企业微信权限设计的思路研究

前言

今天我们来研究一下关于企业微信的权限设计思路，在此之前，我们可以回顾一下上一篇文章《浅谈B端RBAC权限设计》提到的权限设计的步骤，即，

第一步：罗列所有角色

第二步：找到各角色之间的关系

第三步：梳理权限（功能权限、数据权限）

那么我们按照这个思路，梳理一下企业微信的权限设计思路。我们主要通过从页面操作、体验等肉眼可见的直观行为去分析它的权限设计思路，有一定的局限性，不能说完全正确，如有错误，欢迎批评指正。

一、了解企业微信

（1）什么是企业微信？

首先，我们先来了解下企业微信。

企业微信是腾讯公司推出的专为企业打造的企业级通信和协作工具，旨在提供高效便捷的企业内部沟通和协作平台。它拥有以下主要功能：

    1）. 即时通讯：支持文字、语音、图片、文件等多种形式的即时消息发送和接收，方便员工之间进行实时沟通和交流。

    2）. 组织架构管理：企业微信可以构建企业内部的组织架构，方便员工查找和联系同事，也可以进行部门管理和权限设置。

    3）. 通讯录管理：可以在企业微信中管理企业员工的通讯录信息，包括联系方式、职位等，方便员工之间的联系和查找。

    4）. 企业应用集成：支持与其他企业应用的集成，如OA系统、CRM系统等，方便员工在一个平台上进行工作，提高工作效率。

    5）. 移动办公：企业微信支持在移动设备上使用，包括手机、平板等，员工可以随时随地进行工作和沟通。

    6）. 会议和视频通话：支持多人语音和视频会议，方便团队成员进行远程协作和沟通。

    7）. 安全控制：企业微信具有严格的安全机制和权限控制，保障企业信息的安全和保密。

    8）. 应用市场：企业微信提供了应用市场，企业可以自由选择和安装适合自己业务需求的应用。

总之，企业微信提供了一系列功能，涵盖了企业内部通讯、协作、组织架构管理、移动办公等方面，帮助企业提高工作效率和团队协作能力。

（2）企业微信的形态？

企业微信分为前台系统和后台管理系统。

    前台系统：前台系统是指企业微信的客户端应用和Web端，即员工使用的界面和工作平台。

    后台系统：后台系统是指企业微信的管理后台，即企业管理员用来配置和管理企业微信的界面。

前台系统和后台系统共同构成了企业微信的完整体系，前台系统为员工提供了工作平台，后台系统为企业管理员提供了管理和配置的工具。企业微信的前台和后台系统相互配合，协同工作，帮助企业实现高效的内部沟通和协作。

不管是前台还是后台系统，都是企业内部的员工进行登录使用，只不过是使用了不同的角色或身份去判断是否能够进入，那么我们本次要研究的对象，则来源于前台和后台的所有用户，来看看它是如何划分角色的。

二、企业微信的角色

首先，企业微信需要注册和创建企业，打开企业微信官方网站：https://work.weixin.qq.com/，按照如下页面操作即可创建企业。创建时可以指定管理员账号，拥有管理权限，同时，创建者本身也拥有管理权限，所以这里就提到两个角色：创建者、管理员。当拥有管理权限的角色才可以进入企业微信后台系统。

注册/创建流程

后台管理系统

我们来看看企业后台系统，通过拥有管理员身份进入后台管理系统，我们可以看到，管理员又分为超级管理员和分级管理员，在注册时所创建的管理员则是超级管理员，所以，到这里一共提到了三个角色：创建者、超级管理员、分级管理员。

管理后台界面

在后台系统，管理员用来配置和管理企业微信的界面，比如，创建部门、组织架构、添加员工等操作，那么，我们就从组织架构管理来看看，这里又会涉及哪些角色，权限如何去管理的。

组织架构管理

添加部门，从页面上看，单纯的就是填个部门名称，以及定义上下级部门关系，并没有体现部门有没有跟角色挂钩，部门有没有绑定权限等等。其次，我们再看，在部门内添加员工的操作。

