Administratorkonten mit geringeren Berechtigungen einrichten

Bitwarden Mitgliedsrollen umfassen vier vordefinierte Berechtigungssätze, einschließlich einer konfigurierbaren benutzerdefinierten Mitgliedsrolle (nur Enterprise). Eigentümer und Administratoren haben standardmäßig vollständigen administrativen Zugriff, um eine Aussperrung zu verhindern und die Verwaltung von Benutzerkonten zu ermöglichen.

Um den täglichen Zugriff eines Benutzers auf die gesamte Organisation zu beschränken, können Eigentümerkonten mit E-Mail-Adressen von Dienstkonten eingerichtet werden. Diese werden nicht regelmäßig verwendet, sondern nur für Aufgaben, die gleichzeitig Zugriff auf alle Tresordaten erfordern. Administratorkonten können auf die benutzerdefinierte Mitgliedsrolle mit einem bestimmten Berechtigungssatz geändert werden.

Dieses Handbuch setzt voraus, dass Sie bereits einen Speicher- und Genehmigungsmechanismus für die Eigentümerkonten festgelegt haben. Es wird empfohlen, in einem Eigentümerkonto angemeldet zu bleiben, während Sie die Administratorkonten in benutzerdefinierte Rollen ändern.

Die folgende benutzerdefinierte Mitgliedsrolle ersetzt die Administrator-Mitgliedsrolle Ihrer Benutzer:

Aktivieren Sie eines oder mehrere der folgenden Kontrollkästchen:

• Auf Ereignisprotokolle zugreifen

• Auf Berichte zugreifen

• Neue Sammlungen erstellen

• Gruppen verwalten

• SSO verwalten

• Richtlinien verwalten

Beachten Sie, dass keine der oben genannten Optionen Zugriff auf zusätzliche Tresoreinträge gewährt.

Nachdem die Administratorbenutzer herabgestuft wurden, können einige Aufgaben aufgrund der dafür erforderlichen kryptografischen oder API-Berechtigungen nur noch über die Eigentümerkonten ausgeführt werden. Diese Aufgaben sind:

• Import/Export des Organisationstresors

• Bearbeiten/Löschen nicht zugewiesener Sammlungen

• Kontowiederherstellung

• Manuelles Onboarding/Offboarding von Benutzern

• Zugriff auf den API-Schlüssel der Organisation

Sobald Sie Ihre Administratorbenutzer in diese benutzerdefinierte Mitgliedsrolle geändert haben, müssen Sie Personen bestimmen, die den Zugriff auf die einzelnen Sammlungen verwalten. Es gibt zwei Möglichkeiten, dies zu konfigurieren, je nachdem, wie viel Zugriff Sie der „Abteilungsleitung“ gewähren möchten.

Berechtigung „Kann verwalten“ für Sammlungen

Gewähren Sie den Abteilungsleitungen die „Kann verwalten“-Berechtigung für jede Sammlung, die sie verwalten sollen.

Abteilungsleitungen das Erstellen neuer Sammlungen erlauben

Wenn Ihre „Abteilungsleitung“ zusätzlich zur Verwaltung der ihr derzeit zugewiesenen Sammlungen neue Sammlungen erstellen können muss, haben Sie zwei Optionen.

Allen Benutzern das Erstellen von Sammlungen erlauben

Navigieren Sie in der Administratorkonsole zu Einstellungen > Organisationsinformationen. Dort können Sie entscheiden, ob das Erstellen und Löschen von Sammlungen auf Eigentümer und Administratoren beschränkt werden soll. Wenn alle Benutzer Sammlungen erstellen können sollen, deaktivieren Sie dieses Kontrollkästchen und speichern Sie.

Erstellen von Sammlungen auf bestimmte Mitglieder beschränken

Damit Abteilungsleitungen neue Sammlungen erstellen können, wenn die Option zur Sammlungsverwaltung aktiviert ist, müssen Sie diesen Mitgliedern zusätzlich die folgende benutzerdefinierte Rolle gewähren:

Diesen Mitgliedern muss weiterhin die Berechtigung „Kann verwalten“ für jede bestehende Sammlung gewährt werden, sie erhalten jedoch sofort „Kann verwalten“ für jede neue Sammlung, die sie erstellen.

Learning-Center-Module

• Videoserie: Erste Schritte als Administrator

• Skalieren von Mitgliedern, Gruppen und Sammlungen

Hilfeartikel

• Mitgliedsrollen und Berechtigungen