Ctrlk
⮐ Bitwarden Help Center个人主页联系我

企业策略

对应的官方文档地址

企业策略允许企业版组织为所有成员强制实施安全规则和默认设置,例如强制要求使用两步登录。

我们强烈建议在邀请用户加入您的组织之前先设置好企业策略。某些策略会在启用时撤销不符合要求的用户,而某些策略无法追溯性地执行。

设置企业策略

组织所有者和管理员可以应用企业策略。要更新策略:

1、使用 Bitwarden 网页 App,打开 Admin Console。

2、选择设置

3、选择策略

4、选择您要更改的策略的名称:

设置企业策略

5、选中或取消选中启用

6、(可选)如果出现更多选项,请配置它们。

7、选择保存

数据控制

数据控制部分中的策略为数据共享方式添加了保护措施,并规定了谁拥有密码库数据。

单一组织

启用单一组织策略将限制组织内的非所有者/非管理员成员加入其他组织或创建其他组织。即使对于仅接受组织邀请的用户,也会强制执行此策略,但所有者和管理员不受此策略的约束。

当您激活此策略时,非所有者或非管理员且不遵守此策略的组织成员的访问权限将被撤销。由于此策略而被撤销访问权限的用户将收到电子邮件通知,并且必须采取措施使其合规,然后才能恢复其访问权限。

在激活以下策略之前,必须启用单一组织策略:

如果您无法停用单一组织策略,请验证上述所有策略是否已停用,以及您没有已声明的域名,然后重试。

集中化组织所有权

启用集中化组织数所有权策略将阻止个人拥有密码库项目。这将添加「我的项目」,这是一个组织拥有的位置,只有该成员才能访问。「我的项目」将取代个人的「我的密码库」,并将所有权从用户转移到组织。只要该成员在组织中处于活跃状态,管理员就无法编辑或导出该用户的「我的项目」。

此策略仅影响非组织的所有者或管理员的成员。组织所有者和管理员可以继续使用「我的密码库」。

启用后,所有新保存的项目默认都会放入该成员的「我的项目」中。在「添加项目」界面上将向用户显示一条横幅,表明某个策略正在影响他们的所有权选项。

成员被移除后,「我的项目」中的数据仍保留在组织中。所有者、管理员和某些自定义角色用户可以为其他成员分配对已移除成员的「我的项目」的访问权限。

目前,Bitwarden 建议仅尚未开始入职成员的组织启用强制组织数据所有权策略

如果您的组织在 2025.11.0 版本之前激活了该策略,则系统会为该版本发布后确认的成员创建「我的项目」。现有成员不会拥有「我的项目」,可以继续使用他们的「我的密码库」。未来的版本将允许已经开始入职成员并使用个人密码库的组织将所有凭据迁移到组织所有权。

提示用户将项目移动到组织

启用集中组织所有权策略的此子选项,将提示当前在「我的密码库」中存储有项目的用户将所有此类项目转移到「我的项目」位置下的组织所有权。此转移流程只需单击一下即可快速完成。

成员可以接受拒绝该提示。接受将把所有个人拥有的项目转移到组织所有权,拒绝将立即撤销该成员对组织的访问权限,以便他们有时间筛选应转移和不应转移的项目。任一场景都会记录事件

Send 控制

启用 Send 控制策略将指定用于创建和编辑 Send 的选项。所有者和管理员不受此策略的约束。启用此策略时,必须选中以下选项之一:

  • 禁用 Send:将阻止成员创建或编辑 Send。如果之前创建了 Send,他们仍然可以在除网页 App 之外的所有 Bitwarden 客户端的 Send 页面查看和删除这些 Send。受此策略约束的成员仍然可以打开接收到的 Send

  • 创建或编辑 Send 时始终向接收者显示成员的电子邮件地址:将禁用隐藏电子邮箱选项,从而为接收 Send 的人提供透明度。

请确保只选择一项设置。如果两项都勾选,成员将受到禁用 Send 选项的约束。

禁用导出

启用禁用导出策略将禁止您组织的非所有者/非管理员成员导出其个人密码库数据。所有者和管理员不受此策略的约束。

在网页 App 和 CLI 中,会向用户显示一条消息,以表明某个策略正在影响他们的选项。在其他客户端中,该选项将被简单地禁用:

