企业策略

什么是企业策略?

企业策略使企业能够对所有用户强制执行安全规则,例如强制使用两步登录。

企业策略可以由组织的管理员所有者的用户来设置。

设置企业策略

可通过在管理控制台中,导航至管理设置 → 策略来设置策略:

设置策略

可用的策略

要求两步登录

打开要求两步登录策略将要求成员使用任何两步登录方法访问其密码库。如果使用的是 SSO 或身份提供商的 2FA 功能,则无需启用此策略。即使是只接受了组织邀请的用户,也会执行此策略。

主密码要求

打开主密码要求策略,将对用户的主密码强度执行一套可配置的最低要求。组织可以强制执行:

  • 最小主密码复杂度

  • 最小主密码长度

  • 所需字符类型

密码的复杂度按照 0(弱)到 4(强)的比例计算。Bitwarden 使用 zxcvbn 库来计算密码复杂度。

使用要求现有成员更改他们的密码选项以要求现有的、不合规的组织成员(无论其角色如何)在下次登录时更新他们的主密码。通过组织邀请创建新账户的用户会被提示创建一个符合要求的主密码。

账户恢复管理

打开账户恢复管理策略将允许所有者和管理员使用密码重置功能来重置已注册用户的主密码。默认情况下,用户需要自行注册密码重置,但也可以使用自动注册选项,对受邀用户强制自动注册。

要在您的组织中使用受信任设备 SSO,您的组织必须开启账户恢复管理策略。

在激活该策略之前,必须先启用单一组织策略。

同理,必须先禁用账户恢复管理策略,才能禁用单一组织策略。

自动注册

打开自动注册选项将在新用户加入组织的邀请被接受后自动注册密码重置功能并阻止他们撤销。

已经在组织中的用户不会被注册密码重置,而是需要自行注册

密码生成器

打开密码生成器策略将对任何用户生成的密码强制执行一套可配置的最低要求。组织可以强制执行:

  • 密码、密码短语、或用户偏好

对于密码:

  • 最小密码长度

  • 最少数字(0-9)数量

  • 最少特殊字符(!@#$%^&*)数量

  • 所需字符类型

对于密码短语:

  • 最少单词数

  • 是否大写

  • 是否包含数字

单一组织

打开单一组织策略将限制组织内的非所有者/非管理员成员加入其他组织或创建其他组织。即使是只接受了组织邀请的用户,也可以执行此策略,所有者和管理员不受此策略的约束。

要求单点登陆验证

打开要求单点登录验证策略将要求非所有者/非管理员用户使用 SSO 登录。如果是自托管,可以使用环境变量对所有者和管理员强制执行该策略。有关更多信息,请参阅 SSO 登录的使用。所有者和管理员不受此策略的约束。

使用此策略的组织成员将无法使用密码登录。

在激活此策略之前,必须先启用单一组织策略。

同理,必须先禁用单点登录验证策略,然后才能禁用单一组织策略。

禁用个人密码库

打开禁用个人密码库策略将要求非所有者/非管理员用户将密码库项目保存到组织中,防止组织成员拥有密码库项目的所有权。

添加项目界面上将向用户显示一条横幅,表明某个策略正在影响他们的所有权选项。

即使是只接受了组织邀请的用户,也可以执行此策略,所有者和管理员不受此策略的约束。

在实施本策略之前或加入本组织之前创建的密码库项目将保留在用户的个人密码库中。

禁用 Send

打开禁用 Send 策略将阻止非所有者/非管理员用户使用 Bitwarden Send 创建或编辑 Send。受此策略约束的用户仍然可以删除尚未达到删除日期的现有 Send。所有者和管理员不受此策略的约束。

Send 视图中和打开任何现有的 Send 时,会向用户显示一个横幅,以表明某个策略限制他们只能删除 Send。

Send 选项

打开 Send 选项策略将允许所有者和管理员指定用于创建和编辑 Send 的选项。所有者和管理员不受此策略的约束。选项包括:

选项
描述

不允许用户隐藏其电子邮箱地址

启用该选项可以禁用隐藏电子邮箱选项,这意味着所有接收到的 Send 都将包含其发送者信息。

密码库超时

设置密码库超时策略将允许您:

  • 除所有者外的所有成员实施最大密码库超时持续时间。此选项将超时限制应用于所有客户端应用程序(移动端、桌面端、浏览器扩展等)。

  • 除所有者外的所有成员设置密码库超时动作。此选项可以设置为用户首选项、在发生密码库超时时锁定注销注销选项可用于比如在用户每次访问其密码库时提示用户使用 2FA,并通过定期清除用户机器上的本地数据来防止离线使用。

在密码库超时配置期间将向用户显示一条横幅,表明某个策略正在影响他们的选项。激活该策略后,用户将无法使用某些密码库超时选项,如浏览器重启时永不。所有者和管理员不受此策略的约束。

在激活此策略之前,必须启用单一组织策略。

因此,您必须先禁用密码库超时策略,然后才能禁用单一组织策略。

禁用个人密码库导出

打开禁用个人密码库导出策略将禁止您组织的非所有者/非管理员成员导出其私人密码库数据。所有者和管理员不受此策略的约束。

在网页密码库和 CLI 中,会向用户显示一条消息,以表明某个策略正在影响他们的选项。在其他客户端中,该选项将被简单地禁用:

移除了密码库导出

禁用免费 Bitwarden 家庭赞助

打开禁用免费 Bitwarden 家庭赞助策略将禁止您的组织成员通过您的组织兑换免费的家庭计划

在该策略激活前已兑换赞助家庭组织的用户将继续获得其组织的赞助,直至当前账单周期结束。在下一个账单周期开始时,将通过该组织存储的付款方式收取费用。

激活自动填充

打开激活自动填充策略将自动为组织的所有现有和新成员打开浏览器扩展上的页面加载时自动填充功能。如果激活,成员将无法禁用页面加载时自动填充功能。

为允许的应用程序自动登录用户

打开为允许的应用程序自动登录用户策略,将允许在访问身份提供程序提供的非 SSO App 时自动填充并提交登录表单。要启用此设置:

1、要启用为允许的应用程序自动登录用户策略,请选中打开复选框,并输入身份提供程序主机 URL。URL 应包括 protocol://domain

为允许的应用程序自动登录用户

2、作为 IdP 的管理员,在终端用户控制面板上添加一个应用程序或应用程序快捷方式,其中包含目标 URL,并添加参数 ?autofill=1。 例如,假如使用 Microsoft Azure:

Microsoft 应用程序示例

3、保存应用程序后,用户可从 IdP 面板上选择应用程序,Bitwarden 将自动填充并登录应用程序。

自动登录用户将根据用户当前在 Bitwarden 浏览器扩展上的活动账户自动填充数据。此外,自动填充的数据将是用户最近使用的与目标应用程序 URL 相关联的凭证。

最后更新于