組織中數據安全相關的一些設置
在組織管理後臺的"安全"模塊下,可以統一配置組織安全相關功能。如限製成員查看通訊錄的範圍、用戶加入規則、屏幕水印、附件能否下載、加密規則和免密驗證等,還可以統一配置是否允許普通成員創建應用、創建API庫和開發插件。
用戶加入規則
組織管理員在組織管理後臺,依次選擇"安全" > "賬號", 可以設置人員加入組織時的一些規則,如審核機製,申請加入時必須填寫的身份信息等。
人員加入時審核
開啓邀請審核後: 非管理員通過邀請指定的手機號或郵箱,在對方注冊完成並加入組織時,需要管理員審核。如果關閉,則填寫組織信息後直接進入組織無需審核。
始終不需要審核的邀請方式: 管理員通過邀請指定的手機號或郵箱,在對方注冊完成後直接加入組織,不需要審核。
始終都需要審核的2種邀請方式: 1.用戶通過公共邀請鏈接注冊加入組織時,始終需要管理員審核。2.通過搜索組織門牌號加入組織時,始終需要管理員審核。
搜索門牌號加入組織
開啓後,用戶加入入職時搜索門牌號可以找到本組織,並申請加入。
關閉後,即使搜索到門牌號也不允許申請加入。
人員加入組織需要填寫的信息
在人員申請加入組織時,可以設置必須填寫的信息,如部門、職位、工號、工作地點等。不開啓的信息在申請時不顯示。
通訊錄可見範圍設置
組織管理員在組織管理後臺,依次選擇"安全" > "賬號", 可以設置通訊錄的可見範圍,以限製員工查看通訊錄的可見人員。
限製規則
支持兩種查看通訊錄的規則:
-
限製查看外部門
被選擇的人員,隻可看本部門的通訊錄(人員、部門架構)。支持白名單,和額外可見的外部門的其他人員。
-
限製查看所有人
被限製的人,不能看到企業所有通訊錄,人員和部門架構都不可見。支持添加指定可見的人。
場景示例
場景1:限製查看外部門
張明(在研發部)和銷售部的人 不能查看其他部門的通訊錄,但是可以查看人事部的人和財務部的會計姚芳。 此場景選擇的是限製查看外部門規則。
1、新建規則
2、在【隻允許查看本部門通訊錄】下 選擇 張明 和 銷售部。
3、在【額外可見的成員】下添加人事部和姚芳。
(需要說明的是,姚芳所在的財務部門被過濾隱藏瞭,因此需要在通訊錄的所有聯係人纔能看到劉蘭)
白名單
如果限製的範圍選擇瞭部門或者組織角色,那麼再選擇一個小範圍內的人員設置為白名單,白名單的人不受查看規則限製。
例如,組織的超級管理員在銷售部,那麼應該將管理員加為白名單,不然管理員也會受到查看限製,對其管理工作很不方便。
場景2:限製查看所有人
如果您的代理商也加入瞭組織,那麼代理商之間就是“同事”關係,是可以互相聊天和查看通訊錄的,這是一般是不允許的。我們可以通過 限製查看所有人 規則來限製這些代理商不能看其他任何人的通訊錄信息。
1、新建規則
2、在【限製查看所有人】下 通過組織角色,選擇代理商。 如有有些特彆代理商不限製,則可以通過白名單將其排查在外。
3、在【額外可見的成員】下添加指定可見的人,除瞭這些人,其他人都不可見。
通訊錄隱藏作用範圍
1、通訊錄中,按所有查看和按部門查看時會過濾看不到的人和部門
2、動態或討論中,@選擇人,會過濾看不到的人
3、添加成員的彈窗中,會過濾看不到的人和部門
生效優先級舉例
單個成員和所在部門
單個成員的規則要優先於所在部門的規則。
例如, 規則1 中 小明 可以看到 人事部;規則2中,小明所在的部門看不到人事部。
那麼最終,小明是可以看到人事部的。
上級部門和下級部門
-
設置1:僅設置瞭上級部門,沒有設置下級部門
如上圖規則中,隻勾選研發部 ,那麼研發部的權限和子部門是一樣的,即子部門繼承瞭上級部門的查看範圍。 研發1組、研發2組、研發部三個部門的人都是隻能看到這三個部門的通訊錄。
-
設置2:規則中即勾選瞭上級部門,也勾選下級部門
如上圖,同時勾選瞭研發部和研發1組,那麼研發1組需要遵循自己的規則。
研發部能看到的人: {研發部、研發1組、研發2組}
研發1組能看到的人:{研發1組}
研發2組能看到的人: {研發部、研發1組、研發2組}
3、成員存在多部門的問題
-
有一個部門沒有被限製,則不被限製
小明 既在銷售部也在市場部。 如果銷售部門被限製,市場部沒被限製,那麼小明依然可以查看所有的通訊錄。 即選擇可見範圍最大的原則。
-
所在部門都被限製,可見範圍取閤集。
規則1:銷售部 可以額外看到 人事部 和小麗。
規則2:市場部可以額外看到 研發部。
那麼小明最終可以看到的範圍是{人事部,研發部,小麗}
