Работа с 1С:Фреш предполагает гибкое управление доступом сотрудников к данным — от бухгалтерских отчётов до складских операций. Неправильно настроенные права могут привести к утечкам информации, ошибкам в учёте или, наоборот, блокировке критичных функций для ответственных лиц. В этой статье разберём, как грамотно распределить полномочия в сервисе, избегая типичных ошибок.

В отличие от коробочных версий 1С:Предприятие, облачный 1С:Фреш имеет свои особенности администрирования. Здесь нет прямого доступа к конфигуратору, а настройка прав ведётся через веб-интерфейс с ограниченным функционалом. Однако даже в таком формате можно реализовать сложные схемы разграничения доступа — если знать нюансы платформы.

Мы рассмотрим базовые и продвинутые сценарии: от назначения стандартных ролей до создания кастомных профилей с уникальными правами. Особое внимание уделим ограничениям по организациям, складам и документам, а также разберём, как избежать конфликтов прав при работе нескольких пользователей с одними данными.

1. Базовые понятия: роли, профили и уровни доступа

Прежде чем приступать к настройке, важно понимать терминологию 1С:Фреш. Здесь есть три ключевых понятия:

  • 🔑 Роль — набор прав на выполнение определённых действий (например, "Просмотр отчётов" или "Редактирование справочников"). Роли присваиваются профилю или напрямую пользователю.
  • 👤 Профиль доступа — шаблон, объединяющий несколько ролей для типичных должностей (например, "Бухгалтер" или "Менеджер по продажам").
  • 📊 Уровень доступа — ограничение по объектам (организации, склады, контрагенты), где действуют права пользователя.

В 1С:Фреш уже есть предопределённые профили (например, "Администратор", "Кассир", "Кладовщик"), но их часто недостаточно для специфических бизнес-процессов. Например, менеджеру по работе с ключевыми клиентами может понадобиться доступ только к определённой группе контрагентов — а стандартный профиль "Менеджер по продажам" даёт права на всех клиентов.

Ключевое отличие от коробочной версии: в 1С:Фреш нельзя редактировать стандартные роли на уровне отдельных полей документов или справочников. Все настройки ведутся через веб-интерфейс в разделе Администрирование → Пользователи и права.

📊 Как вы обычно настраиваете права в 1С?
Использую стандартные профили
Создаю кастомные роли
Назначаю права каждому пользователю вручную
Не занимаюсь этим сам

2. Пошаговая инструкция: назначение прав новому пользователю

Рассмотрим процесс на примере добавления нового сотрудника — менеджера по закупкам, которому нужны права на работу с заказами поставщикам, но без доступа к финансовым документам.

  1. Создание учётной записи

    Перейдите в Администрирование → Пользователи и права → Пользователи и нажмите "Создать". Заполните:

    • 📌 Логин (например, ivanov_za)
    • 🔐 Пароль (сгенерируйте сложный автоматически)
    • 👤 ФИО и email (для уведомлений)
  2. Выбор профиля доступа

    В поле "Профиль доступа" выберите ближайший по смыслу шаблон — например, "Менеджер по закупкам". Если подходящего нет, создайте новый профиль (об этом ниже).

  3. Настройка уровней доступа

    Укажите, к каким организациям и складам будет относиться пользователь. Например, если менеджер работает только с оптовым складом, ограничьте его права именно этим складом.

  4. Дополнительные роли

    При необходимости добавьте отдельные роли через кнопку "Добавить роль". Например, роль "Просмотр остатков товаров" без права редактирования.

    5. После сохранения пользователь получит доступ к системе с заданными правами. Обратите внимание: в 1С:Фреш изменения вступают в силу неmediately — не требуется перезагрузка или выход из системы.

    Указан корректный email для восстановления пароля|

    Профиль доступа соответствует должности|

    Ограничения по организациям/складам заданы|

    Права на чувствительные данные (финансы, ЗП) отключены|

    Тестовый вход выполнен от имени пользователя-->

    3. Создание кастомных профилей доступа

    Если стандартные профили не покрывают потребности бизнеса, можно создать свой. Например, для супервайзера отдела продаж, которому нужны права на:

    • 📄 Просмотр всех заказов клиентов (но не редактирование)
    • 📊 Аналитические отчёты по продажам
    • 💬 Комментарии к заказам (только чтение)
    • 🚫 Без доступа к ценам закупки и себестоимости

Алгоритм создания:

  1. Перейдите в Администрирование → Пользователи и права → Профили доступа и нажмите "Создать".
  2. Укажите название (например, "Супервайзер продаж — только аналитика").
  3. В блоке "Роли" добавьте:
    • Просмотр документов "Заказ клиента"
    • Чтение отчётов по продажам
    • Просмотр комментариев
  • В блоке "Ограничения" укажите:
    • 🏢 Организации: все (или выборочно)
    • 📦 Склады: все (или только розничные)
    • 👥 Контрагенты: все (или только группа "Ключевые клиенты")

    • Важный нюанс: в 1С:Фреш нельзя запретить доступ к отдельным полям документов (например, скрыть цену закупки в карточке товара). Если такие требования есть, придётся использовать обходные пути — например, создавать отдельные виды документов с разной структурой.

