管理使用者的安全性設定

貴機構的 Google Workspace 或 Cloud Identity 服務管理員可以查看及管理使用者的安全性設定。舉例來說,您可以重設使用者密碼、新增或移除多重驗證的安全金鑰,以及重設使用者的登入 Cookie。

開啟使用者安全性設定

如要完成這些步驟,您必須取得適當的管理員權限。根據您的權限,您可能無法看到完成這些步驟所需的完整控制項。進一步瞭解管理員權限

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「目錄」接下來「使用者」

    必須具備適當的使用者管理權限。否則將看不到執行步驟所需的完整控制選項。

  2. 在「使用者」清單中找出使用者。

    提示:如要找出使用者,您也可以在管理控制台頂端的搜尋框中輸入使用者的名稱或電子郵件地址。如需相關協助,請參閱「尋找使用者帳戶」。

  3. 按一下使用者的名稱,開啟該使用者的帳戶頁面。

  4. 按一下頂端的「安全性」

  5. 按照下列步驟查看或管理使用者的安全性設定。

查看及管理使用者安全性設定

重設使用者密碼

  1. 依序按一下「密碼」接下來「重設密碼」
  2. 選擇自動產生密碼,或是自行輸入密碼。

    根據預設,密碼長度至少要有 8 個字元。您可以變更貴機構的密碼規定

  3. (選用) 如要查看密碼,請按一下「預覽」圖示
  4. (選用) 如要強制要求使用者變更密碼,請確認「要求在下次登入變更密碼」已設為開啟
  5. 按一下「重設」
  6. (選用) 如要將密碼貼到其他位置 (例如與使用者的 Google Chat 對話中),請點選「按一下即可複製密碼」
  7. 選擇透過電子郵件將密碼傳送給使用者,或是按一下「完成」

管理使用者的密碼金鑰和安全金鑰

「密碼金鑰和安全金鑰」部分會顯示使用者所註冊金鑰的資訊,包括:

  • 金鑰名稱,可能是預設值或使用者指定的值
  • 建立金鑰的平台或裝置
  • 註冊方式,可能是使用者手動註冊或自動註冊
  • 是否支援無密碼登入,也就是用密碼金鑰略過密碼驗證程序
  • 金鑰新增及上次使用的時間和位置

您可以新增或移除使用者的安全金鑰,也能移除他們的密碼金鑰。

密碼金鑰

密碼金鑰可取代密碼,是簡單又安全的登入方式。使用者可以利用密碼金鑰,搭配手機、安全金鑰或電腦螢幕解鎖方式,登入受管理的 Google 帳戶。如果管理員已允許使用者的帳戶略過密碼輸入步驟,他們就可以跳過密碼登入驗證,改以整合兩個驗證步驟的密碼金鑰登入。詳情請參閱「改用密碼金鑰代替密碼登入帳戶」。

移除使用者建立的密碼金鑰

  1. 按一下「密碼金鑰和安全金鑰」,即可顯示金鑰資訊表格。
  2. 將表格捲動至最右側。
  3. 找出要移除的金鑰,將滑鼠游標懸停在對應的表格行上,然後按一下「移除」
  4. 按一下「移除」確認操作。
  5. 按一下 [完成]。
    每次撤銷密碼金鑰,管理員記錄事件都會新增一筆記錄項目。

移除自動建立的密碼金鑰

使用者登入 Google 帳戶時,Android 裝置會自動產生密碼金鑰,如要移除其中一個,請按照下列步驟操作:

  1. 前往使用者的「安全性」頁面,然後前往「已連結的應用程式」部分。
  2. 在「應用程式」欄中找出要移除的 Android 裝置
  3. 將滑鼠游標懸停在該列上,然後按一下「移除」圖示
  4. 按一下「移除」
  5. 按一下 [完成]。

如要防止使用者建立其他自動密碼金鑰,請為他們重設密碼,並在所有裝置和瀏覽器中登出 Google 帳戶 (包括 Google Workspace 應用程式)。

  1. 按照重設使用者密碼的步驟操作。
  2. 如要將使用者登出 Google 帳戶,請按照重設使用者登入 Cookie 的步驟操作。

如果您重設使用者的 Cookie,但未重設密碼,他們仍能登入 Android 裝置,並再次新增自動建立的密碼金鑰。

如要進一步控管自動建立密碼金鑰的功能,您可以使用基本裝置管理功能,限制 Android 裝置的使用方式。詳情請參閱「設定基本行動裝置管理服務」。

安全金鑰

安全金鑰是一種小型裝置,可讓您使用兩步驟驗證 (2SV) 登入 Google 帳戶。用法是將金鑰插入電腦的 USB 連接埠,或透過 NFC 或藍牙與行動裝置連線。詳情請參閱「使用安全金鑰進行兩步驟驗證」。

