Azure DevOps のセキュリティ名前空間とアクセス許可のリファレンス

説明

プロジェクト レベルおよびオブジェクト レベルのでビルド権限を管理します。

プロジェクト レベルのビルドアクセス許可のトークン形式: PROJECT_ID
特定のビルド定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのビルド定義のセキュリティ トークンは次の例のようになります。
プロジェクト レベルの特定のビルドアクセス許可のトークン形式: PROJECT_ID/12
例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12

ID:33344d9c-fc72-4d6f-aba5-fa317101a7e9

子ノードを作成、編集、削除したり、ノード内の作業項目を表示または編集するためのアクセス許可を設定 領域パス オブジェクト レベルのアクセス許可を管理します。 詳細については、「作業追跡のアクセス許可とアクセス権の設定」、子ノードの作成、領域パス下の作業項目の変更に関するページを参照してください。
トークン形式の例:POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "vstfs:///Classification/Node/{area_node_id}", "permissions": { "allow": 1, "deny": 0 } }
ID:83e28ad4-2d72-4ceb-97b0-c7726d5502c3

ダッシュボードを編集および削除したり、プロジェクト ダッシュボードのアクセス許可を管理したりするための、ダッシュボード オブジェクト レベルのアクセス許可 を管理します。 これらのアクセス許可は、ダッシュボードのユーザー インターフェイスを使用して管理できます。

ID:8adf73b7-389a-4276-b638-fe1653f7efc7

プロジェクト レベルおよびオブジェクト レベルので Git リポジトリのアクセス許可を管理します。 これらのアクセス許可は、プロジェクト設定、リポジトリ管理インターフェイスを使用して管理できます。

Administer アクセス許可は、2017 でいくつかのより詳細なアクセス許可に分割されました。使用しないでください。
プロジェクト レベルのアクセス許可ののトークン形式: repoV2/PROJECT_ID
リポジトリ レベルのアクセス許可を更新するには、RepositoryID を追加する必要があります。

リポジトリ固有のアクセス許可の トークン形式: repoV2/PROJECT_ID/REPO_ID

ブランチ レベルのアクセス許可 のトークン形式については、セキュリティ サービス の Git リポジトリ トークンで説明されています。

ID:2e9eb7ed-3c0a-47d4-87c1-0ffdd275fd87

子ノードの作成、編集、削除、および子ノードのアクセス許可の表示、反復パス のオブジェクト レベルのアクセス許可を管理します。 Web ポータルを使用して管理するには、「作業追跡のアクセス許可とアクセスの設定」の「子ノードの作成」を参照してください。
トークン形式の: 'vstfs:///Classification/Node/Iteration_Identifier/'
たとえば、チームに対して次のイテレーションが構成されているとします。
– ProjectIteration1
  TeamIteration1
     – TeamIteration1ChildIteration1
     – TeamIteration1ChildIteration2
     – TeamIteration1ChildIteration3
  TeamIteration2
     – TeamIteration2ChildIteration1
     – TeamIteration2ChildIteration2

ProjectIteration1\TeamIteration1\TeamIteration1ChildIteration1のアクセス許可を更新するには、セキュリティ トークンは次の例のようになります。
vstfs:///Classification/Node/ProjectIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1_Identifier:vstfs:///Classification/Node/TeamIteration1ChildIteration1_Identifier

ID:bf7bfa03-b2b7-47db-8113-fa2e002cc5b1

タスク グループを編集および削除したり、タスク グループのアクセス許可を管理したりするためのタスク グループのアクセス許可 を管理します。 Web ポータルを使用して管理するには、「パイプラインのアクセス許可とセキュリティ ロール タスク グループのアクセス許可」を参照してください。

プロジェクト レベルのアクセス許可ののトークン形式: PROJECT_ID
metaTask レベルのアクセス許可の トークン形式: PROJECT_ID/METATASK_ID

MetaTask に parentTaskId がある場合、セキュリティ トークンは次の例のようになります。
トークン形式の: PROJECT_ID/PARENT_TASK_ID/METATASK_ID

