如果在情境感知访问权限设置中启用修复措施消息和自定义消息,当政策禁止用户访问某个应用时,这些消息可以帮助他们自行恢复访问权限。这些可选的消息有助于让用户保持工作效率并减少向管理员寻求支持的次数,因此推荐您使用。
例如,启用修复措施消息后,如果一名移动设备用户白天在办公室可以正常使用 Gmail,但当该用户晚上在家尝试访问 Gmail 时,却被阻止访问,那么该用户就会看到相关指南,了解如何解决阻止访问的问题。
在基本模式和高级模式下创建的访问权限级别都支持修复措施消息和自定义消息。此外,核心服务和 SAML 应用也都支持这些消息。
使用修复措施消息和自定义消息来帮助用户自行取消阻止访问权限
当被禁止访问后,用户可能会看到以下消息:
- 默认消息 - 如果您尚未添加修复措施消息或自定义消息,则系统会显示此消息。默认消息示例:贵组织的政策禁止您使用此应用。
- 修复措施消息 - 此消息会替换默认消息。这类消息是系统生成的,与导致用户被禁止访问的具体违规行为相对应。
修复措施消息可能会向用户显示多个修复选项,用户点击显示更多选项就能展开这些选项。如果有多个修复选项,用户需要完成其中任一可用选项的相应步骤才能自行恢复访问权限。 - 自定义消息 - 这是为用户添加的具体帮助信息,例如有关恢复访问权限的其他建议或可点击的实用链接。您可以根据需要添加自定义消息。自定义消息可以与默认消息或修复措施消息一同显示。
下方表格显示了这些消息的互动情况:
| 已启用修复措施消息? | 已添加自定义消息? | 用户看到的消息 |
|---|---|---|
| 否 | 否 | 仅默认消息 |
| 是 | 否 | 仅修复措施消息。在某些情况下,如果无法生成修复措施消息,系统可能会显示默认消息。 |
| 否 | 是 | 默认消息和自定义消息 |
| 是 | 是 | 修复措施消息和自定义消息 |
为属性设置警告政策后,系统将始终(且仅)显示该属性的修复消息。您和其他管理员无法关闭这些消息。当用户收到有关其尝试访问的应用的警告通知时,可以查看有关修复选项的更多详细信息。
了解修复措施消息
每个修复措施都与导致访问遭拒(被阻止)或向用户发出警告的属性相对应。如果您有与属性关联的阻止政策,修复消息会告知用户他们无法执行相应操作,并提供合规方法。如果您有与属性关联的警告政策,用户可以完成操作,但会收到有关如何遵守政策的建议。
系统可以根据访问权限级别中的预期,为同一归因显示不同的消息。例如,如果访问权限级别为 device.screen_lock_enabled == true,则系统会显示消息在您的设备上设置屏幕锁定密码。如果访问权限级别为 device.screen_lock_enabled == false,则系统会显示消息从您的设备中移除屏幕锁定密码。移除屏幕锁定密码可能会降低安全性,因此用户应让管理员确认可否这样做。
按属性和类型划分的可能修复消息
实际消息可能与下方显示的消息不同。
| 属性 | 政策类型 | 短信 |
|---|---|---|
| 管理员批准 | 阻止并警告 | 改用经贵组织批准的设备。如果您没有这样的设备,请与您的管理员联系。 |
| 阻止并警告 | 改用未与贵组织关联的设备。请注意,这样做可能会降低安全性,因此您最好让管理员确认可否这样做。 | |
| 公司自有设备 | 阻止并警告 | 改用归贵组织所有的设备。如果您没有这样的设备,请与您的管理员联系。 |
| 阻止并警告 | 改用不归贵组织所有的设备。 | |
| CTS 配置文件匹配性 | 阻止并警告 | 将设备恢复出厂设置。 |
| 屏蔽 | 您的设备无法使用由原始设备制造商 (OEM) 安装的 Android 版本访问此应用。请与你的管理员联系,以了解详情。 | |
| 警告 | 使用由原始设备制造商 (OEM) 安装的 Android 版本访问此应用并不安全。如需了解详情,请与您的管理员联系。 | |
| 加密 | 阻止并警告 | 改用处于以下某种加密状态的设备:[status1, status2]。 |
| 阻止并警告 | 改用不处于以下加密状态的设备:[status]。 | |
| 带有潜在有害应用 | 阻止并警告 | 卸载由 Google Play 保护机制列出的所有可能有害的应用。 |
