安全角色功能面向 SAT Advanced、铂金级及钻石级客户开放,可为指定用户群组设置相应的管理权限级别。安全角色可帮助您在 KSAT 控制台中遵循最小权限原则,确保仅限有需要的用户可以访问控制台中各个区域。
有关简短概述,请观看视频如何使用安全角色。有关更多具体信息,请继续阅读或单击下方链接。
设置安全角色
首先,您需要保证已经在控制台中设置群组,因为安全角色是应用于群组而不是用户。有关更多信息,请参阅文章用户与群组管理指南文章的管理群组部分。
设置完群组后,即可按以下步骤为特定群组创建安全角色:
- 前往控制台中的用户选项卡,然后单击安全角色子选项卡。
- 单击屏幕右上角的 + 新安全角色按钮。
- 在安全角色名称字段中,为该安全角色输入一个名称。
-
然后,从群组下拉菜单中选择一个或多个群组,将此角色分配给所选群组。
- 前往其余子选项卡,并选择此安全角色需要具备的权限。屏幕上的其余子选项卡包含控制台中相应区域的权限选项。有关每个权限所含内容的详细信息,请参阅以下“权限说明”部分。您可以进一步限定只有特定定向目标组才具备部分权限。
- 选择完权限后,即可单击创建安全角色按钮。任何受到您所指定的安全角色影响的用户,会立即获得指定区域的访问权限。
管理安全角色
要管理您的安全角色,请前往 KSAT 控制台的用户选项卡,并选择安全角色子选项卡。此处列出了您创建的所有安全角色。
有关安全角色子选项卡的更多信息,请查看以下截图和列表:
- 搜索:按名称或群组搜索安全角色。
- 安全角色名称:单击安全角色的名称,查看并编辑该角色的权限。
- 群组:此列会列出已分配此安全角色的所有群组。单击群组名称,查看有关该群组的更多详情。
- 用户:此列会显示已分配此安全角色的用户数量。
-
Actions:使用下拉菜单来编辑、复制或删除安全角色。有关更多信息,请查看以下列表:
- 编辑:查看并编辑该角色的权限。
- 复制:复制安全角色后将打开创建安全角色屏幕。系统将自动选择与已复制群组相同的权限。您可根据需要修改名称、安全角色群组、权限设置和定向目标组。然后,您可单击复制安全角色按钮,保存您的新群组。
- 删除:删除安全角色会从控制台中完全移除该角色。此操作无法撤销。
权限说明
单击下方任何一个选项卡,详细了解对应控制台区域的可用权限。
| 账户设置 | 无访问权限:此权限不提供对账户设置区域的访问权限。 |
|---|---|
| 读取:此权限可提供查看所有账户设置的功能。 | |
| 读取/写入:此权限可提供上述所有访问权限以及查看和修改所有账户设置的功能。 | |
| 审计记录 | 无访问权限:此权限不提供对审计记录页面的访问权限。 |
| 显示:此权限提供对审计记录页面的访问权限。拥有此权限可查看过去 180 天内 KSAT 控制台中所做更改的详细信息。这些信息包括控制台中做出了哪些更改、哪个用户进行了这些更改以及更改发生在何处。 | |
| 用户和群组 | 无访问权限:此权限不提供对用户选项卡的访问权限。 |
|
读取:此权限可提供对用户选项卡的访问权限。此权限包括以下功能:查看用户列表和单个用户个人资料、查看群组和群组成员以及查看用户配置信息(如适用)。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。如果您选择定向目标组,则此角色无法访问导入用户、配置或合并用户子选项卡。 | |
|
读取/写入:此权限可提供上述已授予的所有访问权限以及创建、修改或删除用户和群组的功能。您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 如果您选择定向目标组,则此角色无法访问导入用户、配置或合并用户子选项卡。您能够修改任何定向目标组中的用户信息,但不能使用其他用户管理功能。 | |
| ASAP | 无访问权限:此权限不提供对 ASAP 选项卡的访问权限。 |
| 读取:此权限可提供对 ASAP 选项卡的访问权限。此权限包括查看任务列表、日历和报告的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及重置 ASAP 和修改任务列表、日历及开始日期的功能。 | |
| U 盘测试活动 | 无访问权限:此权限不提供对 USB 选项卡的访问权限。 |
| 读取:此权限可提供对 USB 选项卡的访问权限。任何具有此权限的群组都能查看现有的 U 盘测试活动和报告。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限,以及创建、编辑和删除 U 盘测试活动的功能。 | |
