支援這項功能的版本:Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus。版本比較
您可以利用信任規則建立精細的政策,控管哪些使用者可存取 Google 雲端硬碟檔案。這類政策可套用至個別使用者、群組、組織單位及網域,用於規範下列事項:
- 哪些使用者的檔案可以對內或對外共用
- 哪些使用者可以接收內部或外部使用者檔案
- 可以邀請哪些內部或外部使用者加入共用雲端硬碟,並在其中新增項目
由於信任規則提供建立協作界線的彈性,可以協助您保護機密資訊,並遵循業界標準和法規。
使用信任規則控管外部共用設定
假設貴機構的行銷團隊需要與合作夥伴機構中的特定使用者共用檔案。為保護貴機構的機密資訊,您可以制定規則來建立以下外部協作界線:
- 允許合作夥伴機構的特定人員共用行銷團隊的檔案。
- 禁止合作夥伴機構共用貴機構其他團隊的檔案。
- 禁止合作夥伴機構的其他團隊與貴機構的任何人共用檔案。
使用信任規則控管內部共用設定
假設貴機構的財務團隊只應與行政團隊共用檔案。為防止其他團隊收到機密的財務資訊,您可以制定規則來建立以下內部協作界線:
- 允許財務和行政團隊共用財務團隊的檔案。
- 禁止貴機構其他團隊共用財務團隊的檔案。
使用信任規則防範垃圾內容和網路釣魚
雲端硬碟會嘗試禁止外部使用者與您的使用者共用垃圾內容或網路釣魚內容。不過,如果您想採取額外步驟來降低風險,可以建立規則,只允許來自信任網域的外部使用者與內部使用者共用檔案。為確保使用者仍能協作,您可以只對通常不會接收外部使用者檔案的組織單位套用這項規則。
信任規則取代雲端硬碟共用設定的方式
雲端硬碟共用設定會轉換為信任規則
雲端硬碟共用設定會自動轉換為信任規則
信任規則會取代「共用選項」
「<貴機構> 外部共用設定」中的雲端硬碟設定。
您可以在雲端硬碟設定查看轉換的規則
如要在雲端硬碟設定中查看自動建立的規則:
在管理控制台首頁中,前往「規則」。依序點選「新增篩選器」「規則類型」「信任」,即可依類型篩選規則。
規則清單會顯示以下項目:
- 與機構外人士共用檔案的兩項預設規則
系統強制執行這些規則後,規則會分為有效或無效,具體情況取決於對等的雲端硬碟共用設定狀態。
- 需要貼合目前雲端硬碟設定共用範圍的其他規定
重要事項:您啟用信任規則後,系統才會強制執行這些規則。
對等雲端硬碟共用設定將會失效
啟用信任規則後,就無法再透過雲端硬碟設定與機構外使用者共用檔案。如要進一步瞭解雲端硬碟共用設定,請參閱「設定使用者的雲端硬碟共用權限」。
您可以停用信任規則
您可以隨時停用信任規則,並改回使用雲端硬碟共用設定。請參閱下文,進一步瞭解如何啟用或停用信任規則。
信任規則的控管功能比雲端硬碟共用設定更完善
透過信任規則的範圍和條件元素,您可以更精準控管檔案共用設定,勝過使用雲端硬碟共用設定。如要進一步瞭解規則元素,請參閱本頁下方的「瞭解信任規則組成元素」一節。
下列對照表分別顯示雲端硬碟共用設定和信任規則的可用控制項。
範圍控制項
| 範圍 |
雲端硬碟共用設定 |
信任規則 |
|---|---|---|
| 包含機構單位 | ✔ | ✔ |
| 包含群組 | ✔ | ✔ |
| 排除機構單位 | ✔ | |
| 排除群組 | ✔ |
條件控制項
| 條件 | 雲端硬碟共用設定 | 信任規則 |
|---|---|---|
| 整個機構 | ✔ | ✔ |
| 許可網域 | ✔ | ✔ |
| 外部機構 | ✔ | |
| 機構單位 | ✔ | |
| 群組 (內部建立) | ✔ | |
| 使用者 (內部) | ✔ |
事前準備
瞭解信任規則組成元素