ID:f6a4de49-dbe2-4704-86dc-f8ec1a294436

配信プランを表示、編集、削除、管理するための配信プラン のアクセス許可を管理します。 これらのアクセス許可は、プラン ごとにWeb ポータルを使用して管理できます。

ID:bed337f8-e5f3-4fb9-80da-81e17d06e7a8

プロジェクトおよびオブジェクト レベルのでリリース定義のアクセス許可を管理します。

プロジェクト レベルのアクセス許可ののトークン形式: PROJECT_ID
例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
特定のリリース定義 ID (12 など) のアクセス許可を更新する必要がある場合、そのリリース定義のセキュリティ トークンは次のようになります。

特定のリリース定義のアクセス許可のトークン形式: PROJECT_ID/12
例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba/12
リリース定義 ID がフォルダーに存在する場合、セキュリティ トークンは次のようになります。
トークン形式の: PROJECT_ID/{folderName}/12
ステージの場合、トークンは次のようになります: PROJECT_ID/{folderName}/{DefinitionId}/Environment/{EnvironmentId}。

ID:c788c23e-1b46-4162-8f5e-d7585343b5de

作業項目クエリとクエリ フォルダーのアクセス許可を管理します。 Web ポータルでこれらのアクセス許可を管理するには、「クエリまたはクエリ フォルダーに対するアクセス許可を設定する」を参照してください。 トークン形式の例:POST https://dev.azure.com/{organization}/_apis/securitynamespaces/{namespaceId}/permissions?api-version=6.0 { "token": "/{project_id}/{shared_queries_id}", "permissions": { "allow": 1, "deny": 0 } }.
ID:71356614-aad7-4757-8f2c-0fb3bff6f680

説明

プロジェクト レベルのアクセス許可を管理します。
AGILETOOLS_BACKLOG アクセス許可は、Azure Boards バックログへのアクセスを管理します。 この設定は内部アクセス許可の設定であり、変更しないでください。

ルート トークン形式 : $PROJECT
組織内の各プロジェクトのアクセス許可をセキュリティで保護するトークン。
$PROJECT:vstfs:///Classification/TeamProject/PROJECT_ID.
Test Project 1という名前のプロジェクトがあるとします。
az devops project show コマンドを使用して、このプロジェクトのプロジェクト ID を取得できます。
az devops project show --project "Test Project 1"
このコマンドは、xxxxxxxx-a1de-4bc8-b751-188eea17c3baなど、プロジェクト ID を返します。
そのため、Test Project 1 のプロジェクト関連のアクセス許可をセキュリティで保護するトークンは次のとおりです。
'$PROJECT:vstfs:///Classification/TeamProject/xxxxxxxx-a1de-4bc8-b751-188eea17c3ba'
ID:52d39943-cb85-4d7f-8fa8-c6baac873819

作業項目タグを作成、削除、列挙、および使用するためのアクセス許可を管理します。 タグ定義の作成 アクセス許可は、アクセス許可管理インターフェイスを使用して管理できます。

プロジェクト レベルのアクセス許可ののトークン形式: /PROJECT_ID
例: /xxxxxxxx-a1de-4bc8-b751-188eea17c3ba

ID:bb50f182-8e5e-40b8-bc21-e8752a1e7ae2

Team Foundation Version Control (TFVC) リポジトリのアクセス許可を管理します。 プロジェクト用の TFVC リポジトリは 1 つだけです。 これらのアクセス許可は、リポジトリ管理インターフェイスを使用して管理できます。

ID:a39371cf-0841-4c16-bbd3-276e341bc052

説明

ビルド リソースのアクセス許可を表示、管理、使用、または管理するためのアクセスを管理します。

ID:302acaca-b667-436d-a946-87133492041c

組織またはコレクション レベルのでアクセス許可を管理します。

ID:3e65f728-f8bc-4ecd-8764-7e378b19bfa7

棚上げされた変更、ワークスペース、および組織またはコレクション レベルでワークスペースを作成する機能を管理するためのアクセス許可を管理します。 Workspaces 名前空間は TFVC リポジトリに適用されます。