| 实体二维码活动 | 无访问权限:此权限不提供对实体二维码选项卡的访问权限。 |
| 读取:此权限不提供对实体二维码选项卡的访问权限。任何具有此权限的群组都能查看现有实体二维码活动和模板。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限,以及创建、编辑和删除实体二维码活动的功能。 | |
| Second Chance | 无访问权限:此权限不提供对 Second Chance 选项卡的访问权限。 |
| 读取:此权限可提供对 Second Chance 选项卡的访问权限。任何具有此权限的群组都能查看用户、设备和设置。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限,以及编辑 Second Chance 设置的功能。 | |
| PasswordIQ | 无访问权限:此权限不提供对 PasswordIQ 选项卡的访问权限。 |
| 读取/写入:此权限提供对 PasswordIQ 选项卡的访问权限。具有此权限的群组可查看和使用 PasswordIQ 数据。 | |
| KnowBe4 社区 | 无访问权限:此权限不提供对 KnowBe4 社区的访问权限。 |
|
访问权限:此权限提供对 KnowBe4 社区的访问权限。
注意:除此权限外,还必须启用其他安全角色。 | |
| KnowBe4 培训学院 | 无访问权限:此权限不提供对 KnowBe4 培训学院的访问权限。 |
|
访问权限:此权限提供对 KnowBe4 培训学院的访问权限。
注意:除此权限外,还必须启用其他安全角色。 |
| 网络钓鱼活动 | 无访问权限:此权限不提供对网络钓鱼选项卡中活动子选项卡的访问权限。 |
|---|---|
|
读取:此权限可提供对网络钓鱼选项卡中活动子选项卡的访问权限。任何具有此权限的群组都能查看现有的网络钓鱼活动以及查看和下载报告。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
|
读取/写入:此权限可提供上述已授予的所有访问权限以及创建、编辑、隐藏或删除网络钓鱼活动的功能。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
| 网络钓鱼模板 | 无访问权限:此权限不提供对网络钓鱼选项卡中电子邮件模板子选项卡的访问权限。 |
| 读取:允许用户查看或修改网络钓鱼 > 网络钓鱼模板子选项卡。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建、编辑和删除网络钓鱼模板及网络钓鱼模板类别的功能。 | |
| 网络钓鱼登陆页 | 无访问权限:此权限不提供对网络钓鱼选项卡中登陆页子选项卡的访问权限。 |
| 读取:此权限可提供对网络钓鱼选项卡中登陆页子选项卡的访问权限。此权限包括查看可用登陆页和登陆页类别的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建、编辑和删除登陆页及登陆页类别的功能。 | |
| 网络钓鱼报告 | 无访问权限:此权限不提供对网络钓鱼选项卡中报告子选项卡的访问权限。 |
|
显示:此权限可提供对网络钓鱼选项卡中报告子选项卡的访问权限。此权限包括创建和下载综合网络钓鱼报告以及查看网络钓鱼活动结果的功能。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
| 网络钓鱼报表面板 | 无访问权限:没有此权限的群组不能查看报表面板选项卡的网络钓鱼部分。只有获得网络钓鱼报表面板的权限才会显示报表面板选项卡。 |
| 显示:具有此权限的群组能够查看报表面板选项卡的网络钓鱼部分。具有此权限的群组不能点击获取其他数据,除非获得其他网络钓鱼权限。 |
| 报表面板和报告 | 无访问权限:此权限不提供对 SecurityCoach 选项卡中报表面板和报告子选项卡的访问权限。 |
|---|---|
| 显示:此权限可提供对 SecurityCoach 选项卡中报表面板和报告子选项卡的访问权限。 | |
| 实时辅导与 SecurityTips | 无访问权限:此权限不提供对 SecurityCoach 选项卡中实时辅导和 SecurityTip 子选项卡的访问权限。 |
| 读取:此权限可提供对 SecurityCoach 选项卡中实时辅导和 SecurityTip 子选项卡的访问权限。具有此权限的群组能够查看实时辅导子选项卡上的现有实时辅导活动以及 SecurityTips 子选项卡上的内容。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建、编辑或删除实时辅导活动的功能。 | |
