi. Assign this permission only to on-premises service accounts.
Può gestire computer di compilazione, agenti di compilazione e controller di compilazione.
Può abilitare e disabilitare i criteri di connessione delle applicazioni come descritto in Modificare i criteri di connessione delle applicazioni.
Note
Questa autorizzazione è valida solo per Azure DevOps Services. Anche se può apparire per Azure DevOps Server in locale, non si applica ai server locali.
Può scaricare, creare, modificare e caricare modelli di processo. Un modello di processo definisce i blocchi predefiniti del sistema di rilevamento degli elementi di lavoro e altri sottosistemi a cui si accede tramite Azure Boards. Richiede che la raccolta sia configurata per supportare il modello di processo XML locale.
Può registrare e annullare la registrazione dei controller di test.
Può attivare gli eventi di avviso del progetto all'interno della raccolta. Assegnare solo agli account del servizio. Gli utenti con questa autorizzazione non possono rimuovere gruppi predefiniti a livello di raccolta, ad esempio Amministratori raccolta progetti.
Può riservare e allocare agenti di compilazione. Assegnare solo agli account di servizio per i servizi di compilazione.
Può visualizzare, ma non usare, controller di compilazione e agenti di compilazione configurati per un'organizzazione o una raccolta di progetti.
Visualizzare le informazioni a livello di istanza
o Visualizzare le informazioni a livello di raccolta
Collection, GENERIC_READ
Può visualizzare le autorizzazioni a livello di raccolta per un utente o un gruppo.
Può chiamare le interfacce di programmazione dell'applicazione di sincronizzazione. Assegnare solo agli account del servizio.
Project-level permissions
Important
Per accedere alle risorse a livello di progetto, è necessario impostare l'autorizzazione Visualizza informazioni a livello di progetto su Consenti. Questa autorizzazione consente di accedere a tutte le altre autorizzazioni a livello di progetto.
Gestire le autorizzazioni a livello di progetto tramite il contesto di amministrazione del portale Web o con i comandi az devops security group. Agli amministratori del progetto vengono concesse tutte le autorizzazioni a livello di progetto. Altri gruppi a livello di progetto dispongono di assegnazioni di autorizzazioni selezionate.
Note
Per abilitare la pagina di anteprima della pagina Impostazioni autorizzazioni progetto, vedere Abilitare le funzionalità di anteprima.
Gestire le autorizzazioni a livello di progetto tramite il contesto di amministrazione del portale Web. Agli amministratori del progetto vengono concesse tutte le autorizzazioni a livello di progetto. Altri gruppi a livello di progetto dispongono di assegnazioni di autorizzazioni selezionate.
La pagina anteprima non è disponibile per le versioni locali.
Important
The permission to add or remove project-level security groups and add and manage project-level group membership is assigned to all members of the Project Administrators group. Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.
You can't change the permissions for the Project Administrators group. Inoltre, anche se è possibile modificare le assegnazioni di autorizzazioni per un membro di questo gruppo, le autorizzazioni valide saranno comunque conformi a quelle assegnate al gruppo di amministratori per cui sono membri.
Permission (UI)
Namespace permission
Description
General
Può eliminare un progetto da un'organizzazione o da una raccolta di progetti.
Note
Even if you set this permission to Deny, users granted permission at the project level can likely delete the project for which they have permission. Per assicurarsi che un utente non possa eliminare un progetto, assicurarsi di impostare anche il progetto Team di eliminazione a livello di progetto su Nega .
Può eseguire le attività seguenti per il progetto selezionato definito in un'organizzazione o in una raccolta.
Note
The permission to add or remove project-level security groups and add and manage project-level group membership is assigned to all members of the Project Administrators group. Non è controllato da autorizzazioni rilevate all'interno dell'interfaccia utente.
Eliminare le notifiche per gli aggiornamenti degli elementi di lavoro
Project, SUPPRESS_NOTIFICATIONS
Gli utenti con questa autorizzazione possono aggiornare gli elementi di lavoro senza generare notifiche. Questa funzionalità è utile quando si eseguono migrazioni di aggiornamenti in blocco tramite strumenti e si vuole ignorare la generazione di notifiche.
Valutare la possibilità di concedere questa autorizzazione agli account del servizio o agli utenti con l'autorizzazione Ignora regole per gli aggiornamenti degli elementi di lavoro. È possibile impostare il parametro su suppressNotifications quando si esegue l'aggiornamento true tramite elementi di lavoro - aggiornare l'API REST.
Può modificare la visibilità del progetto da privata a pubblica o pubblica a privata. Si applica solo ad Azure DevOps Services.
Può visualizzare le informazioni a livello di progetto, tra cui l'appartenenza al gruppo di informazioni di sicurezza e le autorizzazioni. If you set this permission to Deny for a user, they can't view the project or sign in to the project.
Boards
Gli utenti con questa autorizzazione possono salvare un elemento di lavoro che ignora le regole, ad esempio copia, vincolo o regole condizionali, definite per il tipo di elemento di lavoro. Gli scenari utili sono le migrazioni in cui non si vogliono aggiornare i campi in base alla data o all'importazione o quando si vuole ignorare la convalida di un elemento di lavoro.
