# 成员角色 {% hint style="success" %} 对应的[官方文档地址](https://bitwarden.com/help/user-types-access-control/) {% endhint %} 成员角色控制着用户的权限,例如配置单点登录 (SSO) 或管理设备审批。您可以在邀请用户时或在之后随时分配[默认角色](#default-roles)或[自定义角色](#custom-roles)。企业组织中的管理员和所有者可以管理角色,并可以创建自定义角色。 ## 分配成员角色 在管理控制台中,您可以通过两种方式分配成员角色: * [邀请新成员](https://help.ppgg.in/docs/admin-console/user-management#invite)时,选择一个**成员角色**。 * 要更改现有成员的角色,请转到**成员**然后选择该成员的名称。从出现的选项中选择一个**成员角色**: {% embed url="" %} 编辑成员角色 {% endembed %} ## 默认角色 有三种默认的成员角色:所有者、管理员和用户。每种角色被授予不同的权限,用于管理您的组织和访问共享项目。
角色概述
所有者

只有所有者才能访问组织的计费和账单详情。只有当前所有者才能邀请新的所有者或将所有者角色分配给现有成员。

为防止所有者离职时组织订阅中断,我们强烈建议至少指定一位额外的所有者。IT 团队经理或项目经理都是不错的人选。

管理员

管理员负责管理组织特有的配置,例如 SSO 和企业策略。他们还拥有管理成员的权限,例如邀请新用户和创建用户群组。

在为团队选择管理员时,请考虑哪些人将协助在整个组织内配置 Bitwarden,或哪些人需要访问组织报告(例如事件日志或 Access Intelligence)。

用户

用户可以访问已分配的集合中的共享项目并管理个人密码库项目。基于他们的集合权限,他们可以添加、编辑或删除集合项目。

将用户角色分配给需要访问共享密码但不需要管理组织设置、成员或策略的团队成员。这是大多数成员的标准角色。

{% hint style="success" %} 至少指定一名额外的所有者,以便在当前所有者不可用时保持对计费和订阅详细信息的访问权限。 {% endhint %} ## 默认角色权限 下面的表格列出了每个成员角色的权限。 ### 项目和集合 虽然每个成员角色都可以将新项目保存到「**我的密码库**」或「[我的项目](https://help.ppgg.in/docs/password-manager/organization-members/my-items)」中,但对[集合](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/about-collections)的访问权限由三种相互作用的权限类型决定。 {% hint style="info" %} 这些成员权限共同决定了集合访问权限: * [成员角色](https://help.ppgg.in/docs/admin-console/manage-members/member-roles)定义了哪些成员可以执行组织级别的操作。 * [集合设置](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-settings)指定了哪些成员角色可以**在整个组织中**创建、管理或删除集合。 * [集合权限](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-permissions)控制了特定用户或群组可以**在单个集合中**执行哪些操作。 {% endhint %} 下面的表格列出了每个成员角色默认可以执行的操作,以及集合设置或集合权限何时会影响这些权限。首次设置组织时,所有集合设置均处于关闭状态,受邀请的用户或群组将获得**查看项目**集合权限。 | 可执行的操作 | 所有者 | 管理员 | 用户 | | --------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | 在**我的密码库**或**我的项目**中添加、编辑或移除项目 | **✔︎** | **✔︎** | **✔︎** | | 创建集合 | **✔︎** | **✔︎** | **✔︎** 如果关闭了**限制为所有者和管理员可以创建集合**[设置](https://help.ppgg.in/docs/manage-shared-items/collections/collection-settings#restrict-collection-creation-to-owners-and-admins) | | 访问已分配的集合中的共享项目 | **✔︎** | **✔︎** | **✔︎** | |

