Azure devops 使用权限/其他功能限制Azure DevOps中的部署

我需要配置权限并使用本机功能来限制Azure DevOps中的部署，以便那些访问受限的用户只能发布到开发/测试环境，而那些具有特权访问权限的用户可以部署到所有环境，例如，包括登台/生产环境

我希望在不拆分发布管道的情况下实现这一点——最好只使用部署前批准，还是有更好的方法消除那些访问权限有限的人部署到prod中的能力

例如，可以通过限制对服务连接的访问来实现这一点吗？那么，作为一个安全网，一个有限的用户可以“用户”访问dev/test服务连接，但不能访问staging/prod

只是想了解一些提示/最佳实践建议

谢谢。

您可以使用来处理此问题

部署组是部署目标计算机的逻辑集，每个计算机上都安装了代理。部署组代表物理环境；例如，“开发”、“测试”、“UAT”和“生产”。实际上，部署组只是代理的另一个分组，非常类似于代理池

编写Azure管道或TFS发布管道时，可以使用部署组为作业指定部署目标。这使得定义部署任务的并行执行变得容易

部署组：

• 指定代理的安全上下文和运行时目标。作为 您创建了一个部署组，添加了用户并将其分配给 管理、管理、查看和使用组的适当权限
• 允许您在部署时查看每台服务器的实时日志， 并下载所有服务器的日志，以跟踪到的部署 单个机器
• 允许您使用计算机标记将部署限制到特定集合 目标服务器的数量

此外，建议你也看看这个博客：其中包括多个要点：

逐步向多个环境推出

适用于所有环境的统一部署工作流

手动批准展期

角色分离

推出期间的健康检查

部署的分支筛选器

固定管道

---

谢谢Patrick，不过在这种情况下部署组不是一个选项。您提供的最后一个链接中有一些有用的提示，我可能会沿着这条路线走下去。Patrick您如何允许用户部署到部署组a而不是部署到B？我可以通过在每个发布管道阶段设置“预部署批准”来实现这一点，但我不希望在每个发布管道上都这样做，我希望在部署组级别处理。我试过很多角色，但似乎都做不好