| 屏蔽 | 您的设备无法使用目前已安装的应用访问此应用。请与你的管理员联系,以了解详情。 | |
| 警告 | 使用目前已安装的应用访问此应用并不安全。如需了解详情,请与您的管理员联系。 | |
| IP 地址 | 屏蔽 | 您无法从当前所用 IP 子网访问此应用。如需了解详情,请与您的管理员联系。 |
| 警告 | 从当前所用 IP 子网访问此应用并不安全。如需了解详情,请与您的管理员联系。 | |
| 操作系统类型 | 阻止并警告 | 改用搭载以下任一操作系统的设备:[os1, os2]。 |
| 阻止并警告 | 改用未搭载以下操作系统的设备:os1。 | |
| 操作系统版本 | 阻止并警告 | 将您的设备更新到 [OS version X] 或更高版本。 |
| 阻止并警告 | 将您的设备降级到低于 [OS version X] 的操作系统版本。 | |
| 归因于合作伙伴 | 阻止并警告 | 在您的设备上安装 [PARTNER NAME]。1 |
| 阻止并警告 | 根据 [PARTNER NAME] 提供的信息,您的设备不符合某些要求。2 | |
| 区域代码 | 屏蔽 | 您无法从当前所在位置访问此应用。如需了解详情,请与您的管理员联系。 |
| 警告 | 从当前所在位置访问此应用并不安全。如需了解详情,请与您的管理员联系。 | |
| 屏幕锁定 | 阻止并警告 | 在设备上设置屏幕锁定密码。 |
| 阻止并警告 | 从设备中移除屏幕锁定密码。请注意,这样做可能会降低安全性,因此您最好让管理员确认可否这样做。 | |
| 验证应用 | 阻止并警告 | 在您的设备上启用 Google Play 保护机制。 |
| 阻止并警告 | 在您的设备上停用 Google Play 保护机制。 | |
| 启动时验证 | 阻止并警告 | 按照您的设备制造商提供的说明锁定引导加载程序。 |
| 阻止并警告 | 请按照设备制造商提供的说明解锁引导加载程序。 | |
| 已验证的 Chrome 操作系统 | 阻止并警告 | 在您的设备上安装经过验证的 ChromeOS。 |
| 阻止并警告 | 您无法在经过验证的 ChromeOS 中访问此应用。 | |
| 已越狱的设备 | 阻止并警告 | 请按照设备制造商提供的说明,将设备恢复出厂设置。 |
| 屏蔽 | 由于受当前所处状态影响,您的设备无法访问此应用。如需了解详情,请与您的管理员联系。 | |
| 警告 | 在当前设备状态下访问此应用并不安全。如需了解详情,请与您的管理员联系。 |
1 确保在设备上安装了合作伙伴的安全应用(例如 Lookout)。如果已安装,但用户仍然看到此消息,则表示设备可能未正确注册合作伙伴移动设备管理 (MDM)。请检查合作伙伴信息中心,确认这是否属实。如果需要,请联系合作伙伴来解决此问题。
2 如需了解更多详情,请查看设备上的合作伙伴应用。如果需要,请联系合作伙伴来解决此问题。
了解修复措施消息和第三方合作伙伴集成
作为管理员,您可以将受支持的第三方合作伙伴(属于 BeyondCorp Alliance 的合作伙伴)与 Google 管理控制台中的 Google 端点管理服务集成。以下文本会显示在修复措施消息界面中,用于说明合作伙伴消息可向用户显示:
例如,在 Lookout 中:
如需了解详情,请参阅设置第三方合作伙伴集成。
修复常见错误后用户才能看到修复措施消息或自定义消息
必须先修复以下错误,用户才能查看修复措施消息:
系统无法识别您的设备。您需采取的措施可能会因您的设备类型而异。
Google 无法识别登录设备。修复步骤因平台而异。
- 桌面设备:用户必须使用安装了端点验证扩展程序的 Chrome 个人资料。用户无法通过无痕模式、访客身份或个人资料(非工作资料)登录 Google Workspace 应用。请注意,当用户首次尝试登录新设备时,系统可能会显示此错误消息。在这种情况下,用户必须通过端点验证扩展程序进行同步并刷新浏览器。
- 移动设备:设备需要通过 Google 端点管理服务(基本或高级管理服务)进行管理,才能被 CAA 识别。如需了解详情,请参阅借助 Google 端点管理服务管理设备。此外,设备可能需要同步,然后 Google 才能识别登录位置。有关详情,请参阅同步设备。