| 检测规则 | 无访问权限:此权限不提供对 SecurityCoach 选项卡中检测规则子选项卡的访问权限。 |
| 读取:此权限可提供相应访问权限,以便查看 SecurityCoach 选项卡中检测规则子选项卡的现有检测规则。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建和编辑检测规则的功能。 | |
| 设置 | 无访问权限:此权限不提供对 SecurityCoach 选项卡中设置子选项卡的访问权限。 |
| 读取/写入:此权限可提供对 SecurityCoach 选项卡中设置子选项卡的访问权限。具有此权限的群组能够查看和编辑 SecurityCoach 的配置设置。 | |
| 系统通知 | 无访问权限:此权限不提供对用户个人设置中通知和警报子选项卡的访问权限。 |
| 读取/写入:此权限提供对用户个人设置中通知和警报子选项卡的访问权限。拥有此权限的群组可以查看、订阅和管理其对 SecurityCoach 系统通知和警报的个人订阅。 |
| 培训活动 | 无访问权限:此权限不提供对培训选项卡中活动子选项卡的访问权限。 |
|---|---|
|
读取:此权限可提供对培训选项卡中活动子选项卡的访问权限。具有此权限的群组能够查看现有的培训活动以及查看和下载报告。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
|
读取/管理:此权限可提供上述已授予的所有访问权限以及管理活动的功能,包括发送手动培训通知、传递和重置用户完成进度、从培训活动中移除用户以及下载个人培训活动报告。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
|
完全读取/写入:此权限可提供上述已授予的所有访问权限以及创建、编辑和删除培训活动的功能。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
|
允许安全角色用户在培训活动中注册其他用户:启用后,分配了此安全角色的用户可使用注册用户功能。该功能让他们可以在激活的培训活动中注册单个用户。如果您选择了定向目标组,则只有这些群组中的用户能使用此功能进行注册。
注意:具有此“安全角色”权限但没有“所有用户”访问权限的用户将只能看到他们有权访问的定向目标组的培训活动。定向目标组之外的任何用户都将在培训活动中隐藏其注册情况。 | |
| 培训通知模板 | 无访问权限:此权限不提供对培训选项卡中通知模板子选项卡的访问权限。 |
| 读取:此权限可提供对培训选项卡中通知模板子选项卡的访问权限。此权限包括查看可用培训通知和培训通知类别的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建、编辑和删除培训通知及培训通知类别的功能。 | |
| 政策管理 | 无访问权限:此权限不提供对培训选项卡中政策子选项卡的访问权限。 |
| 读取:此权限可提供对培训选项卡中政策子选项卡的访问权限。此权限包括查看和预览已上传政策的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及上传和发布新政策的功能。 | |
| 培训报告 | 无访问权限:此权限不提供对培训选项卡中报告子选项卡的访问权限。 |
|
显示:此权限可提供对培训选项卡中报告子选项卡的访问权限。此权限包括创建、查看和下载培训相关报告的功能。 您可使用定向目标组下拉菜单,进一步限制已选定群组的访问权限。 | |
| 培训报表面板 | 无访问权限:没有此权限的群组不能查看报表面板选项卡的培训部分。只有获得培训报表面板的权限才会显示报表面板选项卡。 |
| 显示:具有此权限的群组能够查看报表面板选项卡的培训部分。具有此权限的群组不能点击获取其他数据,除非获得其他培训权限。 |
| ModStore | 无访问权限:此权限不提供对 ModStore 中浏览子选项卡的访问权限。 |
|---|---|
| 读取:此权限可提供对 ModStore 选项卡的访问权限。此权限包括浏览和预览所有可用 ModStore 内容的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及将内容添加至库和下载项目的功能。 | |
| 学习路径 | 无访问权限:此权限不提供对 ModStore 中学习路径子选项卡的访问权限。 |
