本文中的界面图片仅作说明之用。实际界面可能会有所不同。
2026 年第 2 季度,Google 群组将针对群组成员资格推出更严格的内部和外部分类。关闭了允许您组织以外的成员设置的群组将仅限于组织成员使用。此更改将禁止管理员、嵌套外部群组添加外部成员,或禁止向指定为外部群组的群组添加成员,然后将该群组指定更改为内部群组,而这些操作目前都是可行的。
本页内容
词汇表:群组和成员资格类型的分类
- 父群组:这些是主要顶级群组,既可以包含个人成员,也可以包含其他群组作为子群组。
- 子群组:也称为嵌套群组或子群组,是指作为成员添加到父群组下的群组。
- 直接成员:专门添加到群组中的个人或实体。
- 间接成员:通过成为嵌套子群组的成员而获得父群组成员资格的个人或实体。
- 内部成员:属于您组织的个人。
- 外部成员:受邀加入群组的您组织外部个人。
- 内部群组:当前已关闭允许您组织以外的成员设置的群组。
- 外部群组:已开启当前设置允许您组织以外的成员的群组。
当前行为
目前,即使群组被归类为内部群组,您也可以通过以下任一方式向其中添加外部成员:
- 管理员替换:群组管理员可以将外部成员添加到允许外部成员设置为否的群组。
- 嵌套群组:嵌套在内部父群组下的任何群组都可以包含外部成员。这些外部成员会成为父群组的成员。
- 之前已有的外部成员:如果您将允许外部成员设置更改为否,之前已有的外部成员不会移除。
未来行为
自 2026 年第 2 季度起,内部群组将仅允许内部用户成为成员。我们将不再支持向内部群组添加外部成员。采用这种新方法后,如果将允许外部成员设置更改为否,系统会从群组中永久移除外部成员,而间接成员(子群组的成员)将保留在各自的子群组中,但会从父群组中过滤掉。
更新现有群组
为减少此更改对现有群组的影响,您组织中 Google 群组中的内部群组将自动按以下方式更新:
- 包含外部成员的内部群组:
- 如果某个内部群组包含任何外部成员(无论是直接添加还是通过嵌套群组间接添加),该群组都会归类为外部群组,以保留这些现有的外部成员资格。
- 如果群组的允许您组织以外的成员设置更新为是,则只有群组管理员可以根据新的子设置添加外部成员。
- 仅限内部成员且无外部成员的群组:如果群组目前设置为仅限内部成员,且不包含外部成员,则该群组将继续归类为内部群组。此分类将强制执行更严格的新规则,防止日后直接或间接添加外部成员。
初始分类映射
| 初始群组状态 | 新群组状态 | |
| 当前设置:允许您组织以外的成员 | 是否有外部成员*在场? | 新设置:允许群组包含外部成员 |
| 开启 | 是 | 没有变化 |
| 开启 | 否 | 没有变化 |
| 关闭 | 是 |
开启 不过,只有群组管理员可以添加外部成员。此设置由新的允许用户添加外部成员子设置控制(详见本页面后面的管理控制台更新)。 |
| 关闭 | 否 | 没有变化 |
注意事项
- 会员资格不会立即发生变化:更新不会移除任何现有会员。此分类是一项新属性,将为未来的会员操作和过滤提供参考。例如,如果某个内部群组包含外部成员,则现有外部成员资格将继续有效,且该群组将重新归类为外部群组。
- 对嵌套群组的影响:此次更新将确保,即使某个群组目前是内部群组,只要其包含任何直接或间接的外部成员,就会标记为外部群组。
过滤间接成员
对于归类为内部群组的群组,嵌套(子)群组中的外部成员将自动从父内部群组中过滤掉(排除)。外部成员将保留其在子群组中的成员资格。
在此示例中,Clover 团队是 Google 群组中的一个内部群组。Clover 团队的成员包括项目 A,即 Google 群组中的外部群组。Clover 团队还有 Tal 和 Dana 这两位直接成员。项目 A 的直接成员包括 Kim、Taylor、Charlie、Alex 和 Lee。Alex 和 Lee 是项目 A 的外部成员。
- 发送给 Clover 团队的电子邮件不会发送给 Alex 和 Lee(外部嵌套成员),因为这些电子邮件会被过滤掉。Alex 和 Lee 仍将是项目 A 的成员,并会收到直接发送给项目 A 的邮件。
- 如果将 Clover 团队添加到 Google Chat 聊天室,系统会从该聊天室中过滤掉 Alex 和 Lee。
- 如果某个 Google 云端硬盘文件与 Clover 团队共享,Alex 和 Lee 将无法访问该文件。
例外情况
从长远来看,Google 将在所有 Workspace 应用中支持间接外部成员过滤,但有 2 个例外:
- Google 日历:如果将 Clover 团队添加到日历邀请中,系统将继续向 Alex 和 Lee 发送日历邀请。
- Groups Directory 或 CIG API:使用 API 浏览群组成员资格时,在 Workspace 应用更新之前,系统也会包含间接外部成员。
注意:在极少数情况下,如果嵌套层级达到 3 层,间接成员过滤功能将以传递方式发挥作用。例如,如果将“Clover 团队”添加到名为“We 团队”的外部群组,则 Alex 和 Lee 将不会成为“We 团队”的成员。
管理员查看和操作
- 查看:您可以在 Google 管理控制台中查看每个群组的新分类。
- 调整分类:如果某个群组归类为外部群组,但只应包含内部成员,您可以使用管理控制台或更新的 Groups Settings API 手动将该群组分类更改为内部群组。
更改为内部群组的影响:如果您将外部群组切换为内部群组,所有直接外部成员都将从该群组中永久移除。通过嵌套群组间接添加的任何外部成员都将从父群组中过滤掉,但仍会保留在各自的子群组中。
- 还原分类:如果群组的分类从“外部”更改为“内部”,然后又还原回“外部”,则外部间接成员将重新获得访问权限。不过,您需要手动重新添加之前移除的所有直接外部成员。
Google 群组界面更新
- Google 群组邮件显示方式的更改:目前,如果邮件发送到某个群组,有权访问该群组的用户可以在 Google 群组中查看该邮件。为防止邮件被过滤掉的用户看到,对于来自其他群组的任何邮件,所有用户都将看到一个占位符。这些占位符将链接到父群组,用户如果拥有访问权限,即可在该父群组中查看电子邮件。
- 如果群组归外部所有或允许外部成员加入,则群组现在会显示外部标签。
- 如果用户将群组从外部群组更改为内部群组,系统会永久移除外部成员。
管理控制台更新
与 Google 群组类似,您可以在管理控制台中看到群组分类的指示,并为新群组选择分类。
您会在管理控制台中看到以下群组变化:
- 允许外部成员加入的群组旁边会显示外部图标
。
- 对于客户组织外部的成员和间接成员,系统会显示外部图标 。
- 将群组分类更改为内部时移除外部成员:与 Google 群组类似,如果管理员通过管理控制台将群组分类从外部更改为内部,系统会永久移除外部成员。系统会显示以下警告消息:
API 更新
- 当前 API 行为:目前,您通过 GroupsSettings API 创建的群组默认设置为 allowExternalMembers=False。不过,管理员可以替换此设置并添加外部用户,API 也不会失败。
- 未来 API 行为:在更严格地执行内部群组成员归类为内部的规定后,如果您想将群组配置为允许外部用户,则在使用 API 创建新群组时,必须在脚本中更新 allowExternalMembers=True 设置。
如果您使用 Cloud Identity 或 Admin SDK 的 Directory API 创建包含外部成员的群组,则需要调用 GroupsSettings API 来更新 allowExternalMembers=True 设置。默认情况下,这会允许任何成员(如果拥有相应权限)向群组添加外部用户。在 2026 年 5 月之前,我们将更新 GroupsSettings API,以允许将群组设置为外部群组,同时仅允许管理员添加外部用户。
您现在可以开始使用 GroupsSettings API 更新脚本了。
非用户账号
内部和外部群组分类也将适用于非用户账号,例如服务账号。服务账号根据 Google Cloud 控制台中的客户 ID 归类为内部服务账号和外部服务账号。
“课堂教师”群组
默认情况下,“课堂教师”群组是一个内部群组。如果您的“课堂教师”群组包含外部成员,系统会将其归类为外部群组,以保留现有的外部成员资格。
常见问题解答
如果我将包含外部成员的外部群组更改为内部群组,会发生什么情况?
系统会从群组中移除外部成员,确保群组只包含内部成员。所有直接外部成员都将被完全移除。间接成员(子群组的成员)将保留在各自的子群组中,但会被从父群组中过滤掉。
如果我将群组从内部群组改回外部群组,会发生什么情况?
外部间接成员将重新获得对相应群组的访问权限。您需要手动重新添加之前移除的所有直接成员。
群组管理员能否将外部用户添加到内部群组?
不可以,群组管理员无法直接将外部用户添加到内部群组。如需添加外部用户,您需要将群组分类更改为“外部”。