同步设备
- 桌面设备:用户必须通过端点验证扩展程序进行同步。
移动设备 - 采用高级管理服务的设备可通过 Device Policy 应用进行同步。对于采用基本管理服务的设备,您可以等待设备自动同步,或者让用户重新登录任何 Google 应用。请告知用户设备同步可能需要一些时间。
iOS 设备:在 Safari 中,系统通过会话或令牌跟踪各种应用中的 Google 会话。如果 Safari 令牌被删除(由用户手动删除或由 Apple ITP 删除),系统将无法将后续登录行为与最初登录应用的设备对应起来。这可能会导致新的登录行为遭到阻止,且如果启用了修复措施消息,还会显示“系统无法识别您的设备。您需采取的措施可能会因您的设备类型而异”消息。无论设备采用基本管理服务还是高级管理服务,都可能出现此问题。
用户需要完成以下步骤才能解除阻止:
- 从所有 Google 应用中移除 Google 企业账号。 从 Safari 中退出 Google 账号,并从任何可能正在使用该账号的非 Google 应用中将其移除。
- 删除 Safari 中的 Cookie 和缓存。
- 登录任何 Google 第一方应用,例如云端硬盘或 Gmail。
- 访问其余所有 Google 第一方应用,以验证您是否拥有访问权限。
- 如果需要访问非 Google 应用,请在登录 Google 应用后的几天内登录这些应用。 如果您在执行第 3 步后的 30 天内未登录这类应用,且目前仍被禁止访问相应应用,请从第 1 步重新开始操作。
启用修复措施消息或自定义消息
启用修复措施消息
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件情境感知访问权限。 - 点击用户消息。
- 对于修复消息,请点击关闭,然后开启修复消息。
- 点击保存。
此时,您还可以添加自定义消息。
添加自定义消息
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件情境感知访问权限。 - 点击用户消息。
- 对于附加的自定义消息,请点击附加消息,然后输入您的消息。
- (可选)如需查看用户会看到的内容,请点击预览消息。
- 点击保存。
修复措施消息和自定义消息的用户体验
仅默认消息
这是在未配置修复措施消息或自定义消息时用户看到的消息示例。
默认消息和自定义消息
这是在未配置修复措施消息但配置了自定义消息时用户看到的消息示例。
仅修复措施消息
这是配置了修复措施消息但未配置自定义消息时用户看到的消息示例。用户点击显示更多选项可展开修复步骤。
修复措施消息和自定义消息
这是同时配置了修复措施消息和自定义消息时用户看到的消息示例。用户点击显示更多选项可展开修复步骤。
情境感知访问权限中修复措施消息和自定义消息常见问题解答
修复措施消息是否会导致任何其他访问遭拒的情况?
修复措施消息为何没有反映当前政策?
用户完成修复操作后,需要多长时间才能获得访问权限?
在设备与 Google 服务器同步之前,用户无法获得访问权限。在某些情况下,用户可以尝试强制进行同步:
- 桌面设备:通过 Chrome 上的端点验证扩展程序进行同步
- 移动设备(高级管理)- 通过设备政策应用同步
- 移动设备(基本管理):重新登录采用基本管理服务的设备
此外,如果设备不符合 BeyondCorp Alliance 合作伙伴的要求,请尝试通过该合作伙伴应用进行同步。请注意,在某些情况下,手动同步可能无法正常运行,因此用户应等到同步完成。
为什么用户在完成修复操作后,仍然看到相同的修复选项?
为什么在设备上未执行任何操作,但修复措施消息选项却变了?
为什么启用了修复措施消息,但系统未显示该消息?
如果启用了修复措施消息,用户能否看到自定义用户消息?
如何为设备政策启用修复措施消息?
在通过端点验证扩展程序进行同步时,为何会显示系统无法识别您的设备修复措施消息?
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。