Einrichten von Administratorkonten mit geringeren Privilegien

Zu den Bitwarden-Mitgliedsrollen gehören vier vordefinierte Berechtigungssätze, einschließlich einer konfigurierbaren benutzerdefinierten Mitgliedsrolle (nur Enterprise). Eigentümer und Administratoren haben standardmäßig vollen Administratorzugriff, um eine Sperrung zu verhindern und die Verwaltung von Benutzerkonten zu ermöglichen.

Um den täglichen Zugriff eines Benutzers auf das gesamte Unternehmen zu beschränken, können Eigentümerkonten mit Dienstkonto-E-Mail-Adressen eingerichtet werden - auf diese wird nicht regelmäßig zugegriffen, sondern nur, um Aufgaben auszuführen, die den Zugriff auf alle Tresordaten gleichzeitig erfordern - und Admin-Konten können mit einem bestimmten Berechtigungssatz auf die benutzerdefinierte Mitgliederrolle herabgestuft werden.

In diesem Leitfaden wird davon ausgegangen, dass Sie bereits einen Speicher- und Genehmigungsmechanismus für das/die Eigentümerkonto(s) festgelegt haben. Es wird empfohlen, bei einem Eigentümerkonto angemeldet zu bleiben, während Sie das/die Admin-Konto(s) in benutzerdefinierte Rolle(n) ändern.

Die unten stehende benutzerdefinierte Mitgliederrolle ersetzt die Admin-Mitgliederrolle Ihrer Benutzer: innen:

Aktivieren Sie eines der folgenden Kästchen:

• Zugriff auf Ereignisprotokolle

• Zugriff auf Berichte

• Neue Sammlungen erstellen

• Gruppen verwalten

• SSO verwalten

• Richtlinien verwalten

Beachten Sie, dass keine der oben genannten Optionen Zugriff auf zusätzliche Tresorobjekte bietet.

Jetzt, da die Admin-Benutzer heruntergestuft wurden, können mehrere Aufgaben aufgrund der kryptografischen oder API-Berechtigungen, die für diese Aufgaben erforderlich sind, nur über das/die Eigentümerkonto(s) ausgeführt werden. Diese Aufgaben sind:

• Import/Export des Organisations-Tresors

• Nicht zugewiesene Sammlungen bearbeiten/löschen

• Kontowiederherstellung

• Manuelles Benutzer-Onboarding/Offboarding

• Zugriff auf den Organisations-API-Schlüssel

Sobald Sie Ihre Admin-Benutzer in diese benutzerdefinierte Mitgliederrolle geändert haben, müssen Sie Personen festlegen, die den Zugriff auf jede Sammlung verwalten. Es gibt zwei Möglichkeiten, dies zu konfigurieren, je nachdem, wie viel Zugriff Sie dem „Abteilungsleiter“ geben möchten.

Kann Sammlungsberechtigung verwalten

Erteilen Sie den Abteilungsleitern die Berechtigung zum Verwalten jeder Sammlung, die sie verwalten sollen.

Abteilungsleiter können neue Kollektionen erstellen

Wenn Ihr „Abteilungsleiter“ neben der Verwaltung der aktuell zugewiesenen Kollektionen auch neue Kollektionen erstellen kann, haben Sie zwei Möglichkeiten.

Allen Benutzern erlauben, Sammlungen zu erstellen

Navigieren Sie in der Admin-Konsole zu Einstellungen > Organisationsinformationen. Von dort aus können Sie entscheiden, ob Sie die Erstellung und Löschung der Sammlung auf Eigentümer und Administratoren beschränken möchten. Wenn Sie möchten, dass alle Benutzer Sammlungen erstellen können, deaktivieren Sie dieses Kontrollkästchen und speichern Sie es.

Beschränken Sie die Erstellung der Sammlung auf bestimmte Mitglieder

Damit Abteilungsleiter neue Sammlungen erstellen können, wenn die Option Sammlungsverwaltung aktiviert ist, müssen Sie diesen Mitgliedern zusätzlich die folgende benutzerdefinierte Rolle zuweisen:

Diesen Mitgliedern muss weiterhin die Berechtigung "Verwalten können" für alle vorhandenen Sammlungen erteilt werden, sie erhalten jedoch sofort die Berechtigung "Verwalten können" für alle neuen Sammlungen, die sie erstellen.

Lerncenter-Module

• Videoserie: Erste Schritte als Administrator

• Skalierung von Mitgliedern, Gruppen und Sammlungen

Hilfe-Artikel

• Mitgliederrollen und -berechtigungen