本指南将引导您为企业组织设置基于角色的权限。这让您可以控制特定团队或成员组可以访问哪些功能和连接器,并委派特定的管理员访问权限(如账单或用户管理),而不是给予所有人相同的权限。
在开始之前,请确保您熟悉以下内容:
在企业计划上管理组和组支出限制 — 如何创建和管理组
在企业计划上管理自定义角色 — 自定义角色和功能如何工作
开始之前
您需要对企业组织拥有所有者或主要所有者访问权限,或具有身份和访问权限设置为"管理"的自定义角色。
注意:其中一些步骤需要超过身份和访问权限自定义角色的权限:在组织级别启用功能需要所有者角色,更改成员角色需要用户管理设置为"管理"。
检查在组织级别启用了哪些功能。转到组织设置并确保您知道成员当前可以访问哪些功能。对于由RBAC管理的设置,组织设置和角色设置都需要打开,用户才能获得访问权限。
备份您的成员列表。在进行任何更改之前,从组织设置 > 成员导出当前成员的CSV文件。如果迁移过程中出现问题,这可以让您参考以恢复访问权限。请参阅在团队和企业计划上管理成员。
确定哪些团队或职能部门需要每项功能。例如,工程部门获得Claude Code + 快速模式,市场部门获得协作 + 网络搜索。从这里开始,定义您的自定义角色。
双座位计划。如果您的组织使用双座位企业计划(具有聊天和聊天 + Claude Code座位),自定义角色不会覆盖座位级别的限制。分配给仅聊天座位的成员无法访问Claude Code,即使其自定义角色授予了该权限。反之亦然:如果成员的自定义角色未授予聊天功能,无论其座位类型如何,他们都无法访问聊天。在规划角色结构时,请考虑座位分配。
注意:"聊天 + Claude Code"是指旧版双座位计划上的座位类型。自定义角色中的"聊天"功能是独立的——它管理任何计划上角色设置为"自定义"的任何成员的聊天访问权限。
决定如何创建组。您可以在Claude中手动创建组,或通过SCIM从身份提供商(IdP)同步组。您也可以同时使用两种方法。如果您计划使用来自Okta、Entra ID或其他提供商的IdP组,请确保配置了SCIM目录同步。请参阅设置JIT或SCIM预配。
添加您计划管理的连接器。连接器权限仅涵盖所有者或主要所有者已在组织设置 > 连接器下添加并使用管理员凭据连接的连接器。同时查看您的组织范围工具策略,因为角色授予在其中缩小范围,无法超越它。请参阅使用连接器扩展Claude的功能。
规划您的角色结构
在创建任何内容之前,决定每个团队或成员组应该有权访问哪些功能。以下是四种常见模式:
基础加附加角色
这是大多数组织推荐的方法。为所有人创建一个"标准访问"角色,包含网络搜索、记忆和项目等常见功能。然后创建附加角色,授予特定功能——例如,一个"启用协作"角色,仅添加协作。通过"所有用户"组将所有成员分配给基础角色,并将特定成员添加到额外的组,以分层添加额外功能。
这种模式很灵活,因为权限是附加的——将基础角色与附加角色结合可以干净地组合,不会产生冲突。
基于层级的角色
创建不同的层级:"完全访问"具有所有功能,"标准访问"具有大多数功能,"受限访问"具有最少功能。每个成员恰好进入一个分配给一个层级的组。
基于部门的角色
创建映射到部门的角色:"工程"具有聊天、协作、Claude Code和代码执行;"研究"具有聊天、网络搜索、记忆和项目;"业务"仅具有聊天、网络搜索和项目。将每个部门组分配给其对应的角色。
管理员委派角色
创建委派部分管理权限而不授予所有者角色的角色。具有管理权限的自定义角色不需要任何用户功能,反之亦然。您可以创建一个"财务"角色,授予账单访问权限但没有聊天或Claude Code功能,或一个
步骤1:审计您的当前设置
记住:您想要按组控制的任何功能都必须在组织级别启用。如果功能在组织级别被关闭,任何自定义角色都无法授予对其的访问权限。
重要:与具有用户角色的成员不同,分配给自定义角色的成员不会自动继承组织启用的功能。自定义角色成员需要的每项功能都必须由分配给其中一个组的自定义角色明确授予。