ルート トークン形式 : /
特定のワークスペース のトークン形式の: /{workspace_name};{owner_id}

ID:93bafc04-9075-403a-9367-b7164eac6b5c

Team Foundation Version Control (TFVC) リポジトリのアクセス許可を管理します。

ID:66312704-deb5-43f9-b51c-ab4ff5e351c3

説明

エージェント プール リソースにアクセスするためのアクセス許可を管理します。 既定では、次のロールとアクセス許可はプロジェクト レベルで割り当てられ、作成されるエージェント プールごとに継承されます。

• 閲覧者 ロール (View アクセス許可のみ) を Project Valid Users グループのすべてのメンバーに付与する
• ビルド管理者、プロジェクト管理者、およびリリース管理者グループのメンバーに対する管理者 ロール (すべてのアクセス許可) を します。
• 共同作成者グループのすべてのメンバーにユーザー ロール (View、Use、および Create のアクセス許可) を する
• 共同作成者グループのすべてのメンバーに対する Creator ロール (View、Use、および Create のアクセス許可)
  
  ID:101eae8c-1709-47f9-b228-0e476c35b3ba

環境を作成および管理するためのアクセス許可を管理します。 既定では、次のアクセス許可が割り当てられます。

• 閲覧者 ロール (View アクセス許可のみ) を Project Valid Users グループのすべてのメンバーに付与する
• 共同作成者グループのすべてのメンバーに対する Creator ロール (View、Use、および Create のアクセス許可)
• Creator ロール (View、Use、および Create のアクセス許可) を Project Administrators グループのすべてのメンバーに付与する
• 管理者 ロール (すべてのアクセス許可) を、特定の環境を作成したユーザーに付与します。
  
  ID:83d4c2e6-e57d-4d6e-892b-b87222b7ad20

Manager ロールは、Marketplace 拡張機能のセキュリティを管理するために使用される唯一のロールです。 マネージャー ロールのメンバーは、拡張機能をインストールし、インストールする拡張機能の要求に応答できます。 その他のアクセス許可は、既定のセキュリティ グループとサービス プリンシパルのメンバーに自動的に割り当てられます。 マネージャー ロールにユーザーを追加するには、「拡張機能のアクセス許可の管理 を参照してください。

ID:5d6d7b80-3c63-4ab0-b699-b6a5910f8029

ライブラリ アイテムを作成および管理するためのアクセス許可を管理します。これには、セキュリティで保護されたファイルと変数グループが含まれます。 個々のアイテムのロール メンバーシップは、ライブラリから自動的に継承されます。 既定では、次のアクセス許可が割り当てられます。

• 閲覧者 ロール (View アクセス許可のみ) を Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに付与します
• 共同作成者グループのすべてのメンバーに対する Creator ロール (View、Use、および Create のアクセス許可)
• ライブラリ アイテムを作成したメンバーに対する creator ロール (View、Use、Create、および Owner のアクセス許可) を する
• ビルド管理者、プロジェクト管理者、およびリリース管理者グループのメンバーに対する管理者 ロール (すべてのアクセス許可) を します。
  詳細については、「ライブラリ資産のセキュリティ ロール を参照してください。
  
  ID:b7e84409-6553-448a-bbb2-af228e07cbeb

サービス接続を作成および管理するためのアクセス許可を管理します。 個々のアイテムのロール メンバーシップは、プロジェクト レベルのロールから自動的に継承されます。 既定では、次のロールが割り当てられます。

• 閲覧者 ロール (View アクセス許可のみ) を Project Valid Users グループおよび Project Collection Build Service アカウントのすべてのメンバーに付与します
• Creator ロール (View、Use、および Create アクセス許可) を Endpoint Creators サービス セキュリティ グループのメンバーに付与します。
• エンドポイント管理者サービス セキュリティ グループのメンバーに対する管理者 ロール (すべてのアクセス許可) を します。
  ロールは、サービス接続セキュリティ ロールによって割り当てられます。
  
  ID:49b48001-ca20-4adc-8111-5b60c903a50c

説明

組織アカウント所有者の読み取りまたは変更のアクセス許可を管理します。 これらのアクセス許可は、組織の所有者とプロジェクト コレクション管理者グループのメンバーに割り当てられます。

