如果政策禁止使用者存取特定應用程式,您可以使用情境感知存取權的修復訊息和自訂訊息,協助使用者自行恢復存取權。這些選用 (但建議使用) 的訊息有助於讓使用者恢復工作效率,並減少尋求管理員支援的次數。
舉例來說,啟用修復訊息後,如果使用者白天在辦公室時可以在行動裝置上順利存取 Gmail,但晚上在家嘗試存取 Gmail 卻遭到禁止,系統就會顯示指引,說明如何解決無法存取問題。
在基本模式和進階模式中建立的存取層級皆支援修復和自訂訊息。此外,核心服務和 SAML 應用程式也都支援這些訊息。
使用修復訊息和自訂訊息,協助使用者自行恢復存取權
遭禁止存取的使用者可能會看到下列訊息:
- 預設訊息:如果您未新增修復訊息或自訂訊息,系統會顯示預設訊息。預設訊息範例:「貴機構的政策禁止您存取這個應用程式」。
- 修復訊息:取代預設訊息。這類訊息是由系統產生,會對應導致使用者存取權遭到封鎖的特定違規情況。
修復訊息可以向使用者顯示多個修復選項,只要按一下「顯示更多選項」即可展開。在有多個修復選項的情況下,使用者必須完成任一個可用選項的步驟,才能自行恢復存取權。 - 自訂訊息:新增給使用者的專屬說明,例如提供恢復存取權的其他建議,或可點選的實用連結。您可以視需要新增自訂訊息。自訂訊息可以與預設訊息或修復訊息一併顯示。
下表顯示這些訊息的互動情形:
| 已啟用修復訊息? | 已新增自訂訊息? | 向使用者顯示的訊息 |
|---|---|---|
| 否 | 否 | 只顯示預設訊息 |
| 是 | 否 | 只顯示修復訊息。在某些情況下,如果系統無法產生修復訊息,則可能顯示預設訊息。 |
| 否 | 是 | 預設訊息和自訂訊息 |
| 是 | 是 | 修復訊息和自訂訊息 |
設定屬性的警告政策後,系統一律只會顯示該屬性的修復訊息。您和其他管理員無法關閉這些訊息。使用者收到應用程式的警告通知時,可以查看修復選項詳情。
瞭解修復訊息
每個修復動作都會對應至導致存取遭拒 (封鎖) 或向使用者發出警告的屬性。如果屬性與封鎖政策相關聯,修復訊息會告知使用者該動作無法執行,並提供符合規範的方法。如果屬性與警告政策相關聯,使用者可以完成動作,但會收到如何符合規範的建議。
相同屬性可能會顯示不同訊息,具體取決於存取層級中的預期行為。舉例來說,如果存取層級為「device.screen_lock_enabled == true」,則訊息為「在裝置上設定螢幕密碼」。如果存取層級為「device.screen_lock_enabled == false」,則訊息為「移除裝置的螢幕密碼」。移除螢幕密碼可能會降低安全性,因此建議使用者先與管理員確認。
依屬性和類型顯示可能的修復訊息
實際訊息可能與下方顯示的訊息不同。
| 屬性 | 政策類型 | 訊息 |
|---|---|---|
| 取得管理員核准 | 封鎖並警告 | 改用貴機構核准的裝置。如果您沒有這類裝置,請與管理員聯絡。 |
| 封鎖並警告 | 改用未與貴機構建立關聯的裝置。請注意,這樣做可能會降低安全性,因此建議您先與管理員確認。 | |
| 公司擁有的裝置 | 封鎖並警告 | 改用貴機構擁有的裝置。如果您沒有這類裝置,請與管理員聯絡。 |
| 封鎖並警告 | 改用不是貴機構擁有的裝置。 | |
| CTS 設定檔比對 | 封鎖並警告 | 將裝置恢復原廠設定。 |
| 封鎖 | 原始設備製造商 (OEM) 為您裝置安裝的 Android 無法使用這個應用程式,詳情請洽詢管理員。 | |
| 警告 | 透過原始設備製造商 (OEM) 安裝的 Android 作業系統存取這個應用程式並不安全,如要瞭解詳情,請與管理員聯絡。 | |
| 加密 | 封鎖並警告 | 改用處於以下任一加密狀態的裝置:[狀態 1、狀態 2]。 |
| 封鎖並警告 | 改用未處於以下加密狀態的裝置:[狀態]。 | |
| 包含可能有害的應用程式 | 封鎖並警告 | 解除安裝 Google Play 安全防護列為可能有害的所有應用程式。 |
| 封鎖 | 您裝置上目前安裝的應用程式無法使用這個應用程式,詳情請洽詢管理員。 | |