Le regole possono essere ignorate in uno dei due modi. Il primo consiste nell'usare l'API REST Elementi di lavoro - aggiornare l'API REST e impostare il bypassRules parametro su true. Il secondo avviee tramite il modello a oggetti client, inizializzando in modalità regole di bypass (inizializzare WorkItemStore con WorkItemStoreFlags.BypassRules).
In combinazione con l'autorizzazione "Modifica informazioni a livello di progetto", consente agli utenti di modificare il processo di ereditarietà per un progetto. Per altre informazioni, vedere Creare e gestire processi ereditati.
Può aggiungere tag a un elemento di lavoro. Per impostazione predefinita, tutti i membri del gruppo Collaboratori dispongono di questa autorizzazione. È anche possibile impostare più autorizzazioni di assegnazione di tag tramite strumenti di gestione della sicurezza. Per altre informazioni, vedere Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza, assegnazione di tag.
Note
Tutti gli utenti hanno concesso l'accesso stakeholder per un progetto privato possono aggiungere solo tag esistenti. Anche se l'autorizzazione Crea definizione tag è impostata su Consenti, gli stakeholder non possono aggiungere tag. Questa è parte delle impostazioni di accesso degli stakeholder. Agli utenti di Azure DevOps Services è concesso l'accesso stakeholder per un progetto pubblico per impostazione predefinita. Per altre informazioni, vedere Informazioni di riferimento rapido sull'accesso di tipo Stakeholder.
Anche se l'autorizzazione Crea definizione tag viene visualizzata nelle impostazioni di sicurezza a livello di progetto, le autorizzazioni di assegnazione di tag sono effettivamente autorizzazioni a livello di raccolta con ambito a livello di progetto quando vengono visualizzate nell'interfaccia utente.
To scope tagging permissions to a single project when using the TFSSecurity command, you must provide the GUID for the project as part of the command syntax.
In caso contrario, la modifica si applica all'intera raccolta.
Tenere presente questo aspetto quando si modificano o si impostano queste autorizzazioni.
Eliminare e ripristinare elementi di lavoro o Eliminare elementi di lavoro in questo progetto.
Project, WORK_ITEM_DELETE
Può contrassegnare gli elementi di lavoro nel progetto come eliminati. Agli utenti di Azure DevOps Services è concesso l'accesso stakeholder per un progetto pubblico per impostazione predefinita.
Può spostare un elemento di lavoro da un progetto a un altro progetto all'interno della raccolta.
Eliminare definitivamente gli elementi di lavoro in questo progetto
Project, WORK_ITEM_PERMANENTLY_DELETE
Può eliminare definitivamente gli elementi di lavoro da questo progetto.
Analytics
Oltre alle AnalyticsView autorizzazioni dello spazio dei nomi elencate in questa sezione, è possibile impostare le autorizzazioni a livello di oggetto per ogni visualizzazione.
Can delete Analytics views under the Shared area.
Può creare e modificare visualizzazioni di Analisi condivise.
Can access data available from the Analytics service. Per altre informazioni, vedere Autorizzazioni necessarie per accedere al servizio Analisi.
Test Plans
Può aggiungere e rimuovere i risultati dei test e aggiungere o modificare le esecuzioni di test. Per altre informazioni, vedere Controllare per quanto tempo mantenere i risultati dei test ed Eseguire test manuali.
Può eliminare un'esecuzione di test.
Can create and delete test configurations.
Can create and delete test environments.
Può visualizzare i piani di test nel percorso dell'area del progetto.
Visualizzazioni di Analisi (a livello di oggetto)
Con le visualizzazioni di Analisi condivise è possibile concedere autorizzazioni specifiche per visualizzare, modificare o eliminare una visualizzazione creata. Manage the security of Analytics views from the web portal.
Per ogni visualizzazione di Analisi condivisa vengono definite le autorizzazioni seguenti. A tutti gli utenti validi vengono concesse automaticamente tutte le autorizzazioni per gestire le visualizzazioni di Analisi. Valutare la possibilità di concedere autorizzazioni di selezione a visualizzazioni condivise specifiche ad altri membri del team o a un gruppo di sicurezza creato. Per altre informazioni, vedere Informazioni sulle visualizzazioni di Analisi e informazioni di riferimento su spazio dei nomi e autorizzazioni per la sicurezza.
Permission (UI)
Namespace permission
Description
Può eliminare la visualizzazione analisi condivisa.
Può modificare i parametri della visualizzazione analisi condivisa.
Può visualizzare e usare la visualizzazione di Analisi condivisa da Power BI Desktop.
Dashboards (object-level)
Le autorizzazioni per i dashboard del team e del progetto possono essere impostate singolarmente. Le autorizzazioni predefinite per un team possono essere impostate per un progetto. Gestire la sicurezza dei dashboard dal portale Web. Altre autorizzazioni dello spazio dei nomi sono supportate come definito in Informazioni di riferimento su spazio dei nomi e autorizzazioni di sicurezza.
Autorizzazioni del dashboard del progetto
Per impostazione predefinita, l'autore del dashboard del progetto è il proprietario del dashboard e ha concesso tutte le autorizzazioni per tale dashboard.