如要建立信任規則,需要定義規則的組成元素:範圍、觸發條件、條件和動作。使用這些元素建立規則後,如果發生「x」,系統就會執行「y」。
舉例來說,如果您建立的規則允許客戶機構 (<其他公司>.com) 所有人共用貴機構銷售部門檔案,那麼規則的組成元素如下:
- 範圍是銷售部門的組織單位。
- 觸發條件是有人嘗試共用上述範圍內使用者所擁有的檔案。
- 條件是 <其他公司>.com。
- 動作是允許共用檔案。
定義範圍
範圍指的是要套用規則觸發條件的貴機構使用者:
- 如果規則的觸發條件是「共用檔案」,範圍就是您希望控管其共用對象的檔案「擁有者」。
重要事項:共用規則也會控管範圍內使用者所擁有檔案的編輯權限共用對象。
- 如果規則的觸發條件是接收檔案,範圍就是檔案的指定收件者。
您可以使用範圍進行以下操作:
定義觸發條件
觸發條件是指規則允許或禁止的活動。您可以選取下列任一觸發條件:
- 分享檔案
- 接收檔案
定義條件
條件是指檔案的指定共用或接收對象:
- 如果規則的觸發條件是共用檔案,條件就是檔案的指定收件者。
- 如果規則的觸發條件是接收檔案,條件就是檔案擁有者。
您可以針對機構內外的使用者指定多個規則條件,包括:
- 機構單位
- 貴機構 Google 網路論壇服務中的群組 (可包含外部使用者)
- 許可網域 (許可清單中所有外部網域的所有使用者)
- 未列入許可清單的外部網域 (必須使用 Google Workspace 且經過網域驗證)
- 貴機構的特定使用者
- 所有擁有 Google 帳戶的使用者
注意:只要符合一項條件,規則就會生效。
定義動作
動作是指觸發規則後的結果。您可以:
- 允許共用
- 允許共用並彈出警示
注意:如果您選擇這個選項,系統會在使用者共用檔案時顯示警告,接收檔案則不會顯示。
- 禁止分享
瞭解對外共用檔案的預設規則
以下為指定對外共用方式的 2 項預設規則:
| 規則名稱 | 範圍 | 觸發條件 | 條件 | 動作 | 狀態 |
|---|---|---|---|---|---|
| [預設] 本機構的使用者可在機構中分享和接收內容 | 頂層機構單位 (整個機構) | 共用檔案和接收檔案 | 我的機構 | 允許 | 有效* |
| [預設] 本機構的使用者可與任何擁有 Google 帳戶的使用者共用檔案 | 頂層機構單位 (整個機構) | 分享檔案 |
所有使用者 包括訪客 |
允許 | 有效* |
您無法編輯預設規則,但可以停用或重新啟用這些規則 (除非您使用 Cloud Identity)。
* 如果您已指定雲端硬碟對外共用設定:預設規則的狀態取決於轉換成信任規則的對等雲端硬碟共用設定。
準備機構單位、群組和信任網域清單
如何允許或禁止部門或群組共用檔案
請務必建立要制定信任規則的機構單位和群組:
如何限制只對信任的網域共用檔案
請確定信任的網域已加入許可清單。信任的網域必須使用 Google Workspace,且經過網域驗證。詳情請參閱「僅允許對信任的外部網域共用檔案」。
Cloud Identity 客戶:如果貴機構同時擁有 Cloud Identity 和 Google Workspace 授權,Google Workspace 的許可網域設定也會套用到具備 Cloud Identity 授權的使用者。
規劃信任規則 (含範例)
建立信任規則前,請先考量機構架構允許或禁止哪些共用情況。請確保規則能禁止使用者與非指定對象共用檔案,或是不會妨礙使用者與指定對象共用檔案。
舉例來說,假設您有 4 個機構單位,分別是銷售、法務、研究和所有其他團隊。您想要規定下列共用情況:
- 禁止研究團隊內部成員共用銷售團隊檔案。
- 禁止對外共用法務團隊的檔案 (外部顧問除外)。
- 僅允許研究和法務團隊內部成員共用研究團隊檔案。
- 禁止對外共用其他所有團隊的檔案。
以下是實作共用模式的建議做法。
步驟 1:規劃協作界線
您可以使用矩陣列出不同使用者可以共用的對象,例如:
|
內部共用 |
外部共用 | |||
|---|---|---|---|---|
| 機構單位 | 所擁有檔案可共用的對象 | 所擁有檔案禁止共用的對象 | 所擁有檔案可共用的對象 | 所擁有檔案禁止共用的對象 |
| 銷售 | 銷售、法務、 所有其他團隊 |
研究 | 所有人 | |
| 法律 | 所有球隊 | 外部顧問 | 其他人 | |
| 研究 | 研究、法務團隊 | 銷售團隊、 所有其他團隊 |
所有人 | |
| 所有其他團隊 | 所有球隊 | 所有人 | ||
步驟 2:建立下列規則:
| 規則 | 範圍 | 觸發條件 | 條件 | 動作 |
|---|---|---|---|---|
| 內部共用 |
包含:根 排除:研究團隊 |
共用檔案 |
貴機構 |
允許 |
| 研究團隊 - 內部共用 | 包含:研究團隊 | 共用檔案 接收檔案 |
研究團隊、 法務團隊 |
允許 |
| 法務 - 外部共用 | 包含:法務團隊 |
共用檔案 |
外部顧問 網域 |
允許 |
| 銷售團隊 - 外部共用 | 包含:銷售 | 共用檔案 接收檔案 |
所有擁有 Google 帳戶的使用者 |
允許 |
| 銷售團隊 - 禁止共用 | 包含:銷售 |
共用檔案 |
研究 | 封鎖 |
步驟 3:停用 2 項預設規則
預設規則允許機構內外的使用者廣泛共用檔案。在此範例中,預設規則會與您想使用的特定共用模式相互牴觸。
瞭解管理信任規則所需的管理員權限
| 要執行的操作 | 必須具備的管理員權限 |
|---|---|
| 啟用或停用信任規則 | |
| 在規則清單中查看信任規則 | |
| 查看信任規則詳細資料 | |
| 建立或編輯信任規則 | |
| 啟用或停用特定信任規則 | |
| 刪除信任規則 |
如需其他權限來管理信任規則,請與管理員聯絡。
提示:如果您是超級管理員,可以建立自訂管理員角色來管理信任規則,並將該角色指派給委派管理員。詳情請參閱「建立、編輯及刪除自訂管理員角色」。
啟用或停用信任規則功能
啟用雲端硬碟的信任規則功能
如果啟用信任規則:
- 系統會強制執行規則清單中的現有規則,並停用雲端硬碟外部共用設定。詳情請參閱前述的「信任規則取代雲端硬碟設定的方式」一節。
- 如果您在啟用信任規則不久前變更雲端硬碟共用設定,系統可能會暫時強制執行先前的雲端硬碟設定狀態。最多可能需要 48 小時,信任規則才會與近期變更的雲端硬碟共用設定達到同步。
如要啟用信任規則:
- 在頁面頂端的「安全協同合作」資訊卡中,按一下「為雲端硬碟啟用」。
必須具備管理信任規則和「雲端硬碟與文件」「設定」管理員權限。
工作清單隨即會自動開啟,並顯示信任規則啟用進度。
「規則」停用雲端硬碟的信任規則功能
如果停用信任規則:
- 貴機構的雲端硬碟共用設定會再次生效,並還原為啟用信任規則當時的狀態。
- 您建立的所有信任規則都會永久刪除。
如要停用信任規則,請按照下列步驟操作:
- 點按「共用設定」。
- 在「<貴機構> 外部共用設定」下方點選「關閉信任規則」。
必須具備管理信任規則和「雲端硬碟與文件」「設定」管理員權限。
工作清單隨即會開啟,並顯示停用信任規則的進度。
「應用程式」建立及管理信任規則
建立信任規則
建立信任規則後,您可以:
- 隨時編輯以變更條件、動作等設定,或是停用或重新啟用設定。
