支持此功能的版本:一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版。 比较您的版本
借助信任规则,您可以创建精细的政策来控制哪些人可以访问 Google 云端硬盘文件。政策可以应用于个别用户、群组、组织部门和网域,以指定以下事项:
- 哪些用户的文件可与内部或外部用户共享
- 哪些用户可以接收来自内部或外部用户的文件
- 哪些内部或外部用户可以受邀访问共享云端硬盘以及在其中添加内容
由于信任规则可让您灵活地建立协作限制条件,因此可帮助您保护敏感信息,并确保遵守业界标准和法规。
使用信任规则来控制对外共享
假设您组织的营销团队需要与合作伙伴组织中的特定人员共享文件。为了确保您组织信息的机密性,您可以创建规则来建立以下对外协作限制条件:
- 允许与该合作伙伴组织中的特定人员共享营销团队拥有的文件。
- 禁止与该合作伙伴组织共享贵组织中其他团队拥有的文件。
- 禁止该合作伙伴组织中的其他团队与贵组织中的任何人共享文件。
使用信任规则控制内部共享
假设贵组织的财务团队只能与贵组织的高管团队共享文件。为防止其他团队收到机密的财务信息,您可以创建规则来建立以下内部协作限制条件:
- 允许与财务团队和高管团队共享财务团队拥有的文件。
- 禁止与贵组织中的任何其他团队共享财务团队拥有的文件。
使用信任规则帮助防范垃圾邮件和钓鱼式攻击
云端硬盘会尝试阻止外部用户与您的用户共享垃圾邮件或钓鱼式攻击内容。不过,如果您想采取额外措施来降低风险,可以创建一条规则,只允许来自受信任网域的外部用户与内部用户共享文件。为确保用户仍能协作,您可以仅将此规则应用于那些通常不会接收外部用户发送文件的组织部门。
信任规则如何取代云端硬盘共享设置
您的云端硬盘共享设置会转换为信任规则
云端硬盘共享设置会自动转换为信任规则
信任规则会取代云端硬盘设置(位于共享选项 
与 <您的组织> 外的人员共享下方)。
您可以预览根据云端硬盘设置转换而成的规则
如需预览根据您的云端硬盘设置自动创建的规则,请执行以下操作:
在管理控制台首页,点击规则。您可以按类型过滤规则,方法为点击添加过滤条件 规则类型 信任。
在“规则”列表中,您将看到:
- 与贵组织外部人员共享内容的两条默认规则
这些规则在强制执行后将处于启用或未启用状态,具体取决于您对应的云端硬盘共享设置的状态。
- 需要与您当前的云端硬盘设置的共享限制条件匹配的任何其他规则
重要提示:只有在您启用信任规则后,系统才会强制执行这些规则。
您对应的云端硬盘共享设置将变为未启用状态
一旦启用信任规则,您将无法再使用云端硬盘设置与贵组织外部人员共享内容。如需详细了解云端硬盘共享设置,请参阅设置用户的云端硬盘共享权限。
您可以停用信任规则
您可以随时停用信任规则,改为恢复使用云端硬盘共享设置。如需了解详情,请参阅下文中的启用或停用信任规则。
相较于云端硬盘共享设置,信任规则可提供更精确的控制
相对于使用云端硬盘共享设置,您可以使用信任规则的“范围”和“条件”部分更精确地控制文件共享。如需详细了解规则组成部分,请参阅本页面后面的了解信任规则组成部分。
以下图表对比了云端硬盘共享设置和信任规则中的可用控制选项。
范围控制选项
| 范围 |
云端硬盘共享设置 |
信任规则 |
|---|---|---|
| 包含组织部门 | ✔ | ✔ |
| 包含群组 | ✔ | ✔ |
| 排除组织部门 | ✔ | |
| 排除群组 | ✔ |
条件控制
| 条件 | 云端硬盘共享设置 | 信任规则 |
|---|---|---|
| 整个组织 | ✔ | ✔ |
| 列入许可名单的网域 | ✔ | ✔ |
| 外部组织 | ✔ | |
| 单位部门 | ✔ | |
| 群组(内部创建) | ✔ | |
| 用户(内部) | ✔ |
准备工作
了解信任规则组成部分
