支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比
作为管理员,您可以为组织中的所有 Google 自有应用分配访问权限级别。访问权限级别可与组织的情境感知访问权限规则搭配使用,帮助您根据用户身份、设备安全状态、IP 地址和地理位置来控制对应用的访问权限。分配访问权限级别时,您将为组织中的情境感知访问权限规则创建主要控制。不过,如果 Google 自有应用已获分配自己的规则,则这些应用专属规则优先适用(Android Gemini 应用除外,该应用同时应用主要访问权限级别和应用专属访问权限级别)。
分配访问权限级别时…
访问权限级别决定了用户是否可以访问 Google 自有应用。如果用户已分配多个访问权限级别,那么只要用户满足所选级别中的任意一个级别所对应的条件(逻辑关系为“或”),系统就会授予其访问权限。如果您希望用户满足多个访问权限级别中的条件(访问权限级别之间的逻辑关系为“与”),则必须创建包含多个访问权限级别的单个访问权限级别。如需控制对 Google 自有应用的超过 10 个访问权限级别的访问权限,您可以使用嵌套访问权限级别。
访问权限级别例外情况
如果您为 Google 自有应用分配了访问权限级别,该级别将不适用于以下项目:
- Google 管理控制台 - 有助于防止管理员意外锁定自己的账号。如需控制对管理控制台的访问权限,请按照为管理控制台分配情境感知访问权限级别中的步骤操作。
- 用户账号自助服务页面 - 确保用户不会无法管理自己的账号信息,例如在 myaccount.google.com 中。
- Google Cloud 服务 - 包括 Google Cloud 控制台、Firebase 控制台(Google 的移动和 Web 应用开发平台)及相关服务。对这些平台的访问权限通过 Google Cloud 单独管理。如需控制对这些资源的访问权限,请参阅 Access Context Manager 概览。
为所有 Google 自有应用分配访问权限级别
准备工作:如果需要,请了解如何将设置应用于部门或群组。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件情境感知访问权限。 - 点击基本设置。
-
(可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。
群组设置会覆盖组织部门的设置。了解详情
- 在 Google 自有应用的访问权限级别部分中,点击“修改”图标
。 在每个访问权限级别旁边,选择一个选项:
如需允许访问应用并记录不符合所选访问权限级别的尝试,请勾选监控复选框。
使用此设置可测试规则并了解影响。
如需禁止不符合指定访问权限级别的用户访问应用,请勾选有效框。
请谨慎操作 — 此设置可能会中断用户访问。某些应用(例如 Google 搜索和 YouTube)在用户退出受管理的 Google 账号后仍允许使用。
-
点击保存。或者,您也可以针对组织部门点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。