| 警告 | 透過目前安裝的應用程式存取這個應用程式並不安全,如要瞭解詳情,請與管理員聯絡。 | |
| IP 位址 | 封鎖 | 您無法從目前的 IP 子網路存取這個應用程式。如要瞭解詳情,請與管理員聯絡。 |
| 警告 | 從目前的 IP 子網路存取這個應用程式並不安全,如要瞭解詳情,請與管理員聯絡。 | |
| OS 類型 | 封鎖並警告 | 改用搭載以下任一作業系統的裝置:[os1、os2]。 |
| 封鎖並警告 | 改用未搭載 os1 的裝置。 | |
| 作業系統版本 | 封鎖並警告 | 將裝置更新至 [OS X 版本] 以上版本。 |
| 封鎖並警告 | 將裝置更新至低於 [OS X 版本] 的 OS 版本。 | |
| 合作夥伴屬性 | 封鎖並警告 | 在裝置上安裝「[合作夥伴名稱]」1。 |
| 封鎖並警告 | 根據「[合作夥伴名稱]」提供的資訊,您的裝置不符合某些要求2。 | |
| 區域代碼 | 封鎖 | 您無法從目前所在位置存取這個應用程式。如要瞭解詳情,請與管理員聯絡。 |
| 警告 | 從目前所在位置存取這個應用程式並不安全,如要瞭解詳情,請與管理員聯絡。 | |
| 螢幕鎖定 | 封鎖並警告 | 在裝置上設定螢幕密碼。 |
| 封鎖並警告 | 移除裝置的螢幕密碼。請注意,這樣做可能會降低安全性,因此建議您先與管理員確認。 | |
| 驗證應用程式 | 封鎖並警告 | 在裝置上啟用 Google Play 安全防護。 |
| 封鎖並警告 | 在裝置上停用 Google Play 安全防護。 | |
| 驗證開機程序 | 封鎖並警告 | 按照裝置製造商的指示鎖定系統啟動載入程式。 |
| 封鎖並警告 | 按照裝置製造商的指示解鎖系統啟動載入程式。 | |
| 已通過驗證的 Chrome 作業系統 | 封鎖並警告 | 在裝置上安裝已驗證的 ChromeOS。 |
| 封鎖並警告 | 您無法透過已驗證的 ChromeOS 存取這個應用程式。 | |
| 越獄解鎖裝置 | 封鎖並警告 | 請按照裝置製造商的指示,將裝置恢復原廠設定。 |
| 封鎖 | 當裝置處於目前狀態時,您無法使用這個應用程式,如要瞭解詳情,請與管理員聯絡。 | |
| 警告 | 以目前的裝置狀態存取這個應用程式並不安全,如要瞭解詳情,請與管理員聯絡。 |
1 確認裝置已安裝合作夥伴安全性應用程式 (例如 Lookout)。如果使用者已安裝這個應用程式,但仍看到這則訊息,表示裝置可能未正確註冊合作夥伴行動裝置管理 (MDM)。請查看合作夥伴資訊主頁,檢查是否發生這個情形。如有需要,請與合作夥伴聯絡解決問題。
2 請查看裝置上的合作夥伴應用程式瞭解詳情。如有需要,請與合作夥伴聯絡解決問題。
瞭解修復訊息與第三方合作夥伴的整合方式
在 Google 管理控制台中,您可以透過管理員身分將支援的第三方合作夥伴 (屬於 BeyondCorp Alliance 的合作夥伴) 與 Google 端點管理服務整合。修復訊息介面會顯示說明文字,讓您瞭解可以將合作夥伴訊息顯示給使用者:
例如,從 Lookout:
詳情請參閱「設定第三方合作夥伴整合服務」。
解決常見錯誤後使用者才能看到修復或自訂訊息
如要讓使用者查看修復訊息,必須先解決以下錯誤:
系統無法辨識您的裝置。視您使用的裝置類型而定,您可能要採取不同的步驟。
Google 無法辨識登入的裝置。修復步驟會因平台而異。
- 電腦裝置:使用者必須使用已安裝端點驗證擴充功能的 Chrome 設定檔。使用者無法透過無痕模式、訪客或個人設定檔登入 Google Workspace 應用程式。請注意,如果使用者是首次嘗試登入新裝置,系統就會顯示這則錯誤訊息。在這種情況下,使用者必須透過端點驗證擴充功能執行同步處理,然後重新整理瀏覽器。
- 行動裝置:如要讓 CAA 辨識裝置,您需要透過 Google 端點管理服務 (基本或進階管理服務) 管理裝置。詳情請參閱「使用 Google 端點管理服務管理裝置」。此外,裝置可能需要同步,Google 才能辨識登入事件發生的位置。詳情請參閱「同步處理裝置」。
同步處理裝置
