Hallo @efe,
das kannst Du über die Mitarbeiterrollen machen:
Einstellungen-Mitarbeiterrollen-neue Rolle erstellen.
Neben der Mitarbeiterrolle, die alle Mitarbeitenden inne haben, kannst Du dann dort Mitarbeitende hinzufügen, die zusätzlich noch eine andere Rolle haben sollen. Dort kannst Du dann auch alle Rechte dementsprechend hinterlegen. Wir haben das auch so gemacht und Rollen wie IT, HR Manager, Ausbilder/in, Geschäftsführung angelegt..
Viele Grüße
sissi
Danke, das habe ich auch schon gelesen.
Mein Chef würde nur gerne, dass ich als IT Mitarbeiter einen extra Zugang habe.
Da es so übersichtlicher ist und ich nur damit die Rechte habe.
Mit meinem ursprünglichen Account (ohne extra Rechte) soll ich dann nur das machen können, wie alle anderen auch.
LG
Danke, das habe ich auch schon gelesen.
Mein Chef würde nur gerne, dass ich als IT Mitarbeiter einen extra Zugang habe.
Da es so übersichtlicher ist und ich nur damit die Rechte habe.
Mit meinem ursprünglichen Account (ohne extra Rechte) soll ich dann nur das machen können, wie alle anderen auch.
LG
also wenn du noch einen weiteren Account anlegst bist du halt doppelt in der Mitarbeiterliste und zählst dann doppelt in die Mitarbeiterzahl rein. Ist also auch nicht wirklich ideal und auch eine Kostenfrage.
Wir machen das so wie bei @sissi Kistner : HR und IT haben in ihren persönlichen Accounts mehr Rechte als die anderen Mitarbeiter. Wäre doch mega umständlich sich jedes Mal doppelt einzuloggen, finde das macht es doch grade so unübersichtlich
Hi zusammen,
tauscht Euch super gerne weiter aus.
FYI: Wenn ihr einen extra Account anlegt, muss eine andere Mail-Adresse verwendet werden, das ist korrekt. Wie auch die beiden Mitglieder bereits gesagt haben, ist es in Personio momentan vermutlich am übersichtlichsten und einfachsten eine Zusätzliche Rolle “IT” o.ä. zu vergeben. Zumindest ist es so vorgesehen.
@efe, schau gerne auch diesen Aufruf unseres Produkt-Teams an, ggf. ist das etwas für Dich:
Liebe Grüße
Lena
Hallo in die Runde,
wenn man sich umsieht was an IT Policys in Firmen existieren, wundert es mich, dass ihr bei Personio so ein seltsames System für “Piviledged Access” Accounts habt.
Es ist aus meiner Sicht Branchenstandard, und auch z.B. von Versicherern gefordert, dass “Admins” und “User” getrennte Accounts/Zugänge haben. Was aber, wie schon oben ja erwähnt, so nicht vorgesehen ist.
Ich denke, das die Probleme in einer frühen Phase von Personio schon entstanden sind, mit der Design Entscheidung das jeder Mitarbeiter einem User/Account entspricht. Ihr solltet in Personio generell den “Mitarbeiter” von dem “User” trennen:
- Das würde ermöglichen, dass eine echte Person mehrfach als Mitarbeiter eingetragen sein kann (was ja leider erforderlich ist anscheinend, um bestimmte Szenarien abzubilden). Das löst Probleme wie
- doppelte Mail Adressen
- Zugriff auf alte Daten bei internem Wechsel in andere Tochterfirma
- EmployeeIDs in andere Systeme werden nichtmehr falsch synchronisiert, bzw. User da nicht doppelt angelegt (was z.B. in AzureAD völliger schmarn ist)
- ...
- Zugriff auf Rollen mit kritischen Rechten (Admin, HR Leitung mit vielen Rechten, o.ä. ) kann über einen “User” der aber nicht als Mitarbeiter auftaucht passieren.
- Ermöglicht Absicherung dieser User
- Verhindert ausversehen falsche Bearbeitung
- IT und HR Mitarbeiter bekommen im normalen Mitarbeiter User ihre tatsächlichen Rechte die sie brauchen (z.B. jmd. der IT Admin für Personio, aber eigentlich ja nur normaler Angestellter ist) → Wenn was ändern am System dann Admin User, aber sonnst nur im Normalen User
- ggf. auch verschiednene Rollen in Verschiedenen Tochterfirmen.
- Externen Partnern Zugriff auf Personio geben, ohne sie als Mitarbeiter falsch anlegen zu müssen (Lohnbüro/Steuerberater/...)
Es geht hier ja immerhin nicht um den Zugang zu irgendwas, sondern um sehr sensible Persönliche- und Unternehmensdaten.