    💡

    Перед созданием кастомного профиля проверьте, нельзя ли обойтись комбинацией стандартных ролей. Чрезмерная детализация прав усложняет поддержку и увеличивает риск ошибок.

    4. Ограничение прав по организациям, складам и документам

    Одна из сильных сторон 1С:Фреш — гибкие ограничения по объектам учёта. Например, можно настроить:

    • 🏢 По организациям: менеджер работает только с ООО "Ромашка", но не с ИП "Васильев".
    • 📦 По складам: кладовщик видит только склад "Основной", но не "Резервный".
    • 📄 По видам документов: бухгалтер может создавать платежки, но не кассовые ордера.
    • 👥 По контрагентам: менеджер по VIP-клиентам видит только группу "Премиум".

    Настройка ведётся в двух местах:

    1. В профиле доступа (раздел "Ограничения") — для массового назначения правил.
    2. В карточке пользователя — для индивидуальных исключений.

    Пример: если все менеджеры по продажам должны работать со всеми клиентами, кроме группы "Оптовики", это правило прописывается в профиле. Если же одному менеджеру нужно дать доступ к конкретному оптовому клиенту, это настраивается в его личной карточке.

    Тип ограничения Где настраивается Пример применения
    Организации Профиль доступа / Пользователь Менеджер работает только с дочерней компанией
    Склады Профиль доступа / Пользователь Кладовщик видит только свой филиал
    Контрагенты Профиль доступа Менеджер работает только с розничными клиентами
    Виды документов Роли в профиле Бухгалтер может создавать счета, но не акты выполненных работ
    ⚠️ Внимание: Ограничения по организациям и складам не блокируют доступ к отчётам, если в них попадают данные из других организаций. Например, менеджер, работающий только с ООО "Ромашка", в отчёте по продажам может увидеть сводные данные по всем компаниям. Чтобы этого избежать, настройте отдельные отчёты с фильтрами по организациям.

    5. Типичные ошибки и как их избежать

    Даже опытные администраторы допускают ошибки при настройке прав в 1С:Фреш. Вот самые распространённые:

    • 🔓 Избыточные права: назначение роли "Администратор" пользователю, которому нужны только права на ввод документов. Это опасно, так как даёт доступ к настройкам системы и данным всех пользователей.
      ⚠️ Внимание: Роль "Администратор" в 1С:Фреш позволяет не только управлять правами, но и изменять тарифный план, подключать дополнительные услуги и удалять данные без возможности восстановления. Назначайте её только ответственным лицам.
    • 🔄 Конфликт ролей: когда пользователю назначены две роли с противоречивыми правами (например, одна разрешает редактировать документы, другая — только просматривать). В таком случае действует правило "максимальных прав".
    • 👁️ Прозрачные ограничения: пользователь видит в интерфейсе кнопки или ссылки на функции, к которым у него нет доступа. Это сбивает с толку. Чтобы скрыть ненужные элементы, используйте настройку "Показывать только разрешённые команды" в профиле.
    • 📈 Игнорирование отчётов: часто администраторы настраивают права на документы, но забывают ограничить доступ к аналитическим отчётам, где могут отображаться чувствительные данные.

    Чтобы проверить корректность настроек, используйте функцию "Тестовый вход" (Администрирование → Пользователи и права → Выбрать пользователя → Тестовый вход). Это позволит увидеть систему глазами пользователя и выявить лишние или недостающие права.

    Что делать, если пользователь видит лишние данные?

    Если после настройки прав пользователь всё равно видит документы или отчёты, к которым не должен иметь доступ, проверьте:

    1. Наследование ролей: возможно, одна из ролей в профиле даёт расширенные права.

    2. Ограничения по организациям: если пользователь привязан к нескольким организациям, он будет видеть данные по всем ним.

    3. Кэш браузера: иногда старые данные отображаются из-за кэша. Попросите пользователя обновить страницу (Ctrl+F5).

    4. Права на отчёты: даже если доступ к документам ограничен, в отчётах могут отображаться сводные данные. Настройте фильтры в самих отчётах.

    6. Продвинутые сценарии: делегирование прав и временный доступ

    В некоторых случаях требуются нестандартные решения. Рассмотрим два таких сценария:

    Делегирование прав (замещение)

    Если сотрудник уходит в отпуск, его обязанности можно временно передать другому пользователю без изменения основных настроек. Для этого:

    1. Перейдите в карточку пользователя, которому нужно делегировать права.
    2. В блоке "Делегирование прав" нажмите "Добавить".
    3. Выберите пользователя-заместителя и укажите период делегирования.
    4. Отметьте, какие именно права передаются (например, только работа с заказами клиентов).

    После истечения срока права автоматически вернутся к основному пользователю.