从已分配的集合中添加、编辑、删除和导出项目

\*成员的集合权限决定了他们可以在该集合中执行哪些操作

| **✔︎** | **✔︎** | **✔︎** | | 删除已分配的集合 | **✔︎** 如果分配了**管理集合**[权限](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-permissions) | **✔︎** 如果分配了**管理集合**[权限](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-permissions) | **✔︎** 如果关闭了**限制为所有者和管理员可以删除集合**[设置](https://help.ppgg.in/docs/manage-shared-items/collections/collection-settings#restrict-collection-deletion-to-owners-and-admins),并且分配了**管理集合**[权限](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-permissions) | | 访问和管理组织内的所有集合 | **✘** 如果关闭了**允许所有者和管理员从管理控制台管理所有集合和项目**[设置](https://help.ppgg.in/docs/manage-shared-items/collections/collection-settings#allow-owners-and-admins-to-manage-all-collections-and-items-from-the-admin-console) | **✘** 如果关闭了**允许所有者和管理员从管理控制台管理所有集合和项目**[设置](https://help.ppgg.in/docs/manage-shared-items/collections/collection-settings#allow-owners-and-admins-to-manage-all-collections-and-items-from-the-admin-console) | **✘** | | [导出组织密码库数据](https://help.ppgg.in/docs/admin-console/manage-shared-items/export-organization-items/export-organization-items) | **✔︎** | **✔︎** | **✘** | | 管理[集合设置](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-settings) | **✔︎** | **✘** | **✘** | ### 成员和活动 所有者和管理员拥有更强的用户管理能力和访问组织级报告的能力。
可执行的操作所有者管理员用户
邀请并确认新用户✔︎✔︎
撤销移除用户✔︎✔︎
分配和管理成员角色✔︎✔︎
创建和删除群组✔︎✔︎
将用户添加到群组✔︎✔︎
管理账户恢复✔︎✔︎
管理受信任设备审批✔︎✔︎
查看密码库健康报告✔︎✔︎ *所有用户均可访问数据泄露报告
查看事件日志✔︎✔︎
查看 Access Intelligence✔︎✔︎
### 组织计费和设置 只有所有者可以访问大多数组织配置设置。
可执行的操作所有者管理员用户
管理计费,包括订阅、付款方式和计费历史记录✔︎
更改组织名称✔︎
管理企业策略✔︎✔︎
管理声明的域名✔︎✔︎
管理 SSO 配置✔︎✔︎
管理组织两步登录✔︎
管理 API 密钥✔︎
管理 SCIM 配置✔︎
## 自定义角色 企业团队可以根据自身需求构建自定义角色,这非常适合最小权限安全模型。使用自定义角色可以委派组织管理任务或授予用户对特定功能的访问权限。常见的自定义角色包括:
用例自定义角色权限
负责处理登录问题和受信任设备请求的 IT 服务台管理账户恢复
负责审查安全事件和合规性的审计员访问事件日志和访问报告
负责跟踪密码健康状况和管理基于群组的集合访问权限团队经理访问报告和管理群组
{% hint style="info" %} 如果需要管理订阅信息或更新付款详细信息,请分配**所有者**角色。无法通过自定义角色授予组织计费访问权限。 {% endhint %} 默认情况下,自定义角色包含与**用户**成员角色相同的权限。将自定义角色分配给新成员或现有成员时,请检查您想要授予的其他权限: * 访问事件日志 * 访问导入/导出 * 访问报告 * 管理所有集合 * 这包括创建、编辑和删除任何集合的能力。 * 创建新的集合 * 删除任何集合 * 编辑任何集合 * 管理群组 * 管理 SSO * 管理策略 * 管理用户 * 具有**管理用户**权限的自定义用户只能授予他们已有的权限。例如,仅具有**管理用户**和**访问报告**的自定义用户无法将**管理 SSO** 授予其他人。 * 管理账户恢复(也可管理设备批准请求) * 自定义用户可以为已注册账户恢复功能的成员[重置主密码](https://help.ppgg.in/docs/admin-console/manage-members/account-recovery/recover-a-member-account)。如果没有额外的**管理用户**权限,**成员**页面只会列出已注册的成员并显示**恢复账户**操作。 * 此权限还允许自定义用户管理[受信任的设备请求](https://help.ppgg.in/docs/admin-console/login-with-sso/trusted-devices/approve-a-trusted-device)。 {% hint style="info" %} ~~从 2024 年 03 月 07 日开始,尚未开启~~[~~集合管理~~](https://help.ppgg.in/docs/admin-console/manage-shared-items/collections/collection-settings)~~的组织将开始批量迁移到一个更新了的权限结构。如果尚未迁移,您的组织将在接下来的几周内迁移,或者如果您手动打开集合管理。~~ ~~在迁移期间,所有**经理**都会被迁移到具有**用户**角色的成员,并自动提供新的「**可以管理**」已分配的集合的权限。他们将保留完全管理这些馆集合的能力,包括分配新成员或群组访问权限的能力。这也将:~~ * ~~将具有「**编辑已分配的集合**」的自定义角色的成员迁移到具有「**可以管理**」这些集合的权限的用户角色。~~ * ~~将具有仅「**删除已分配的集合**」的自定义角色的成员迁移到对这些集合没有权限的用户角色。~~ * ~~弃用「**访问所有现有和未来集合**」权限,并授予具有此权限的所有用户「**可以管理**」所有现有集合的权限。~~ {% endhint %}