PermissionNamespace permission |
Description |
|---|---|
Delete dashboardDashboardsPrivileges, Delete |
Può eliminare il dashboard del progetto. |
Edit dashboardDashboardsPrivileges, Edit |
Può aggiungere widget a e modificare il layout del dashboard del progetto. |
Manage PermissionsDashboardsPrivileges, ManagePermissions |
Può gestire le autorizzazioni per il dashboard del progetto. |
Le autorizzazioni per i dashboard del team possono essere impostate singolarmente. Le autorizzazioni predefinite per un team possono essere impostate per un progetto. Gestire la sicurezza dei dashboard dal portale Web.
Autorizzazioni predefinite per il dashboard del team
Per impostazione predefinita, agli amministratori del team vengono concesse tutte le autorizzazioni per i dashboard del team, inclusa la gestione delle autorizzazioni predefinite e dei singoli dashboard.
PermissionNamespace permission |
Description |
|---|---|
Create dashboardsDashboardsPrivileges, Create |
Può creare un dashboard del team. |
Delete dashboardsDashboardsPrivileges, Delete |
Può eliminare un dashboard del team. |
Edit dashboardsDashboardsPrivileges, Edit |
Può aggiungere widget a e modificare il layout di un dashboard del team. |
Autorizzazioni per il dashboard del singolo team
Gli amministratori del team possono modificare le autorizzazioni per i singoli dashboard del team modificando le due autorizzazioni seguenti.
PermissionNamespace permission |
Description |
|---|---|
Delete dashboardDashboardsPrivileges, Delete |
Può eliminare il dashboard del team specifico. |
Edit dashboardDashboardsPrivileges, Edit |
Può aggiungere widget a e modificare il layout del dashboard del team specifico. |
Pipeline o compilazione (a livello di oggetto)
Gestire le autorizzazioni della pipeline per ogni pipeline definita nel portale Web o usando lo strumento da riga di comando TFSSecurity. Agli amministratori del progetto vengono concesse tutte le autorizzazioni per la pipeline e alla maggior parte di queste autorizzazioni vengono assegnate le autorizzazioni di compilazione. È possibile impostare le autorizzazioni della pipeline per tutte le pipeline definite per un progetto o per ogni definizione di pipeline.
Le autorizzazioni in Compilazione seguono un modello gerarchico. Le impostazioni predefinite per tutte le autorizzazioni possono essere impostate a livello di progetto e possono essere sottoposte a override in una singola definizione di compilazione.
To set the permissions at project level for all build definitions in a project, choose Security from the action bar on the main page of Builds hub.
To set or override the permissions for a specific build definition, choose Security from the context menu of the build definition.
È possibile definire le autorizzazioni seguenti in Build a entrambi i livelli.
Permission (UI)
Namespace permission
Description
Può amministrare le autorizzazioni di compilazione per altri utenti.
Può creare linee di pipeline e modificare tali pipeline.
Può creare pipeline.
Può eliminare le definizioni di compilazione per questo progetto.
Può eliminare una compilazione completata. Builds that are deleted are retained in the Deleted tab for some time before they're destroyed.
Può eliminare definitivamente una compilazione completata.
Modificare la pipeline di compilazione
Modificare la definizione di compilazione
Build, EditBuildDefinition
Modifica pipeline di compilazione: consente di salvare le modifiche apportate a una pipeline di compilazione, incluse variabili di configurazione, trigger, repository e criteri di conservazione. Disponibile con Azure DevOps Services, Azure DevOps Server 2019 1.1 e versioni successive. Sostituisce Modifica definizione di compilazione. Impossibile creare nuove pipeline. Modifica definizione di compilazione: può creare e modificare le definizioni di compilazione per questo progetto.
Note
To control permissions for specific build definitions, turn off inheritance.
When inheritance is turned on, the build definition respects the build permissions defined at the project level or a group or user. Ad esempio, un gruppo di gestori di compilazioni personalizzato dispone di autorizzazioni impostate per accodare manualmente una compilazione per il progetto Fabrikam. Qualsiasi definizione di compilazione con ereditarietà per il progetto Fabrikam consente a un membro del gruppo Build Manager di accodare manualmente una compilazione.
When inheritance is turned off, you can set permissions so only Project Administrators can manually queue a build for a specific build definition.
Può aggiungere informazioni sulla qualità della compilazione tramite Team Explorer o il portale Web.
Può aggiungere o rimuovere le qualità di compilazione. Si applica solo alle compilazioni XAML.
Può annullare, riassegnare priorità o posticipare le compilazioni in coda. Si applica solo alle compilazioni XAML.
Eseguire l'override della convalida dell'archiviazione per compilazione
Build, OverrideBuildCheckInValidation
Può eseguire il commit di un insieme di modifiche tfvc che influisce su una definizione di compilazione controllata senza attivare il sistema per shelve e compilare prima le modifiche.
Può inserire una compilazione nella coda tramite l'interfaccia per Team Foundation Build o al prompt dei comandi. Possono anche arrestare le compilazioni in coda.
Modificare la configurazione della compilazione della coda Build, EditPipelineQueueConfigurationPermission
È possibile specificare valori per i parametri free-text (ad esempio, di tipo object o array) e le variabili della pipeline durante l'accodamento di nuove compilazioni.
