仅允许特定 AD 组下的用户批准 Azure DevOps 上的拉取请求

Only allow users under a certain AD Group to approve Pull Requests on Azure DevOps

在我的组织中,我们使用 Azure DevOps,我们有一个存储库,我们希望开发人员能够在其中创建拉取请求并对其进行更改,但只有属于特定 AD 组的开发人员才能批准它们。在 Azure DevOps 中实现此目标的最佳方式是什么?

根据 Microsoft Documentation 有一个名为 "Contribute to pull requests " 的权限允许 "Can create, comment on, and vote on pull requests." 但是,禁用此权限将意味着人们无法创建拉取请求。我希望他们能够创建拉取请求,只是无法批准并完成它们。

However, disabling this would mean that people cannot create pull requests. I want them to be able to create the pull request, just not able to approve them and complete them.

  1. 如果Contribute设置为Deny,那么开发者可以review the code/create new branch/create PR/approve PR但不能push changes to master branch or branch not created by himself/complete PR。所以这个选项只能部分满足你的需求

  2. 除上述情况外,在这种情况下最推荐的方法是使用Branch Policies

    由于最初的目的是为了避免开发者自己完成PR,所以你可以设置Require a minimum number of reviewersAutomatically Include reviewers两个选项来满足你原来的需求:

    这样master分支中的所有PRs只有在获得特定Group的足够批准后才能完成。 (你所在的组,Project Administrators 之类的)然后开发人员可以创建 PR,但是 PR 只能通过你(团队 admins/managers?)的批准才能完成。

您可以选择以上两个选项之一或将它们组合在一起以满足您的需求。

此外:如果以上仍然不能很好地满足您的要求,欢迎在我们的User Voice forum中post您的功能请求,产品团队会考虑您的反馈。关注反馈,如果有任何更新,您会收到通知。

希望以上对您有所帮助:)