ID:11238e09-49f2-40c7-94d0-8f0307204ce4

データ ストアのセキュリティの読み取り、削除、作成、管理を行うアクセス許可を設定します。 これらのアクセス許可は、複数の Azure DevOps サービス プリンシパルに割り当てられます。

ID:19F9F97D-7CB7-45F7-8160-DD308A6BD48E

アクセス許可とボードへのアクセスを管理します。

ID:251e12d9-bea3-43a8-bfdb-901b98c0125e

通知ハンドラーの読み取りと書き込みアクセスを許可します。

ID:7cd317f2-adc6-4b6c-8d99-6074faeaf173

通知サブスクライバーの読み取りと書き込みアクセスを許可します。

ID:2bf24a2b-70ba-43d3-ad97-3d9e1f75622f

通知の表示、編集、登録解除、または SOAP サブスクリプションの作成を行うメンバーのアクセス許可を管理します。

ID:58b176e7-3411-457a-89d0-c6d0ccb3c52b

ユーザー アカウント ID 情報の読み取り、書き込み、削除のアクセス許可を管理します。グループ メンバーシップを管理し、ID スコープを作成および復元します。 ManageMembership 権限は、プロジェクト管理者グループおよびプロジェクト コレクション管理者グループのメンバーに自動的に付与されます。

プロジェクト レベルのアクセス許可ののトークン形式: PROJECT_ID
例: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba
グループの配信元 ID のグループ レベルのアクセス許可を変更するには [2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b]:
トークンの: xxxxxxxx-a1de-4bc8-b751-188eea17c3ba\2b087996-2e64-4cc1-a1dc-1ccd5e7eb95b

ID:5a27515b-ccd7-42c9-84f1-54c998f03866

ライセンス レベルを表示、追加、変更、削除する機能を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に付与されます。

ID:453e2db3-2e81-474f-874d-3bf51027f2ee

アクセス許可レポートを作成およびダウンロードする機能を管理します。

ID:25fb0ed7-eb8f-42b8-9a5e-836a25f67e37

パイプライン キャッシュ エントリ読み取りと書き込みのアクセス許可を管理します。 これらのアクセス許可は、内部の Azure DevOps サービス プリンシパルにのみ割り当てられます。
ID:62a7ad6b-8b8d-426b-ba10-76a7090e94d5

Release Management ユーザー インターフェイス要素へのアクセスを管理します。

ID:7c7d32f7-0e86-4cd6-892e-b35dbba870bd

サービス フック サブスクリプションを表示、編集、削除し、サービス フック イベントを発行するためのアクセス許可を管理します。 これらのアクセス許可は、プロジェクト コレクション管理者グループのメンバーに自動的に割り当てられます。 DeleteSubscriptions は使用されなくなりました。EditSubscriptions は、サービス フックを削除できます。

ID:cb594ebe-87dd-4fc9-ac2c-6a10a4c92046

作業の追跡と添付ファイルの破棄を管理するためのアクセス許可を管理します。
ID:445d2788-c5fb-4132-bbef-09c4045ad93f

作業追跡プロセスを変更し、リンクの種類を管理するためのアクセス許可を管理します。 WorkItemTrackingProvision 名前空間は、以前のバージョンのオンプレミスで主に使用される古いセキュリティ名前空間です。 Process 名前空間は、Azure DevOps Server 2019 以降のバージョンでプロセスを管理するために、この名前空間に置き換わります。

ルート トークン形式 : /$
特定のプロジェクト のトークン形式の: $/PROJECT_ID

ID:5a6cd233-6615-414d-9393-48dbb252bd23

• CrossProjectWidgetView
• DataProvider
• Favorites
• Graph
• Identity2
• IdentityPicker
• Job
• Location
• ProjectAnalysisLanguageMetrics
• Proxy
• Publish
• Registry
• Security

• ServicingOrchestration
• SettingEntries
• Social
• StrongBox
• TeamLabSecurity
• TestManagement
• VersionControlItems2
• ViewActivityPaneSecurity
• WebPlatform
• WorkItemsHub
• WorkItemTracking
• WorkItemTrackingConfiguration