步骤2:创建自定义角色
在启用任何功能或迁移成员之前创建自定义角色。这确保您的角色已准备好在功能打开的那一刻强制执行访问。
导航到组织设置 > 角色。
点击"添加 角色"。
命名角色并在功能选项卡上切换适当的功能。
在权限选项卡上,为角色设置管理权限。请参阅步骤3。
在连接器选项卡上,为角色设置连接器权限。请参阅步骤4。
在模型选项卡上,为角色设置模型访问和默认模型。请参阅步骤5。
点击"保存角色"。
对计划中的每个角色重复此操作。
角色更改可能需要长达15分钟才能生效。成员可能需要刷新浏览器以查看更新的访问权限。
有关可用功能、管理权限和连接器的详细信息,请参阅在企业计划上管理自定义角色。
步骤3:配置管理权限(可选)
在每个角色上设置管理权限,以委派对管理设置(如账单、用户管理或隐私)的访问权限,而不授予所有者角色。此步骤是可选的。如果您不配置它,角色不授予任何管理访问权限,管理权限保留给所有者和主要所有者。有关每个权限区域涵盖的内容,请参阅在企业计划上管理自定义角色。
找到权限选项卡
导航至 组织设置 > 角色。
打开现有角色,或点击"添加角色"创建新角色。
选择权限选项卡,位于功能和连接器之间。
设置管理员权限
权限选项卡列出每个管理员区域:身份和访问、账单、分析、隐私、用户管理和库。将每个管理员区域设置为以下选项之一:
无访问权限:成员在其组织设置中看不到此区域。
可查看:查看授予只读访问权限。成员看到与可以管理该区域的人相同的页面和设置,但每个控件都被禁用或显示为只读。对于合规审查员、财务审计员、安全团队或任何需要查看配置但不更改配置的人员,请使用此权限级别。
可管理:管理授予对该区域的完整读写访问权限,并包括查看访问权限。
在一个区域内,您授予所有查看权限或所有管理权限。您无法授予或限制单个页面或设置。
注意:将身份和访问设置为"管理"的角色可以创建和编辑组和角色,包括其自己的角色定义。具有此权限的成员可以扩展自己的访问权限,因此请将其保留给受信任的安全和 IT 管理员。
验证执行情况
在将成员迁移到"自定义"角色后验证管理员权限(第 7 步)。请参阅第 11 步:验证和监控。
第 4 步:配置连接器权限(可选)
在每个角色上设置连接器权限,以控制该角色可以使用哪些连接器以及这些连接器上的哪些工具。此步骤是可选的。如果您不配置它,您的角色将回退到下面描述的默认行为。有关权限模型如何端到端工作的信息,请参阅在企业计划上管理自定义角色。
重要提示:当 Anthropic 为您的组织启用连接器权限时,每个现有的自定义角色都会使用"所有连接器"授权在"始终允许"处进行初始化。由于"始终允许"是最宽松的授权,您的组织范围工具策略单独决定了启用时每个成员的有效上限。成员在启用时既不获得也不失去访问权限。您的第一次配置通过从该基线开始缩小范围。
注意:新创建的角色在每个连接器上默认为"需要批准"。创建角色流程会逐步执行"连接器"选项卡,以便您在保存前看到此默认值。根据需要将连接器提升到"始终允许"或降低到"已阻止"。
找到"连接器"选项卡
导航至 组织设置 > 角色。
打开现有角色,或点击"添加角色"创建新角色。
选择连接器选项卡,位于权限旁边。
新角色的默认设置是宽松的。创建或修改角色时,请确认每个选项卡上的设置,以避免授予意外的权限。
设置连接器级权限
连接器选项卡在顶部列出所有连接器行,后跟您的组织添加的每个连接器。每行都有一个包含四个选项的下拉菜单:
始终允许:连接器上的每个工具都可用,成员可以将其自己的批准设置为"始终允许"。
需要批准:每个工具都可用,但成员需要确认每次调用。
已阻止:具有此角色的成员看不到该连接器。
自定义:单独设置连接器上的每个工具。请参阅下面的"设置每工具权限"。
选择"始终允许"、"需要批准"或"已阻止"会将该级别应用于连接器上的每个工具。所有连接器行的工作方式相同,但级别更高:它一次为每个连接器设置基线,包括您稍后添加的任何连接器。使用它为角色设置默认值,然后覆盖单个连接器。
设置每工具权限