如需创建信任规则,您需要指定其范围、触发器、条件和操作部分。您可以使用这些组件创建一条规则,指定当“x”发生时,执行“y”。
举例来说,如果您创建了一条规则,允许与客户组织(<其他公司>.com)中的任何人共享您组织中的销售部门拥有的文件,那么规则的组成部分将如下所示:
- 范围是您的销售部门的组织部门。
- 触发器是有人尝试共享范围中用户拥有的文件。
- 条件是 <其他公司>.com。
- 操作是允许文件共享。
定义范围
范围是规则的触发器应用到的贵组织中的用户:
- 如果规则的触发器是共享文件,则范围就是您要控制共享的文件的所有者。
重要提示:如果某些用户对范围内的用户所拥有的文件具有编辑权限,则共享规则也会控制这些用户对文件的共享。
- 如果规则的触发器是接收文件,则范围为文件的目标接收者。
您可以将范围设为:
定义触发器
触发器是规则允许或禁止的活动。您可以从下列触发器中选择一个:
- 分享文件
- 接收文件
指定条件
条件是文件的目标共享对象或接收者:
- 如果规则的触发器是共享文件,则条件是文件的目标接收者。
- 如果规则的触发器是接收文件,则条件就是文件的所有者。
您可以针对组织内和组织外为一条规则指定多个条件,包括:
- 组织部门
- 贵组织 Google 群组服务中的群组(可以包含外部用户)
- 列入许可名单的网域(所有列入许可名单的外部网域中的全部用户)
- 未列入您的许可名单的外部网域(必须使用 Google Workspace 并通过域名验证)
- 贵组织中的特定用户
- 拥有 Google 账号的任何人
注意:只需满足一个条件,规则就会生效。
指定操作
操作是您希望规则被触发时出现的结果。您可以:
- 允许共享
- 允许共享并显示警告
注意:如果您选择此选项,则用户在共享文件时会看到警告,但在接收文件时不会看到警告。
- 屏蔽分享
了解与组织外部人员共享内容的默认规则
您有 2 种默认规则指定了与组织以外人员共享内容的方式:
| 规则名称 | 范围 | 触发器 | 条件 | 操作 | 状态 |
|---|---|---|---|---|---|
| [默认] 我组织中的用户可以在组织中共享和接收内容 | 顶级组织部门(整个组织) | 共享文件和接收文件 | 我的组织 | 允许 | 有效* |
| [默认] 我组织中的用户可以与拥有 Google 账号的任何人共享内容 | 顶级组织部门(整个组织) | 分享文件 |
世界上的任何人 包括访问者 |
允许 | 有效* |
您无法修改默认规则,但可以将其停用或重新启用(除非您使用 Cloud Identity)。
* 如果您已设定云端硬盘对外共享设置:默认规则的状态取决于您已转换为信任规则的对应云端硬盘共享设置。
准备组织部门、群组和受信任网域的列表
允许或禁止部门或群组共享内容
请务必为要创建的信任规则创建相应的组织部门和群组:
仅限与受信任网域共享内容
确保受信任的网域已在您的许可名单中。受信任网域必须使用 Google Workspace 并通过域名验证。如需了解详情,请参阅仅允许与受信任的外部网域共享内容。
Cloud Identity 客户:如果贵组织同时拥有 Cloud Identity 和 Google Workspace 许可,则 Google Workspace 的许可名单网域也适用于拥有 Cloud Identity 许可的用户。
针对信任规则进行规划(示例)
在创建信任规则前,请考虑要在您的组织结构允许或禁止哪种共享类型。请确保您的规则禁止用户与不打算共享的用户共享内容,或允许用户与希望共享的用户共享内容。
例如,假设您有 4 个组织部门:销售团队、法务团队、研究团队和所有其他团队,而您希望限制以下类型的共享:
- 销售团队拥有的文件不得与内部的研究团队共享。
- 法务团队拥有的文件不得与外部共享(除非共享对象是外部顾问)。
