跳至主要內容

在企業方案上設定角色型權限

本指南將引導您為企業組織設定角色型權限。這可讓您控制特定團隊或成員群組可以存取哪些功能和連接器,並委派特定的管理員存取權(例如帳單或使用者管理),而不是給予所有人相同的權限。

開始前,請確保您熟悉:


開始前

您需要對企業組織具有擁有者或主要擁有者存取權,或具有身分識別與存取設定為「管理」的自訂角色。

注意:其中某些步驟需要超過身分識別與存取自訂角色的權限:在組織層級啟用功能需要擁有者角色,而變更成員角色需要使用者管理設定為「管理」。

檢查在組織層級啟用了哪些功能。前往組織設定並確保您知道成員目前可以存取哪些功能。對於由 RBAC 管理的設定,組織設定和角色設定都必須開啟,使用者才能獲得存取權。

備份您的成員清單。在進行任何變更前,從組織設定 > 成員匯出目前成員的 CSV。如果在遷移期間出現問題,這可讓您參考以還原存取權。請參閱在團隊和企業方案上管理成員

決定哪些團隊或職能需要每項功能。例如,工程部門獲得 Claude Code + 快速模式,行銷部門獲得協作 + 網路搜尋。從這裡開始,定義您的自訂角色。

雙座位方案。如果您的組織使用雙座位企業方案(具有聊天和聊天 + Claude Code 座位),自訂角色不會覆蓋座位層級的限制。指派給僅聊天座位的成員無法存取 Claude Code,即使其自訂角色授予了該權限。反之亦然:如果成員的自訂角色未授予聊天功能,無論其座位類型如何,他們都無法存取聊天。請在考慮座位指派的情況下規劃您的角色結構。

注意:「聊天 + Claude Code」是指舊版雙座位方案上的座位類型。自訂角色中的「聊天」功能是分開的 — 它控制任何方案上角色設定為「自訂」的任何成員的聊天存取。

決定您將如何建立群組。您可以在 Claude 中手動建立群組,或透過 SCIM 從身分識別提供者 (IdP) 同步群組。您也可以同時使用兩種方法。如果您計劃使用來自 Okta、Entra ID 或其他提供者的 IdP 群組,請確保已設定 SCIM 目錄同步。請參閱設定 JIT 或 SCIM 佈建

新增您計劃管理的連接器。連接器權限僅涵蓋擁有者或主要擁有者已在組織設定 > 連接器下新增並使用管理員認證連接的連接器。也請在那裡檢查您的組織範圍工具政策,因為角色授予會在其中縮小範圍,無法超越它。請參閱使用連接器擴展 Claude 的功能


規劃您的角色結構

在建立任何內容之前,決定每個團隊或成員群組應該有權存取哪些功能。以下是四種常見模式:

基礎加附加角色

這是大多數組織的建議方法。為所有人建立一個具有常見功能(如網路搜尋、記憶和專案)的「標準存取」角色。然後建立附加角色,授予特定功能 — 例如,只新增協作的「協作已啟用」角色。透過「所有使用者」群組將所有成員指派給基礎角色,並將特定成員新增到額外的群組,以分層新增額外功能。

此模式很靈活,因為權限是附加的 — 結合基礎角色和附加角色可以乾淨地組合,不會產生衝突。

分層角色

建立不同的層級:具有所有功能的「完整存取」、具有大多數功能的「標準存取」和具有最少功能的「受限存取」。每個成員恰好進入一個群組,該群組指派給一個層級。

部門型角色

建立對應於部門的角色:「工程」具有聊天、協作、Claude Code 和程式碼執行;「研究」具有聊天、網路搜尋、記憶和專案;「業務」僅具有聊天、網路搜尋和專案。將每個部門群組指派給其對應的角色。

管理員委派角色

建立委派部分管理而不授予擁有者角色的角色。具有管理員權限的自訂角色不需要任何使用者功能,反之亦然。您可以建立授予帳單存取權但沒有聊天或 Claude Code 功能的「財務」角色,或授予 Claude Code 加分析檢視存取權的「工程主管」角色。深入瞭解自訂角色的管理員權限