Può attivare o disattivare il flag di conservazione in una compilazione per un periodo illimitato. Questa funzionalità contrassegna una compilazione in modo che il sistema non lo elimini automaticamente in base ai criteri di conservazione applicabili.
Può arrestare qualsiasi compilazione in corso, incluse le compilazioni accodate e avviate da un altro utente.
Può aggiungere nodi di informazioni di compilazione al sistema e può anche aggiungere informazioni sulla qualità di una compilazione. Assegnare solo agli account del servizio.
Può visualizzare le definizioni di compilazione create per il progetto.
Può visualizzare le compilazioni in coda e completate per questo progetto.
Note
- Turn Inheritance Off for a build definition when you want to control permissions for specific build definitions.
- Quando l'ereditarietà è Attivata, la definizione di compilazione rispetta le autorizzazioni di compilazione definite a livello di progetto o di un gruppo o di un utente. Ad esempio, un gruppo di gestori di compilazioni personalizzato dispone di autorizzazioni impostate per accodare manualmente una compilazione per il progetto Fabrikam. Qualsiasi definizione di compilazione con ereditarietà Su per il progetto Fabrikam consente a un membro del gruppo Gestioni compilazioni di accodare manualmente una compilazione.
- However, by turning Inheritance Off for project Fabrikam, you can set permissions that only allow Project Administrators to manually queue a build for a specific build definition. In questo modo sarà quindi possibile impostare le autorizzazioni per la definizione di compilazione in modo specifico.
- Assegnare la convalida dell'archiviazione Override tramite l'autorizzazione di compilazione solo agli account del servizio per i servizi di compilazione e per compilare amministratori responsabili della qualità del codice. Si applica alle compilazioni di archiviazione controllate dal controllo della versione di Team Foundation. Questo non si applica alle compilazioni pull. Per altre informazioni, vedere Archiviare una cartella controllata da un processo di compilazione di archiviazione controllato.
Repository Git (a livello di oggetto)
Manage the security of each Git repository or branch from the web portal, the TF command line tool, or using the TFSSecurity command-line tool. Agli amministratori del progetto vengono concesse la maggior parte di queste autorizzazioni ( che vengono visualizzate solo per un progetto configurato con un repository Git). È possibile gestire queste autorizzazioni per tutti i repository Git o per un repository Git specifico.
Note
Set permissions across all Git repositories by making changes to the top-level Git repositories entry. Individual repositories inherit permissions from the top-level Git repositories entry. I rami ereditano le autorizzazioni dalle assegnazioni effettuate a livello di repository. Per impostazione predefinita, i gruppi reader a livello di progetto dispongono solo delle autorizzazioni di lettura.
Per gestire le autorizzazioni del repository Git e dei rami, vedere Impostare le autorizzazioni per i rami.
Permission (UI)
Namespace permission
Description
Ignorare i criteri durante il completamento delle richieste pull
GitRepositories, PullRequestBypassPolicy
È possibile acconsentire esplicitamente all'override dei criteri dei rami selezionando Override dei criteri dei rami e abilitando l'unione durante il completamento di una richiesta pull.
Note
Ignorare i criteri quando si completano le richieste pull e ignorare i criteri quando si esegue il push di sostituzioni esentate dall'imposizione dei criteri.
Può eseguire il push in un ramo con criteri di ramo abilitati. Quando un utente con questa autorizzazione esegue un push che esegue l'override dei criteri di ramo, il push ignora automaticamente i criteri di ramo senza alcun passaggio o avviso di consenso esplicito.
Note
Ignorare i criteri quando si completano le richieste pull e ignorare i criteri quando si esegue il push di sostituzioni esentate dall'imposizione dei criteri.
A livello di repository, può eseguire il push delle modifiche ai rami esistenti nel repository e può completare le richieste pull. Users who lack this permission but who have the Create branch permission might push changes to new branches. Doesn't override restrictions in place from branch policies.
A livello di ramo, può eseguire il push delle modifiche nel ramo e bloccare il ramo. Il blocco di un ramo blocca eventuali nuovi commit da altri utenti e impedisce ad altri utenti di modificare la cronologia di commit esistente.
Può creare, commentare e votare le richieste pull.
Può creare e pubblicare rami nel repository. La mancanza di questa autorizzazione non limita gli utenti a creare rami nel repository locale; impedisce semplicemente loro di pubblicare rami locali nel server.
Note
Quando si crea un nuovo ramo nel server, si dispone di Contributi, Modifica criteri, Forza push, Gestisci autorizzazioni e Rimuovi autorizzazioni di blocco di altri per tale ramo per impostazione predefinita. Ciò significa che è possibile aggiungere nuovi commit al repository tramite il ramo.
Può creare nuovi repository. This permission is only available from the Security dialog for the top-level Git repositories object.
È possibile eseguire il push dei tag nel repository.
Può eliminare il repository. At the top-level Git repositories level, can delete any repository.
Può modificare i criteri per il repository e i relativi rami.
Si applica a TFS 2018 Update 2. È possibile ignorare i criteri di ramo ed eseguire le due azioni seguenti:
- Eseguire l'override dei criteri dei rami e delle richieste pull complete che non soddisfano i criteri dei rami
- Eseguire il push direttamente nei rami con criteri di ramo impostati
Note
In Azure DevOps viene sostituito con le due autorizzazioni seguenti: Ignorare i criteri durante il completamento delle richieste pull e Ignorare i criteri durante il push.