新增兩步驟驗證專用的安全金鑰

您可以為使用者新增安全金鑰,或是讓使用者自行新增。如果新增兩步驟驗證 (2SV) 專用的金鑰,使用者在使用此金鑰時,仍需輸入密碼才能登入。

  • 如何為使用者新增安全金鑰:
    1. 按一下「密碼金鑰和安全金鑰」,即可顯示「新增安全金鑰」按鈕。
    2. 按一下「新增安全金鑰」
    3. 按照畫面上的指示操作。
      注意:如果電腦已插入安全金鑰,必須先取出這個金鑰,才能為使用者註冊新的金鑰。
    4. 按一下 [完成]。
  • 如何讓使用者自行新增兩步驟驗證專用的安全金鑰:
    1. 確認您已為使用者關閉略過密碼設定,否則使用者只能新增安全金鑰做為密碼金鑰。如需步驟說明,請參閱「為使用者開啟或關閉略過密碼設定」。
    2. 請使用者按照「使用安全金鑰進行兩步驟驗證」一文的指示操作。

移除安全金鑰

只有在安全金鑰遺失時,您才需要將其移除。如果只是暫時無法取得金鑰,則可以產生備用安全碼做為臨時替代方案。詳情請參閱「為使用者取得備用驗證碼」。

  1. 按一下「密碼金鑰和安全金鑰」,即可顯示金鑰資訊表格。
  2. 將表格捲動至最右側。
  3. 找出要移除的金鑰,將滑鼠游標懸停在對應的表格行上,然後按一下「移除」
  4. 按一下「移除」確認操作。
  5. 按一下 [完成]。
    每次撤銷安全金鑰,管理員記錄事件都會新增一筆記錄項目。

確認進階保護計畫註冊狀態

管理員可以查看使用者的進階保護計畫註冊狀態,並視需要在使用者層級取消註冊。

  • 如果狀態顯示為「開啟」,表示使用者目前已註冊進階保護計畫。
  • 「關閉」狀態表示使用者尚未註冊進階保護計畫。

如果在這裡關閉進階保護註冊設定,只有「啟用使用者註冊作業」這項設定已啟用,使用者才能再次重新註冊,此設定位於「安全性」接下來「驗證」接下來「進階保護計畫」。詳情請參閱「允許使用者註冊」。

檢查兩步驟驗證設定

只有使用者可以啟用兩步驟驗證 (2SV)。但是管理員可以檢查使用者目前的兩步驟驗證設定,並在必要時為遭到鎖定的使用者取得備用碼。

「兩步驟驗證」部分會顯示個別使用者的兩步驟驗證啟用狀態,以及貴機構目前是否強制執行這項機制。

  • 您可以為遭到鎖定的使用者關閉兩步驟驗證,但我們不建議這麼做。比較理想的做法是為這些使用者取得備用碼,讓他們以備用碼登入帳戶。

    注意:您無法為帳戶遭到停權的使用者關閉兩步驟驗證。

  • 如果貴機構已強制執行兩步驟驗證,您就無法為個別使用者關閉這項功能。

為使用者取得備用驗證碼

如果使用者暫時無法取得自己的第二種驗證工具,就可能遭到系統鎖定。舉例來說,使用者可能會將安全金鑰忘在家裡,或是無法透過手機接收存取碼。當使用者因為這些情況而無法登入時,您就可以為他們產生備用驗證碼。

  1. 如要查看使用者的備用驗證碼,請依序點選「兩步驟驗證」接下來「取得備用驗證碼」
    注意:建立新的驗證碼會使所有現有的驗證碼失效。舉例來說,如果您透過管理控制台建立使用者的驗證碼,然後使用這些驗證碼產生新的驗證碼,則先前的這組驗證碼將會失效,反之亦然。
  2. 複製現有的一組備用碼,或產生新的備用碼。注意:如果您認為現有的備用碼已經遭竊,或是現有的備用碼都已用完,請選取「產生新的備用碼」。舊的備用碼會自動失效。
  3. 請使用者按照使用備用碼登入帳戶一文的說明操作。

如果使用者需要透過安全金鑰使用兩步驟驗證:

  • 使用者無法自行產生備用驗證碼,須由管理員產生這些備用碼,並視需求提供給使用者。
  • 在您為使用者產生備用碼後,這些備用碼的寬限期隨即開始。在寬限期結束前,使用者都可以使用這些備用碼。您將在他們使用備用碼登入後,看到他們可以免用安全金鑰登入的寬限期。

如要進一步瞭解如何要求使用者必須設定兩步驟驗證,請參閱「部署兩步驟驗證功能」。

經銷商管理員

只有超級管理員可以為其他管理員生成備用驗證碼。也就是說,管理員 (包括經銷商管理員) 只能查看及建立使用者的備用驗證碼,無法針對其他管理員或超級管理員完成這些操作。如要允許管理員針對使用者、管理員和超級管理員生成及查看備用驗證碼,必須授予他們超級管理員權限。

強制變更密碼

如果您懷疑使用者的密碼遭竊,可以強制要求使用者在下次登入時重設密碼。

  1. 按一下「必須變更密碼」接下來 將切換按鈕設為「開啟」
  2. 按一下 [完成]。

在使用者重設密碼後,這項設定會自動設為「關閉」

注意:如果貴機構是透過第三方 IdP 使用單一登入 (SSO) 服務,則必須使用網路遮罩允許部分使用者直接登入 Workplace,才能強制變更密碼。如要檢查網路遮罩是否已設定完成,請依序前往「安全性」接下來「使用第三方 IDP 的 SSO 服務」接下來「貴機構的單一登入 (SSO) 設定檔」