步驟 1:稽核您目前的設定

  1. 組織設定 > 功能中檢查目前在組織層級啟用或停用了哪些功能。

  2. 前往組織設定 > 成員以匯出或檢查您的成員清單。

  3. 記下每個成員目前的內建角色(使用者、管理員或擁有者)。

  4. 對於每個團隊或部門,決定他們需要存取哪些功能。

Claude 中組織設定頁面的圖像,在「人員」部分周圍有一個方框,其中包含三個選項:成員、群組和角色。

記住:您想要按群組控制的任何功能都必須在組織層級啟用。如果功能在組織層級被切換關閉,沒有自訂角色可以授予對其的存取權。

重要:與具有使用者角色的成員不同,指派給自訂角色的成員不會自動繼承組織啟用的功能。「自訂」角色成員需要的每項功能都必須由指派給其中一個群組的自訂角色明確授予。


步驟 2:建立自訂角色

在啟用任何功能或遷移成員之前建立您的自訂角色。這可確保您的角色已準備好在功能開啟的那一刻強制執行存取。

  1. 按一下「新增 角色」。

  2. 命名角色並在功能標籤上切換適當的功能。

  3. 權限標籤上,設定角色的管理員權限。請參閱步驟 3

  4. 連接器標籤上,設定角色的連接器權限。請參閱步驟 4

  5. 模型標籤上,設定角色的模型存取和預設模型。請參閱步驟 5

  6. 按一下「儲存角色」。

  7. 對計劃中的每個角色重複此操作。

角色變更可能需要最多 15 分鐘才能生效。成員可能需要重新整理其瀏覽器以查看更新的存取權。

請參閱在企業方案上管理自訂角色以取得可用功能、管理員權限和連接器的詳細資訊。


步驟 3:設定管理員權限(選用)

在每個角色上設定管理員權限,以委派對管理員設定(如帳單、使用者管理或隱私)的存取權,而不授予擁有者角色。此步驟是選用的。如果您未設定此項,角色不會授予任何管理員存取權,管理將保留給擁有者和主要擁有者。如需了解每個權限區域涵蓋的內容,請參閱在企業方案上管理自訂角色

找到「權限」標籤

  1. 開啟現有角色,或按一下「新增角色」以建立新角色。

  2. 選取 權限 標籤,位於 功能連接器 之間。

設定管理員權限

權限 標籤列出每個管理員區域:身分識別與存取、帳單、分析、隱私、使用者管理和程式庫。將每個管理員區域設定為下列其中一個選項:

  • 無存取權:成員在其組織設定中看不到此區域。

  • 可檢視:檢視授予唯讀存取權。成員看到的頁面和設定與可以管理該區域的人相同,但每個控制項都已停用或顯示為唯讀。對於合規性審查者、財務稽核員、安全團隊或任何需要查看設定但不變更設定的人員,請使用此權限等級。

  • 可管理:管理授予對該區域的完整讀寫存取權,並包括檢視存取權。

在區域內,您授予所有檢視或所有管理權限。您無法授予或限制個別頁面或設定。

注意:將身分識別與存取設定為「管理」的角色可以建立和編輯群組和角色,包括其自身的角色定義。具有此權限的成員可以擴展自己的存取權,因此請將其保留給受信任的安全和 IT 管理員。

驗證強制執行

在您將成員遷移至「自訂」角色後驗證管理員權限(步驟 7)。請參閱 步驟 11:驗證和監控


步驟 4:設定連接器權限(選用)

在每個角色上設定連接器權限,以控制該角色可以使用哪些連接器以及這些連接器上的哪些工具。此步驟是選用的。如果您未設定此項,您的角色將回退到下面描述的預設行為。如需了解權限模型如何端對端運作,請參閱 在企業方案上管理自訂角色

重要:當 Anthropic 為您的組織啟用連接器權限時,每個現有的自訂角色都會以「所有連接器」授予「一律允許」的方式進行植入。由於「一律允許」是最寬鬆的授予,您的組織範圍工具原則單獨決定每個成員在啟用時的有效上限。成員在啟用時既不會獲得也不會失去存取權。您的第一次設定傳遞會從該基準線縮小。