- 研究团队拥有的文件只能与内部的研究团队和法务团队共享。
- 所有其他团队拥有的文件不得与外部任何人共享。
以下是实现您的共享模式的推荐步骤。
第 1 步:筹划协作限制条件
您可能希望使用矩阵来筹划哪种共享是允许在不同用户之间进行的,如下所示:
|
内部共享 |
外部共享 | |||
|---|---|---|---|---|
| 组织部门 | 他们拥有的文件可共享的对象包括… | 他们拥有的文件不可共享的对象包括… | 他们拥有的文件可共享的对象包括… | 他们拥有的文件不可共享的对象包括… |
| 销售 | 销售团队、法务团队、 所有其他团队 |
研究 | 任何人 | |
| 法律 | 所有球队 | 外部顾问 | 其他人 | |
| 研究 | 研究团队、法务团队 | 销售团队、 所有其他团队 |
任何人 | |
| 所有其他团队 | 所有球队 | 任何人 | ||
第 2 步:创建以下规则:
| 规则 | 范围 | 触发器 | 条件 | 操作 |
|---|---|---|---|---|
| 内部共享 |
包含:根级 排除:研究团队 |
共享文件 |
您的 组织 |
允许 |
| 研究团队:内部共享 | 包含:研究团队 | 共享文件 接收文件 |
研究团队、 法务团队 |
允许 |
| 法务团队:外部共享 | 包含:法务团队 |
共享文件 |
外部顾问 网域 |
允许 |
| 销售团队:外部共享 | 包含:销售团队 | 共享文件 接收文件 |
拥有 Google 账号的任何人 |
允许 |
| 销售团队:禁止共享 | 包含:销售团队 |
共享文件 |
研究 | 屏蔽 |
第 3 步:停用 2 条默认规则
默认规则允许在组织内外进行广泛共享;在此示例中,这些规则会与您想使用的更为具体的共享模式出现冲突。
了解需要哪些管理员权限才能管理信任规则
| 如需… | 您需要拥有以下管理员权限… |
|---|---|
| 启用或停用信任规则 | |
| 查看“规则”列表中的信任规则 | |
| 查看信任规则详情 | |
| 创建或修改信任规则 | |
| 启用或停用特定信任规则 | |
| 删除信任规则 |
如果您需要额外的权限来管理信任规则,请与您的管理员联系。
提示:如果您是超级用户,则可以创建自定义管理员角色来管理信任规则,并将其分配给委派的管理员。如需了解详情,请参阅创建、修改和删除自定义管理员角色。
启用或停用信任规则功能
为云端硬盘启用信任规则功能
启用信任规则后:
- 系统会强制执行“规则”列表中的现有规则,并停用与组织外部用户共享内容的云端硬盘设置。如需了解详情,请参阅上文中的信任规则如何取代云端硬盘设置。
- 如果您在启用信任规则前不久更改了任何云端硬盘共享设置,那么您的规则可能会暂时强制执行先前状态的云端硬盘设置。信任规则最长可能需要 48 小时才能与云端硬盘共享设置的近期更改同步。
如需启用信任规则,请按以下步骤操作:
- 在页面顶部的安全地开展协作卡片中,点击为云端硬盘启用。
需要拥有管理信任规则和云端硬盘和文档 设置管理员权限。
系统会自动打开“任务”列表并显示启用信任规则的进度。
为云端硬盘停用信任规则功能
如果您停用信任规则:
- 贵组织的云端硬盘共享设置会重新变为启用状态,并会在您启用信任规则后还原为原来的状态。
- 系统会永久删除您创建的任何信任规则。
如需停用信任规则,请按以下步骤操作:
- 点击共享设置。
- 在与 <您的组织> 外的人员共享下方,点击停用信任规则。
需要拥有管理信任规则和云端硬盘和文档 设置管理员权限。
系统会打开“任务”列表并显示停用信任规则的进度。
应用 创建和管理信任规则
创建信任规则
创建信任规则后,您可以:
- 随时修改规则来更改设置(例如“条件”和“操作”)、停用或重新启用规则。
- 随时删除信任规则。