Può forzare un aggiornamento in un ramo, eliminare un ramo e modificare la cronologia dei commit di un ramo. Può eliminare tag e note.
È possibile eseguire il push e la modifica delle note Git.
Può impostare le autorizzazioni per il repository.
Può clonare, recuperare, eseguire il pull ed esplorare il contenuto del repository.
Can remove branch locks set by other users. Il blocco di un ramo impedisce l'aggiunta di nuovi commit al ramo da altri utenti e impedisce ad altri utenti di modificare la cronologia di commit esistente.
Può modificare il nome del repository. When set at the top-level Git repositories entry, can change the name of any repository.
TFVC (object-level)
Manage the security of each TFVC branch from the web portal or using the TFSSecurity command-line tool. Agli amministratori del progetto vengono concesse la maggior parte di queste autorizzazioni, che vengono visualizzate solo per un progetto configurato per l'uso di controllo della versione di Team Foundation come sistema di controllo del codice sorgente. Nelle autorizzazioni di controllo della versione, la negazione esplicita ha la precedenza sulle autorizzazioni del gruppo di amministratori.
Queste autorizzazioni vengono visualizzate solo per un programma di installazione del progetto da usare controllo della versione di Team Foundation come sistema di controllo del codice sorgente.
In version control permissions, explicit Deny takes precedence over administrator group permissions.
Permission (UI)
Namespace permission
Description
Administer labels
VersionControlItems, LabelOther
Può modificare o eliminare etichette create da un altro utente.
Check in
VersionControlItems, Checkin
Può archiviare gli elementi e rivedere eventuali commenti del set di modifiche di cui è stato eseguito il commit. Il commit delle modifiche in sospeso viene eseguito al momento dell'archiviazione.*
Controllare le modifiche di altri utenti
VersionControlItems, CheckinOther
Può archiviare le modifiche apportate da altri utenti. Il commit delle modifiche in sospeso viene eseguito al momento dell'archiviazione.
È stata apportata una modifica in un'area di lavoro server
VersionControlItems, PendChange
Può eseguire il check-out e apportare una modifica in sospeso agli elementi in una cartella. Esempi di modifiche in sospeso includono l'aggiunta, la modifica, la ridenominazione, l'eliminazione, l'annullamento dell'eliminazione, la diramazione e l'unione di un file. Le modifiche in sospeso devono essere archiviate, quindi gli utenti devono avere anche l'autorizzazione di archiviazione per condividere le modifiche con il team.*
Label
VersionControlItems, Label
Può etichettare gli elementi.
Può bloccare e sbloccare cartelle o file. Una cartella o un file rilevato può essere bloccato o sbloccato per negare o ripristinare i privilegi di un utente. I privilegi includono il controllo di un elemento per la modifica in un'area di lavoro diversa o l'archiviazione delle modifiche in sospeso a un elemento da un'area di lavoro diversa. For more information, see Lock command.
Manage branch
VersionControlItems, ManageBranch
Può convertire qualsiasi cartella in tale percorso in un ramo e anche eseguire le azioni seguenti in un ramo: modificarne le proprietà, eseguirne la replica e convertirla in una cartella. Gli utenti che dispongono di questa autorizzazione possono diramare questo ramo solo se hanno anche l'autorizzazione Merge per il percorso di destinazione. Gli utenti non possono creare rami da un ramo per cui non dispongono dell'autorizzazione Gestisci ramo.
Manage permissions
VersionControlItems, AdminProjectRights
Può gestire le autorizzazioni di altri utenti per cartelle e file nel controllo della versione.*
Può unire le modifiche in questo percorso.*
Read
VersionControlItems, Read
Può leggere il contenuto di un file o di una cartella. Se un utente dispone delle autorizzazioni di lettura per una cartella, l'utente può visualizzare il contenuto della cartella e le proprietà dei file in esso contenuti, anche se l'utente non dispone dell'autorizzazione per aprire i file.
Rivedere le modifiche di altri utenti
VersionControlItems, ReviseOther
Può modificare i commenti sui file di archiviazione, anche se un altro utente ha archiviato il file.*
Annullare le modifiche di altri utenti
VersionControlItems, UndoOther
Può annullare una modifica in sospeso apportata da un altro utente.*
Sbloccare le modifiche di altri utenti
VersionControlItems, UnlockOther
Può sbloccare i file bloccati da altri utenti.*
* È consigliabile aggiungere questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente responsabili della supervisione o del monitoraggio del progetto e che potrebbero o devono modificare i commenti sui file selezionati, anche se un altro utente ha archiviato il file.
Percorso area (a livello di oggetto)
Le autorizzazioni del percorso dell'area gestiscono l'accesso ai rami della gerarchia di aree e agli elementi di lavoro in tali aree. Manage the security of each area path from the web portal or using the TFSSecurity command-line tool. Le autorizzazioni di area gestiscono l'accesso per creare e gestire percorsi di area, nonché creare e modificare gli elementi di lavoro definiti nei percorsi di area.