注意:新建立的角色在每個連接器上預設為「需要核准」。建立角色流程會逐步執行「連接器」標籤,以便您在儲存前看到此預設值。根據需要將連接器提升至「一律允許」或降低至「已封鎖」。

找到「連接器」標籤

  1. 開啟現有角色,或按一下「新增角色」以建立新角色。

  2. 選取 連接器 標籤,位於 權限 旁邊。

新角色的預設設定是寬鬆的。建立或修改角色時,請確認每個標籤上的設定,以避免授予非預期的權限。

設定連接器層級權限

連接器 標籤在頂部列出 所有連接器 列,後面跟著您的組織已新增的每個連接器。每列都有一個包含四個選項的下拉式清單:

  • 一律允許:連接器上的每個工具都可用,成員可以將其自己的核准設定為「一律允許」。

  • 需要核准:每個工具都可用,但成員確認每個呼叫。

  • 已封鎖:具有此角色的成員看不到連接器。

  • 自訂:個別設定連接器上的每個工具。請參閱下面的「設定各工具權限」。

選擇「一律允許」、「需要核准」或「已封鎖」會將該等級套用至連接器上的每個工具。所有連接器 列的運作方式相同,但層級更高:它一次為每個連接器設定基準,包括您稍後新增的任何連接器。使用它來設定角色的預設值,然後覆寫個別連接器。

設定各工具權限

將連接器設定為 自訂 以將其工具顯示為個別列。每個工具都有自己的下拉式清單:「一律允許」、「需要核准」或「已封鎖」。

各工具權限讓角色可以到達連接器的一部分。例如,將 Jira 設定為 自訂,其 search_issues 工具設定為「需要核准」,以及每個其他 Jira 工具設定為「已封鎖」,具有該角色的成員可以搜尋 Jira,但無法執行其他操作。Claude 只會看到您授予的工具,因此要求它建立票證會傳回「我沒有該工具」,而不是錯誤。

檢閱跨角色衝突

由於連接器權限在角色之間是累加的,在一個角色中封鎖連接器對同時持有另一個授予該連接器的角色的成員沒有影響。每列連接器會在其他角色以不同等級授予相同連接器時顯示警告。警告會命名這些角色並連結到它們,最寬鬆的授予是適用的授予。

如果您在開啟連結的角色時有未儲存的編輯,系統會要求您先捨棄它們。

驗證強制執行

在您將成員遷移至「自訂」角色後驗證連接器權限(步驟 7)。請參閱 步驟 11:驗證和監控

重要:如果您的組織使用 Claude Code,啟用連接器權限也會將您的組織範圍工具原則套用至 Claude Code。這只能縮小該處的工具存取權,永遠不會擴大,並且會影響所有成員。如果 Claude Code 廣泛部署,請在啟用前檢閱您的組織範圍工具原則。連接器權限和 Claude Code 受管設定由最具限制性的組成。請參閱 Claude Code 設定


步驟 5:設定模型存取(選用)

在每個角色上設定模型存取,以控制該角色可以使用哪些 Claude 模型、限制每個模型的最大努力等級,以及選擇新對話開始的模型。此步驟是選用的;如果您未設定此項,新角色可以使用在組織層級啟用的每個模型,在任何努力等級,並在組織預設模型上開始。

如需了解模型存取和預設模型設定如何端對端運作,請參閱 為您的組織管理模型存取為您的組織設定預設模型

找到「模型」標籤

  1. 開啟現有角色,或按一下「新增角色」以建立新角色。

  2. 選取 模型 標籤,位於 連接器 旁邊。

設定模型存取

模型存取 下,為此角色開啟或關閉每個模型。在組織層級停用的模型會出現,但在您在 組織設定 > 模型 中為組織開啟它們之前,無法在此啟用。Haiku 模型始終開啟,無法停用。