- 隨時刪除信任規則。
- 依序點選「建立規則」「信任」。
必須具備查看信任規則、管理信任規則、雲端硬碟與文件設定、群組讀取,以及機構單位讀取管理員權限。
- 在「名稱」下方,輸入規則的名稱和說明 (選填)。
- 在「範圍」下方,選擇下列其中一個選項:
根據預設,規則會套用至機構中的所有使用者。
如要將規則套用至特定使用者:
- 針對共用規則,選擇要套用規則的使用者檔案。信任規則只會套用至規則範圍內使用者「擁有」或共用雲端硬碟中的檔案。瞭解詳情。
- 針對接收規則,選擇共用檔案的指定收件者。
- 按一下「指定機構單位或群組」。
- 選取包含或排除機構單位或群組的選項。
- 選擇要包含或排除的機構單位或群組。
- (選用) 包含或排除更多機構單位或群組。
舉例來說,如要將規則套用至機構中的所有使用者,但排除某個群組,請對頂層機構單位套用規則,然後排除這個例外群組。
如要移除機構單位或群組,請點選旁邊的「清除」圖示
。
- 按一下「繼續」。
- 在「觸發條件」下方,選擇一或兩個要套用規則的事件:
- 共用檔案:當範圍內的使用者將自己擁有的檔案與條件中的使用者共用時,就會觸發規則。
- 接收檔案:當範圍內使用者接收到條件中使用者或共用雲端硬碟所擁有的檔案,或範圍內使用者新增為條件中共用雲端硬碟的成員時,就會觸發規則。
- 在「條件」下方,按一下「新增條件」,然後選取要允許或禁止與範圍內使用者共用/接收檔案的內外部使用者。
內部選項:
- 使用者:開始輸入使用者名稱或電子郵件地址。
- 機構單位:按一下「選取機構單位」。
- 群組:開始輸入群組名稱或電子郵件地址。
- 我的機構
外部選項:
(選用) 如要允許使用者與沒有 Google 帳戶的使用者共用檔案,請勾選「包含訪客」方塊。這個選項不適用於某些類型的條件。瞭解協作者共用功能
- 外部機構:輸入機構的網域名稱 (例如 <其他公司>.com)。除非您已啟用協作者共用功能,否則組織必須擁有已驗證網域的 Google Workspace 帳戶。
- 許可網域:(選用) 按一下「查看許可網域」,檢查列入許可清單的網域。
- 所有擁有 Google 帳戶的使用者 (包括內部和外部使用者)
- 按一下「繼續」。
- 在「動作」下方,選擇觸發規則時的處理方式:「允許」、「允許共用並顯示警告」或「封鎖」。
- 按一下「完成」。
- 選擇是否要啟用規則,然後按一下「完成」。
變更最多可能需要 48 小時才會生效。在此期間,系統可能會強制交替執行新舊兩種設定。
查看及編輯信任規則詳細資料
您隨時可以編輯信任規則,變更條件和動作等設定、停用或重新啟用規則。
- 在「規則」清單中找出規則。
提示:如要按照規則類型來排序清單,可以按一下「規則類型」欄標題,或依序點選「新增篩選器」
「規則類型」「信任」。 - (選用) 如要查看規則範圍、條件、觸發條件和動作,請將滑鼠游標移到清單中的規則,然後按一下「快速檢視」。
- (選用) 按一下規則,開啟詳細資料頁面並查看設定。
- (選用) 如要編輯設定:
變更最多可能需要 48 小時才會生效。在此期間,系統可能會強制交替執行新舊兩種設定。
刪除信任規則
信任規則一經刪除,就會從 Google 服務中永久移除。或者,您也可以停用規則,以便日後重新啟用。請參閱「查看或編輯信任規則詳細資料」。
- 在「規則」下方,依序點按「新增篩選器」「規則類型」「信任」。
- 在「規則」清單中,將滑鼠游標移到要刪除的規則上,然後按一下「刪除」圖示
。必須具備「查看信任規則」、「管理信任規則」和「雲端硬碟與文件」「設定」管理員權限。