Ai membri del gruppo Project Administrators vengono concesse automaticamente le autorizzazioni per gestire i percorsi di area per un progetto. Valutare la possibilità di concedere agli amministratori del team o ai responsabili del team le autorizzazioni per creare, modificare o eliminare nodi di area.
Note
Più team possono contribuire a un progetto. In questo caso, è possibile configurare i team associati a un'area. Le autorizzazioni per gli elementi di lavoro del team vengono assegnate assegnando autorizzazioni all'area. There are other team settings that configure the team's agile planning tools.
Permission (UI)
Namespace permission
Description
Può creare nodi di area. Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo possono spostare o riordinare tutti i nodi dell'area figlio.
Prendere in considerazione l'aggiunta di questa autorizzazione a qualsiasi utente o gruppo aggiunto manualmente che potrebbe dover eliminare, aggiungere o rinominare nodi di area.
Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo per un altro nodo possono eliminare i nodi di area e riclassificare gli elementi di lavoro esistenti dal nodo eliminato. Se il nodo eliminato include nodi figlio, tali nodi vengono eliminati anche.
Prendere in considerazione l'aggiunta di questa autorizzazione a qualsiasi utente o gruppo aggiunto manualmente che potrebbe dover eliminare, aggiungere o rinominare nodi di area.
Può impostare le autorizzazioni per questo nodo e rinominare i nodi dell'area.
Prendere in considerazione l'aggiunta di questa autorizzazione a qualsiasi utente o gruppo aggiunto manualmente che potrebbe dover eliminare, aggiungere o rinominare nodi di area.
Può modificare gli elementi di lavoro in questo nodo di area.
Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover modificare gli elementi di lavoro nel nodo area.
Può modificare le proprietà del piano di test, ad esempio le impostazioni di compilazione e test.
Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover gestire piani di test o gruppi di test in questo nodo di area.
Può creare ed eliminare gruppi di test, aggiungere e rimuovere test case dai gruppi di test, modificare le configurazioni dei test associate ai gruppi di test e modificare la gerarchia del gruppo di prodotti (spostare un gruppo di test).
Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover gestire piani di test o gruppi di test in questo nodo di area.
Può visualizzare le impostazioni di sicurezza per un nodo del percorso dell'area.
Può visualizzare, ma non modificare, gli elementi di lavoro in questo nodo di area.
Note
Se si imposta Visualizza elementi di lavoro in questo nodo su Nega, l'utente non può visualizzare elementi di lavoro in questo nodo area. A Deny overrides any implicit allow, even for users that are members of an administrative groups.
Percorso di iterazione (a livello di oggetto)
Le autorizzazioni del percorso di iterazione gestiscono l'accesso per creare e gestire i percorsi di iterazione, detti anche sprint.
Manage the security of each iteration path from the web portal or using the TFSSecurity command-line tool.
Ai membri del gruppo Project Administrators vengono concesse automaticamente queste autorizzazioni per ogni iterazione definita per un progetto. Valutare la possibilità di concedere agli amministratori del team, ai master scrum o ai responsabili del team le autorizzazioni per creare, modificare o eliminare nodi di iterazione.
Permission (UI)
Namespace permission
Description
Può creare nodi di iterazione. Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo possono spostare o riordinare tutti i nodi di iterazione figlio.
Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover eliminare, aggiungere o rinominare nodi di iterazione.
Gli utenti che dispongono di questa autorizzazione e l'autorizzazione Modifica questo nodo per un altro nodo possono eliminare i nodi di iterazione e riclassificare gli elementi di lavoro esistenti dal nodo eliminato. Se il nodo eliminato include nodi figlio, tali nodi vengono eliminati anche.
Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover eliminare, aggiungere o rinominare nodi di iterazione.
È possibile impostare le autorizzazioni per questo nodo e rinominare i nodi di iterazione.
Prendere in considerazione l'aggiunta di questa autorizzazione a tutti gli utenti o i gruppi aggiunti manualmente che potrebbero dover eliminare, aggiungere o rinominare nodi di iterazione.
Può visualizzare le impostazioni di sicurezza per questo nodo.
Note
I membri della raccolta di progetti Utenti validi, Utenti validi progetto o qualsiasi utente o gruppo che dispone di informazioni a livello di raccolta o Visualizza informazioni a livello di progetto possono visualizzare le autorizzazioni di qualsiasi nodo di iterazione.
Query degli elementi di lavoro e cartella di query (a livello di oggetto)
Manage query and query folder permissions through the web portal. Agli amministratori del progetto vengono concesse tutte queste autorizzazioni. Ai collaboratori vengono concesse solo autorizzazioni di lettura.
Consider granting the Contribute permissions to users or groups that require the ability to create and share work item queries for the project. Per altre informazioni, vedere Impostare le autorizzazioni per le query.
Note
Per creare grafici di query è necessario l'accesso di base.
Permission (UI)
Namespace permission
Description
Può visualizzare e modificare la cartella di query o salvare le query all'interno della cartella.
Può eliminare una query o una cartella di query e il relativo contenuto.
Può gestire le autorizzazioni per la query o la cartella di query.
Può visualizzare e usare la query o le query in una cartella, ma non può modificare il contenuto della query o della cartella di query.