| 读取:此权限提供对 ModStore 中学习路径子选项卡的访问权限。此权限包括浏览和预览所有可用学习路径的功能。 | |
| 库 | 无访问权限:此权限不提供对 ModStore 中库子选项卡的访问权限。 |
| 读取:此权限可提供对 ModStore 中库子选项卡的访问权限。此权限包括查看和预览库中项目的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及从库中下载项目的功能。 | |
| 上传的内容 | 无访问权限:此权限不提供对 ModStore 中上传的内容子选项卡的访问权限。 |
| 读取:此权限可提供对 ModStore 中上传的内容子选项卡的访问权限。此权限包括查看和预览已上传内容的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及上传和发布自定义内容的功能。 | |
| 品牌化的内容和内容管理器 | 无访问权限:不提供对 ModStore 中品牌化的内容和内容管理器子选项卡的访问权限。 |
| 读取:可提供对 ModStore 中品牌化的内容和内容管理器子选项卡的访问权限。能够查看已应用的品牌化的主题和内容管理器的设置。 | |
| 读取/写入:可提供上述已授予的所有访问权限以及创建和应用品牌化的主题并调整内容管理器设置的功能。 |
| 报告 | 无访问权限:此权限不提供对报告选项卡和“下载中心”的访问权限。其中不包括查看执行报告和已保存报告的功能。 |
|---|---|
| 读取:此权限可提供上述已授予的所有访问权限以及查看执行报告和已保存报告的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建和保存执行报告的功能。 | |
| 网络钓鱼报告 | 此权限可提供对已选定网络钓鱼报告的访问权限。 |
| 培训报告 | 此权限可提供对已选定培训报告的访问权限。 |
| 其他报告 | 此权限可提供对其他已选定报告的访问权限。 |
| SecurityCoach 报告 | 此权限可提供对已选定 SecurityCoach 报告的访问权限。 |
| 发送报告 |
重要提示:需要具备报告读取访问权限或执行报告读取访问权限,才能获得此权限。 |
| 无访问权限:此权限不提供发送和安排报告的访问权限。 | |
| 读取/写入:此权限可提供发送和安排报告的功能。 | |
| 执行报告 | 无访问权限:此权限不提供对执行报告子选项卡的访问权限。 |
| 读取:此权限可提供对执行报告子选项卡的访问权限。此权限包括查看执行报告的功能。 | |
| 读取/写入:此权限可提供上述已授予的所有访问权限以及创建执行报告的功能。 |
AIDA 安全角色
KnowBe4 的 Artificial Intelligence Defense Agents (AIDA) 可帮助您运用 AI 管理人为风险。这些代理没有专属的安全设置。相反,它们会直接继承现有安全角色的权限。
当您为某个角色设置权限级别时,这些相同的权限会自动应用于关联该角色的代理。下表显示了每个代理、代理关联的安全角色以及该角色的可用权限级别。
| 代理 | 安全角色 | 权限选项 |
|---|---|---|
| AIDA Orchestration | 通用 > AIDA Orchestration |
无访问权限:用户无法访问 AIDA Orchestration 选项卡。 读取:用户可查看现有 Orchestration 设置和活动 读取/写入:用户可查看、创建、编辑及删除 Orchestration 计划,设置进行中培训通知,配置补习培训并查看 Orchestration 活动。
注意:为确保正确显示用户列表,我们建议至少还提供对用户和群组的读取访问权限。 |
| 补习培训 | 培训 > 培训活动 |
无访问权限:用户无法访问“培训”选项卡下的“AIDA 培训”子选项卡。 读取:用户可以查看现有的补习培训并访问培训报告。 读取/管理:所有读取权限加上以下选项:发送手动培训通知、传递和重置用户完成进度以及下载报告。用户不能启用或禁用补习培训,只能通过培训报告上的操作进行管理。 完全读取/写入:所有读取/管理权限,加上配置和调整所有补习培训设置(包括启用和禁用补习培训)。 |
|
网络钓鱼模板生成器 回电模板生成器 |
网络钓鱼 > 网络钓鱼模板 |
无访问权限:用户无法访问“网络钓鱼”选项卡下的“网络钓鱼模板”和“回电网络钓鱼”子选项卡。AIDA 生成的模板和“创建 AIDA 模板”按钮不可见。 读取:用户可以在“网络钓鱼模板”和“回电网络钓鱼”子选项卡中查看 AIDA 生成的模板。 读取/写入:用户可以查看、创建、编辑和删除 AIDA 生成的网络钓鱼和回电网络钓鱼模板。 |