您也可以在規則詳細資料頁面的左側找到「刪除」選項 (按一下規則即可開啟詳細資料頁面)。
- 按一下確認訊息中的「刪除」。
變更最多可能需要 48 小時才會生效。在此期間,系統可能會強制交替執行新舊兩種設定。
查看信任規則記錄事件
進一步瞭解信任規則的運作方式
需建立 2 項規則才能允許 2 個內部團隊協作
如要允許團隊或使用者的檔案與其他內部團隊或使用者共用,請建立 2 項規則,分別指定共用與接收規則。
範例:允許團隊檔案與其他團隊共用
假設要允許銷售團隊擁有的檔案與行銷團隊共用。這時,您必須建立一項規則來允許銷售團隊向行銷團隊共用檔案,再建立另一項規則允許行銷團隊接收銷售團隊的檔案:
| 規則 | 範圍 | 觸發條件 | 條件 | 動作 |
|---|---|---|---|---|
| 1 | 銷售 | 分享檔案 | 行銷 | 允許 |
| 2 | 行銷 | 接收檔案 | 銷售 | 允許 |
範例:允許兩個團隊互相共用檔案
假設要允許銷售團隊和行銷團隊互相共用所擁有的檔案。如同上述範例,您需要建立 2 項規則,但這時每項規則的觸發條件必須「同時包含」共用和接收檔案:
| 規則 | 範圍 | 觸發條件 | 條件 | 動作 |
|---|---|---|---|---|
| 1 | 銷售 |
共用檔案 |
行銷 | 允許 |
| 2 | 行銷 |
共用檔案 |
銷售 | 允許 |
信任規則只會套用到範圍內使用者擁有的檔案
如果規則明訂共用檔案時會發生的情況,這項規則只會套用到規則範圍內使用者 (和任何共用雲端硬碟) 所「擁有」的檔案,而不會套用到範圍內使用者具備編輯權限 (但並不擁有) 的檔案。
舉例來說,如果您建立規則來禁止研究團隊擁有的檔案與銷售團隊共用,研究團隊仍可向銷售團隊共用他們具備編輯權限的任何其他檔案。如要禁止銷售團隊接收其他團隊的檔案,您可以建立封鎖規則。
注意:
- 如果檔案擁有者隸屬的機構單位或群組變更,檔案共用規則也會變更為新機構單位或群組的規則。檔案擁有權轉移給其他機構單位或群組的使用者時,檔案也會改用新機構單位或群組的規則。
- 如果不是使用者擁有的檔案,使用者只能按照檔案擁有者允許的情形共用檔案。即便使用者所屬機構單位或群組採用較寬鬆的共用規則,仍然遵守檔案擁有者設下的限制。
信任規則如何與訪客和非受管 Google 帳戶搭配運作
以下針對沒有 Google 帳戶或 Google 帳戶不受管理員管理的使用者,說明信任規則如何運作。
沒有 Google 帳戶的使用者 (訪客)
允許共用的規則
如果您建立的規則允許使用者對外共用檔案,根據預設,共用對象必須是擁有受管理 Google 帳戶的使用者。不過,您也可以允許使用者與沒有 Google 帳戶的使用者共用檔案。這樣的話,收件者會獲得一種特殊帳戶,稱為「訪客帳戶」。進一步瞭解如何與訪客帳戶共用檔案。
如要與沒有 Google 帳戶的使用者共用檔案,請在規則的「條件」設定中,選取「包括訪客」選項。這個選項只適用於允許使用者對外共用的規則,可與外部網域或所有外部使用者共用。
注意:將訪客帳戶加入允許外部共用的群組,並不會允許訪客帳戶共用檔案。
禁止共用的規則
即使沒有選取條件選項「包括訪客」,禁止使用者對外共用的規則一律會套用到訪客。
不過,如果有另一項規則「允許」與訪客帳戶共用,封鎖規則就不會套用到群組中的訪客帳戶。舉例來說,如果制定了以下規則:
- 規則 1:允許與「所有擁有 Google 帳戶的使用者」共用檔案,並選取「包括訪客」。
- 規則 2:如果郵寄清單群組中包含使用訪客帳戶的使用者,則禁止與該群組共用檔案。
封鎖動作就不會套用到群組中的訪客帳戶。規則 2 範圍內的使用者仍可為訪客帳戶提供檔案存取權。