Bis wann wird dies getrennt, sodass man Mitarbeiter und Admin User hat? Kann man die Admin Accounts unsichtbar machen?
Hallo in die Runde,
wenn man sich umsieht was an IT Policys in Firmen existieren, wundert es mich, dass ihr bei Personio so ein seltsames System für “Piviledged Access” Accounts habt.
Es ist aus meiner Sicht Branchenstandard, und auch z.B. von Versicherern gefordert, dass “Admins” und “User” getrennte Accounts/Zugänge haben. Was aber, wie schon oben ja erwähnt, so nicht vorgesehen ist.
Ich denke, das die Probleme in einer frühen Phase von Personio schon entstanden sind, mit der Design Entscheidung das jeder Mitarbeiter einem User/Account entspricht. Ihr solltet in Personio generell den “Mitarbeiter” von dem “User” trennen:
- Das würde ermöglichen, dass eine echte Person mehrfach als Mitarbeiter eingetragen sein kann (was ja leider erforderlich ist anscheinend, um bestimmte Szenarien abzubilden). Das löst Probleme wie
- doppelte Mail Adressen
- Zugriff auf alte Daten bei internem Wechsel in andere Tochterfirma
- EmployeeIDs in andere Systeme werden nichtmehr falsch synchronisiert, bzw. User da nicht doppelt angelegt (was z.B. in AzureAD völliger schmarn ist)
- ...
- Zugriff auf Rollen mit kritischen Rechten (Admin, HR Leitung mit vielen Rechten, o.ä. ) kann über einen “User” der aber nicht als Mitarbeiter auftaucht passieren.
- Ermöglicht Absicherung dieser User
- Verhindert ausversehen falsche Bearbeitung
- IT und HR Mitarbeiter bekommen im normalen Mitarbeiter User ihre tatsächlichen Rechte die sie brauchen (z.B. jmd. der IT Admin für Personio, aber eigentlich ja nur normaler Angestellter ist) → Wenn was ändern am System dann Admin User, aber sonnst nur im Normalen User
- ggf. auch verschiednene Rollen in Verschiedenen Tochterfirmen.
- Externen Partnern Zugriff auf Personio geben, ohne sie als Mitarbeiter falsch anlegen zu müssen (Lohnbüro/Steuerberater/...)
Es geht hier ja immerhin nicht um den Zugang zu irgendwas, sondern um sehr sensible Persönliche- und Unternehmensdaten.
in den meisten Unternehmen sind die Admins die Personaler, die sowieso die Daten sehen dürfen.
ich persönlich würde es total dämlich finden noch einen Zugang zu Personio haben und sehe den Sinn darin ehrlich gesagt nicht noch einen Zugang zu haben.
Hallo in die Runde,
wenn man sich umsieht was an IT Policys in Firmen existieren, wundert es mich, dass ihr bei Personio so ein seltsames System für “Piviledged Access” Accounts habt.
Es ist aus meiner Sicht Branchenstandard, und auch z.B. von Versicherern gefordert, dass “Admins” und “User” getrennte Accounts/Zugänge haben. Was aber, wie schon oben ja erwähnt, so nicht vorgesehen ist.
Ich denke, das die Probleme in einer frühen Phase von Personio schon entstanden sind, mit der Design Entscheidung das jeder Mitarbeiter einem User/Account entspricht. Ihr solltet in Personio generell den “Mitarbeiter” von dem “User” trennen:
- Das würde ermöglichen, dass eine echte Person mehrfach als Mitarbeiter eingetragen sein kann (was ja leider erforderlich ist anscheinend, um bestimmte Szenarien abzubilden). Das löst Probleme wie
- doppelte Mail Adressen
- Zugriff auf alte Daten bei internem Wechsel in andere Tochterfirma
- EmployeeIDs in andere Systeme werden nichtmehr falsch synchronisiert, bzw. User da nicht doppelt angelegt (was z.B. in AzureAD völliger schmarn ist)
- ...
- Zugriff auf Rollen mit kritischen Rechten (Admin, HR Leitung mit vielen Rechten, o.ä. ) kann über einen “User” der aber nicht als Mitarbeiter auftaucht passieren.
- Ermöglicht Absicherung dieser User
- Verhindert ausversehen falsche Bearbeitung
- IT und HR Mitarbeiter bekommen im normalen Mitarbeiter User ihre tatsächlichen Rechte die sie brauchen (z.B. jmd. der IT Admin für Personio, aber eigentlich ja nur normaler Angestellter ist) → Wenn was ändern am System dann Admin User, aber sonnst nur im Normalen User
- ggf. auch verschiednene Rollen in Verschiedenen Tochterfirmen.
