Freigeben über

Berechtigungen und effektiven Zugriff anzeigen

Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022

In diesem Artikel wird gezeigt, wie Sie Berechtigungen anzeigen und den effektiven Zugriff für Benutzer und Gruppen auf Organisations-, Projekt- und Repositoryebenen (oder auf anderen Objektebenen) überprüfen. Es erläutert Berechtigungszustände (Allow, Deny, Inherit), wie sich Vererbung und Gruppenmitgliedschaft auf effektive Berechtigungen auswirken, und Schritte zur Behandlung allgemeiner Zugriffsprobleme.

Sie lernen Folgendes:

  • Wo können Sie Berechtigungszuweisungen im Webportal anzeigen.
  • So überprüfen Sie effektive Berechtigungen für einen Benutzer oder eine Gruppe.
  • Gründe, warum Berechtigungen nicht die erwartete Wirkung haben (Vererbung, Verweigerungen, Stakeholder-Zugriff, Microsoft Entra ID-Gruppenzuordnung).

Schnelle Schritte:

  1. Öffnen Sie Organisationseinstellungen oder Projekteinstellungen>Sicherheit (oder Berechtigungen).
  2. Wählen Sie das Objekt (Projekt, Repository oder Gruppe) aus, und zeigen Sie die zugewiesenen Berechtigungen an.
  3. Verwenden Sie die Benutzeroberfläche für Benutzer/Gruppen oder effektive Berechtigungen, um den effektiven Zugriff zu überprüfen.
  4. Überprüfen Sie bei Bedarf Gruppenmitgliedschaften, und verweigern Sie Regeln, die die Außerkraftsetzung zulässt.

Hinweis

Die Berechtigungsverwaltungsfeatures und die Benutzeroberfläche variieren geringfügig zwischen Azure DevOps Services (Cloud) und lokalen Azure DevOps Server. Die folgende Anleitung nennt ggf. Unterschiede bei der Benutzeroberfläche.

Grundlagen des Berechtigungsmodells

Berechtigungen in Azure DevOps verwenden drei Zuordnungszustände:

  • Zulassen – erteilt explizit eine Berechtigung.
  • Verweigern – verweigert explizit eine Berechtigung und setzt "Zulassen" außer Kraft.
  • Vererben – keine explizite Zuordnung auf dieser Ebene; die Berechtigung wird von übergeordneten Geltungsbereichen oder Gruppenmitgliedschaften geerbt.

Effektive Berechtigungen werden berechnet, indem aufgabenübergreifend ausgewertet werden:

  • Das Objekt selbst (Projekt, Repo, Bereichspfad usw.)
  • Übergeordnete Bereiche (Sammlung, Organisation, Projekt)
  • Gruppenmitgliedschaften (integrierte Gruppen, benutzerdefinierte Gruppen, Microsoft Entra-ID-Gruppen)
  • Explizite Verweigerungszuweisungen (vorrang)

Was "effektive" Berechtigungen bedeuten:

Effektive Berechtigungen sind der Netzzugriff, den ein Benutzer oder eine Gruppe tatsächlich auf einem Objekt hat, nachdem Azure DevOps jede relevante Berechtigungszuweisung ausgewertet hat. Das System kombiniert explizite Allow- und Deny-Zuweisungen über das Objekt, übergeordnete Bereiche und alle Gruppenmitgliedschaften hinweg. explizite Verweigerungseinträge haben Vorrang. In der Praxis zeigen "effektive Berechtigungen" das Endergebnis (was jemand tatsächlich tun kann), nicht jede einzelne Aufgabe, die zu diesem Ergebnis beigetragen hat.

Ausführliche Informationen zur Berechtigungsauflösung und -vererbung finden Sie unter "Berechtigungen", "Berechtigungsstatus".

Wo man Berechtigungen ansehen kann

Je nach Objekt können Sie Berechtigungen an mehreren Stellen im Webportal anzeigen:

  • Ebene der Organisation oder Sammlung: Organisationseinstellungen>Sicherheit (oder Organisationseinstellungen>Berechtigungen).
  • Projektebene: Projekteinstellungen>Berechtigungen (oder Projekteinstellungen>Sicherheit in älteren UIs).
  • Repository, Pipeline, Board oder andere Ressource: Öffnen Sie die Ressource und dann Einstellungen oder Sicherheit (zum Beispiel Repos> wählen Sie Repository>Sicherheit aus).

Auf der Seite "/" werden zugewiesene Gruppen und Benutzer und eine Berechtigungsmatrix angezeigt, die Sie nach Benutzer oder Gruppe filtern können.