    Временный доступ для внешних пользователей

    Иногда требуется предоставить доступ сторонним специалистам (аудиторам, консультантам) на ограниченный срок. Для этого:

    1. Создайте нового пользователя с минимально необходимыми правами (например, только просмотр отчётов).
    2. В карточке пользователя укажите дату истечения доступа в поле "Действует до".
    3. Отправьте приглашение на email с временным паролем.

    После указанной даты учётная запись будет автоматически заблокирована.

    Важно: в 1С:Фреш нет функции "гостевого доступа" как в некоторых других системах. Даже для временных пользователей требуется создавать полноценные учётные записи.

    💡

    Делегирование прав и временный доступ — это не только удобно, но и безопасно. Эти механизмы позволяют избежать создания "вечных" учётных записей с избыточными правами, которые часто становятся уязвимостью в системах учёта.

    7. Мониторинг и аудит прав пользователей

    Настройка прав — это не разовое действие, а постоянный процесс. Регулярный аудит помогает выявлять:

    • 🧑➡️💼 Неиспользуемые учётные записи (например, сотрудники, которые уволились, но их доступ не отключён).
    • 🔄 Избыточные права (пользователи с ролью "Администратор", которым она не нужна).
    • 📈 Аномальную активность (например, внезапное увеличение количества созданных документов одним пользователем).

    В 1С:Фреш для этого есть встроенные инструменты:

    1. Журнал событий (Администрирование → Журналы и отчёты → Журнал событий) — показывает, какие действия выполняли пользователи.
    2. Отчёт "Активность пользователей" — содержит статистику по входу в систему и выполненным операциям.
    3. Отчёт "Права пользователей" — позволяет экспортировать список всех пользователей с их ролями и ограничениями.

    Рекомендуемая частота аудита:

    • 📅 Ежемесячно: проверка активных пользователей и их прав.
    • 📅 Еженедельно: анализ журнала событий на подозрительную активность (например, массовое удаление документов).
    • 📅 При смене должностей: корректировка прав при перемещении сотрудников между отделами.
    ⚠️ Внимание: В 1С:Фреш журнал событий хранится ограниченное время (обычно 3 месяца). Если вам нужна более длительная история, настройте автоматический экспорт логов в внешнюю систему (например, через 1С:Connect).

    FAQ: Частые вопросы по настройке прав в 1С:Фреш

    Можно ли в 1С:Фреш запретить пользователю редактировать уже проведённые документы?

    Да, для этого нужно:

    1. Создать кастомную роль на основе стандартной (например, "Редактирование документов").
    2. В настройках роли убрать галочку "Разрешить изменение проведённых документов".
    3. Назначить эту роль пользователю вместо стандартной.

    Обратите внимание: это не заблокирует отмену проведения документа — для этого потребуется отдельная настройка.

    Как ограничить доступ к конкретному справочнику (например, только к номенклатуре определённой группы)?

    В 1С:Фреш нет прямой возможности ограничить доступ к отдельным записям справочника. Обходные пути:

    • Создать отдельный справочник для чувствительных данных (например, "Номенклатура (конфиденциальная)").
    • Использовать ролевое ограничение по группам номенклатуры (если такая функция поддерживается в вашей конфигурации).
    • Настроить дополнительные отборы в формах списков справочников (это требует доработки конфигурации).
    Что делать, если пользователь забыл пароль, а у администратора нет прав на сброс?

    В этом случае:

    1. Обратитесь в поддержку 1С:Фреш через личный кабинет на портале 1cfresh.com.
    2. Подтвердите права на администрирование аккаунта (потребуется доступ к email, указанному при регистрации).
    3. Специалист поддержки сбросит пароль администратора, после чего вы сможете восстановить доступ остальным пользователям.

    Чтобы избежать таких ситуаций, настройте резервного администратора с правами на управление пользователями.

    Можно ли в 1С:Фреш настроить двухфакторную аутентификацию?

    Да, 1С:Фреш поддерживает двухфакторную аутентификацию (2FA) через:

    • 📱 SMS-коды (отправляются на привязанный номер телефона).
    • 🔑 Приложения-аутентификаторы (например, Google Authenticator).

    Чтобы включить 2FA:

    1. Перейдите в Администрирование → Безопасность → Двухфакторная аутентификация.
    2. Выберите метод подтверждения.
    3. Настройте правила (например, обязательная аутентификация для всех или только для администраторов).

    Обратите внимание: если пользователь потеряет доступ к второму фактору (например, сменит номер телефона), восстановить доступ сможет только администратор.

    Как экспортировать список пользователей и их прав для аудита?

    Для экспорта:

    1. Перейдите в Администрирование → Пользователи и права → Пользователи.
    2. Нажмите "Ещё → Выгрузить список".
    3. Выберите формат (Excel или PDF) и укажите, какие данные включать (ФИО, логины, роли, ограничения).

    В полученном файле будут все текущие настройки, которые можно проанализировать или передать аудиторам.