屏幕水印
為瞭保證企業信息安全,在組織後臺管理頁麵、應用的視圖和工作錶界麵,可以開啓屏幕水印功能,防止截屏泄密。
開啓或關閉水印
管理員依次點擊 "係統右上角頭像" > "組織管理" > "安全" > "數據" ,頁麵中即可開啓或關閉水印功能。
水印顯示效果
水印內容為當前使用者的姓名+手機號後四位,如果沒有綁定手機號,則顯示姓名+郵箱前綴。
水印顯示範圍
並非所有頁麵都顯示水印,主要在以下頁麵顯示
-
組織管理後臺的所有頁麵
-
應用中顯示用戶數據的頁麵
- 首頁
- 新增記錄頁麵
- 編輯記錄頁麵
- 視圖頁麵(記錄列錶頁麵)
- 自定義頁麵
- 用戶管理(包含外部門戶管理頁麵)
- 工作流列錶頁麵
應用內的錶單配置、工作流配置不顯示水印。
附件的預覽和下載也支持水印設置,點此查看
禁止成員下載附件
管理員可以限製組織成員下載應用內的附件來確保數據的安全性和保密性。也可以限製運行下載的設備終端類型。
限製入口: 組織管理員依次點擊 "係統右上角頭像" > "組織管理" > "安全" > "數據" ,頁麵中即可開啓或關閉下載附件的限製。
限製下載方式: 開啓後,繼續設置限製下載的方式:是所有終端設備下都不允許下載,還是僅限製在Web移動端中禁止下載。 Web移動端主要包括:手機瀏覽器、小程序、企業微信/釘釘/飛書等方式訪問的應用。
限製下載白名單: 對於設置的下載方式,如果有些人不需要限製,如管理層,管理員等,則可以加入到白名單,在白名單的人不受限製方式約束。
字段加密規則
業務數據中有些是比較私密的內容,可能需要進行單獨的加密,如:客戶賬號、身份證號、銀行卡、手機號、電話、郵箱、密碼等。加密後,以密文的方式被存儲至數據庫中,在查看數據時,根據規則進行解密明文顯示。
僅旗艦版可使用此功能
創建加密規則
在給字段加密前,組織管理員需要先配置可用的加密規則。
新建規則: 管理員在組織後臺,依次進入"安全" > "數據" ,在頁麵功能列錶中點擊"加密規則",進入管理頁麵,可以新建和管理加密規則。
加密規則主要包含: 加密方式、密鑰。同一個加密方式支持多次添加。
支持4種加密方式: AES128、AES192、AES256、SM4。
規則管理
每個組織自動創建一個默認加密規則(加密方式AES,密鑰隨機生成),組織下的超級管理員可以繼續創建加密規則(設置加密方式、密鑰)。
- 係統創建的加密規則不能修改、刪除
- 可設置默認加密規則
- 加密規則支持開關
對於單個加密規則,可以修改名稱,或查看使用此規則的字段
字段中啓用加密規則
加密規則創建完成後,在工作錶的字段中就可以選擇啓用的規則瞭。詳情參考字段加密
API網絡代理
在組織後臺,可以設置API網絡代理,組織內的應用在發送API請求時選擇通過設置的代理服務器發送請求。
僅支持旗艦版使用
開啓並設置
管理員在組織後臺,依次進入"安全" > "數據" ,在頁麵功能列錶中啓用"API網絡代理" 功能。開啓後,點擊按鈕旁邊的"設置"配置代理信息。
如果代理服務器僅配置瞭http,則發起https請求時忽略代理設置;反之亦然
可使用代理的地方
-
發送API請求節點
-
集成中心的API請求參數配置頁
應用功能限製
在組織中,有些能力可以僅允許管理員纔能使用,主要包括:創建新應用、公共API庫和開發插件三個能力。
組織管理員在組織管理後臺,依次進入"安全" > "其他" > "功能限製" ,在彈窗中可啓用相應模塊的功能限製。默認為開啓�狀態,全員可用。關閉後,則僅管理員可使用。
單附件上傳大小
此功能僅支持私有部署模式,SaaS模式不支持。
係統支持的附件大小上限為4G(4096M),管理員在組織管理後臺,依次進入"安全" > "其他" >"單附件上傳大小" ,在頁麵中管理員可統一設置組織下允許的附件大小上限。
統一設置後,可以將一些應用加入白名單 ,在白名單中的應用裏上傳的文件大小不受此處限製,可單獨設置上傳大小。
操作免驗證
在審批和自定義按鈕中,可以配置密碼驗證,如果密碼驗證後,想1個小時內免驗證操作,可以開啓免密驗證。
管理員在組織管理後臺,依次進入"安全" > "其他" ,在頁麵功能列錶中可啓用"操作免驗證"功能。
-
開啓後,全組織下的自定義按鈕、審批配置瞭登錄密碼驗證的地方,用戶可以勾選是1小時內免密驗證操作。
-
關閉後,全組織下的自定義按鈕、審批配置瞭登錄密碼驗證的地方必須每次驗證密碼後方可繼續操作。
