Flerpartsgodkännande för känsliga åtgärder

Utgåvor som stöds för den här funktionen: Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus. Jämför din utgåva

Flerpartsgodkännande skyddar mot skadliga åtgärder i Googles administratörskonsol. Alla ändringar av känsliga inställningar måste godkännas av antingen en avancerad administratör eller en administratör med behörighet att utföra den skyddade åtgärden och att delegera behörighet för att granska flerpartsgodkännande för den åtgärden.

Innan du börjar

Inställningar för godkännande av flera parter

Du kan aktivera eller inaktivera godkännande av flera parter för dessa inställningar för administratörskonsolen:

Säkerhetsinställningar

API-åtkomst till säkerhetsinställningar

Kalenderinställningar

Gruppinställningar

Domäninställningar

Google Arkiv-inställningar

För instruktioner om hur du aktiverar eller inaktiverar godkännande av flera parter, gå till Aktivera eller inaktivera godkännande av flera parter på den här sidan.

Obs ! Appar och tjänster kan också komma åt vissa inställningar för administratörskonsolen via API:er. Separata godkännanden från flera parter skyddar känsliga åtgärder som utförs via offentliga API-anrop.

Flerpartsgodkännande i återförsäljardomäner

Om flerpartsgodkännande är aktiverat i en återförsäljarkunds domän, och en återförsäljaradministratör försöker uppdatera en känslig inställning, skickas begäran om godkännande endast till återförsäljaradministratörerna, och endast återförsäljaradministratörerna kan godkänna, neka eller visa begäran.

Tilldela administratörsbehörighet för att granska godkännandeförfrågningar från flera parter

Superadministratörer kan ge andra administratörer de behörigheter som krävs för att granska och godkänna godkännandeförfrågningar från flera parter.

  1. Skapa en anpassad administratörsroll som inkluderar de godkännandebehörigheter för flera parter som du vill att administratörer ska ha.

    Tips : Vissa åtgärder i administratörskonsolen kräver att du är superadministratör, till exempel att aktivera eller inaktivera tvåstegsverifiering (2SV). Om godkännande av flera parter är aktiverat för någon av dessa åtgärder behöver du en andra superadministratör för att granska tillhörande begäranden om godkännande av flera parter. Mer information finns i Gör en användare till superadministratör .

  2. Tilldela den anpassade administratörsrollen som du skapade i steg 1 till en eller flera administratörer.

    För mer information, gå till Tilldela specifika administratörsroller .

  3. Spara rollkonfigurationen som du tilldelade i steg 2.

Aktivera eller inaktivera godkännande av flera parter

Du måste vara inloggad som superadministratör för den här uppgiften.

Använd inställningar för godkännande av flera parter i administratörskonsolen för att aktivera eller inaktivera funktionen för din organisation, för enskilda säkerhetsinställningar för administratörskonsolen och för offentliga API:er som har åtkomst till säkerhetsinställningar.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Autentisering och sedan Inställningar för godkännande av flera parter .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Om du vill aktivera eller inaktivera godkännande av flera parter för din organisation klickar du på Inställningar för godkännande av flera parter , markerar eller avmarkerar rutan Kräv godkännande av flera parter för känsliga åtgärder och klickar sedan på Spara .

    Obs ! Om du inaktiverar godkännande av flera parter för din organisation från ett påslaget läge:

    • Väntande förfrågningar förblir aktiva under samma tidsperiod tills de godkänns, nekas, annulleras eller löper ut.
    • Nya inställningsändringar som involverar känsliga administratörsåtgärder skapar inte begäranden om godkännande från flera parter, även om godkännande från flera parter är aktiverat för den enskilda inställningen.

  3. Om du vill aktivera eller inaktivera flerpartsgodkännande för en eller flera enskilda säkerhetsinställningar klickar du på Flerpartsgodkännande för säkerhetsinställningar , markerar eller avmarkerar rutan som är kopplad till varje inställning som du vill aktivera eller inaktivera flerpartsgodkännande för och klickar sedan på Spara .

    Obs ! Om flerpartsgodkännande är aktiverat för en enskild inställning skapar ändringar som görs i inställningen i administratörskonsolen endast en begäran om flerpartsgodkännande när flerpartsgodkännande också är aktiverat för organisationen.

  4. För att aktivera eller inaktivera flerpartsgodkännande för offentliga API:er som har åtkomst till säkerhetsinställningar, klicka på Flerpartsgodkännande för API-åtkomst till säkerhetsinställningar , markera eller avmarkera rutan SSO med tredjeparts-IDP:er och klicka sedan på Spara .