Piani di recapito (a livello di oggetto)
Manage plan permissions through the web portal. Gestire le autorizzazioni per ogni piano tramite la relativa finestra di dialogo Sicurezza. Agli amministratori del progetto vengono concesse tutte le autorizzazioni per creare, modificare e gestire i piani. Agli utenti validi vengono concesse autorizzazioni di visualizzazione (sola lettura).
Permission (UI)
Namespace permission
Description
Può eliminare il piano selezionato.
Può modificare la configurazione e le impostazioni definite per il piano selezionato.
Può gestire le autorizzazioni per il piano selezionato.
Può visualizzare gli elenchi di piani, aprire e interagire con un piano, ma non può modificare la configurazione o le impostazioni del piano.
Process (object-level)
You can manage the permissions for each inherited process that you create through the web portal. Gestire le autorizzazioni per ogni processo tramite la finestra di dialogo Sicurezza. Agli amministratori della raccolta di progetti vengono concesse tutte le autorizzazioni per creare, modificare e gestire i processi. Agli utenti validi vengono concesse autorizzazioni di visualizzazione (sola lettura).
Permission (UI)
Namespace permission
Description
Può impostare o modificare le autorizzazioni per un processo ereditato.
Può eliminare il processo ereditato.
Può creare un processo ereditato da un processo di sistema o copiare o modificare un processo ereditato.
Tag dell'elemento di lavoro
È possibile gestire le autorizzazioni di assegnazione di tag usando az devops security permission o gli strumenti da riga di comando TFSSecurity . I collaboratori possono aggiungere tag agli elementi di lavoro e usarli per filtrare rapidamente un backlog, una lavagna o una visualizzazione dei risultati delle query.
È possibile gestire le autorizzazioni di assegnazione di tag usando lo strumento da riga di comando TFSSecurity. I collaboratori possono aggiungere tag agli elementi di lavoro e usarli per filtrare rapidamente un backlog, una lavagna o una visualizzazione dei risultati delle query.
Permission (UI)
Namespace permission
Description
Può creare nuovi tag e applicarli agli elementi di lavoro. Gli utenti senza questa autorizzazione possono selezionare solo dal set esistente di tag per il progetto.
Per impostazione predefinita, ai collaboratori viene assegnata l'autorizzazione Crea definizione tag. Anche se l'autorizzazione Crea definizione tag viene visualizzata nelle impostazioni di sicurezza a livello di progetto, le autorizzazioni di assegnazione di tag sono effettivamente autorizzazioni a livello di raccolta che hanno come ambito a livello di progetto quando vengono visualizzate nell'interfaccia utente. Per definire l'ambito delle autorizzazioni di assegnazione di tag a un singolo progetto quando si usa uno strumento da riga di comando, è necessario specificare il GUID per il progetto come parte della sintassi dei comandi. In caso contrario, la modifica si applica all'intera raccolta. Tenere presente questo aspetto quando si modificano o si impostano queste autorizzazioni.
Può rimuovere un tag dall'elenco dei tag disponibili per il progetto.
Questa autorizzazione non viene visualizzata nell'interfaccia utente. È possibile impostarlo solo usando uno strumento da riga di comando. Non esiste anche un'interfaccia utente per eliminare in modo esplicito un tag. Al contrario, quando un tag non è stato usato per tre giorni, il sistema lo elimina automaticamente.
Può visualizzare un elenco di tag disponibili per l'elemento di lavoro all'interno del progetto. Gli utenti senza questa autorizzazione non dispongono di un elenco di tag disponibili da cui scegliere nel modulo dell'elemento di lavoro o nell'editor di query.
Questa autorizzazione non viene visualizzata nell'interfaccia utente. Può essere impostato solo usando uno strumento da riga di comando. Le informazioni a livello di progetto consentono agli utenti di visualizzare in modo implicito i tag esistenti.
Può rinominare un tag usando l'API REST.
Questa autorizzazione non viene visualizzata nell'interfaccia utente. Può essere impostato solo usando uno strumento da riga di comando.
Release (object-level)
Gestire le autorizzazioni per ogni versione definita nel portale Web. Agli amministratori del progetto e agli amministratori delle versioni vengono concesse tutte le autorizzazioni di gestione delle versioni. Queste autorizzazioni funzionano in un modello gerarchico a livello di progetto, per una pipeline di versione specifica o per un ambiente specifico in una pipeline di versione. All'interno di questa gerarchia, le autorizzazioni possono essere ereditate dall'elemento padre o sottoposto a override.
Note
Il gruppo dell'amministratore delle versioni a livello di progetto viene creato quando si definisce la prima pipeline di versione.
Inoltre, è possibile assegnare responsabili approvazione a passaggi specifici all'interno di una pipeline di versione per assicurarsi che le applicazioni distribuite soddisfino gli standard di qualità.
Le autorizzazioni seguenti sono definite in Release Management. La colonna ambito spiega se l'autorizzazione può essere impostata a livello di progetto, pipeline di versione o ambiente.
Permission
Description
Scopes
Può modificare qualsiasi altra autorizzazione elencata qui.
Progetto, Pipeline di versione, Ambiente
Può creare nuove versioni.
Progetto, pipeline di versione
Può eliminare le pipeline di versione.
Progetto, pipeline di versione
Può eliminare gli ambienti nelle pipeline di versione.