編輯使用者的備援資訊

如果 Google 發現未經授權的人士試圖登入某位使用者的帳戶,會要求對方必須先回答登入身分確認問題,才會授予該帳戶的存取權。登入驗證必要的操作如下 (二擇一):

  • 輸入 Google 傳送至他們備援電話號碼或備援電子郵件地址 (貴機構以外的電子郵件地址) 的驗證碼。
  • 回答只有帳戶擁有者才知道答案的確認問題。

如何新增或編輯使用者的備援資訊:

  1. 按一下「備援資訊」
  2. 新增或編輯下列任一資訊:
    • (貴機構以外的) 電子郵件地址
    • 備援電話號碼

      注意:每位使用者應具備不重複的備援電話號碼。如果有多位使用者的備援電話號碼相同,系統會基於安全考量自動封鎖該號碼。

  3. 按一下 [儲存]

暫時關閉登入或身分驗證問題

如果 Google 發現未經授權的人士試圖登入某位使用者的帳戶,會要求對方必須先回答登入身分確認問題,才會授予該帳戶的存取權。在這種情況下,使用者必須輸入 Google 傳送至手機的驗證碼。或是選擇回答只有帳戶擁有者能解決的其他確認問題。

此外,如果 Google Workspace 使用者嘗試執行敏感動作,系統有時可能會要求使用者驗證身分。如果使用者無法輸入要求的資訊,Google 會禁止該敏感動作。

如果獲得授權的使用者無法驗證自己的身分,您可以關閉登入功能或驗證身分的確認問題 10 分鐘,讓使用者得以登入帳戶。

重設使用者的登入 Cookie

萬一使用者遺失電腦或行動裝置,您可以透過重設登入 Cookie 來防止他人未經授權存取使用者的 Google 帳戶。這樣一來,使用者就會從所有裝置和瀏覽器中登出 Google 帳戶 (包括任何 Google Workspace 應用程式)。

注意:如果您已將使用者停權,則不需執行這項操作,因為系統會為被停權的使用者重設登入 Cookie。

如果您已透過第三方識別資訊提供者 (IdP) 設定單一登入 (SSO) 服務,那麼即使登入 Cookie 已經重設,使用者仍可能在 SSO 工作階段中存取自己的 Google 帳戶。為了避免這種情況,請「先終止使用者的 SSO 登入階段」,再重設使用者的 Google 登入 Cookie。如需 SSO 管理作業的相關協助,請與您的 IdP 支援團隊聯絡。

如何重設使用者的 Cookie:

  1. 依序按一下「登入 Cookie」接下來「重設」
  2. 按一下 [完成]。

系統最多可能需要一小時,才能將使用者登出目前的 Gmail 工作階段。其他應用程式所需的時間不盡相同。

查看及撤銷應用程式專用密碼

如果使用者採用兩步驟驗證,但是他們需要登入的應用程式或裝置不接受驗證碼,則必須用「應用程式專用密碼」存取這類應用程式。進一步瞭解如何使用應用程式密碼登入帳戶。

「應用程式專用密碼」部分會列出使用者已建立專用密碼的應用程式。注意:如果沒有設定任何應用程式密碼,這個部分就不會出現。

按一下應用程式名稱,即可進一步瞭解應用程式密碼的建立時間,上次使用密碼的時間。

當使用者遺失裝置,或是停止使用以專用密碼獲得授權的應用程式時,請務必撤銷相關的應用程式密碼。

  1. 按一下「應用程式專用密碼」部分,即可查看設有專用密碼的應用程式。
  2. 將游標移至應用程式名稱上,然後按一下右側的「撤銷」圖示
  3. 按一下「Revoke」(撤銷)
  4. 按一下 [完成]。

使用者也可以自行撤銷應用程式密碼

查看及移除第三方應用程式的存取權

「已連結的應用程式」部分會列出所有能夠存取該使用者 Google 帳戶資料的第三方應用程式 (例如 Google Workspace Marketplace 應用程式)。瞭解授權存取的運作方式

注意:如果沒有安裝任何第三方應用程式,這個部分就不會出現。

按一下應用程式名稱即可瞭解詳情:

  • 「存取層級」欄會顯示該應用程式可存取的使用者資料。使用者可以授予完整存取權,也可以僅授予特定 Google 資料的存取權。
  • 「授權日期」一欄會顯示應用程式獲得資料存取權的日期。

如何暫時移除應用程式的資料存取權:

  1. 將游標移至應用程式名稱上,然後按一下右側的「移除」圖示
  2. 按一下「移除」
  3. 按一下 [完成]。

注意:移除應用程式的資料存取權並無法防止使用者日後使用該應用程式 (前提是使用者擁有必要權限)。當使用者重新登入應用程式,該應用程式的資料存取權就會恢復。如要永久限制使用者存取應用程式,您可以封鎖特定範圍應用程式的存取權,並為貴機構設定核准應用程式的許可清單


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。