添加部门

添加员工，需要指定所属的部门，直接上级可以选择性设置，也可以将员工设定为部门负责人，但是，在这里也没有体现出部门负责人、直接上级的权限是如何分配的，有没有什么地方不一样。所以，结合到添加部门的操作，我们可以得出这样的结论，即：

（1）部门、组织没有与权限挂钩，只是用于做标签归类，将员工进行分类管理。

（2）部门负责人，直接上级没有与权限挂钩，只是员工的一种属性，可以将员工设定为某个部门的负责人，也可以成为某个员工的直接上级，但没有权限区别。

添加员工

前台系统

体验完后台系统之后，我们再看看前台系统，这里以客户端为例。只要是企业员工，就一定能进入企业微信，从这里可以看出，进入企业微信的最基础身份就是“员工”，在后台添加完一个账号，即使不分配任何权限，该账号也会被赋予“员工”身份属性，拥有员工的权限。至于员工能看到什么，用什么功能，就需要前面提到的管理员在后台去指定、配置功能权限。

前台系统

所以，从以上后台、前台的页面操作和体验中，我们可以得出这样的结论：

（1）企业微信的权限分为应用权限和管理权限；

（2）只要是“员工”，则就拥有员工范围内的应用权限，管理权限则需要管理员角色，但是至于员工能看到什么的应用权限、数据范围，是由管理员统一管理和分配的；

（3）系统角色分为：创建者、超级管理员、分级管理员、部门负责人；员工是进入系统的最基础身份，其中前三者是拥有管理权限的，部门负责人只是个标签属性，无权限挂钩；

（4）组织架构、部门不与应用权限挂钩，只是个归类属性，权限分配与“人”相关，由后台管理员统一管理；

三、各角色间的关系

从企业后台、前台的页面操作和体验中，可以知道，角色关系如下：创建者>超级管理员>分级管理员>部门负责人/员工。

｜｜管理角色

（1）创建者： 默认为注册企业微信的用户， 一个企业有且仅有一个， 创建者拥有企业的最高权力权限。 创建者可以转让但不可以被删除。一个微信账号下最多可以有 5 个不同的企业创建者身份。

（2）超级管理员： 超级管理员可分为内部和外部管理员， 一个企业内可以有多个， 同样拥有企业的最高管理权限。 内部超级管理员要求必须在企业的通讯录内， 当成员在通讯录被删除后， 其超级管理员身份也将被删除。 外部超级管理员主要适用于企业的外部技术支持人员， 不需要存在于通讯录中， 超级管理员可以被删除身份。

（3）分级管理员： 使用不企业的分级权限管理。 可以给分级管理员分配相应的部分通讯录或应用的权限。 分级管理员只能管辖或设置其拥有的对应权限。

｜｜非管理角色

这部分角色，只能登录企业微信前台系统，不可登录后台，除非授予管理角色。

（1）部门负责人：用于做标签属性，分类管理员工。它的应用权限同于员工。

（2）员工：最基础的身份，进入系统的通行证。

三、企业微信的功能及权限分配

在这里，企业微信的功能我就不过多的去介绍了，因为在页面都可以一一看出来，而且功能比较多，我就不详细列出来。我主要想分享一下权限分配的逻辑。

员工在前台系统能不能看到数据，看到哪些菜单，拥有哪些权限，都是由后台管理员统一针对企业进行分配和管理，权限挂在企业上，企业再通过组织架构，部门等分类去管理和使用。

（1）通讯录权限： 创建者、 超级管理员拥有企业的全局通讯录的管理权限。 分级管理员只能管理相应的部分通讯录， 并且其发消息等操作只能在其通讯录管理权限下进行。

（2）应用权限： 分为发消息权限和管理权限。 拥有管理权限默认则拥有发消息权限。 创建者、 超级管理员拥有企业全部应用的管理权限。分级管理员可细化分配应用的发消息或管理权限。

（3）管理组： 拥有相同通讯录权限及应用权限的管理员聚合。 管理员可以属于某个管理组， 也可以不属于任何管理组；内外部超级管理员只能属于超级管理员。 超级管理组是系统默认创建的拥有企业最高权限的组别。

好了，以上就是我体验企业微信的过程中，总结出来的一些思考，不一定正确，欢迎大家批评指正。