Настройка прав доступа в CRM Битрикс24
Когда в CRM работают 30+ человек из разных отделов, отсутствие нормально настроенных прав доступа превращается в проблему безопасности и операционный хаос. Менеджеры видят чужие сделки и случайно их редактируют, руководители не могут быстро проверить воронку конкурирующего отдела, а аналитик с правами администратора удаляет нужные записи.
Система прав в CRM Битрикс24 строится на ролях с матрицей разрешений по сущностям и операциям. Правильная конфигурация требует понимания нескольких уровней: роли CRM, права на элементы, ограничения по полям и правила видимости.
Архитектура прав доступа CRM
Права в CRM независимы от общих прав Битрикс24 (за исключением глобальных администраторов). Иерархия:
- Роли CRM — набор разрешений по типу операций (просмотр, создание, редактирование, удаление, экспорт)
- Уровни доступа к элементам — свои / своего подразделения / все
- Права на поля — скрытие или блокировка конкретных полей карточки
- Права на воронки и стадии — ограничение работы с конкретными pipeline
Настройка: CRM → Настройки → Права доступа → Роли.
Настройка ролей
Для типовой компании минимальный набор ролей:
| Роль | Лиды | Контакты | Сделки | Компании | Отчёты |
|---|---|---|---|---|---|
| Менеджер | Свои: R/W | Свои + отдел: R | Свои: R/W | Свои: R/W | Нет |
| Старший менеджер | Отдел: R/W | Отдел: R/W | Отдел: R/W | Отдел: R/W | Отдел |
| РОП | Всё: R/W | Всё: R/W | Всё: R/W | Всё: R/W | Все |
| Аналитик | Нет | Все: R | Все: R | Все: R | Все |
Критичный нюанс: право «удаление» следует выдавать только РОПу и выше. Удалённые записи без корзины не восстанавливаются (если корзина отключена в настройках).
Ограничения видимости по подразделениям
Уровень «своего подразделения» работает через структуру компании в Битрикс24. Если структура не заполнена или менеджер не привязан к подразделению — он увидит все записи, даже с ограниченной ролью. Это частая ошибка при первичной настройке.
Проверить структуру: Компания → Структура компании. Каждый пользователь должен быть привязан к конкретному отделу, а не висеть в корне.
Для мультирегиональных компаний с несколькими филиалами используйте группы подразделений через API:
// Получить подразделение пользователя
$department = CIBlockSection::GetList(
[],
['UF_HEAD' => $userId],
false,
['ID', 'NAME']
);
Права на поля карточки
Скрытие полей настраивается отдельно от прав на сущности: CRM → Настройки → Права доступа → Права на поля. Можно скрыть поле полностью или сделать его доступным только для чтения для конкретной роли.
Типичный сценарий: поле «Маржа сделки» или «Себестоимость» видно только РОПу и финансовому директору, менеджеры видят только итоговую сумму.
Ограничение работает на уровне интерфейса. Через REST API поле по-прежнему доступно, если у пользователя есть токен с правами. Для серьёзной защиты финансовых данных нужно дополнительно ограничивать права на REST-приложения.
Права на воронки и смарт-процессы
Начиная с Битрикс24 в версии 22.x появились права на конкретные воронки сделок. Менеджер розничных продаж не должен видеть воронку корпоративных клиентов — это настраивается в CRM → Сделки → Настройки воронки → Права доступа к воронке.
Смарт-процессы (SPA) имеют собственную матрицу прав, независимую от стандартных сущностей. Настройка через CRM → Смарт-процессы → [выбрать] → Права доступа.
Аудит изменений прав
Изменения в правах доступа логируются в таблице b_event_log с типом событий CRM_*. Для регулярного аудита удобно выгружать лог через REST:
CRest::call('log.get', [
'filter' => ['TYPE' => 'CRM_PERMISSIONS_CHANGED'],
'order' => ['DATE_CREATE' => 'DESC'],
'limit' => 50,
]);
Раз в квартал пересматривайте матрицу прав — особенно после увольнений и перемещений сотрудников. Уволенные пользователи с активными лицензиями остаются угрозой до деактивации аккаунта.