search
⮐ Bitwarden Help Center个人主页联系我

成员角色

circle-check

对应的官方文档地址arrow-up-right

成员角色控制着用户的权限,例如配置单点登录 (SSO) 或管理设备审批。您可以在邀请用户时或在之后随时分配默认角色自定义角色。企业组织中的管理员和所有者可以管理角色,并可以创建自定义角色。

hashtag
分配成员角色

在管理控制台中,您可以通过两种方式分配成员角色:

  • 邀请新成员时,选择一个成员角色

  • 要更改现有成员的角色,请转到成员然后选择该成员的名称。从出现的选项中选择一个成员角色

编辑成员角色

hashtag
默认角色

有三种默认的成员角色:所有者、管理员和用户。每种角色被授予不同的权限,用于管理您的组织和访问共享项目。

角色
概述

所有者

只有所有者才能访问组织的计费和账单详情。只有当前所有者才能邀请新的所有者或将所有者角色分配给现有成员。

为防止所有者离职时组织订阅中断,我们强烈建议至少指定一位额外的所有者。IT 团队经理或项目经理都是不错的人选。

管理员

管理员负责管理组织特有的配置,例如 SSO 和企业策略。他们还拥有管理成员的权限,例如邀请新用户和创建用户群组。

在为团队选择管理员时,请考虑哪些人将协助在整个组织内配置 Bitwarden,或哪些人需要访问组织报告(例如事件日志或 Access Intelligence)。

用户

用户可以访问已分配的集合中的共享项目并管理个人密码库项目。基于他们的集合权限,他们可以添加、编辑或删除集合项目。

将用户角色分配给需要访问共享密码但不需要管理组织设置、成员或策略的团队成员。这是大多数成员的标准角色。

circle-check

至少指定一名额外的所有者,以便在当前所有者不可用时保持对计费和订阅详细信息的访问权限。

hashtag
默认角色权限

下面的表格列出了每个成员角色的权限。

hashtag
项目和集合

虽然每个成员角色都可以将新项目保存到「我的密码库」或「我的项目」中,但对集合的访问权限由三种相互作用的权限类型决定。

circle-info

这些成员权限共同决定了集合访问权限:

  • 成员角色定义了哪些成员可以执行组织级别的操作。

  • 集合设置指定了哪些成员角色可以在整个组织中创建、管理或删除集合。

  • 集合权限控制了特定用户或群组可以在单个集合中执行哪些操作。

下面的表格列出了每个成员角色默认可以执行的操作,以及集合设置或集合权限何时会影响这些权限。首次设置组织时,所有集合设置均处于关闭状态,受邀请的用户或群组将获得查看项目集合权限。

可执行的操作
所有者
管理员
用户

我的密码库我的项目中添加、编辑或移除项目

✔︎

✔︎

✔︎

创建集合

✔︎

✔︎

✔︎ 如果关闭了限制为所有者和管理员可以创建集合设置

访问已分配的集合中的共享项目

✔︎

✔︎

✔︎

从已分配的集合中添加、编辑、删除和导出项目 *成员的集合权限决定了他们可以在该集合中执行哪些操作

✔︎

✔︎

✔︎

删除已分配的集合

✔︎ 如果分配了管理集合权限

✔︎ 如果分配了管理集合权限

✔︎ 如果关闭了限制为所有者和管理员可以删除集合设置,并且分配了管理集合权限

访问和管理组织内的所有集合

如果关闭了允许所有者和管理员从管理控制台管理所有集合和项目设置

如果关闭了允许所有者和管理员从管理控制台管理所有集合和项目设置

导出组织密码库数据

✔︎

✔︎

管理集合设置

✔︎

hashtag
成员和活动

所有者和管理员拥有更强的用户管理能力和访问组织级报告的能力。

可执行的操作
所有者
管理员
用户

邀请并确认新用户

✔︎

✔︎

撤销移除用户

✔︎

✔︎

分配和管理成员角色

✔︎

✔︎

创建和删除群组

✔︎

✔︎

将用户添加到群组

✔︎

✔︎

管理账户恢复

✔︎

✔︎

管理受信任设备审批

✔︎

✔︎

查看密码库健康报告

✔︎

✔︎

*所有用户均可访问数据泄露报告

查看事件日志

✔︎

✔︎

查看 Access Intelligence

✔︎

✔︎

hashtag
组织计费和设置

只有所有者可以访问大多数组织配置设置。

可执行的操作
所有者
管理员
用户

管理计费,包括订阅、付款方式和计费历史记录

✔︎

更改组织名称

✔︎

管理企业策略

✔︎

✔︎

管理声明的域名

✔︎

✔︎

管理 SSO 配置

✔︎

✔︎

管理组织两步登录

✔︎

管理 API 密钥

✔︎

管理 SCIM 配置

✔︎

hashtag
自定义角色

企业团队可以根据自身需求构建自定义角色,这非常适合最小权限安全模型。使用自定义角色可以委派组织管理任务或授予用户对特定功能的访问权限。常见的自定义角色包括:

用例
自定义角色权限

负责处理登录问题和受信任设备请求的 IT 服务台

管理账户恢复

负责审查安全事件和合规性的审计员

访问事件日志和访问报告

负责跟踪密码健康状况和管理基于群组的集合访问权限团队经理

访问报告和管理群组

circle-info

如果需要管理订阅信息或更新付款详细信息,请分配所有者角色。无法通过自定义角色授予组织计费访问权限。

默认情况下,自定义角色包含与用户成员角色相同的权限。将自定义角色分配给新成员或现有成员时,请检查您想要授予的其他权限:

  • 访问事件日志

  • 访问导入/导出

  • 访问报告

  • 管理所有集合

    • 这包括创建、编辑和删除任何集合的能力。

  • 创建新的集合

  • 删除任何集合

  • 编辑任何集合

  • 管理群组

  • 管理 SSO

  • 管理策略

  • 管理用户

    • 具有管理用户权限的自定义用户只能授予他们已有的权限。例如,仅具有管理用户访问报告的自定义用户无法将管理 SSO 授予其他人。

  • 管理账户恢复(也可管理设备批准请求)

    • 自定义用户可以为已注册账户恢复功能的成员重置主密码。如果没有额外的管理用户权限,成员页面只会列出已注册的成员并显示恢复账户操作。

    • 此权限还允许自定义用户管理受信任的设备请求

circle-info

从 2024 年 03 月 07 日开始,尚未开启集合管理的组织将开始批量迁移到一个更新了的权限结构。如果尚未迁移,您的组织将在接下来的几周内迁移,或者如果您手动打开集合管理。

在迁移期间,所有经理都会被迁移到具有用户角色的成员,并自动提供新的「可以管理」已分配的集合的权限。他们将保留完全管理这些馆集合的能力,包括分配新成员或群组访问权限的能力。这也将:

  • 将具有「编辑已分配的集合」的自定义角色的成员迁移到具有「可以管理」这些集合的权限的用户角色。

  • 将具有仅「删除已分配的集合」的自定义角色的成员迁移到对这些集合没有权限的用户角色。

  • 弃用「访问所有现有和未来集合」权限,并授予具有此权限的所有用户「可以管理」所有现有集合的权限。

上一页用户管理下一页群组

最后更新于