| 知识复习 | 培训 > 培训活动 |
无访问权限:用户无法访问培训活动功能。 读取:用户可以查看现有的培训活动,并访问含有已启用知识复习的报告。 读取/管理:所有读取权限加上以下功能:发送手动培训通知;传递和重置用户完成进度(包括知识复习进度);下载个人培训活动报告。 完全读取/写入:所有读取/管理权限加上以下功能:创建、编辑和删除培训活动以及启用、禁用和配置知识复习设置。 |
| 政策测验 | 培训 > 政策管理 |
无访问权限:用户无权访问“培训”选项卡下的“政策”子选项卡。 读取:用户可以在“培训”选项卡下的“政策”子选项卡中查看 AIDA 生成的政策测验。 读取/写入:用户可以查看、创建、编辑和删除 AIDA 生成的政策测验。 |
安全角色用例
查看以下几个示例,了解如何根据员工的工作职责或要求通过安全角色限制控制台访问权限。单击每个用例下拉菜单,了解更多信息。
为 KSAT 控制台创建安全角色时,一定要考虑您自己的组织结构和需求。
-
示例:为人力资源群组提供权限,让该组能够向 KSAT 控制台添加新用户,但无法创建或管理网络钓鱼活动和培训活动。
权限:打开通用子选项卡,为用户与群组选择读取/写入。
-
示例:为顾问群组提供访问权限,让该组能够创建网络钓鱼模板、登陆页和培训通知,但群组个人无法访问任何用户、网络钓鱼或培训数据。
权限:打开网络钓鱼子选项卡,为网络钓鱼模板和网络钓鱼登陆页选择读取/写入。
打开培训子选项卡,为培训通知模板选择读取/写入。
-
示例:为合规经理群组提供权限,让该组能够查看用户是否按时完成培训、下载培训相关报告以及向用户和经理发送通知。
权限:打开培训子选项卡,为培训活动选择读取/管理并为培训报告选择显示。
-
示例:为培训经理群组提供权限,让该组能够查看 ModStore 中所有可用内容、将相应内容添加至您账户的库以及查看库中的内容。
权限:打开 ModStore 子选项卡,为 ModStore 选择读取/写入并为库选择读取。
-
示例:为经理提供权限,使其能够查看特定用户群组的培训状态和网络钓鱼测试结果。经理无法查看未在其中注册群组的活动。
我们必须先将经理放在唯一的用户群组里,才能将特定的安全角色分配给此经理。我们还需要一个由经理的用户组成的群组。我们建议根据用户个人资料中的经理姓名,创建一个智能组。有关更多信息,请参阅智能组概览。
权限:打开通用子选项卡,为用户与群组选择读取。然后,从定向目标组下拉菜单中选择对应群组。
打开网络钓鱼子选项卡,为网络钓鱼活动选择读取并为网络钓鱼报告选择显示。然后,从定向目标组下拉菜单中选择对应群组。
打开培训子选项卡,为培训活动选择读取并为培训报告选择显示。然后,从定向目标组下拉菜单中选择对应群组。
常见问题解答 (FAQ)
有关安全角色的常见问题解答如下:
-
问:我在控制台上没有看到安全角色子选项卡。
答:如果订阅等级为 SAT Advanced、铂金级或钻石级,您在单击控制台顶部的用户选项卡后,即可看到安全角色子选项卡。
如果您是 SAT Advanced、铂金级或钻石级客户,但仍无法找到安全角色子选项卡,则可联系支持人员寻求帮助。如果您还不是 SAT Advanced、铂金级或钻石级客户,但有意升级订阅,可联系客户成功经理协助办理。
-
问:如果一个用户属于两个群组,且每组分别指定了单独的安全角色,则该用户将获得什么权限?
答:权限是可添加的,也就是说,如果您在某用户所属群组的安全角色中指定了权限,则该用户可获得所有已指定权限。
为用户提供具有不同权限的多个安全角色,该用户中的权限不会被移除。
-
问:我能否为某人提供创建安全角色的功能?
答:只有 KSAT 控制台中的管理员才能创建安全角色。管理员可以访问控制台的所有区域。有关更多信息,请参阅文章如何分配和删除用户的管理员功能。
-
问:安全角色功能是否适用于智能组?
答:是!如有需要,您可将安全角色应用到智能组,但只能用于特殊情况。当使用智能组和安全角色时,请记住,对于您提供的任何活动访问权限或报告访问权限,所涉及的相关活动必须针对安全角色只能访问的任何一个群组。否则,安全角色无法查看这些活动。
您也可通过定向目标组字段查看或管理特定智能组,从而限制安全角色的访问权限。
-
问:能否允许我的安全角色仅针对特定群组导入或删除用户?
答:不,您不能限制将用户导入到特定群组的功能。如果您的权限仅限于特定群组,则无法执行影响多个群组的操作。具体来说,如果安全角色的用户与群组权限仅针对特定群组,则该角色无法导入用户。