将连接器设置为自定义以将其工具显示为单独的行。每个工具都有自己的下拉菜单:"始终允许"、"需要批准"或"已阻止"。
每工具权限让角色可以访问连接器的一部分。例如,将 Jira 设置为自定义,其 search_issues 工具设置为"需要批准",以及所有其他 Jira 工具设置为"已阻止",具有该角色的成员可以搜索 Jira,但不能执行其他操作。Claude 只看到您授予的工具,因此要求它创建工单会返回"我没有该工具"而不是错误。
审查跨角色冲突
由于连接器权限在角色之间是累加的,在一个角色中阻止连接器对同时拥有另一个授予该连接器的角色的成员没有影响。每个连接器行在其他角色以不同级别授予相同连接器时显示警告。警告会命名这些角色并链接到它们,最宽松的授权是适用的。
如果您在打开链接的角色时有未保存的编辑,系统会要求您先放弃它们。
验证执行情况
在将成员迁移到"自定义"角色后验证连接器权限(第 7 步)。请参阅第 11 步:验证和监控。
重要提示:如果您的组织使用 Claude Code,启用连接器权限也会将您的组织范围工具策略应用于 Claude Code。这只能在那里缩小工具访问权限,永远不会扩大,并且会影响所有成员。如果 Claude Code 被广泛部署,请在启用前查看您的组织范围工具策略。连接器权限和 Claude Code 托管设置按最严格的方式组合。请参阅Claude Code 设置。
第 5 步:配置模型访问权限(可选)
在每个角色上设置模型访问权限,以控制该角色可以使用哪些 Claude 模型,限制每个模型的最大工作量级别,并选择新对话开始的模型。此步骤是可选的;如果您不配置它,新角色可以使用在组织级别启用的每个模型,在任何工作量级别,并在组织默认模型上开始。
有关模型访问和默认模型设置如何端到端工作的信息,请参阅为您的组织管理模型访问和为您的组织设置默认模型。
找到"模型"选项卡
导航至 组织设置 > 角色。
打开现有角色,或点击"添加角色"创建新角色。
选择模型选项卡,位于连接器旁边。
设置模型访问权限
在模型访问下,为此角色打开或关闭每个模型。在组织级别禁用的模型会显示,但在您在组织设置 > 模型中为组织启用它们之前无法在此处启用。Haiku 模型始终打开,无法禁用。
要限制角色可以在模型上选择的工作量级别,请点击模型旁边的齿轮图标并选择一个级别。
在默认模型下,可选择为此角色选择新对话开始的模型。只能选择该角色有权访问的模型。
验证执行情况
在将成员迁移到"自定义"角色后验证模型访问权限。请参阅第 11 步:验证和监控。
第 6 步:创建群组并分配角色
导航到 组织设置 > 群组。
点击"添加群组"为您计划中的每个团队或层级创建一个群组。
将成员添加到相应的群组。
将每个群组分配给您在第 2 步中创建的自定义角色。
如果您使用 SCIM 目录同步,可以从身份提供商同步群组,而不是手动创建。有关 SCIM 群组同步的详细信息,请参阅 在企业计划中管理群组和群组支出限制。
同一父组织下的多个组织:群组在父组织级别进行管理,并传播到所有子组织。您可能会看到来自其他组织的成员列在某个群组中——这并不意味着他们有权访问您的组织。分配给群组的自定义角色仅向属于您特定组织的成员授予功能。
如果您请求将组织从一个父组织移动到另一个父组织(这在实践中很少见),群组和角色将变为未定义状态,您需要重新创建它们。
重要提示:如果您的组织使用"仅邀请"或 JIT 预配,您只能使用手动创建的群组进行 RBAC。这些模式不支持 SCIM 同步的群组。
第 7 步:验证群组和角色分配
在将成员迁移到自定义角色之前,请确认您计划迁移的每个成员至少在一个分配了自定义角色的群组中。在没有群组或角色覆盖的情况下迁移的成员将失去对所有受管功能的访问权限。
导航到 组织设置 > 成员。
使用"角色"和"群组"筛选器来识别未分配到任何群组的成员。
或者,点击"导出 CSV"下载包含角色和群组列的完整成员列表以供审查。
在继续之前,将任何未分配的成员添加到相应的群组。
