权限与治理
ECM 访问由租户访问、用户角色、文件夹权限、文档分级、策略规则和审计记录共同控制。目标是在保障敏感内容、下载、公开链接和合规证据受控的前提下,让团队能在日常工作中使用文档。
开始搭建文档工作区前,请由租户管理员或项目管理员授予所需访问。
访问模型
常见访问级别
| 访问级别 | 典型操作 |
|---|---|
| 查看者 | 浏览文件夹、搜索文档、打开允许访问的记录、查看已批准元数据。 |
| 使用者 | 查看者能力加上被授权的预览或下载。 |
| 贡献者 | 在指定区域上传、更新元数据、提交新版本、添加标签。 |
| 内容管理员 | 管理文件夹质量、审核标签、发起流转、恢复记录、准备证据资料包。 |
| 治理管理员 | 管理策略、连接器访问、审计导出、留存和高风险访问变更。 |
为用户授予能完成工作的最小权限。下载、公开分享、审计导出和永久删除需要谨慎授权。
文件夹与文档访问
文件夹访问控制谁可以在文件夹树中工作。对于比周围文件更敏感的内容,可使用文档级访问或更高分级。
| 场景 | 建议控制 |
|---|---|
| 团队区域中的大多数文档面向同一批用户 | 使用文件夹访问。 |
| 某个文档比同文件夹其他文档更敏感 | 使用文档级访问或更高分级。 |
| 承包商需要临时审核访问 | 使用明确角色、文件夹范围和到期流程。 |
| 用户可管理元数据但不能下载源文件 | 授予编辑或管理工作能力,不授予下载。 |
| 交接需要公开链接 | 要求明确分享权限、过期时间和审计检查。 |
文档分级
文档分级描述内容敏感度,应按照客户的信息处理政策设置。
| 分级 | 典型内容 |
|---|---|
| 公开 | 已发布手册、公开产品信息、已发布培训材料。 |
| 内部 | 常规运营文档、内部 SOP、维修记录。 |
| 机密 | 供应商资料、敏感现场布局、工艺细节、客户专属报告。 |
| 受限 | 高敏感工程、安全、监管或合同材料。 |
导入、批准、分享或扩大访问范围时,应重新确认分级是否合适。
策略中心
策略用于让管理员定义跨文件夹和文档类型生效的规则。
| 策略领域 | 示例控制 |
|---|---|
| 下载控制 | 只有获批角色可以下载机密文档。 |
| 分享控制 | 公开链接需要明确权限、过期时间和审计。 |
| 留存 | 合规记录按客户政策留存。 |
| 审核 | 草稿 SOP 必须批准后才能用于运营。 |
| 连接器导入 | 导入文件需要审核后才能成为正式证据。 |
| AI 使用 | AI 工作流只能使用授权且可追溯的文档版本。 |
生产上线前,应使用代表性用户和文档测试策略。
审计
审计记录帮助团队回答谁在何时访问或修改了文档。
| 问题 | 检查证据 |
|---|---|
| 谁上传了文档 | 上传事件、负责人、时间戳。 |
| 谁修改了元数据或标签 | 更新事件和前后变化。 |
| 使用了哪个版本 | 版本历史和关联工作流记录。 |
| 谁下载或分享了文档 | 下载或分享链接事件。 |
| 合规资料包包含什么 | 资料包生成记录和来源文档版本。 |
审计导出可能包含敏感信息,应限制给管理员或获批的合规负责人。
分享链接
分享链接可能让文档绕过常规应用路径被访问。仅在有明确交接或审核目的时使用。
创建分享链接前确认:
- 文档负责人同意分享;
- 接收方和用途明确;
- 链接设置过期时间;
- 文档版本正确;
- 链接活动会被审计;
- 审核完成后可以撤销链接。
治理验证清单
- 用户只能看到其角色需要的文件夹。
- 仅在必要时授予下载访问。
- 公开分享范围有限且可审计。
- 敏感文档分级正确。
- 文件夹访问已用查看者和贡献者测试。
- 策略规则已用代表性文档测试。
- 审计导出仅限获批用户。
- AI Agent 工作流继承与人工用户一致的文档访问预期。
访问故障排查
| 现象 | 检查项 |
|---|---|
| 看不到 ECM | 租户模块访问和导航权限。 |
| 能看到文件夹但缺少文档 | 文件夹访问、文档级访问、分级、删除或归档状态。 |
| 能预览但不能下载 | 下载权限或策略规则。 |
| 不能上传 | 目标文件夹的贡献者或写入访问。 |
| 不能恢复或永久删除 | 回收站或删除权限。 |
| 不能创建分享链接 | 分享权限、文档访问和策略规则。 |
| 不能导出审计 | 审计导出权限。 |
| AI Agent 无法使用文档 | 用户访问、文档分级、来源版本和索引状态。 |