- Externen Partnern Zugriff auf Personio geben, ohne sie als Mitarbeiter falsch anlegen zu müssen (Lohnbüro/Steuerberater/...)
Es geht hier ja immerhin nicht um den Zugang zu irgendwas, sondern um sehr sensible Persönliche- und Unternehmensdaten.
in den meisten Unternehmen sind die Admins die Personaler, die sowieso die Daten sehen dürfen.
ich persönlich würde es total dämlich finden noch einen Zugang zu Personio haben und sehe den Sinn darin ehrlich gesagt nicht noch einen Zugang zu haben.
Es geht darum, dass Systemzugriff und tägliche Arbeit voneinander getrennt wird, daraus resultiert, dass man einen Account hat mit Systemzugriff und einer mit der entsprechenden Rolle für die tägliche Arbeit. Im Banken-, Sozialversicherungs- bzw. Versicherungsumfeld wird dies von den entsprechenden Regulierungsbehörden vorgeschrieben.
Hallo in die Runde,
wenn man sich umsieht was an IT Policys in Firmen existieren, wundert es mich, dass ihr bei Personio so ein seltsames System für “Piviledged Access” Accounts habt.
Es ist aus meiner Sicht Branchenstandard, und auch z.B. von Versicherern gefordert, dass “Admins” und “User” getrennte Accounts/Zugänge haben. Was aber, wie schon oben ja erwähnt, so nicht vorgesehen ist.
Ich denke, das die Probleme in einer frühen Phase von Personio schon entstanden sind, mit der Design Entscheidung das jeder Mitarbeiter einem User/Account entspricht. Ihr solltet in Personio generell den “Mitarbeiter” von dem “User” trennen:
- Das würde ermöglichen, dass eine echte Person mehrfach als Mitarbeiter eingetragen sein kann (was ja leider erforderlich ist anscheinend, um bestimmte Szenarien abzubilden). Das löst Probleme wie
- doppelte Mail Adressen
- Zugriff auf alte Daten bei internem Wechsel in andere Tochterfirma
- EmployeeIDs in andere Systeme werden nichtmehr falsch synchronisiert, bzw. User da nicht doppelt angelegt (was z.B. in AzureAD völliger schmarn ist)
- ...
- Zugriff auf Rollen mit kritischen Rechten (Admin, HR Leitung mit vielen Rechten, o.ä. ) kann über einen “User” der aber nicht als Mitarbeiter auftaucht passieren.
- Ermöglicht Absicherung dieser User
- Verhindert ausversehen falsche Bearbeitung
- IT und HR Mitarbeiter bekommen im normalen Mitarbeiter User ihre tatsächlichen Rechte die sie brauchen (z.B. jmd. der IT Admin für Personio, aber eigentlich ja nur normaler Angestellter ist) → Wenn was ändern am System dann Admin User, aber sonnst nur im Normalen User
- ggf. auch verschiednene Rollen in Verschiedenen Tochterfirmen.
- Externen Partnern Zugriff auf Personio geben, ohne sie als Mitarbeiter falsch anlegen zu müssen (Lohnbüro/Steuerberater/...)
Es geht hier ja immerhin nicht um den Zugang zu irgendwas, sondern um sehr sensible Persönliche- und Unternehmensdaten.
in den meisten Unternehmen sind die Admins die Personaler, die sowieso die Daten sehen dürfen.
ich persönlich würde es total dämlich finden noch einen Zugang zu Personio haben und sehe den Sinn darin ehrlich gesagt nicht noch einen Zugang zu haben.
Es geht darum, dass Systemzugriff und tägliche Arbeit voneinander getrennt wird, daraus resultiert, dass man einen Account hat mit Systemzugriff und einer mit der entsprechenden Rolle für die tägliche Arbeit. Im Banken-, Sozialversicherungs- bzw. Versicherungsumfeld wird dies von den entsprechenden Regulierungsbehörden vorgeschrieben.
wie gesagt sehe ich anders, das einzige wo ich zustimmen kann den extra Zugang für Steuerberater, das wäre wirklich mal eine sinnvolle Idee. Dadurch das die meisten Personio Mandanten von uns die 2FA nutzen, müssen die meisten mindestens 2 Nutzer für die Steuerkanzlei anlegen und das könnte einfacher geregelt werden.
Im normalen Arbeitsalltag im eigenen Unternehmen sinnfrei, selbst bei Datev wird die Smartcard bei den betreffenden Personen um die Admin Rechte freigeschaltet. Würde gerne mal ein Programm wissen, wo das so geregelt ist, ich kenne kein einziges