非受管 Google 帳戶的使用者
允許共用的規則
如果您建立的規則允許使用者與特定外部網域或機構共用檔案,但是該網域或機構中含有非受管的 Google 帳戶,那麼使用者無法與這類帳戶共用檔案。這類帳戶包括個人帳戶,以及已驗證電子郵件的 Google Workspace 帳戶。
不過,您還是能允許使用者與「指定」的非受管帳戶共用檔案,做法是將這些帳戶加入一個群組,然後建立允許與該群組共用檔案的規則。
禁止共用的規則
凡是禁止使用者與機構外部人士共用的規則,一律都會套用到非受管帳戶。
信任規則套用到共用雲端硬碟的方式
如果信任規則的範圍包含機構單位,規則就會套用到該機構單位中的所有共用雲端硬碟。舉例來說,如果您建立的規則允許製造團隊的機構單位與法務團隊共用檔案,法務團隊的使用者就可以存取製造團隊的共用雲端硬碟。
如要為共用雲端硬碟建立信任規則,請務必在適當的機構單位中設定共用雲端硬碟。
信任規則優先順序:規則發生衝突的處理方式
如果有多個信任規則範圍、觸發條件和條件都符合共用事件,系統會按照以下優先順序執行規則動作:
- 禁止分享
- 允許共用
- 允許共用並彈出警示
以下舉例說明規則發生衝突的處理方式。在這些範例中:
- 「<貴機構>.com」是機構的頂層機構單位。
- 「行銷部門」是頂層子機構單位。
範例 1
| 規則 | 範圍 | 條件 | 觸發條件 | 動作 |
|---|---|---|---|---|
| 1 | your-organization.com | 所有使用者 | 分享檔案 | 允許 |
| 2 | 行銷部門 | 許可網域 | 分享檔案 | 允許 |
結果:由於行銷部門是整個機構的一部分,規則 1 也適用於行銷部門。因此,他們可以與所有使用者共用內容,不限於許可網域。下方範例 2 將說明如何建立規則,來限制行銷部門只能與許可清單中的網域共用檔案。
示例 2
| 規則 | 範圍 | 條件 | 觸發條件 | 動作 |
|---|---|---|---|---|
| 1 |
your-organization.com 排除行銷部門 |
所有使用者 | 分享檔案 | 允許 |
| 2 | 行銷部門 | 許可網域 | 分享檔案 | 允許 |
結果:由於規則 1 排除行銷部門,行銷部門只會套用規則 2,因此他們只能與許可網域共用檔案。其他使用者則能與所有使用者共用檔案。
示例 3
| 規則 | 範圍 | 條件 | 觸發條件 | 動作 |
|---|---|---|---|---|
| 1 | your-organization.com | 許可網域 | 分享檔案 | 允許 |
| 2 | 行銷部門 | 所有使用者 | 分享檔案 | 允許 |
結果:規則 2 較為寬鬆,因此行銷部門能與所有使用者共用。其餘使用者則只能與許可網域共用檔案。
範例 4
| 規則 | 範圍 | 條件 | 觸發條件 | 動作 |
|---|---|---|---|---|
| 1 | your-organization.com | 所有使用者 | 分享檔案 | 允許 |
| 2 | 行銷部門 | other-company.com | 分享檔案 | 封鎖 |
結果:規則 2 封鎖共用功能,且優先於規則 1 允許的共用權限,因此行銷部門能與所有使用者共用檔案,唯獨 <其他公司>.com 除外。
隨時停用和重新啟用信任規則
根據預設,您建立的新規則狀態會設為有效。不過,您可以將任何新的或現有規則設為無效。舉例來說,您可以建立一項新規則然後停用,等到準備好使用該規則時再啟用。
信任規則常見問題
變更信任規則後,需要多久時間才會生效?
