Unterstützte Versionen für diese Funktion: Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen
Die Genehmigung durch mehrere Parteien schützt vor schädlichen Aktionen in der Admin-Konsole. Alle Änderungen an sensiblen Einstellungen müssen entweder von einem Super Admin oder von einem Administrator mit den Berechtigungen zum Ausführen der geschützten Aktion und zum Delegieren von Berechtigungen zum Überprüfen der Genehmigung durch mehrere Parteien für diese Aktion genehmigt werden.
Hinweis
Einstellungen für die Genehmigung durch mehrere Parteien
Sie können die Genehmigung durch mehrere Parteien für die folgenden Einstellungen in der Admin-Konsole aktivieren oder deaktivieren:
Sicherheitseinstellungen
- Bestätigung in zwei Schritten
- Kontowiederherstellung
- Erweitertes Sicherheitsprogramm
- Google-Sitzungssteuerung
- Identitätsbestätigung
- Passwortlos
- SSO mit Drittanbieter-IdP
- Domainweite Delegierung
- Kontextsensitiver Zugriff
API-Zugriff auf Sicherheitseinstellungen
Kalender-Einstellungen
Groups-Einstellungen
Domaineinstellungen
Google Vault-Einstellungen
Eine Anleitung zum Aktivieren oder Deaktivieren der Genehmigung durch mehrere Parteien finden Sie auf dieser Seite unter Genehmigung durch mehrere Parteien aktivieren oder deaktivieren.
Hinweis: Apps und Dienste können auch über APIs auf bestimmte Einstellungen der Admin-Konsole zugreifen. Separate Genehmigungen durch mehrere Parteien schützen sensible Aktionen, die über öffentliche API-Aufrufe ausgeführt werden.
Genehmigung durch mehrere Parteien in Reseller-Domains
Wenn die Genehmigung durch mehrere Parteien in der Domain eines Reseller-Kunden aktiviert ist und ein Reseller-Administrator versucht, eine sensible Einstellung zu aktualisieren, wird die Genehmigungsanfrage nur an die Reseller-Administratoren gesendet. Nur diese können die Anfrage genehmigen, ablehnen oder ansehen.
Administratorberechtigungen zum Prüfen von Anfragen zur Genehmigung durch mehrere Parteien zuweisen
Super Admins können anderen Administratoren die nötigen Berechtigungen gewähren, die zum Prüfen und Genehmigen von Anfragen, für die die Genehmigung durch mehrere Parteien erforderlich ist.
Erstellen Sie eine benutzerdefinierte Administratorrolle mit den Berechtigungen für die Genehmigung durch mehrere Parteien, die Administratoren haben sollen.
Tipp: Für einige Aktionen in der Admin-Konsole sind Super Admin-Berechtigungen erforderlich, z. B. zum Aktivieren oder Deaktivieren der 2‑Faktor-Authentifizierung. Wenn die Genehmigung durch mehrere Parteien für eine dieser Aktionen aktiviert ist, benötigen Sie einen zweiten Super Admin, der die zugehörigen Anfragen für die Genehmigung durch mehrere Parteien prüft. Weitere Informationen finden Sie im Hilfeartikel Einen Nutzer zum Administrator machen.
Weisen Sie einem oder mehreren Administratoren die benutzerdefinierte Administratorrolle zu, die Sie in Schritt 1 erstellt haben.
Weitere Informationen finden Sie im Hilfeartikel Bestimmte Administratorrollen zuweisen.
Speichern Sie die in Schritt 2 zugewiesene Rollenkonfiguration.
Genehmigung durch mehrere Parteien aktivieren oder deaktivieren
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.Mit den Einstellungen für die Genehmigung durch mehrere Parteien in der Admin-Konsole können Sie die Funktion für Ihre Organisation, für einzelne Sicherheitseinstellungen der Admin-Konsole und für öffentliche APIs, die auf Sicherheitseinstellungen zugreifen können, aktivieren oder deaktivieren.
-
Gehen Sie in der Admin-Konsole zum Menü
Sicherheit Authentifizierung Einstellungen für die Genehmigung durch mehrere Parteien.Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Wenn Sie die Genehmigung durch mehrere Parteien für Ihre Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Einstellungen für die Genehmigung durch mehrere Parteien, setzen Sie ein Häkchen bei Genehmigung durch mehrere Parteien für sensible Aktionen erforderlich oder entfernen Sie das Häkchen und klicken Sie dann auf Speichern.
Hinweis: Wenn Sie die Genehmigung durch mehrere Parteien für Ihre Organisation deaktivieren:
- Ausstehende Anfragen bleiben für denselben Zeitraum aktiv, bis sie genehmigt, abgelehnt, storniert werden oder ablaufen.
- Bei neuen Einstellungsänderungen, die sensible Administratoraktionen umfassen, werden keine Anfragen zur Genehmigung durch mehrere Parteien erstellt, auch wenn die Genehmigung durch mehrere Parteien für die jeweilige Einstellung aktiviert ist.