若要限制角色可以在模型上選擇的努力等級,請按一下模型旁邊的齒輪圖示,然後選擇一個等級。

預設模型 下,選擇性地選擇此角色的新對話開始的模型。只能選擇角色有存取權的模型。

驗證強制執行

在您將成員遷移至「自訂」角色後驗證模型存取。請參閱 步驟 11:驗證和監控


步驟 6:建立群組並指派角色

  1. 點擊「新增群組」為您計畫中的每個團隊或層級建立群組。

  2. 將成員新增至適當的群組。

  3. 將每個群組指派給您在步驟 2 中建立的自訂角色。

如果您使用 SCIM 目錄同步,可以從身分識別提供者同步群組,而不是手動建立。如需 SCIM 群組同步的詳細資訊,請參閱 在企業方案上管理群組和群組支出限制

同一父組織下的多個組織:群組在父組織層級進行管理,並傳播到所有子組織。您可能會看到來自其他組織的成員列在群組中,但這並不表示他們有權存取您的組織。指派給群組的自訂角色只會授予屬於您特定組織的成員的功能。

如果您要求將組織從一個父組織移至另一個父組織(這在實務中很少見),群組和角色將變成未定義,您需要重新建立它們。

重要:如果您的組織使用「僅限邀請」或 JIT 佈建,您只能使用手動建立的群組進行 RBAC。這些模式不支援 SCIM 同步群組。


步驟 7:驗證群組和角色指派

在將成員遷移至自訂角色之前,請確認您計畫遷移的每個成員至少在一個指派給自訂角色的群組中。在沒有群組或角色涵蓋的情況下遷移的成員將失去對所有受管功能的存取權。

  1. 使用「角色」和「群組」篩選器來識別未指派給任何群組的成員。

  2. 或者,點擊「匯出 CSV」以下載包含角色和群組欄的完整成員清單以供審查。

  3. 在繼續之前,將任何未指派的成員新增至適當的群組。


步驟 8:將成員遷移至自訂角色

為了使自訂角色功能生效,成員必須將其角色設定為「自訂」。具有「使用者」、「管理員」或「擁有者」角色的成員直接從這些角色獲得其權限,而不是從自訂角色獲得。

重要:只有在您建立了自訂角色、設定了管理員和連接器權限(如果您使用的話)、建立了群組,並驗證了所有成員都指派給群組之後,才能完成此步驟。在設定完成之前移至自訂角色的成員將立即失去對所有受管功能和其先前角色的存取權。將擁有者或管理員切換至自訂角色會移除其擁有者或管理員存取權,因此除非您打算用自訂角色權限取代該存取權,否則不要遷移擁有者或管理員。

根據您的組織是否已啟用群組對應來選擇遷移路徑:

路徑 A:啟用群組對應(僅在已使用時)

只有在您的組織已為角色指派啟用群組對應時,才使用此路徑。如果您還沒有使用此設定,請跳至路徑 B。

  1. 在角色對應部分中,將您想要由自訂角色管理的 IdP 群組指派給「自訂」角色。

  2. 儲存您的變更。這些 IdP 群組中的成員在下次同步時會遷移至「自訂」角色。

對應至「自訂」角色的 IdP 群組中的成員遵循指派給他們在 Claude 中的群組的自訂角色的權限。對應至「使用者」的 IdP 群組中的成員遵循組織層級的功能設定。如果成員在兩個對應中的群組中,「自訂」角色優先。

路徑 B:大量指派工具

如果您的組織尚未啟用群組對應,請使用此路徑。

警告:如果您還沒有啟用群組對應,請不要在 RBAC 設定期間啟用它。在未先將所有成員指派給對應群組的情況下啟用它可能會導致成員失去對您組織的存取權。

  1. 使用「角色」和「群組」篩選器來選擇您想要遷移的成員。

  2. 使用「成員」表中的大量指派工具將所選成員的角色變更為「自訂」。

我們建議先遷移試點群組(一個團隊或部門),並在擴展到組織其餘部分之前驗證其存取權是否正確。

逐步推出

無論您使用哪條路徑,我們建議分階段遷移:

  1. 從一個團隊或部門的試點群組開始。

  2. 遷移後,根據試點群組的群組和角色指派驗證他們是否具有正確的功能存取權。

  3. 如果有任何不對勁的地方,請將受影響的成員切換回其先前的角色,同時進行調整。

  4. 確認設定有效後,擴展到更多成員。


步驟 9:在組織層級啟用功能

只有在角色、群組和成員遷移完成後,才能啟用組織層級功能。這可確保自訂角色功能已就位,沒有未授權成員可以存取功能的時間窗口。

對於您想要按群組控制的任何功能:

  1. 導覽至 組織設定中的功能設定頁面(例如,組織設定 > 協作)。

  2. 在組織層級啟用功能。

在組織層級啟用功能並不意味著每個人都能獲得它,自訂角色權限已就位以控制誰可以使用它。將組織層級切換視為使功能「可用於基於角色的指派」,而不是「對所有人開啟」。


步驟 10:套用群組支出限制(僅限基於使用量的組織)

導覽至「使用量」頁面,為任何群組指派每位使用者的每月支出限制。

請注意以下優先順序規則:

  • 個別限制始終覆蓋群組限制,無論哪個更高。

  • 如果使用者屬於具有不同限制的多個群組,支出預設值下的多群組支出限制設定會控制是否套用較高或較低的限制。

  • 組織範圍的限制仍然是硬性上限。

成員身份變更會自動生效—使用者在群組成員身份變更時立即繼承或失去限制。僅適用於基於使用量計費的組織。


步驟 11:驗證和監控

  1. 抽查存取權限:在 組織設定 > 成員中,開啟成員列右側的「⋮」選單,然後選擇「檢視有效角色」。該模式視窗會顯示成員在所有角色中擁有的每項功能、管理員權限和連接器,並附有「授予者」標籤,說明每項功能由哪個角色提供。您也可以從 組織設定 > 群組對群組執行相同操作。如需詳細資訊,請參閱 在企業方案上管理自訂角色

  2. 測試受限狀態:以不應擁有 Cowork 等功能的成員身份登入(或詢問)。他們應該看到該功能呈灰色顯示,並顯示訊息「請聯絡您的管理員以要求存取此功能」。

  3. 測試授予狀態:確認應擁有該功能的成員看到該功能正常運作。

  4. 檢查邊界情況:測試多個群組中的成員、不在任何群組中的成員,以及透過 SSO 加入的新成員。

如果您設定了管理員權限,也請檢查:

  • 群組和角色指派:擁有者可以透過檢查「成員」頁面上的群組指派和「角色」頁面上這些群組指派的角色來驗證成員的存取權限。

  • 組織設定:在組織設定中,成員只能看到其管理員權限涵蓋的部分。其他所有內容都會從其設定中隱藏。具有檢視存取權限的成員會看到以唯讀方式顯示的頁面,且控制項已停用。

  • 分析存取權限:具有分析存取權限的成員將在 設定 > 分析中檢視分析,而不是在組織設定中。

如果您設定了連接器權限,也請檢查:

  • 連接器選單:被封鎖的連接器不會出現,而至少授予一個工具的連接器會出現。

  • 連接器設定:被封鎖的工具呈灰色顯示,並顯示「此工具未針對您的角色啟用。請聯絡您的管理員。」設定為「需要核准」的工具會顯示個人核准選單,限制為「要求」和「永不」。

  • 在對話中:要求 Claude 使用被封鎖的工具,它會報告沒有該工作的工具。要求它使用「需要核准」工具,核准提示會出現,但沒有「始終允許」選項。

如果您設定了模型存取權限,也請檢查:

  • 模型選擇器:已停用的模型不會出現,且工作量選單會停止在角色的上限。

  • 在對話中:要求成員切換到已停用的模型。它不應該被列出,在 Claude Code CLI 中,/model 會傳回錯誤。

角色變更可能需要最多 15 分鐘才能在整個平台上生效。成員可能需要重新整理其瀏覽器以查看更新的存取權限。


搭配角色型功能使用 SCIM

SCIM 透過兩個協同運作的機制連接到您的角色型功能。

IdP 群組到角色的對應

這會控制成員在佈建時獲得的內建角色。將您的 IdP 群組對應到「自訂」角色,以便新成員的存取權限自動由自訂角色功能管理。

  1. 在角色對應表中,將您的 IdP 群組對應到「自訂」角色。

群組同步

這會將您的 IdP 群組提取到 Claude 中,以便將其指派給自訂角色。

  1. SCIM 同步部分中按一下「檢查更新」。

  2. 當系統提示同步群組、成員或兩者時,僅選擇「群組」。同步成員可能會影響佈建和成員存取權限。

  3. 您的 IdP 群組會在清單中顯示為 SCIM 來源群組。

  4. 將 SCIM 群組指派給自訂角色,就像手動建立的群組一樣。

  5. 在您的 IdP 中,僅推送您實際打算用於 RBAC 或支出限制的群組。同步所有 IdP 群組可能會減慢「群組」部分中的頁面載入速度。

注意:自訂角色權限僅適用於在 組織設定 > 成員中選擇「自訂」角色的成員。如果您透過群組到角色的對應將 IdP 群組對應到不同的角色(例如使用者),但將相同的 SCIM 群組指派給自訂角色,則自訂角色的權限無效—成員會從其指派的角色獲得權限。若要使用自訂角色,請確保 IdP 群組已對應到「自訂」。

使用 SCIM 進行持續管理

  • 若要授予成員對功能的存取權限,請將其新增到適當的 IdP 群組。在下一次同步時,他們會取得指派給該群組的自訂角色。

  • 若要撤銷存取權限,請將其從 IdP 群組中移除。在下一次同步時,權限會被移除。

  • 在「群組」部分中按一下「SCIM 同步」以強制立即同步,而不是等待下一次排定的同步。


回復計畫

如果您在遷移後發現角色結構配置錯誤:

  1. 關閉作為遷移一部分啟用的任何組織層級功能。

  2. 將受影響的成員變更回其先前的內建角色(例如使用者)。

  3. 他們會立即重新獲得該角色的靜態權限,自訂角色權限會停止套用。

  4. 根據需要調整角色和群組,然後重新遷移。

如果您在設定期間啟用了群組對應並失去了管理員存取權限,請按照 設定 JIT 或 SCIM 佈建中「啟用群組對應後我失去了管理員/擁有者存取權限」下的復原步驟進行操作。


常見問題

如果我只想讓某些成員擁有某項功能,是否需要在組織層級啟用該功能?

是的。組織層級切換必須開啟,自訂角色才能控制每個成員的存取權限。如果功能在組織層級關閉,無論其角色如何,任何人都無法存取它。可以將其視為主開關—自訂角色控制誰可以在其下方存取。

如果角色設定為「自訂」的成員不在任何群組中會發生什麼?

他們沒有自訂角色權限,因此所有需要權限的功能都會呈灰色顯示或隱藏。請確保角色設定為「自訂」的每個成員至少在一個指派給自訂角色的群組中。

成員的模型選擇器中缺少模型。

模型在組織層級被停用(組織設定 > 模型),或成員的自訂角色都未授予該模型。組織層級的停用會影響所有人,包括擁有者和管理員。

如果自訂角色未授予聊天存取權限怎麼辦?

該角色中的成員將看不到 Claude 的聊天介面。登入時會進入設定頁面。如果其角色授予 Cowork 或 Claude Code 等其他產品,這些產品仍可從其設定頁面和相關應用程式存取。

聊天功能在所有自訂角色中預設為啟用,因此只有在您刻意關閉角色的聊天功能時,才需要擔心此問題。

我可以同時使用內建角色和自訂角色嗎?

可以。具有使用者、管理員或擁有者角色的成員不受自訂角色權限影響,因為他們直接從這些角色獲得權限。只有角色設定為「自訂」的成員才受群組和角色系統控制。這允許逐步遷移。

如果成員在兩個具有不同角色的群組中怎麼辦?

權限是累加的。如果成員鏈中的任何角色授予某項功能,他們就擁有該功能。您無法使用角色移除由另一個角色授予的權限。

我可以同時使用 SCIM 群組和手動群組嗎?