如果信任規則的範圍或條件不含任何機構單位,系統最多需要 24 小時就能將規則套用到雲端硬碟共用功能。不過,如果信任規則的範圍或條件包含一或多個機構單位,系統最多需要 48 小時才能套用規則,實際情況取決於機構單位的大小。
信任規則和規則條件的數量上限為何?
以下為各項目的數量上限:
- 200 條有效信任規則
- 2,000 條信任規則 (包含有效及無效規則)
- 每項信任規則 150 個條件
- 貴機構所有信任規則共 500 個下列類型的條件:
- 組織單位
- 群組
- 許可 (信任的) 網域
- 外部網域
- 特定使用者:1 到 200 位使用者計為 1 項條件,201 到 400 位使用者計為 2 項條件,依此類推
注意:若是以下類型的條件,貴機構所有信任規則的這類條件總數沒有上限:
- 機構
- 所有擁有 Google 帳戶的使用者
- 每項規則範圍包含或排除的 500 個機構單位或群組
我可以為規則範圍或條件選擇哪些類型的群組?
您可以在管理控制台的群組清單上,選擇任何由管理員或使用者建立的群組。群組地址的結尾必須是貴機構的網域,外部群組不得做為規則範圍或條件。
以下是一些可考慮使用信任規則的群組類型:
-
動態群組:在使用者加入或離開群組,或離開貴機構時,自動管理成員資格。您可在管理控制台中或透過 Cloud Identity API 使用動態群組功能,節省手動管理群組成員的時間。如要將動態群組加入信任規則政策,請確認該群組也是安全性群組 (含有「安全性」標籤)。進一步瞭解動態群組。
-
安全性群組:將標準或動態群組轉換為安全性群組,可讓您輕鬆管理、稽核及監控群組的權限和存取權。您可以透過管理控制台或 Cloud Identity Groups API 建立安全性群組,方法是為群組新增安全性標籤。進一步瞭解安全性群組。
-
遷移的群組:使用 Google Cloud Directory Sync (GCDS),將您在 Microsoft Active Directory 或其他工具中建立的群組與 Google Workspace 保持同步。接下來,您就可以將這些同步處理的群組加入信任規則。進一步瞭解 GCDS。
如何對外部使用者套用信任規則?
如要對外部使用者套用信任規則,可以建立具有外部地址的群組 (包含外部群組或個別地址)。舉例來說,如果貴機構的法務團隊需要與外部顧問公司的特定律師共用檔案,您可以建立一個包含該律師地址的群組,然後建立以下規則:
- 範圍:法務團隊的機構單位
- 觸發條件:共用檔案和接收檔案
- 條件:含有特定律師地址的群組
- 動作:允許
如果使用者帳戶不再擁有雲端硬碟,信任規則是否仍適用於他們的共用檔案?
如果使用者帳戶無法再使用 Google 雲端硬碟和文件服務 (例如帳戶已失去 Google Workspace 授權),則他們擁有的檔案「只能在機構內部共用」,即使檔案所套用的信任規則允許對外共用也是如此。使用者檔案不再適用內部共用規則 (例如只能與特定組織單位共用檔案)。不過,禁止其他授權使用者接收檔案的規則仍會強制執行。
如要解除對外共用這些檔案的限制,您可以將封存使用者 (AU) 授權新增到這類使用者的帳戶。詳情請參閱「新增封存使用者授權」。
如果規則允許使用者對外共用資料,但之後將該使用者從規則中移除,則該使用者的檔案是否仍可對外共用?