第 8 步:将成员迁移到自定义角色
为了使自定义角色功能生效,成员必须将其角色设置为"自定义"。具有"用户"、"管理员"或"所有者"角色的成员直接从这些角色获取权限,而不是从自定义角色获取。
重要提示:仅在您创建了自定义角色、配置了管理员和连接器权限(如果您使用它们)、创建了群组并验证了所有成员都分配到群组后,才完成此步骤。在设置完成前移动到自定义角色的成员将立即失去对所有受管功能和其先前角色的访问权限。将所有者或管理员切换到自定义角色会移除其所有者或管理员访问权限,因此除非您打算用自定义角色权限替换该访问权限,否则不要迁移所有者或管理员。
根据您的组织是否已启用群组映射来选择迁移路径:
路径 A:启用群组映射(仅当已在使用时)
仅当您的组织已为角色分配启用群组映射时才使用此路径。如果您还未使用此设置,请跳至路径 B。
导航到 组织设置 > 组织和访问。
在角色映射部分,将您希望由自定义角色管理的 IdP 群组分配给"自定义"角色。
保存您的更改。这些 IdP 群组中的成员将在下次同步时迁移到"自定义"角色。
映射到"自定义"角色的 IdP 群组中的成员遵循分配给他们在 Claude 中的群组的自定义角色的权限。映射到"用户"的 IdP 群组中的成员遵循组织级别的功能设置。如果成员在两个映射中的群组中,"自定义"角色优先。
路径 B:批量分配工具
如果您的组织尚未启用群组映射,请使用此路径。
警告:如果您尚未启用群组映射,请不要在 RBAC 设置期间启用它。在未先将所有成员分配到映射群组的情况下启用它可能导致成员失去对您的组织的访问权限。
导航到 组织设置 > 成员。
使用"角色"和"群组"筛选器选择您要迁移的成员。
使用"成员"表中的批量分配工具将所选成员的角色更改为"自定义"。
我们建议先迁移一个试点群组——一个团队或部门——并验证他们的访问权限是否正确,然后再扩展到组织的其余部分。
逐步推出
无论您使用哪条路径,我们建议分阶段迁移:
从一个团队或部门的试点群组开始。
迁移后,根据他们的群组和角色分配验证试点群组是否具有正确的功能访问权限。
如果有问题,请将受影响的成员切换回其先前的角色,同时进行调整。
确认设置有效后,扩展到更多成员。
第 9 步:在组织级别启用功能
仅在角色、群组和成员迁移完成后才启用组织级别的功能。这确保自定义角色功能已就位,没有未授权成员可以访问功能的时间窗口。
对于您想按群组控制的任何功能:
导航到 组织设置中的功能设置页面(例如,组织设置 > 协作)。
在组织级别启用该功能。
在组织级别启用功能并不意味着每个人都能获得它——自定义角色权限已就位以控制谁可以使用它。将组织级别的切换视为使功能"可用于基于角色的分配",而不是"对所有人启用"。
第 10 步:应用群组支出限制(仅限基于使用情况的组织)
导航到"使用情况"页面,为任何群组分配每用户每月支出限制。
注意以下优先级规则:
个人限制始终覆盖群组限制,无论哪个更高。
如果用户属于具有不同限制的多个群组,支出默认值下的多群组支出限制设置控制是应用更高还是更低的限制。
组织范围的限制仍然是硬上限。
成员身份变更会自动生效——用户在其组成员身份变更时立即继承或失去限制。仅与基于使用量的计费组织相关。
步骤 11:验证和监控
抽查访问权限:在组织设置 > 成员中打开成员行右侧的"⋮"菜单,选择"查看有效角色"。模态框显示该成员在其所有角色中拥有的每项功能、管理员权限和连接器,并带有
测试受限状态:以不应拥有 Cowork 等功能的成员身份登录(或询问该成员)。他们应该看到该功能呈灰显状态,并显示消息"请联系您的管理员以请求访问此功能。"
测试授予状态:确认应拥有该功能的成员看到它正常工作。
检查边界情况:测试属于多个组的成员、不属于任何组的成员以及通过 SSO 加入的新成员。
如果您配置了管理员权限,还要检查:
组和角色分配:所有者可以通过检查成员在"成员"页面上的组分配以及这些组在"角色"页面上分配的角色来验证成员的访问权限。