- 依次点击创建规则 信任。
需要拥有查看信任规则、管理信任规则、云端硬盘和文档 设置、群组 读取和组织部门 读取管理员权限。
- 在名称下,输入规则的名称和说明(选填)。
- 在范围下,选择以下选项之一:
默认情况下,规则会应用于您组织中的所有用户。
如需将规则仅应用于特定用户,请按以下步骤操作:
- 对于共享规则,请选择要将规则应用于哪些用户的文件。信任规则只会应用于规则范围内的用户或共享云端硬盘所拥有的文件。了解详情。
- 对于接收规则,请选择哪些用户是共享文件的目标接收者。
- 点击指定组织部门或群组。
- 选择所需选项以包含或排除相应组织部门或群组。
- 选择要包含或排除的组织部门或群组。
- (可选)包含或排除更多组织部门或群组。
举例来说,如需将规则应用于贵组织中除某一群组以外的所有用户,请在范围中包含顶级组织部门并排除该例外群组。
如需移除某个组织部门或群组,请点击相应对象旁边的“清除”图标
。
- 点击继续。
- 在触发器下方,选择要将规则应用到的一个或两个事件:
- 共享文件:当您指定范围中的用户拥有的文件与您在条件中选择的用户共享时,就会触发规则。
- 接收文件:当您指定范围中的用户接收您在条件中选择的用户或共享云端硬盘拥有的文件时或作为成员被添加到您在条件中选择的共享云端硬盘时,就会触发规则。
- 在条件下方,点击添加条件,然后选择您希望允许或禁止与您指定范围内的用户共享内容或从其接收内容的内、外部人员。
内部选项:
- 用户:开始输入用户的姓名或电子邮件地址。
- 组织部门:点击选择一个组织部门。
- 群组:开始输入群组的名称或电子邮件地址。
- 我的组织
外部选项:
(可选)如需允许用户与没有 Google 账号的外部用户共享内容,请选中包括访问者复选框。此选项不适用于某些类型的条件。了解访客共享。
- 外部组织:输入组织的域名(如 other-company.com)。组织必须拥有已通过域名验证的 Google Workspace 账号,除非您使用的是访客共享功能。
- 列入许可名单的网域:(可选)点击查看列入许可名单的网域,查看哪些网域已列入您的许可名单。
- 拥有 Google 账号的任何人(包括内部和外部用户)
- 点击继续。
- 在操作下,选择触发规则时系统执行的操作:允许、允许共享且显示警告或禁止。
- 点击完成。
- 选择是启用还是停用规则,然后点击完成。
更改最长可能需要 48 小时才会显示。在此期间,新老设置可能会交替执行。
查看和修改信任规则详细信息
您可以随时修改信任规则,以更改设置(例如条件和操作),或者停用或重新启用规则。
- 在规则列表中找到相应规则。
提示:您可以点击规则类型列标题,以通过规则类型对列表进行排序。您也可以通过以下方式过滤列表:依次点击添加过滤条件
规则类型 信任。 - (可选)如需查看规则范围、条件、触发器和操作,请将光标指向列表中的相应规则,然后点击速览。
- (可选)点击相应规则即可打开其详情页面并查看设置。
- (可选)如需修改设置,请执行以下操作:
- 在详情页面左侧,点击修改规则。您也可以点击某个设置部分。
需要拥有查看信任规则、管理信任规则、云端硬盘和文档 设置、群组 读取和组织部门 读取管理员权限。
- 修改设置。
如需进入其他设置,请点击继续。如需关闭某个部分,请依次点击取消
舍弃并退出。 - 修改完设置后,请点击完成。
- 在详情页面左侧,点击修改规则。您也可以点击某个设置部分。
需要拥有查看信任规则、管理信任规则、云端硬盘和文档
更改最长可能需要 48 小时才会显示。在此期间,新老设置可能会交替执行。
删除信任规则
如果您删除某条信任规则,该规则会从您的 Google 服务中永久移除。您也可以将规则停用,以备日后需要重新启用。请参阅查看或修改信任规则详细信息。
- 在规则下方,依次点击添加过滤条件 规则类型 信任。