Wenn Sie die Genehmigung durch mehrere Parteien für eine oder mehrere einzelne Sicherheitseinstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Sicherheitseinstellungen, setzen oder entfernen Sie das Häkchen für jede Einstellung, für die Sie die Genehmigung durch mehrere Parteien aktivieren oder deaktivieren möchten, und klicken Sie dann auf Speichern.
Hinweis: Wenn die Genehmigung durch mehrere Parteien für eine einzelne Einstellung aktiviert ist, wird durch Änderungen an der Einstellung in der Admin-Konsole nur dann eine Genehmigungsanfrage durch mehrere Parteien erstellt, wenn die Genehmigung durch mehrere Parteien auch für die Organisation aktiviert ist.
Wenn Sie die Genehmigung durch mehrere Parteien für öffentliche APIs, die auf Sicherheitseinstellungen zugreifen können, aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für API-Zugriff auf Sicherheitseinstellungen, setzen oder entfernen Sie das Häkchen bei SSO mit Drittanbieter-IDPs und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für Kalendereinstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Kalendereinstellungen, setzen oder entfernen Sie das Häkchen für jede Einstellung, für die Sie die Genehmigung durch mehrere Parteien aktivieren oder deaktivieren möchten, und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für Gruppeneinstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Gruppeneinstellungen, setzen oder entfernen Sie das Häkchen für jede Einstellung, für die Sie die Genehmigung durch mehrere Parteien aktivieren oder deaktivieren möchten, und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für sensible Domainaktionen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Administratoreinstellungen, setzen oder entfernen Sie das Häkchen im Kästchen Domains API und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für Vault-Einstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Vault-Einstellungen, aktivieren oder deaktivieren Sie das Kästchen Export erstellen und klicken Sie dann auf Speichern.
Anfrage ansehen, genehmigen oder abbrechen
Der Anfragende oder der Genehmiger kann ausstehende oder frühere Anfragen auf der Seite „Genehmigung durch mehrere Parteien“ sehen. Wenn Sie auf dem Tab Eingereichte Anfragen auf eine Anfrage klicken, wird eine Detailseite für diese Anfrage angezeigt. Auf der Detailseite der Anfrage können Anfragende ihre Anfrage abbrechen. Genehmiger können die Anfrage genehmigen oder ablehnen.
-
Gehen Sie in der Admin-Konsole zum Menü
Sicherheit Authentifizierung Einstellungen für die Genehmigung durch mehrere Parteien.Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Sie können Anfragen ansehen, die Sie erstellt haben, sowie Anfragen von anderen, die Sie prüfen dürfen, weil Sie sowohl die Berechtigungen haben, um dieselbe Aktion in der Admin-Konsole auszuführen, als auch Anfragen für die Genehmigung durch mehrere Parteien zu prüfen. Die Anfragedetails umfassen den Anfragestatus, den Namen des Anfragenden, das Datum, an dem die Anfrage erstellt wurde, die angeforderte Einstellungsänderung und das Ablaufdatum der Anfrage.
Wenn Sie Details zu einer bestimmten Anfrage aufrufen möchten, klicken Sie in der Spalte Aktion auf den entsprechenden Link.
- Die Detailseite „Anfragender“ enthält eine Option zum Abbrechen der Anfrage.
- Die Detailseite „Genehmiger“ enthält Optionen zum Genehmigen oder Ablehnen der Anfrage.
Klicken Sie auf Genehmigung durch mehrere Parteien, um zur Seite mit der Genehmigungsliste zurückzukehren.
Berechtigungen für sensible Aktionen in der Admin-Konsole und die Überprüfung von Änderungsanfragen
Wenn Sie Anfragen für die Genehmigung durch mehrere Parteien von sensiblen Aktionen in der Admin-Konsole ansehen möchten, benötigen Sie entweder die in der Tabelle unten aufgeführte Berechtigung auf Aktionsebene oder die Berechtigung Kann die Genehmigung durch mehrere Parteien für alle sensiblen Aktionen überprüfen.