组织设置:在组织设置中,成员只能看到其管理员权限涵盖的部分。其他所有内容都在其设置中隐藏。具有查看访问权限的成员以只读方式查看页面,控件被禁用。
分析访问权限:具有分析访问权限的成员将在设置 > 分析中查看分析,而不是在组织设置中。
如果您配置了连接器权限,还要检查:
连接器菜单:被阻止的连接器不会出现,而至少有一个授予工具的连接器会出现。
连接器设置:被阻止的工具呈灰显状态,显示"此工具未为您的角色启用。请联系您的管理员。"上限为"需要批准"的工具显示个人批准菜单,仅限于"询问"和"从不"。
在对话中:要求 Claude 使用被阻止的工具,它会报告没有该任务的工具。要求它使用"需要批准"的工具,批准提示会出现,但没有"始终允许"选项。
如果您配置了模型访问权限,还要检查:
模型选择器:禁用的模型不会出现,工作量菜单停止在角色的上限。
在对话中:要求成员切换到禁用的模型。它不应该被列出,在 Claude Code CLI 中,/model <disabled-model> 会返回错误。
角色变更可能需要长达 15 分钟才能在整个平台上生效。成员可能需要刷新浏览器以查看更新的访问权限。
将 SCIM 与基于角色的功能结合使用
SCIM 通过两个协同工作的机制连接到您的基于角色的功能。
IdP 组到角色的映射
这控制成员在配置时获得的内置角色。将您的 IdP 组映射到"自定义"角色,以便新成员的访问权限由自定义角色功能自动管理。
导航到组织设置 > 组织和访问。
在角色映射表中,将您的 IdP 组映射到"自定义"角色。
组同步
这会将您的 IdP 组拉入 Claude,以便可以将其分配给自定义角色。
导航到组织设置 > 组
在SCIM 同步部分中单击"检查更新"。
当提示同步组、成员或两者时,仅选择组。同步成员可能会影响配置和成员访问权限。
您的 IdP 组在列表中显示为 SCIM 源组。
将 SCIM 组分配给自定义角色,就像手动创建的组一样。
在您的 IdP 中,仅推送您实际打算用于 RBAC 或支出限制的组。同步所有 IdP 组可能会减慢"组"部分中的页面加载速度。
注意:自定义角色权限仅适用于在组织设置 > 成员中选择了"自定义"角色的成员。如果您通过组到角色的映射将 IdP 组映射到不同的角色(如用户),但将同一 SCIM 组分配给自定义角色,则自定义角色的权限无效——成员从其分配的角色获得权限。要使用自定义角色,请确保 IdP 组映射到"自定义"。
使用 SCIM 进行持续管理
要授予成员对功能的访问权限,请将其添加到相应的 IdP 组。在下一次同步时,他们会获得分配给该组的自定义角色。
要撤销访问权限,请将其从 IdP 组中删除。在下一次同步时,权限会被删除。
在"组"部分中单击"SCIM 同步"以强制立即同步,而不是等待下一次计划的同步。
回滚计划
如果您在迁移后发现角色结构配置错误:
关闭作为迁移一部分启用的任何组织级功能。
将受影响的成员改回其之前的内置角色(例如,用户)。
他们立即恢复该角色的静态权限,自定义角色权限停止应用。
根据需要调整角色和组,然后重新迁移。
如果您在设置期间启用了组映射并失去了管理员访问权限,请按照设置 JIT 或 SCIM 配置中"启用组映射后失去管理员/所有者访问权限"下的恢复步骤进行操作。
常见问题
如果我只想让某些成员拥有某项功能,是否需要在组织级别启用它?
是的。必须打开组织级别的切换开关,自定义角色才能控制每个成员的访问权限。如果功能在组织级别关闭,无论其角色如何,任何人都无法访问它。可以将其视为主开关——自定义角色控制谁可以在其下方访问。
如果角色设置为"自定义"的成员不在任何组中会发生什么?
他们没有自定义角色权限,因此所有需要权限的功能都呈灰显或隐藏状态。确保每个角色设置为"自定义"的成员至少在一个分配给自定义角色的组中。
成员的模型选择器中缺少一个模型。
要么该模型在组织级别被禁用(组织设置 > 模型),要么该成员的自定义角色都未授予该权限。组织级别的禁用会影响所有人,包括所有者和管理员。
如果自定义角色不授予聊天访问权限怎么办?
