企业策略
对应的官方文档地址
什么是企业策略?
企业策略使企业能够对所有用户强制执行安全规则,例如强制使用两步登录。
Bitwarden 强烈建议在邀请用户加入您的组织之前设置好企业策略。某些策略会在启用时撤销不合规的用户,而某些策略无法追溯执行。
设置企业策略
组织所有者和管理员可以应用企业策略。要更新策略:
1、使用 Bitwarden 网页 App,打开管理控制台。
2、选择设置。
3、选择策略。
4、选择您要更改的策略的名称:
5、选中或取消选中启用。
6、(可选)如果出现更多选项,请配置它们。
7、选择保存。
可用的策略
要求两步登录
启用要求两步登录策略将要求成员使用任何两步登录方法访问其密码库。如果使用的是 SSO 或身份提供程序的 2FA 功能,则无需启用此策略。即使是只接受了组织邀请的用户,也会执行此策略。
当您激活此策略时,非所有者或管理员且不遵守此策略的组织成员的访问权限将被撤销。由于此策略而被撤销访问权限的用户将收到电子邮件通知,并且必须采取措施使其合规,然后才能恢复其访问权限。
主密码要求
启用主密码要求策略,将对用户的主密码强度执行一套可配置的最低要求。组织可以强制执行:
-
最小主密码复杂度
-
最小主密码长度
-
所需字符类型
密码的复杂度按照 0(弱)到 4(强)的比例计算。Bitwarden 使用 zxcvbn 库 来计算密码复杂度。
使用要求现有成员更改他们的密码选项以要求现有的、不合规的组织成员(无论其角色如何)在下次登录时更新他们的主密码。通过组织邀请创建新账户的用户会被提示创建一个符合要求的主密码。
禁用 PIN 码解锁
启用禁用 PIN 码解锁策略后,成员将无法在网页 App、浏览器扩展和桌面 App 上配置或使用 PIN 码解锁。该策略打开后适用于所有组织成员,包括管理员和所有者。
在该策略实施前使用 PIN 码解锁的成员将在下次登录时执行该策略,也就是说,如果他们已经登录了会话,他们仍将在用户界面中看到该选项,并能使用 PIN 码解锁,直到他们注销或关闭客户端中的 PIN 码解锁选项。
账户恢复管理
启用账户恢复管理策略将允许所有者和管理员帮助成员重新获得对其账户的访问权限。使用此策略,所有者和管理员可以向已注册账户恢复的成员发送重置他们的主密码的链接。默认情况下,用户必须自行注册账户恢复才有资格拥有此功能。
要简化账户恢复注册,请选中为新成员启用自动注册。当新成员接受组织邀请时,这会为新成员注册账户恢复,并阻止他们从账户恢复中退出。当前组织成员不会追溯地添加,因此仍需要他们自行注册。
要在您的组织中使用受信任设备 SSO,您的组织必须开启账户恢复管理策略。
密码生成器
启用密码生成器策略将对任何用户生成的密码强制执行一套可配置的最低要求。组织可以强制执行:
-
密码、密码短语、或用户偏好
对于密码:
-
最小密码长度
-
最少数字 (0-9) 数量
-
最少特殊字符 (!@#$%^&*) 数量
-
所需字符类型
对于密码短语:
-
最少单词数
-
是否大写
-
是否包含数字
启用此策略后,现有的不符合要求的密码不会被更改,相关的项目也不会从组织中移除。启用此策略后,当更改或生成密码时,将强制要求符合此策略。
密码生成器界面上将显示一条横幅给用户,表明某个策略正在影响他们的生成器设置。
单一组织
启用单一组织策略将限制组织内的非所有者/非管理员成员加入其他组织或创建其他组织。即使是只接受了组织邀请的用户,也可以执行此策略,所有者和管理员不受此策略的约束。
当您激活此策略时,非所有者或管理员且不遵守此策略的组织成员的访问权限将被撤销。由于此策略而被撤销访问权限的用户将收到电子邮件通知,并且必须采取措施使其合规,然后才能恢复其访问权限。
在激活以下策略之前,必须启用单一组织策略:
如果您无法停用单一组织策略,请验证上述所有策略是否已停用,然后重试。
要求单点登录身份验证
启用要求单点登录身份验证策略将要求非所有者/非管理员用户使用 SSO 登录。如果是自托管,可以使用环境变量对所有者和管理员强制执行该策略。有关更多信息,请参阅 SSO 登录的使用。所有者和管理员不受此策略的约束。
使用此策略的组织成员将无法使用通行密钥登录。