- 電腦裝置:使用者必須透過端點驗證擴充功能執行同步處理。
行動裝置:採用進階管理服務的裝置可與 Device Policy 應用程式保持同步;採用基本管理服務的裝置可以等待裝置自動同步,或者使用者可以重新登入任何 Google 應用程式。請告知使用者裝置同步作業可能需要一些時間。
iOS 裝置:在 Safari 中,系統透過工作階段或權杖追蹤各個應用程式的 Google 工作階段。如果 Safari 權杖遭到刪除 (使用者手動刪除或由 Apple ITP 刪除),後續的登入資訊就無法對應到原本登入的裝置。這會導致新的登入活動遭到封鎖,如果啟用修復訊息就會顯示「系統無法辨識您的裝置。視您使用的裝置類型而定,您可能要採取不同的步驟。」錯誤訊息。採用基本和進階管理服務的裝置都可能發生這個問題。
使用者需要完成下列步驟才能解除封鎖:
- 從所有 Google 應用程式中移除 Google 公司帳戶。 從 Safari 中登出 Google 帳戶,並從任何可能正在使用該帳戶的非 Google 應用程式中移除該帳戶。
- 刪除 Safari Cookie 和快取。
- 登入任何 Google 第一方應用程式,例如雲端硬碟或 Gmail。
- 存取所有其他 Google 第一方應用程式,驗證您具有存取權。
- 如需存取非 Google 應用程式,請在登入 Google 應用程式後的幾天內登入這些應用程式。 如未按照步驟 3 指示在 30 天內登入,且應用程式存取權遭到封鎖,請從步驟 1 重新開始操作。
實作修復或自訂訊息
開啟修復訊息
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。 - 按一下「給使用者的訊息」。
- 在「修復訊息」部分,按一下「關閉」,然後開啟「修復訊息」。
- 按一下 [儲存]。
您也可以在這個時候新增自訂訊息。
新增自訂訊息
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。 - 按一下「給使用者的訊息」。
- 在「其他自訂訊息」部分,按一下「其他訊息」,然後輸入訊息內容。
- (選用) 如要查看使用者會看到的訊息,請按一下「預覽訊息」。
- 按一下 [儲存]。
修復和自訂訊息的使用者體驗
只顯示預設訊息
以下是在未設定修復訊息或自訂訊息時,使用者會看到的訊息示例。
預設訊息和自訂訊息
以下是未設定修復訊息,但提供自訂訊息時,使用者會看到的訊息示例。
只顯示修復訊息
以下是已設定修復訊息,但未設定自訂訊息時,使用者會看到的訊息示例。使用者只要按一下「顯示更多選項」即可展開修復步驟。
修復和自訂訊息
以下是修復訊息和自訂訊息均已設定的情況下,使用者會看到的訊息示例。使用者只要按一下「顯示更多選項」即可展開修復步驟。
情境感知存取權修復和自訂訊息常見問題
修復作業是否會導致其他存取權遭拒的情況?
為什麼修復訊息未反映目前的政策?
使用者在完成修復動作後,需要多久時間才會取得存取權?
裝置必須先與 Google 伺服器進行同步處理,使用者才能取得存取權。在某些情況下,使用者可以嘗試強制執行同步處理:
- 電腦:透過 Chrome 的端點驗證擴充功能執行同步處理
- 行動裝置 (進階管理服務):透過 Device Policy 應用程式執行同步處理
- 行動裝置 (基本管理服務):重新登入以基本模式管理的裝置
此外,如果裝置不符合 BeyondCorp Alliance 合作夥伴的規定,請嘗試透過合作夥伴應用程式進行同步處理。請注意,在某些情況下,手動同步處理可能無法正常運作,因此使用者應等待同步作業執行。
為什麼使用者在完成修復動作後仍看到相同的修復選項?
為什麼在裝置上未執行任何動作,但修復訊息選項卻有所變更?
為什麼修復訊息已啟用,但仍未顯示?
如果啟用修復訊息,使用者會看到給使用者的自訂訊息嗎?
如何啟用裝置政策的修復訊息?
在透過端點驗證擴充功能執行同步處理時,為什麼會顯示「系統無法辨識您的裝置」修復訊息?
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。