如果您建立規則,允許群組對外共用檔案,然後將特定使用者從群組中移除,那麼機構外部人員將無法再存取該使用者對外共用的檔案。
如果使用者的 Google Workspace 授權不含信任規則,我可以對他們套用信任規則嗎?
如果貴機構部分使用者的 Google Workspace 授權不含信任規則,您仍可以將信任規則套用到這些使用者和他們的檔案。此外,如果使用者擁有的 Google Workspace 授權包含信任規則,在他們的帳戶授權變更為不包含信任規則後,信任規則仍會套用到這些使用者和他們的檔案。
為什麼雲端硬碟允許我與外部群組共用檔案?信任規則是否禁止共用?
信任規則是套用至使用者,而非群組,因為群組可能包含未遭規則封鎖的成員。因此,雖然您可以與外部群組共用雲端硬碟檔案,但系統會根據信任規則,禁止遭封鎖的群組成員存取檔案。
如果機構改用不含信任規則的 Google Workspace 版本,信任規則會發生什麼情況?
如果貴機構改用不含信任規則的 Google Workspace 版本,貴機構的有效信任規則會維持有效並強制實行。您可以查看信任規則,但無法編輯或刪除。如果是超級管理員,就能停用信任規則,並改用雲端硬碟共用設定。
如果您停用信任規則:貴機構的雲端硬碟共用設定會再次生效,並還原為啟用信任規則當時的狀態。您建立的所有信任規則都會永久刪除。
如果取消 Google Workspace 訂閱方案,只保留 Cloud Identity 授權,您將無法使用雲端硬碟共用設定。
為何使用者再也無法使用「知道連結的使用者」共用選項?
如果符合以下所有情況,使用者就能在共用檔案時選擇「知道連結的使用者」選項:
- 使用者檔案所套用的信任規則允許使用者與貴機構所有成員、所有擁有 Google 帳戶的使用者和訪客帳戶共用檔案。
- 使用者檔案所套用的信任規則沒有禁止共用檔案。
- 已啟用以下雲端硬碟共用設定:「如果允許與貴機構網域外部的人員共享,使用者便可向任何知道連結的使用者公開檔案及已發布的網頁內容」。如要進一步瞭解這項設定,請參閱「設定使用者的雲端硬碟共用權限」。
信任規則可以套用到服務帳戶嗎?
可以,「所有擁有 Google 帳戶的使用者」條件即涵蓋服務帳戶。舉例來說,如果您建立信任規則來禁止貴機構使用者與「所有擁有 Google 帳戶的使用者」協同合作,這項規則也會禁止服務帳戶存取受規則保護的檔案。
為什麼信任規則會禁止作答者存取表單?
只有在表單中含有上傳檔案的問題,且信任規則設有檔案共用限制時,信任規則才會禁止作答者存取表單。如果表單未提示作答者上傳檔案,信任規則範圍內的使用者就可以填答表單。
信任規則已知問題
已知問題清單
| 問題 | 詳細資料 |
|---|---|
| 信任規則的記錄不含部分詳細資料 | 信任規則的管理員記錄包含進行變更的使用者和變更類型 (建立、更新或刪除)。不過,已變更的內容或設定不會納入記錄。 |
| 管理員沒有充足權限來開啟規則的「快速檢視」連結時,不會收到有關所需權限的通知 |
委派管理員在規則清單中點選信任規則的「快速檢視」連結時,如果沒有查看規則所需的完整權限 (例如「機構單位」>「讀取」權限),就無法開啟規則的詳細資料。不過,管理員不會收到告知他們需要其他權限的訊息。 |
| 使用者無法存取已驗證電子郵件的機構擁有的共用雲端硬碟 |
啟用信任規則後,如果其他機構使用已驗證電子郵件的 Google Workspace 帳戶,使用者就無法在該機構擁有的共用雲端硬碟中協作。 |