该角色中的成员将看不到 Claude 的聊天界面。他们登录时会进入设置页面。如果他们的角色授予其他产品(如 Cowork 或 Claude Code),这些产品仍可从其设置页面和相关应用中访问。
默认情况下,所有自定义角色都启用了聊天功能,因此只有在您有意为某个角色关闭聊天时,才需要担心这个问题。
我可以同时使用内置角色和自定义角色吗?
可以。具有用户、管理员或所有者角色的成员不受自定义角色权限的影响,因为他们直接从这些角色获得权限。只有角色设置为"自定义"的成员才受组和角色系统的控制。这允许逐步迁移。
如果成员在两个具有不同角色的组中怎么办?
权限是累加的。如果成员链中的任何角色授予某项功能,他们就拥有该功能。您不能使用一个角色来移除另一个角色授予的权限。
我可以同时使用 SCIM 组和手动组吗?
可以。两种类型都可以分配给自定义角色。区别在于 SCIM 组成员身份在您的身份提供商中管理,而手动组成员身份在 Claude 的组织设置中管理。
所有者和主要所有者是否受自定义角色权限的影响?
否。所有者和主要所有者始终拥有对所有功能的完全访问权限。
这在父组织和子组织之间如何工作?
组和 SCIM 同步在父组织级别进行管理,并在所有子组织中共享。角色和支出限制分配在每个子组织中独立配置——一个子组织中的更改不会影响其他子组织。组成员身份更改和 SCIM 重新同步会在同一父组织下的所有子组织中传播。
启用连接器权限时,我现有的自定义角色会发生什么?
每个现有角色都会被设置为"所有连接器"授予"始终允许",因此成员的访问权限在启用时不会改变。您可以从那里缩小访问范围。
新角色上的默认连接器权限是什么?
每个连接器上的"需要批准"。创建角色流程会逐步进行"连接器"选项卡,以便您在保存前看到这一点。
在我的角色存在后添加新连接器时会发生什么?
所有连接器"行设置为"始终允许"、"需要批准"或"已阻止"的角色会自动在该级别覆盖新连接器。"所有连接器"行设置为"自定义"的角色会将新连接器视为"已阻止",直到您设置它。"
我在某个角色中阻止了一个连接器,但具有该角色的成员仍然可以使用它。为什么?
检查该成员是否持有授予该权限的另一个角色,因为最宽松的授予在各角色中获胜。连接器行上的冲突警告列出了这些角色。还要确认该成员的角色设置为"自定义"。
我的组织范围工具策略已经阻止了一个工具。我需要在每个角色中都阻止它吗?
否。组织范围的策略是上限。在那里被阻止的工具对所有人都被阻止,无论角色授予如何。
角色可以授予组织范围策略设置为"需要批准"的工具吗?
该角色可以授予它,但更严格的设置获胜,因此成员看到它被限制在"需要批准"。要让成员设置"始终允许",请先将组织范围的策略提升到"始终允许"。
我可以在连接器上授予一个工具而不授予整个连接器吗?
可以。将连接器设置为"自定义",将该工具设置为"始终允许"或"需要批准",并将其余的设置为"已阻止"。
连接器权限是否适用于网络搜索或代码执行等内置工具?
否。内置功能在"功能"选项卡上管理。"连接器"选项卡管理您的组织添加的连接器。
连接器权限更改生效的速度有多快?
角色更改可能需要长达 15 分钟才能生效。成员可能需要刷新其浏览器。
具有权限的自定义角色中的某人可以给自己更多访问权限吗?
仅当其角色包含设置为"管理"的"身份和访问"时,这涵盖编辑角色和组。为受信任的安全和 IT 管理员保留该权限,因为它可用于更改角色定义,包括他们自己的定义。
我可以向用户、管理员、所有者或主要所有者角色中的成员授予管理员权限吗?
否。管理员权限仅适用于自定义角色中的成员。内置角色中的成员保留该角色授予的访问权限。要向某人授予特定的管理员权限,请将该成员更改为自定义角色,并将其添加到分配给具有他们需要的权限的角色的组中。请记住,这会移除他们之前的内置角色访问权限。
当某人没有特定设置的权限时,他们会看到什么?
组织设置仅显示其权限涵盖的部分。他们无权访问的部分在其组织设置中完全隐藏。
我如何审计谁拥有管理员访问权限?
如果某人需要跨多个区域的权限怎么办?
创建一个授予对多个区域访问权限的角色,或将该成员添加到多个组,其角色涵盖他们需要的区域。权限累加组合。





