请参阅关于高级保护计划的常见问题,了解更多高级保护计划相关问题的解答。
身份验证行为
如果我们使用 Okta 等第三方身份提供方 (IdP) 作为主要身份验证机制,然后通过这些 IdP 访问 Google 服务,那么我们还可以使用高级保护计划吗?
可以。您可以将高级保护计划用于以 SAML 模式通过 IdP 访问 Google 服务的账号。如果拥有这类账号的用户注册加入高级保护计划,那么我们会要求他们在登录 IdP 后使用安全密钥。请注意,SAML 用户可以选择记住设备,以避免登录浏览器或设备时需要进行安全验证。
为什么需要有两个密钥?
注册加入高级保护计划时,您必须选择备用登录方式。这样一来,即使您的通行密钥或安全密钥丢失或损坏,您也能安全地访问自己的账号。您可以使用辅助邮箱地址和辅助电话号码,也可以使用额外的通行密钥或安全密钥作为备用登录方式。
用户每次登录时,是否都需要使用安全密钥或通行密钥?
系统会在用户用来登录 Google Workspace 的设备或浏览器上记住该用户,并且用户日后在同一浏览器或设备上登录时,系统不会要求进行两步验证 (2SV)。无论用户是否注册加入高级保护计划,系统都会采取相同的身份验证行为。
如何在 iPhone 上使用安全密钥和通行密钥?
您可以在搭载 iOS 13.3 或更高版本且安装 Safari 的 iPhone 或 iPad 上为您的账号添加安全密钥。如需了解详情,请参阅为您的账号添加安全密钥。
如需为 iOS 或 macOS 设备创建通行密钥,您必须开启 iCloud 钥匙串。如需了解详情,请参阅创建通行密钥需要满足什么条件?
如果 Google 账号仅限使用安全密钥,用户如何登录不支持安全密钥的设备?
大多数浏览器、应用和服务都支持基于 Web 的身份验证方式,并且本身也支持安全密钥。不过,仍有很多无法使用安全密钥的应用场景,所涉及的都是 Internet Explorer 之类的平台,或者使用嵌入式 WebView 的原生移动应用。此外,如果您目前为远程工作站使用 Chrome 远程桌面,则可能无法将安全密钥插入该远程设备的 USB 端口。对于这些情况,有 2 种方案可供选择:
通行密钥 - 自从添加通行密钥以来,仅限安全密钥限制现在支持安全密钥和通行密钥作为两步验证方法。用户可以在单独的设备(例如手机)上创建通行密钥,并使用该通行密钥在不支持安全密钥的设备上登录其账号。
安全码 - 用户可以在支持安全密钥或通行密钥的平台上使用安全密钥或通行密钥生成一次性代码。与安全密钥或通行密钥搭配使用来生成安全码的设备,以及用于通过安全码登录的设备需要位于同一网络上。这些代码的有效期为 15 分钟。
高级保护计划的用户可以选择使用安全码。安全码选项位于管理控制台中与注册设置相同的位置。与同时使用安全码相比,直接使用安全密钥或通行密钥更安全,因此我们建议管理员在允许用户使用安全码时要谨慎。
应用访问权限
为什么要控制应用的访问权限?
默认情况下,系统会屏蔽需要以高风险方式访问 Gmail 和 Google 云端硬盘的应用,但所有 Google 应用、Apple 原生 iOS 应用和 Mozilla Thunderbird 邮件客户端除外。
用户难道不需要明确授权任何应用吗?这样有什么好处?
用户可能会上当受骗,向应用授予高风险访问权限。高级保护计划旨在保护风险最高的用户,因此我们希望遏制通过应用实施的网上诱骗。
有些应用对我们的业务至关重要。如何才能允许用户使用它们?
管理员可以批准用户访问特定关联的应用。系统会按照管理员初始化的已批准应用列表来管理用户的访问行为,对于被视为存在高风险(请参阅之前的回答)且未列入管理员批准列表的应用,系统会将它们屏蔽。
我们使用 GCDS 和 GSPS 与本地可信来源同步身份和密码信息。系统是会屏蔽 GCDS 和 GSPS,还是会允许它们进行访问?
系统会允许包括 GCDS 和 GSPS 在内的 Google 第一方应用进行访问,无需管理员执行任何操作。
Gmail 扫描
用户注册加入高级保护计划后,可以额外享有哪些 Gmail 安全防护服务?
对于注册加入高级保护计划且拥有适当许可的用户,系统会为其启用增强型递送前扫描和安全沙盒。所有版本均提供增强型递送前扫描。安全沙盒仅供 G Suite 企业版用户使用。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。