| Einstellung in der Admin-Konsole | Rolle oder Berechtigung, die für die Ausführung der Aktion erforderlich ist | Rolle oder Berechtigung, die zum Überprüfen einer Anfrage zur Genehmigung durch mehrere Parteien für die Aktion erforderlich ist |
|---|---|---|
| Bestätigung in zwei Schritten | Super Admin-Rolle | Super Admin-Rolle |
| Kontowiederherstellung | Super Admin-Rolle | Super Admin-Rolle |
| Google-Sitzungssteuerung | „Sicherheit“ > „Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Erweitertes Sicherheitsprogramm | „Sicherheit“ > „Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Identitätsbestätigungen | „Sicherheit“ > „Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Passwortlos | „Sicherheit“ > „Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Domainweite Delegierung | Super Admin-Rolle | Super Admin-Rolle |
| SSO mit externen IdPs | „Sicherheit“ > „Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern“ oder „Sicherheit“ > „Lese- und Schreibzugriffe auf Einstellungen für eingehende SSO steuern“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Kontextsensitiver Zugriff | „Dienste“ > „Datensicherheit“ > „Zugriffsebenen verwalten“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Domains API | Admin API-Berechtigungen > Domainverwaltung | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ > „Domainaktionen prüfen“ |
| Kalenderfreigabe | „Kalender“ > „Alle Einstellungen“ > „Einstellungen verwalten“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Kalenderaktionen prüfen“ |
| Allgemeine Kalendereinstellungen | „Kalender“ > „Alle Einstellungen“ > „Einstellungen verwalten“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Kalenderaktionen prüfen“ |
| Einstellungen für die Kalenderarchivierung über Drittanbieter | „Archivierung über Drittanbieter“ > „Einstellungen für die Archivierung über Drittanbieter verwalten“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Kalenderaktionen prüfen“ |
| Gruppenfreigabe | „Google Groups for Business“ > „Einstellungen für den Groups-Dienst“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Gruppenaktionen prüfen“ |
| (Vault) Export erstellen | Super Admin-Rolle | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ > „Vault-Aktionen prüfen“ |
Weitere Informationen zu Rollen und Berechtigungen für die Genehmigung durch mehrere Parteien
- Nur Super Admins können anderen Administratoren Berechtigungen für die Genehmigung durch mehrere Parteien erteilen und die Einstellungen für die Genehmigung durch mehrere Parteien in der Admin-Konsole aktualisieren.
- Administratoren, die mindestens eine Anfrage zur Genehmigung gesendet haben, können ihre Anfragen in der Admin-Konsole ansehen.
- Super Admins können die Berechtigungen ansehen, die mit der Administratorrolle für die Genehmigung durch mehrere Parteien verknüpft sind.
- Wenn ein Administrator von anderen Administratoren eingereichte Anfragen prüfen möchte, muss er sowohl die Berechtigung zum Prüfen von Anfragen für die Genehmigung durch mehrere Parteien als auch die Berechtigung zum Ändern der Einstellungen haben, die geprüft werden.
So funktioniert die Genehmigung durch mehrere Parteien
In diesem Beispiel schützt die Genehmigung durch mehrere Parteien die vertrauliche Aktion der Änderung der Einstellungen für die 2-Faktor-Authentifizierung.
- Ein Super Admin für Google Workspace versucht unter Sicherheit
Authentifizierung Einstellungen für die 2-Faktor-Authentifizierung die Umstellung von EIN auf AUS zu erzwingen.
In einem Feld wird der Super Admin darüber informiert, dass für diese Aktion die Genehmigung eines anderen Administrators erforderlich ist. Der Anfragende kann optional eine erläuternde Nachricht eingeben, bevor er die Anfrage zur Genehmigung sendet.
Hinweis: Wenn es bereits eine ausstehende Anfrage zur Genehmigung einer Einstellungsänderung gibt, wird jede neue Anfrage vorübergehend blockiert, bis die ausstehende Anfrage bearbeitet wurde. Der Administrator, dessen Anfrage blockiert wurde, kann die in Konflikt stehende Anfrage sehen.
Der anfragende Super Admin erhält eine E‑Mail, in der bestätigt wird, dass sein Antrag auf Genehmigung eingegangen ist.
Der Administrator (Genehmiger) erhält eine E-Mail-Anfrage zur Genehmigung und öffnet einen Link zur Seite „Genehmigung durch mehrere Parteien“ in der Admin-Konsole. Dort werden Details zu folgenden Punkten angezeigt:
- Wer die Änderung anfordert
- Die aktuelle Einstellung (vor der Änderung) und die vorgeschlagene Einstellung (nach der Änderung)
- Optionen zum Genehmigen oder Ablehnen der Anfrage
Hinweis: Wenn ein Administrator die Berechtigung zum Ausführen einer sensiblen Aktion oder zum Überprüfen von Anfragen zur Genehmigung durch mehrere Parteien durch eine gruppenbasierte Rollenzuweisung erhält, erhält er keine Überprüfungsanfragen per E-Mail. Administratoren können auf die Seite „Genehmigung durch mehrere Parteien“ zugreifen, auf der alle Anfragen aufgeführt sind, die sie prüfen dürfen.
Der Administrator (Genehmiger) überprüft die Anfragedetails und genehmigt die Anfrage oder lehnt sie ab.
- Wird die Anfrage genehmigt, wird die Änderung an den Einstellungen für die 2‑Faktor-Authentifizierung vorgenommen, ohne dass der anfragende Administrator weitere Maßnahmen ergreifen muss.
- Wenn der Administrator (Genehmiger) nichts unternimmt, läuft die Anfrage nach drei Tagen ab.
Der ursprüngliche Anfragende erhält eine E‑Mail, wenn die Anfrage genehmigt oder abgelehnt wurde oder wenn die Anfrage ohne Aktion abgelaufen ist.