少ない権限で管理者アカウントを設定する
Bitwardenのメンバーロールには、設定可能なカスタムメンバーロール(Enterpriseのみ)を含む、4つの事前定義された権限セットが含まれています。所有者と管理者は、ロックアウトを防止し、ユーザーアカウントの管理を可能にするために、デフォルトで完全な管理者アクセス権を持っています。
組織全体に対するユーザの日常的なアクセスを制限するために、所有者アカウントにサービスアカウントのメールアドレスを設定することができます。
このガイドでは、所有者アカウントの保存と承認の仕組みがすでに決定されていることを前提としています。管理者アカウントをカスタムロールに変更する際は、オーナーアカウントにログインしたまま行うことをお勧めします。
カスタム・メンバー・ロールの定義
以下のカスタムメンバーロールは、ユーザーの管理者メンバーロールを置き換えます:
以下のいずれかにチェックを入れる:
イベントログにアクセス
レポートにアクセス
コレクションの新規作成
グループを管理
SSO を管理
ポリシーの管理
上記のいずれのオプションも、追加の保管庫項目へのアクセスを提供しないことに注意してください。
Ownerメンバー・ロールをサービス・アカウントとして使用する
管理者ユーザがダウングレードされた今、いくつかのタスクは、これらのタスクが必要とする暗号化またはAPIパーミッションのために、所有者アカウント(複数可)を介してのみ達成することができます。これらのタスクは以下の通りである:
組織保管庫のインポート/エクスポート
未割り当てコレクションの編集/削除
アカウント回復
手動によるユーザーのオンボード/オフボード
組織APIキーへのアクセス
部門長/マネージャーの許可
管理者ユーザーをこのカスタムメンバーロールに変更したら、各コレクションへのアクセスを管理するユーザーを指定する必要があります。この設定には、「部門長」にどの程度のアクセス権を与えるかによって、2つの方法がある。
コレクション許可の管理
管理させたいコレクションについて、部門長に管理権限を与えます。
部門長が新しいコレクションを作成できるようにする
あなたの「部門長」が、現在割り当てられているコレクションを管理するだけでなく、新しいコレクションを作成する必要がある場合、2つのオプションがあります。
すべてのユーザーにコレクションの作成を許可する
管理者コンソールで、「設定」>「組織情報」の順に移動します。そこから、コレクションの作成と削除をオーナーと管理者に制限するかどうかを決定できます。すべてのユーザーがコレクションを作成できるようにしたい場合は、このボックスのチェックを外して保存してください。
コレクションの作成を指定されたメンバーに制限する
コレクション管理オプションがチェックされているときに、部門長に新しいコレクションを作成できるようにするには、そのメンバーに以下のカスタムロールを追加で付与する必要があります:
これらのメンバーは、既存のコレクションに対してCan manage権限を付与される必要がありますが、作成した新しいコレクションに対してはすぐにCan manage権限が付与されます。