Progetto, Pipeline di versione, Ambiente
Può eliminare le versioni per una pipeline.
Progetto, pipeline di versione
Può aggiungere e modificare una pipeline di versione, incluse variabili di configurazione, trigger, artefatti e criteri di conservazione, nonché la configurazione all'interno di un ambiente della pipeline di versione. Per apportare modifiche a un ambiente specifico in una pipeline di versione, l'utente deve anche disporre dell'autorizzazione Modifica ambiente di rilascio.
Progetto, pipeline di versione
Può modificare gli ambienti nelle pipeline di versione. Per salvare le modifiche apportate alla pipeline di versione, l'utente deve anche disporre dell'autorizzazione Modifica pipeline di versione. Questa autorizzazione controlla anche se un utente può modificare la configurazione all'interno dell'ambiente di un'istanza di versione specifica. The user also needs Manage releases permission to save the modified release.
Progetto, Pipeline di versione, Ambiente
Può avviare una distribuzione diretta di una versione in un ambiente. This permission is only for direct deployments that are manually initiated by selecting the Deploy action in a release. Se la condizione in un ambiente è impostata su qualsiasi tipo di distribuzione automatica, il sistema avvia automaticamente la distribuzione senza controllare l'autorizzazione dell'utente che ha creato la versione.
Progetto, Pipeline di versione, Ambiente
Può aggiungere o modificare responsabili approvazione per gli ambienti nelle pipeline di versione. Questa autorizzazione controlla anche se un utente può modificare i responsabili approvazione all'interno dell'ambiente di un'istanza di versione specifica.
Progetto, Pipeline di versione, Ambiente
Può modificare una configurazione di versione, ad esempio fasi, responsabili approvazione e variabili. Per modificare la configurazione di un ambiente specifico in un'istanza di versione, l'utente deve anche disporre dell'autorizzazione Modifica ambiente di rilascio.
Progetto, pipeline di versione
Può visualizzare le pipeline di versione.
Progetto, pipeline di versione
Può visualizzare le versioni appartenenti alle pipeline di versione.
Progetto, pipeline di versione
I valori predefiniti per tutte queste autorizzazioni sono impostati per le raccolte di progetti team e i gruppi di progetti. Ad esempio, gli amministratori della raccolta di progetti, gli amministratori del progetto e gli amministratori di versione hanno tutte le autorizzazioni precedenti per impostazione predefinita. Contributors are given all permissions except Administer release permissions. Readers, by default, are denied all permissions except View release pipeline and View releases.
Autorizzazioni del gruppo di attività (compilazione e rilascio)
Gestire le autorizzazioni per i gruppi di attività dall'hubBuild and Release del portale Web. Agli amministratori di progetto, compilazione e rilascio vengono concesse tutte le autorizzazioni. Le autorizzazioni del gruppo di attività seguono un modello gerarchico. Le impostazioni predefinite per tutte le autorizzazioni possono essere impostate a livello di progetto e possono essere sottoposte a override in una singola definizione del gruppo di attività.
Usare i gruppi di attività per incapsulare una sequenza di attività già definite in una compilazione o una definizione di versione in una singola attività riutilizzabile. Definire e gestire i gruppi di attività nella scheda Gruppi di attività dell'hub Compilazione e rilascio .
Permission Description Amministrare le autorizzazioni del gruppo di attività Può aggiungere e rimuovere utenti o gruppi alla sicurezza del gruppo di attività. Elimina gruppo di attività Può eliminare un gruppo di attività. Modifica gruppo di attività Può creare, modificare o eliminare un gruppo di attività.
Notifiche o avvisi
Non esistono autorizzazioni dell'interfaccia utente associate alla gestione delle notifiche tramite posta elettronica o degli avvisi. Instead, you can manage them using the TFSSecurity command-line tool.
- By default, members of the project level Contributors group can subscribe to alerts for themselves.
- I membri del gruppo Project Collection Administrators o gli utenti che dispongono delle informazioni a livello di raccolta Modifica possono impostare avvisi in tale raccolta per altri utenti o per un team.
- Members of the Project Administrators group, or users who have the Edit project-level information can set alerts in that project for others or for a team.
You can manage alert permissions using TFSSecurity.
TFSSecurity Action
TFSSecurity Namespace
Description
Amministratori raccolta progetti &
Account del servizio raccolta progetti
CREATE_SOAP_SUBSCRIPTION
EventSubscription
Può creare una sottoscrizione del servizio Web basata su SOAP.
✔️
GENERIC_READ
EventSubscription
Può visualizzare gli eventi di sottoscrizione definiti per un progetto.
✔️
GENERIC_WRITE
EventSubscription
Può creare avvisi per altri utenti o per un team.
✔️
UNSUBSCRIBE
EventSubscription
Può annullare la sottoscrizione a una sottoscrizione di eventi.
✔️
Related content
- Introduzione alle autorizzazioni, all'accesso e ai gruppi di sicurezza
- Riferimento allo spazio dei nomi e all'autorizzazione di sicurezza per Azure DevOps
- Aggiungere utenti a un'organizzazione (Azure DevOps Services)
- Aggiungere utenti a un team o a un progetto
- Creare un utente come amministratore del team
- Troubleshoot permissions