作为管理员,您可以通过单个群组级别的成员限制设置,来限制内部群组或账号加入贵组织的其他群组。您还可以使用此设置来允许外部组织的特定成员加入贵组织的某个群组。
重要提示:只有贵组织内部用户创建的群组(而不是贵组织外部用户创建的外部群组)才能加入限制成员的群组。
使用 API
任何有权访问该 API 的群组所有者或管理员都可以使用它来限制成员资格。这类用户无法放宽或移除限制,只有管理员可以撤消这类用户所做的更改。
使用会员类型
您可以使用以下成员类别的任意组合来允许或排除成员:
- 群组
- 个人使用的用户账号
- 应用或虚拟机使用的服务账号
举例来说,您可以允许用户账号和服务账号加入您的群组,但不允许其他群组加入。
此外,如果您允许群组作为成员类型,则可以将群组添加或嵌套到其他群组中。通过禁止在群组中添加其他群组来停用嵌套功能。
注意事项
- 如果您向群组添加成员限制,则无法直接添加违反这些限制的成员。(您也许可以通过嵌套间接完成此操作)。
- 子级群组可能比上级群组拥有更多限制,且它们肯定至少拥有上级群组的限制。
使用客户 ID
虽然您无法限制单个用户,但除了成员类型,您还可以进一步进行限制。根据 Google 为每个组织提供的客户 ID,您可以排除特定外部成员类型,同时允许其他类型。例如,您可以:
- 仅允许内部成员
- 允许外部用户账号,且仅允许内部服务账号和群组
- 允许外部服务账号,且仅允许内部用户和群组。
某个群组是否已受到限制?
请查看该群组详情页面上的安全设置卡片。“会员限制”标题下方的代码表示存在限制。由于系统会在有人向群组添加成员时强制执行这些限制,因此添加成员会触发评估状态检查。请查看评估状态列,了解已有限制的当前状态。
| 评估状态 | 含义 |
|---|---|
| 合规 | 该群组仅包含符合当前限制条件的成员。 |
| 不合规 | 该群组包含不符合当前限制条件的成员,且其他此类成员可以添加至群组中的群组。 |
| 符合规范 | 该群组包含不符合当前限制条件的成员,但其他此类成员无法添加至群组中的群组。 |
| 正在评估 | 系统仍在确认您的评估状态。 |
注意事项
- 移除嵌套的下级群组的限制会导致上级群组不合规。
- 您只能直接添加合规的群组或成员。不过,用户添加群组或成员后,该群组或成员之后可能会变成不合规。
- 即使上级群组嵌套了不合规的下级群组,上级群组仍可能合规。
创建包含成员限制的群组
-
在 Google 管理控制台中,依次点击“菜单”图标
目录 群组。需要拥有“群组”管理员权限。
- 点击创建群组。
- 输入群组信息 点击下一步。
- 选择访问权限设置 点击下一步。
- 选择限制会员。
- 向群组安全设置中添加条件。
构建查询时,您会看到代码。 - (可选)如需更改查询,请修改已选的选项或底部的代码。
- 点击创建群组。
群组详情页面上的“安全设置”卡片会显示您构建的查询和限制状态。
管理现有群组的限制
为群组设置成员限制,意味着任何人都无法将不合规的用户添加到群组中。相应限制不会自动将任何不合规的成员踢出群组。不过,您可以前往成员列表,手动从群组中移除账号。
-
在 Google 管理控制台中,依次点击“菜单”图标
目录 群组。需要拥有“群组”管理员权限。
- 点击某个群组 转到群组详细信息页面。
- 点击安全设置卡片 安全设置以将其展开。
- 选择相应选项:
- 使用查询构建器或代码修改查询。(将光标指向相应提示可查看代码的详细信息)。
- 点击无限制以清除您的查询,从而移除会员限制。
- 点击保存。
限制状态的评估时间可能从几秒钟到 24 小时不等。
向包含限制条件的群组中添加成员或从中移除成员
- 用户尝试添加不合规成员时,系统会显示错误消息。按常规方式添加或邀请用户。有关详情,请参阅将用户添加到群组或邀请用户加入群组。
- 如移除任何其他成员一样移除此类成员。有关详情,请参阅将用户从群组中移除或将用户加入群组黑名单。