可以。兩種類型都可以指派給自訂角色。差異在於 SCIM 群組成員資格在您的身分提供者中管理,而手動群組成員資格在 Claude 的組織設定中管理。

擁有者和主要擁有者是否受自訂角色權限影響?

否。擁有者和主要擁有者始終擁有所有功能的完整存取權限。

這在父組織和子組織之間如何運作?

群組和 SCIM 同步在父組織層級進行管理,並在所有子組織間共用。角色和支出限制指派在每個子組織中獨立配置—一個子組織中的變更不會影響其他組織。群組成員資格變更和 SCIM 重新同步會在同一父組織下的所有子組織間傳播。

啟用連接器權限時,我現有的自訂角色會發生什麼?

每個現有角色都會以「所有連接器」授予「始終允許」進行初始化,因此成員的存取權限在啟用時不會改變。您可以從那裡縮小存取範圍。

新角色上的預設連接器權限是什麼?

每個連接器上的「需要批准」。建立角色流程會逐步進行「連接器」標籤,因此您在儲存前會看到此設定。

在我的角色存在後新增連接器時會發生什麼?

「所有連接器」列設定為「始終允許」、「需要批准」或「已封鎖」的角色會自動在該層級涵蓋新連接器。「所有連接器」列設定為「自訂」的角色會將新連接器視為「已封鎖」,直到您進行設定。

我在角色中封鎖了連接器,但具有該角色的成員仍然可以使用它。為什麼?

檢查成員是否持有授予該連接器的另一個角色,因為最寬鬆的授予在各角色間獲勝。連接器列上的衝突警告會列出這些角色。同時確認成員的角色設定為「自訂」。

我的組織範圍工具政策已經封鎖了一個工具。我需要在每個角色中都封鎖它嗎?

否。組織範圍政策是上限。在那裡被封鎖的工具對所有人都被封鎖,無論角色授予如何。

角色可以授予組織範圍政策設定為「需要批准」的工具嗎?

角色可以授予它,但更嚴格的設定會獲勝,因此成員看到它被限制在「需要批准」。若要讓成員設定「始終允許」,請先將組織範圍政策提升至「始終允許」。

我可以在連接器上授予一個工具而不授予整個連接器嗎?

可以。將連接器設定為「自訂」,將該工具設定為「始終允許」或「需要批准」,並將其餘工具設定為「已封鎖」。

連接器權限是否適用於網路搜尋或程式碼執行等內建工具?

否。內建功能在「功能」標籤上進行管理。「連接器」標籤管理您的組織已新增的連接器。

連接器權限變更多快生效?

角色變更最多可能需要 15 分鐘才能生效。成員可能需要重新整理其瀏覽器。

具有權限的自訂角色中的某人可以給自己更多存取權限嗎?

只有在其角色包含設定為「管理」的「身分與存取」時才可以,這涵蓋編輯角色和群組。為受信任的安全和 IT 管理員保留該權限,因為它可用於變更角色定義,包括他們自己的定義。

我可以向「使用者」、「管理員」、「擁有者」或「主要擁有者」角色中的成員授予管理員權限嗎?

否。管理員權限僅適用於自訂角色中的成員。內建角色上的成員保留該角色授予的存取權限。若要向某人授予特定管理員權限,請將成員變更為自訂角色,並將其新增至指派給具有他們所需權限的角色的群組。請記住,這會移除其先前的內建角色存取權限。

當某人沒有特定設定的權限時,他們會看到什麼?

組織設定僅顯示其權限涵蓋的部分。他們無法存取的部分在其組織設定中完全隱藏。

我如何稽核誰擁有管理員存取權限?

組織設定 > 角色顯示每個自訂角色授予的管理員權限,組織設定 > 群組顯示哪些群組指派給每個角色以及誰屬於這些群組。若要檢查特定成員,請在組織設定 > 成員上查詢其群組,然後查詢這些群組指派給的角色。

如果某人需要跨多個區域的權限怎麼辦?

建立一個授予多個區域存取權限的角色,或將成員新增至多個群組,其角色涵蓋他們所需的區域。權限以累加方式組合。

是否回答了您的問題?