Überprüfung effektiver Berechtigungen (UI)

  1. Melden Sie sich bei https://dev.azure.com/{Your_Organization}an.

  2. Wechseln Sie zu dem Objekt, das Sie überprüfen möchten (Organisation, Projekt, Repository usw.).

  3. Wählen Sie Projekteinstellungen oder Organisationseinstellungen>Berechtigungen (oder Sicherheit) aus.

  4. Wählen Sie "Benutzer " oder "Gruppen" aus, wählen Sie die Identität aus, die Sie überprüfen möchten, und zeigen Sie dann das Berechtigungsraster an.

  5. Verwenden Sie alle bereitgestellten Links oder Schaltflächen "Effektive Berechtigungen" (sofern vorhanden), um die endgültige effektive Berechtigung für die ausgewählte Identität für das ausgewählte Objekt zu berechnen.

    Öffnen Sie Sicherheit oder Berechtigungen für ein Projekt.

  1. Melden Sie sich beim Server- oder Sammlungsportal an.
  2. Wechseln Sie zu Project Settings>Security (oder Organisations-/Sammlungseinstellungen > Sicherheit).
  3. Wählen Sie die Gruppe oder den Benutzer aus, und überprüfen Sie die Berechtigungsmatrix. Verwenden Sie die Filter und Steuerelemente für Effektivberechtigungen im Dialogfeld.

Überprüfen effektiver Berechtigungen (Befehlszeile/ REST)

Wenn Sie die Automatisierung bevorzugen, verwenden Sie die REST-API, um ACLs oder die Azure DevOps CLI/PowerShell-Module für Skriptberechtigungsprüfungen zu lesen. Suchen Sie den Sicherheitsnamespace für die Ressource, und bewerten Sie ACL-Bits, um effektiven Zugriff zu berechnen.

Allgemeine Szenarien und Fehlerbehebung

  • Eine Ablehnung hat Vorrang vor einer Erlaubnis: Eine explizite Ablehnung in einem beliebigen Bereich hat Vorrang. Überprüfen Sie auf Ablehnungen für höhere oder niedrigere Bereiche und über Gruppenmitgliedschaften hinweg.
  • Mitgliedschaft in mehreren Gruppen: Effektive Berechtigungen ergeben sich aus der Kombination von Gruppenzuweisungen; eine Verweigerung in irgendeiner Gruppe ist wirksam.
  • Vererbung von übergeordneten Bereichen: Wenn eine Berechtigung auf der aktuellen Ebene vererbt wird, überprüfen Sie die übergeordneten Bereiche auf zugewiesene Rollen.
  • Microsoft Entra ID-Gruppenzuordnung: Wenn Benutzer über Microsoft Entra-Gruppen hinzugefügt werden, stellen Sie sicher, dass die richtige Gruppe mit Azure DevOps synchronisiert wird und dass die Mitgliedschaft der Gruppe das ist, was Sie erwarten.
  • Zugriffsbeschränkungen für die Stakeholder: Benutzer mit Stakeholder-Zugriff haben unabhängig von Berechtigungszuweisungen nur eine eingeschränkte Funktionsverfügbarkeit – überprüfen Sie die Zugriffsstufe, wenn ein Benutzer keine Aktion ausführen kann.
  • Dynamischer oder temporärer Zugriff: Einige Richtlinien (z. B. bedingter Zugriff) oder externe Bereitstellung wirken sich möglicherweise auf die Anmeldung/den Zugriff aus. Überprüfen Sie die Richtlinien für bedingten Zugriff von Microsoft Entra, wenn die Anmeldung fehlschlägt.

Checkliste für die schnelle Behandlung von Problemen

  1. Bestätigen Sie, dass das Benutzerkonto für die Anmeldung verwendet wird (entspricht der identität, die in Azure DevOps angezeigt wird).
  2. Überprüfen Sie die direkten und indirekten Gruppenmitgliedschaften des Benutzers.
  3. Suchen Sie nach expliziten Verweigerungszuweisungen im Objekt- und übergeordneten Bereich.
  4. Überprüfen Sie die Zugriffsstufe des Benutzers (Stakeholder vs Basic) und Lizenzierungsgrenzwerte.
  5. Wenn Sie Microsoft Entra-Gruppen verwenden, bestätigen Sie die Gruppensynchronisierung und -mitgliedschaft.
  6. Verwenden Sie bei Bedarf REST/CLI, um ACLs für die Ressource auflisten und programmgesteuert auszuwerten.

Prüfung und Historie

Verwenden Sie die Überwachungsprotokolle (Überwachungsprotokolle für Organisationseinstellungen > ), um Änderungen an Sicherheitsgruppen, Berechtigungszuweisungen und Mitgliedschaftsänderungen nachzuverfolgen, wenn ihre Organisation die Überwachung aktiviert hat. Überwachungsereignisse können dabei helfen, nachzuverfolgen, wann eine Berechtigung oder Mitgliedschaft geändert wurde.

Nächster Schritt

Ändern von Berechtigungen auf Projektebene oder Gruppenmitgliedschaft

Verwandte Inhalte

  • Last updated on