- 在规则列表中,将光标指向要删除的规则,然后点击“删除”图标
。
需要拥有查看信任规则、管理信任规则以及云端硬盘和文档 设置管理员权限。
您还可以在规则的详情页面左侧找到删除选项(点击规则即可打开其详情页面)。
- 点击确认消息中的删除。
更改最长可能需要 48 小时才会显示。在此期间,新老设置可能会交替执行。
查看信任规则日志事件
详细了解信任规则的运作方式
您需要创建 2 条规则,才能允许 2 个内部团队进行协作
如要允许将某个团队或用户的文件共享给其他内部团队或用户,您需要创建 2 条规则,也就是分别针对共享和接收的规则。
示例:允许将某个团队的文件与其他团队共享
假设您想允许将销售团队拥有的文件与营销团队共享。在这种情况下,您需要创建一条规则来允许销售团队与营销团队共享文件,并另外创建一条规则来允许营销团队接收来自销售团队的文件:
| 规则 | 范围 | 触发器 | 条件 | 操作 |
|---|---|---|---|---|
| 1 | 销售 | 分享文件 | 营销 | 允许 |
| 2 | 营销 | 接收文件 | 销售 | 允许 |
示例:允许在两个团队之间共享文件
假设您想允许销售团队和营销团队相互共享各自拥有的文件。与上例一样,您需要创建 2 条规则;但在本示例中,每条规则的触发器需要同时包含“共享”和“接收”:
| 规则 | 范围 | 触发器 | 条件 | 操作 |
|---|---|---|---|---|
| 1 | 销售 |
共享文件 |
营销 | 允许 |
| 2 | 营销 |
共享文件 |
销售 | 允许 |
信任规则只会应用于范围内用户拥有的文件
如果规则指定了文件共享时会出现的情况,则规则只会应用于规则范围内用户(及任何共享云端硬盘)拥有的文件。而不会应用于范围内用户具有编辑者权限但没有所有权的文件。
例如,如果您创建了一条规则来禁止将研究团队拥有的文件与销售团队共享,则研究团队仍然可以与销售团队共享他们拥有编辑者权限的任何其他文件。如需禁止销售团队接收其他团队的文件,您可以创建禁止规则。
注意:
- 如果文件所有者转移到其他组织部门或群组,那么相应文件的共享规则就会更改为新组织部门或群组的共享规则。如果文件所有权转移给其他组织部门或群组中的用户,此规则更改也会适用。
- 对于不归自己所有的文件,用户的共享权限永远不会超出文件所有者所具备的权限,即使用户所属的组织部门或群组采用更为宽松的共享规则,此限制也适用。
信任规则如何应用于访问者账号和不受管理的 Google 账号
下文介绍了信任规则如何应用于没有 Google 账号或拥有不受管理的 Google 账号的用户。
没有 Google 账号的用户(访问者)
允许共享的规则
如果您创建了一条规则来允许用户与外部人员共享文件,则默认情况下,系统仅会允许与拥有受管理的 Google 账号的用户共享内容,不过,您也可以允许用户与没有 Google 账号的用户共享文件。在这种情况下,系统会为接收者提供一个特殊账号,称为“访问者账号”。详细了解如何与访问者账号共享内容。
如需允许与没有 Google 账号的人员共享内容,请在规则的条件设置中,选择包括访问者选项。此选项仅适用于允许用户与某个外部网域或所有外部用户共享内容的规则。
注意:您无法通过将访问者账号添加到允许外部共享的群组来允许与访问者账号共享内容。
禁止共享的规则
即使没有为条件选择包括访问者选项,禁止用户与组织外部用户共享内容的任何规则也始终会应用于访问者。
不过,如果有另一条规则允许与访问者账号共享内容,屏蔽规则就不会应用于群组中的访问者账号。例如,如果您有以下规则:
- 规则 1:允许与拥有 Google 账号的任何人共享文件,并选中了包括访问者选项。
- 规则 2 - 禁止与某个邮寄名单群组(其中包含使用访问者账号的用户)共享内容。