密码库导出已禁用

身份验证

身份验证部分中的策略通过强制成员拥有健全的身份验证标准来访问其 Bitwarden 密码库,从而帮助您强化组织的安全性。

主密码要求

启用主密码要求策略,将对用户的主密码强度执行一套可配置的最低要求。组织可以强制执行:

  • 最小主密码复杂度

  • 最小主密码长度

  • 所需字符类型

密码的复杂度按照 0(弱)到 4(强)的比例计算。Bitwarden 使用 zxcvbn 库来计算密码复杂度。

使用要求现有成员更改他们的密码选项以要求现有的、不合要求的组织成员(无论其角色如何)在下次登录时更新他们的主密码。通过组织邀请创建新账户的用户会被提示创建一个符合要求的主密码。

账户恢复管理

启用账户恢复管理策略将允许所有者和管理员帮助成员重新获得对其账户的访问权限。使用此策略,所有者和管理员可以向已注册账户恢复的成员发送重置他们的主密码的链接。默认情况下,用户必须自行注册账户恢复才有资格拥有此功能。

要简化账户恢复注册,请选中为新成员启用自动注册。当新成员接受组织邀请时,这会为新成员注册账户恢复,并阻止他们从账户恢复中退出。当前组织成员不会追溯地添加,因此仍需要他们自行注册。

要在您的组织中使用受信任设备 SSO,您的组织必须开启账户恢复管理策略。

在激活此策略之前,必须启用单一组织策略。

要求单点登录身份验证

启用要求单点登录身份验证策略将要求非所有者/非管理员用户使用 SSO 登录。如果是自托管,可以使用环境变量对所有者和管理员强制执行该策略。有关更多信息,请参阅 SSO 登录的使用。所有者和管理员不受此策略的约束。

使用此策略的组织成员将无法使用通行密钥登录

在激活此策略之前,必须启用单一组织策略。

要求两步登录

启用要求两步登录策略将要求成员使用任何两步登录方法访问其密码库。如果使用的是 SSO 或身份提供程序的 2FA 功能,则无需启用此策略。即使对于仅接受组织邀请的用户,也会强制执行此策略。

当您激活此策略时,非所有者或非管理员且不遵守此策略的组织成员的访问权限将被撤销。由于此策略而被撤销访问权限的用户将收到电子邮件通知,并且必须采取措施使其合规,然后才能恢复其访问权限。

阻止使用已声明的域名创建账户

在激活此策略之前,必须先声明域名

启用阻止使用已声明的域名创建账户策略,可以阻止具有与您已声明的域名匹配的电子邮箱地址的人员在组织外部创建 Bitwarden 账户。启用此策略后,与您已声明的域名匹配的电子邮箱地址只能通过受邀加入您的组织的方式或使用 SSO 进行 JIT 配置的方式创建 Bitwarden 账户。

会话超时

启用会话超时策略以设置限制并控制成员的会话超时行为。启用此策略后,然后用户编辑其账户的密码库超时设置时,超时选项将不会超过您为组织选择的最大值,并且某些选项(例如浏览器重启时从不)将不可用。所有者和管理员不受此策略的约束。

您可以自定义两个选项:

  • 最大允许的超时下拉菜单中,设置会话可以保持活动状态的时间限制:

    • 立即:当用户停止与 Bitwarden 交互时

    • 自定义:在输入的小时数量和分钟数量之后

    • 系统锁定时:当您的设备锁定或屏幕保护程序激活时(仅限浏览器扩展和桌面 App)

    • App 重启时:当 Bitwarden App 关闭然后重新打开时

    • 从不:不设置最大会话持续时间

从不超时选项会将未加密的加密密钥存储在您的设备上,这可能会影响安全性。为了确保您的数据安全,我们强烈建议您选择其他选项。

  • 会话超时操作下拉菜单中,选择会话结束后发生的行为。您可以指定锁定或注销,或选择用户首选项以让成员在其账户设置中进行选择。

如果您的组织使用受信任设备,请考虑选择注销。会话超时后,成员无需主密码即可通过受信任设备上的 SSO 访问其密码库。

在激活此策略之前,必须启用单一组织策略。

禁用 PIN 码解锁

启用禁用 PIN 码解锁策略后,成员将无法在网页 App、浏览器扩展和桌面 App 上配置或使用 PIN 码解锁。该策略打开后适用于所有组织成员,包括管理员和所有者。