强制组织数据所有权
启用强制组织数据所有权策略将要求非所有者/非管理员用户将密码库项目保存到组织中,防止组织成员拥有密码库项目的所有权。
在添加项目界面上将向用户显示一条横幅,表明某个策略正在影响他们的所有权选项。
即使是只接受了组织邀请的用户,也会执行此策略,所有者和管理员不受此策略的约束。
禁用 Send
启用禁用 Send 策略将阻止非所有者/非管理员用户使用 Bitwarden Send 创建或编辑 Send。受此策略约束的用户仍然可以删除尚未达到删除日期的现有 Send。所有者和管理员不受此策略的约束。
在 Send 视图中和打开任何现有的 Send 时,会向用户显示一个横幅,以表明某个策略限制他们只能删除 Send。
Send 选项
启用 Send 选项策略将允许所有者和管理员指定用于创建和编辑 Send 的选项。所有者和管理员不受此策略的约束。选项包括:
禁用支付卡项目类型
启用禁用支付卡项目类型策略将阻止成员创建或导入信用卡到组织和个人密码库。
作为多个组织成员的用户仍只能在允许使用支付卡的组织中使用支付卡,即使不同的组织已激活此策略。
现有支付卡将自动隐藏,但数据不会被删除,如果管理员禁用该策略,支付卡将重新出现。
默认 URI 匹配检测
启用默认 URI 匹配检测策略以为您的成员设置默认 URI 匹配检测。这可以帮助您配置自动填充,以最好地满足您组织的安全和策略需求。
启用此策略时,从下拉菜单中选择您组织的默认 URI 匹配检测:
-
基础域名
-
主机
-
精确
-
从不
激活策略后,成员无法在 ⚙️设置 → 自动填充中查看或更改其账户的默认 URI 匹配检测。但是,他们仍然可以为个人登录项目选择 URI 匹配。此策略不会影响组织所有者和管理员。
会话超时
启用会话超时策略以设置限制并控制成员的会话超时行为。您可以自定义两个选项:
-
从最大允许的超时下拉菜单中,设置会话可以保持活动状态的时间限制:
-
立即:当用户停止与 Bitwarden 交互时
-
自定义:当已输入的小时和分钟的时间后
-
系统锁定时:当设备锁定或屏幕保护程序激活时(仅限浏览器扩展和桌面 App)
-
App 重启时:当 Bitwarden App 关闭然后重新打开时
-
从不:不设置最大会话持续时间
-
-
从会话超时操作下拉菜单中,选择会话结束后发生的行为。您可以指定锁定或注销,或选择用户首选项以让成员在其账户设置中进行选择。
启用此策略并且用户编辑其账户的密码库超时设置时,超时选项将不会超过您为组织选择的最大值,并且某些选项(例如浏览器重启时和从不)将不可用。所有者和管理员不受此策略的约束。
禁用个人密码库导出
启用禁用个人密码库导出策略将禁止您组织的非所有者/非管理员成员导出其私人密码库数据。所有者和管理员不受此策略的约束。
在网页密码库和 CLI 中,会向用户显示一条消息,以表明某个策略正在影响他们的选项。在其他客户端中,该选项将被简单地禁用:
禁用免费 Bitwarden 家庭赞助
启用禁用免费 Bitwarden 家庭赞助策略将禁止您的组织成员通过您的组织兑换免费的家庭计划。
在该策略激活前已兑换赞助家庭组织的用户将继续获得其组织的赞助,直至当前账单周期结束。在下一个账单周期开始时,将通过该组织存储的付款方式收取费用。
激活自动填充
启用激活自动填充策略将自动为组织的所有现有和新成员打开浏览器扩展上的页面加载时自动填充功能。如果激活,成员将无法禁用页面加载时自动填充功能。
为允许的应用程序自动登录用户
启用为允许的应用程序自动登录用户策略,将允许在访问身份提供程序提供的非 SSO App 时自动填充并提交登录表单。要启用此设置:
1、要启用为允许的应用程序自动登录用户策略,请选中启用复选框,并输入身份提供程序主机 URL。URL 应包括 protocol://domain。
2、作为 IdP 的管理员,在终端用户控制面板上添加一个应用程序或 App 快捷方式,其中包含目标 URL,并添加参数 ?autofill=1。 例如,假如使用 Microsoft Azure:
3、保存应用程序后,用户可从 IdP 面板上选择应用程序,Bitwarden 将自动填充并登录应用程序。
最后更新于