禁止操作不会应用于该群组中的访问者账号。规则 2 范围内的用户仍可以为访问者账号提供文件的访问权限。
使用不受管理的 Google 账号的用户
允许共享的规则
如果您创建了一条规则来允许用户与特定网域或组织共享内容,则用户无法与该网域或组织中的不受管理的 Google 账号共享内容。这些账号包括消费者账号和通过邮箱验证的 Google Workspace 账号。
不过,您可以允许用户与特定不受管理的账号共享内容:将这些账号添加到群组并创建允许与该群组共享内容的规则。
禁止共享的规则
禁止用户与您组织以外的用户共享的任何规则始终应用于不受管理的账号。
信任规则如何应用于共享云端硬盘
如果一条信任规则的范围包含某个组织部门,该规则就会应用于这个组织部门中的所有共享云端硬盘。例如,如果您创建一条规则来允许制造团队的组织部门与法务团队共享文件,那么法务团队中的用户就可以访问制造团队的共享云端硬盘。
如需为共享云端硬盘创建信任规则,请务必在相应的组织部门中设置共享云端硬盘。
信任规则的优先顺序:有冲突的规则的处理方式
如果多条信任规则的范围、触发器和条件与同一个共享事件相匹配,则以下优先顺序遵循该规则的操作部分:
- 屏蔽分享
- 允许共享
- 允许共享并显示警告
以下是如何处理规则冲突的一些示例。在这些示例中:
- “<您的组织>.com”是组织的顶级组织部门。
- “营销部门”是顶级组织部门下的下级组织部门。
示例 1
| 规则 | 范围 | 条件 | 触发器 | 操作 |
|---|---|---|---|---|
| 1 | your-organization.com | 世界上的任何人 | 分享文件 | 允许 |
| 2 | 营销部门 | 列入许可名单的网域 | 分享文件 | 允许 |
结果:由于营销部门是整个组织的一个部门,因此规则 1 也会应用于该部门。因此,这个部门可以与任何人共享内容,而不仅仅是与列入许可名单的网域共享内容。下面的示例 2 展示了如何创建规则来限制营销部门仅与列入许可名单的网域共享内容。
示例 2
| 规则 | 范围 | 条件 | 触发器 | 操作 |
|---|---|---|---|---|
| 1 |
your-organization.com 营销部门除外 |
世界上的任何人 | 分享文件 | 允许 |
| 2 | 营销部门 | 列入许可名单的网域 | 分享文件 | 允许 |
结果:由于规则 1 排除了营销部门,因此只有规则 2 会应用于该部门。因此,该部门只能与列入许可名单的网域共享内容。其他所有用户都可以与任何人共享内容。
示例 3
| 规则 | 范围 | 条件 | 触发器 | 操作 |
|---|---|---|---|---|
| 1 | your-organization.com | 列入许可名单的网域 | 分享文件 | 允许 |
| 2 | 营销部门 | 世界上的任何人 | 分享文件 | 允许 |
结果:规则 2 更为宽松,因此营销部门可以与任何人共享内容。其他所有用户只能与列入许可名单的网域共享内容。
示例 4
| 规则 | 范围 | 条件 | 触发器 | 操作 |
|---|---|---|---|---|
| 1 | your-organization.com | 世界上的任何人 | 分享文件 | 允许 |
| 2 | 营销部门 | other-company.com | 分享文件 | 屏蔽 |
结果:由于规则 2 禁止共享,因此其优先于规则 1 允许的共享。因此,营销部门可以与世界上任何人共享内容,但 <其他公司>.com 除外。
您可以随时停用和重新启用信任规则
默认情况下,您创建的新规则的状态会设置为有效。不过,您可以将任何新规则或现有规则设为未启用。例如,您可以创建新的规则并在准备好使用前将其停用。
信任规则常见问题解答
对信任规则所做的更改需要多长时间才会生效?