计划在今后的版本中支持在移动 App 上执行这一策略。

在该策略实施前使用 PIN 码解锁的成员将在下次登录时执行该策略,也就是说,如果他们已经登录了会话,他们仍将在用户界面中看到该选项,并能使用 PIN 码解锁,直到他们注销或关闭客户端中的 PIN 码解锁选项。

密码库管理

密码库管理部分的策略允许您为成员的项目设置默认标准和最低标准。

密码生成器

启用密码生成器策略将对任何用户生成的密码强制执行一套可配置的最低要求。组织可以强制执行:

  • 密码、密码短语、或用户偏好

对于密码:

  • 最小密码长度

  • 最少数字 (0-9) 数量

  • 最少特殊字符 (!@#$%^&*) 数量

  • 所需字符类型

对于密码短语:

  • 最少单词数

  • 是否大写

  • 是否包含数字

启用此策略后,现有的不符合要求的密码不会被更改,相关的项目也不会从组织中移除。启用此策略后,当更改或生成密码时,将强制要求符合此策略。

密码生成器界面上将显示一条横幅给用户,表明某个策略正在影响他们的生成器设置。

默认 URI 匹配检测

启用默认 URI 匹配检测策略以为您的成员设置默认 URI 匹配检测。这可以帮助您配置自动填充,以最好地满足您组织的安全和策略需求。

启用此策略时,从下拉菜单中选择您组织的默认 URI 匹配检测

  • 基础域名

  • 主机

  • 精确

  • 从不

不受此策略约束的用户在设置其个人账户的默认匹配检测时还有两个选项:开始于正则表达式。组织默认不提供这些选项,因为它们可能匹配非预期页面并暴露凭据。

激活策略后,成员无法在 ⚙️设置自动填充中查看或更改其账户的默认 URI 匹配检测。但是,他们仍然可以为个人登录项目选择 URI 匹配。此策略不会影响组织所有者和管理员。

在激活此策略之前,必须启用单一组织策略。

使用 SSO 自动登录

启用使用 SSO 自动登录策略,将允许在访问身份提供程序提供的非 SSO App 时自动填充并提交登录表单。要启用此设置:

1、要启用使用 SSO 自动登录策略,请选中启用复选框,并输入身份提供程序主机 URL。此 URL 应包含 protocol://domain

为允许的应用程序自动登录用户

2、作为 IdP 的管理员,请在终端用户仪表板上添加一个应用程序或 App 快捷方式,其中包含具有附加参数 ?autofill=1 的目标 URL。

3、保存应用程序后,用户可以从 IdP 仪表板上选择应用程序,然后 Bitwarden 将自动填充并登录应用程序。

SSO 自动登录将基于 Bitwarden 浏览器扩展上的当前活动账户自动填充数据。此外,自动填充的数据将是用户最近使用的与目标应用程序 URL 相关联的凭据。

激活自动填充

启用激活自动填充策略将自动为组织的所有现有和新成员打开浏览器扩展上的页面加载时自动填充功能。如果激活,成员将无法禁用页面加载时自动填充功能。

禁用支付卡项目类型

启用禁用支付卡项目类型策略将阻止成员创建或导入信用卡到组织和个人密码库。

作为多个组织成员的用户仍只能在允许使用支付卡的组织中使用支付卡,即使不同的组织已激活此策略。

现有支付卡将自动隐藏,但数据不会被删除,如果管理员禁用该策略,支付卡将重新出现。

禁用免费 Bitwarden 家庭赞助

启用禁用免费 Bitwarden 家庭赞助策略将禁止您的组织成员通过您的组织兑换免费的家庭计划

在该策略激活前已兑换赞助家庭组织的用户将继续获得其组织的赞助,直至当前账单周期结束。在下一个账单周期开始时,将通过该组织存储的付款方式收取费用。

自动用户确认

要获得此策略的访问权限,Bitwarden 支持人员需要为您将其打开。请首先联系我们

启用自动用户确认策略将自动确认已接受加入组织邀请的成员,而无需采用标准的手动确认流程。要使用此策略:

  1. 确认您的组织的资格。特别是,在激活此策略之前,必须启用单一组织策略,并且所有成员(包括所有者和管理员)都必须遵守该策略。

  2. 联系我们请求将自动用户确认策略添加到您的企业策略设置中。

  3. 前往设置策略,然后启用现在已经可用的自动用户确认策略。

  4. 至少需要一位所有者、管理员或相关的自定义角色成员必须激活自动确认设置

上一页Access Intelligence下一页密码库健康报告

最后更新于