権限を抑えた管理用アカウントの設定
Bitwarden メンバーの役割には、構成可能なカスタムメンバー役割(Enterprise のみ)を含む、事前定義済みの権限セットが 4 つ含まれています。ロックアウトを防ぎ、ユーザーアカウント管理を可能にするため、所有者と管理者にはデフォルトで完全な管理アクセス権が付与されています。
ユーザーが組織全体に対して日常的に持つアクセス権を制限するには、所有者アカウントにサービスアカウントのメールアドレスを設定できます。これらは通常はアクセスせず、すべての保管庫データに一度にアクセスする必要があるタスクを実行する場合にのみ使用します。また、管理者アカウントは、特定の権限セットを持つカスタムメンバー役割に権限を下げることができます。
このガイドでは、所有者アカウントの保管および承認の仕組みがすでに決定されていることを前提としています。管理者アカウントをカスタム役割に変更している間は、所有者アカウントにログインしたままにしておくことをお勧めします。
カスタムメンバー役割の定義
以下のカスタムメンバー役割は、ユーザーの管理者メンバー役割に置き換わります:
次のいずれかのボックスにチェックを入れます:
イベントログへのアクセス
レポートへのアクセス
新しいコレクションの作成
グループの管理
SSO の管理
ポリシーの管理
上記のいずれのオプションも、追加の保管庫アイテムへのアクセス権を付与しないことに注意してください。
サービスアカウントとして所有者メンバー役割を使用する
管理者ユーザーの権限を下げた後は、いくつかのタスクは、それらのタスクに必要な暗号化または API 権限のため、所有者アカウントでのみ実行できます。該当するタスクは次のとおりです:
組織保管庫のインポート/エクスポート
割り当てられていないコレクションの編集/削除
アカウント復旧
手動のユーザーオンボーディング/オフボーディング
組織 API キーへのアクセス
部門長/マネージャーの権限
管理者ユーザーをこのカスタムメンバー役割に変更したら、各コレクションへのアクセスを管理する担当者を指定する必要があります。この設定には、「部門長」にどの程度のアクセス権を付与するかに応じて、2 つの方法があります。
コレクションの「管理可能」権限
部門長に、管理してもらいたい任意のコレクションに対する「管理可能」権限を付与します。
部門長が新しいコレクションを作成できるようにする
「部門長」が現在割り当てられているコレクションの管理に加えて、新しいコレクションを作成できる必要がある場合は、2 つの選択肢があります。
すべてのユーザーにコレクションの作成を許可する
管理者コンソールで、設定 > 組織情報に移動します。そこから、コレクションの作成と削除を所有者と管理者に制限するかどうかを決定できます。すべてのユーザーがコレクションを作成できるようにする場合は、このボックスのチェックを外して保存します。
指定したメンバーにコレクション作成を制限する
コレクション管理オプションがオンの場合に部門長が新しいコレクションを作成できるようにするには、これらのメンバーに次のカスタム役割も付与する必要があります:
これらのメンバーには、既存のコレクションについては引き続き「管理可能」権限を付与する必要がありますが、自分が作成した新しいコレクションについては直ちに「管理可能」が付与されます。
追加リソース
ラーニングセンターのモジュール
動画シリーズ:管理者として始める