如果信任规则的范围或条件不包含任何组织部门,则信任规则最长可能需要 24 小时才能应用到云端硬盘共享功能。不过,如果信任规则的范围或条件包含一个或多个组织部门,则规则最长可能需要 48 小时才能生效,具体取决于组织部门的大小。
信任规则和规则条件的上限是多少?
您最多可以创建:
- 200 条处于启用状态的信任规则
- 2,000 条信任规则(启用 + 未启用)
- 150 个条件(每条信任规则)
- 500 个以下类型的条件(在贵组织的所有信任规则中):
- 组织部门
- 群组
- 已列入许可名单(受信任)的网域
- 外部网域
- 特定用户:1-200 个用户计为 1 个条件,201-400 个用户计为 2 个条件,以此类推
注意:对于您的所有信任规则,以下类型的条件数量没有限制:
- 组织
- 拥有 Google 账号的任何人
- 500 个为范围包含和排除的组织部门或者群组(每条规则)
我可以为规则的范围或条件选择哪些类型的群组?
您可以在管理控制台的“群组”列表中选择管理员或用户创建的群组。群组地址必须以贵组织的域名结尾,您无法针对规则范围或条件选择外部群组。
以下是一些可以考虑在信任规则中使用的群组类型:
-
动态群组:当用户加入、在组织中移动或离开组织时,系统会自动管理用户的成员资格。动态群组可通过管理控制台或 Cloud Identity API 创建和管理,可助您减少手动管理群组成员资格所耗费的时间。如要将动态群组用在信任规则政策中,请确保该群组还必须是一个安全群组(即具有安全标签)。详细了解动态群组。
-
安全群组:您可以将标准群组或动态群组转换为安全群组,以便管理、审核和监控群组权限以及控制群组的访问权限。您可以通过管理控制台或 Cloud Identity Groups API 创建安全群组,只需为相应群组添加安全标签即可。详细了解安全群组。
-
迁移的群组:使用 Google Cloud Directory Sync (GCDS) 将您在 Microsoft Active Directory 或其他工具中创建的群组与 Google Workspace 同步。然后,您可以在信任规则中使用这些已同步的群组。详细了解 GCDS。
如何向外部用户应用信任规则?
如需对外部用户应用信任规则,您可以创建包含外部地址(包括外部群组地址或个人地址)的群组。举例来说,如果您组织的法务团队需要与外部顾问公司的特定律师共享文件,您可以创建一个包含该律师电子邮件地址的群组,然后创建规则,例如:
- 范围:法务团队的组织部门
- 触发器:共享文件和接收文件
- 条件:包含特定律师地址的群组
- 操作 - 允许
如果用户的账号不再有权访问云端硬盘,那么信任规则是否仍会应用于其共享文件?
如果某个用户的 Google 账号无法再访问 Google 云端硬盘和文档服务(例如,该账号失去了 Google Workspace 许可),那么即使应用于其文件的信任规则允许对外共享,该用户拥有的文件也只能在贵组织内部共享。内部共享规则(例如,将共享限制为特定组织部门)将不再应用于用户文件。不过,禁止其他许可用户接收文件的规则仍会强制执行。
如需为用户的文件移除外部共享限制,您可以为自己的账号添加封存用户专用 (AU) 许可。如需了解详情,请参阅添加封存用户许可。
如果某条规则允许用户与外部共享文件,但之后我将该用户从规则中移除,那么其文件是否仍可从外部访问?
如果您创建了一条规则,允许某个群组与外部共享文件,然后从该群组中移除某位用户,则该用户与外部共享的所有文件都将无法再从贵组织外部访问。
如果用户拥有的 Google Workspace 许可不包含信任规则,我可以将信任规则应用于这类用户吗?
如果贵组织中部分用户拥有的 Google Workspace 许可不包含信任规则,您仍可以对这些用户及其文件应用信任规则。此外,如果用户拥有包含信任规则的 Google Workspace 许可,而其账号已改用不包含该功能的许可,则信任规则仍会应用于这类用户及其文件。
为什么云端硬盘允许我与外部群组共享文件?信任规则不是会阻止共享吗?
信任规则应用于用户,而不是群组,因为群组可能包含未被信任规则屏蔽的成员。因此,虽然您可以与外部群组共享云端硬盘文件,但系统会根据您的信任规则屏蔽群组成员的访问权限。
如果我所在组织改用的 Google Workspace 版本不包含信任规则,信任规则会发生什么情况?
如果贵组织改用的 Google Workspace 版本不包含信任规则,那么组织处于启用状态的信任规则将仍然有效并强制执行。您可以查看信任规则,但无法修改或删除。如果您是超级用户,则可以停用信任规则以改用云端硬盘共享设置。
如果您停用信任规则:贵组织的云端硬盘共享设置会重新启用,并还原为您启用信任规则前的状态。系统会永久删除您创建的任何信任规则。
如果您取消 Google Workspace 订阅,并且只拥有 Cloud Identity 许可,则无法使用云端硬盘共享设置。
为什么用户无法再使用知道链接的任何人共享选项?
如果满足以下所有条件,则用户在共享文件时可以选择知道链接的任何人选项。
- 应用于用户文件的信任规则允许用户与贵组织中的所有用户、拥有 Google 账号的任何人以及访问者账号共享内容。
- 没有任何应用于用户文件的信任规则禁止用户共享文件。
- 以下云端硬盘共享设置已启用:如果允许与 <您的网域> 之外的人员共享内容,则用户可将文件和发布的内容向所有知道链接的人公开。如需详细了解此设置,请参阅设置用户的云端硬盘共享权限。
信任规则是否适用于服务账号?
适用。拥有 Google 账号的任何人条件即包含服务账号。举例来说,如果您创建了信任规则来禁止组织中的用户与拥有 Google 账号的任何人协作,那么系统也会禁止服务账号访问受该规则保护的文件。
为什么信任规则会阻止回复者访问 Google 表单?
仅当表单包含文件上传问题且信任规则具有文件共享限制时,信任规则才会禁止回复者访问表单。系统不限制信任规则所约束的用户回复未提示回复者上传文件的表单。
信任规则已知问题
已知问题列表
| 问题 | 详细信息 |
|---|---|
| 信任规则的日志不包含一些详细信息 | 信任规则的管理员日志包含更改者和更改类型(创建、更新或删除)。不过,日志尚未包含更改内容以及更改了哪项设置。 |
| 如果管理员没有足够权限打开规则的“速览”,就不会收到关于需要额外权限的通知消息 |
当委派的管理员在“规则”列表中点击某条信任规则的速览链接时,如果管理员没有查看规则所需的全部权限(例如组织部门 > 读取权限)时,则无法打开该规则的详细信息页面。不过,管理员不会收到提示需要额外权限的消息。 |
| 用户无法访问通过邮箱验证的组织所拥有的共享云端硬盘 |
您启用信任规则后,如果其他组织使用通过邮箱验证的 Google Workspace 账号,用户就无法在该组织拥有的共享云端硬盘中进行协作。 |