  5. För att aktivera eller inaktivera godkännande av flerpartsanvändning för kalenderinställningar klickar du på Godkännande av flerpartsanvändning för kalenderinställningar , markerar eller avmarkerar rutan som är kopplad till varje inställning som du vill aktivera eller inaktivera godkännande av flerpartsanvändning för och klickar sedan på Spara .

  6. För att aktivera eller inaktivera godkännande av flerpartsanvändning för gruppinställningar klickar du på Godkännande av flerpartsanvändning för gruppinställningar , markerar eller avmarkerar rutan som är kopplad till varje inställning som du vill aktivera eller inaktivera godkännande av flerpartsanvändning för och klickar sedan på Spara .

  7. För att aktivera eller inaktivera flerpartsgodkännande för känsliga domänåtgärder klickar du på Flerpartsgodkännande för administratörsinställningar , markerar eller avmarkerar rutan Domäners API och klickar sedan på Spara .

  8. För att aktivera eller inaktivera godkännande av flerpartskonto för valvinställningar klickar du på Godkännande av flerpartskonto för valvinställningar , markerar eller avmarkerar rutan Skapa export och klickar sedan på Spara .

Visa, godkänn eller avbryt en begäran

Antingen den som begär eller godkänner kan se väntande eller tidigare förfrågningar på sidan Flerpartsgodkännande. Om du klickar på en förfrågan på fliken Inskickade förfrågningar visas en informationssida för den förfrågan. På informationssidan för förfrågningar kan de som begär avbryta sin förfrågan, och de som godkänner kan godkänna eller neka den.

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Autentisering och sedan Begäran om godkännande från flera parter .

    Du måste vara inloggad som superadministratör för den här uppgiften.

    Du kan visa förfrågningar som du har skapat, såväl som förfrågningar från andra som du har fått behörighet att granska genom att ha behörighet att både utföra samma åtgärd i administratörskonsolen och att granska förfrågningar om godkännande från flera parter. Information om förfrågningarna inkluderar förfrågningens status, förfrågarens namn, datumet då förfrågan skapades, vilken inställningsändring som begärs och förfrågningens utgångsdatum.

  2. För att se information om en specifik begäran klickar du på länken i kolumnen Åtgärd .

    • Sidan med begäranden information innehåller ett alternativ för att avbryta begäran.
    • Sidan med godkännarens information innehåller alternativ för att godkänna eller avvisa begäran.

  3. Klicka på Godkännande av flera parter för att återgå till sidan med godkännandelistor.

Privilegier för känsliga åtgärder i administratörskonsolen och granskningar av ändringsförfrågningar

För att visa förfrågningar om godkännande av flerpartsåtgärder för känsliga åtgärder i administratörskonsolen måste du antingen ha behörigheten på åtgärdsnivå som anges i tabellen nedan eller behörigheten Kan granska godkännanden av flerpartsåtgärder för alla känsliga åtgärder.

Inställning för administratörskonsolen Roll eller privilegium som krävs för att utföra åtgärden Roll eller behörighet som krävs för att granska en begäran om godkännande av flerpartsgodkännande för åtgärden
2-stegsverifiering Rollen Superadministratör Rollen Superadministratör
Kontoåterställning Rollen Superadministratör Rollen Superadministratör
Google Sessionskontroll Säkerhet > Kontrollera säkerhetsinställningar för läsning och skrivning Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska säkerhetsåtgärder
Avancerat skyddsprogram Säkerhet > Kontrollera säkerhetsinställningar för läsning och skrivning Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska säkerhetsåtgärder
Inloggningsutmaningar Säkerhet > Kontrollera säkerhetsinställningar för läsning och skrivning Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska säkerhetsåtgärder
Lösenordslös Säkerhet > Kontrollera säkerhetsinställningar för läsning och skrivning Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska säkerhetsåtgärder
Domänomfattande delegering Rollen Superadministratör Rollen Superadministratör
SSO med tredjeparts-IDP:er Säkerhet > Kontrollera säkerhetsinställningar för läsning och skrivning eller Säkerhet > Kontrollera inkommande SSO-inställningar för läsning och skrivning Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska säkerhetsåtgärder
Kontextmedveten åtkomst Tjänster > Datasäkerhet > Hantering av åtkomstnivåer Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska säkerhetsåtgärder
Domäner API Admin API-behörigheter > Domänhantering Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder > Granska domänåtgärder
Kalenderdelning Kalender > Alla inställningar > Hantera inställningar Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska kalenderåtgärder
Allmänna kalenderinställningar Kalender > Alla inställningar > Hantera inställningar Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska kalenderåtgärder
Inställningar för arkivering av tredje part i kalendern Tredjepartsarkivering > Hantera inställningar för tredjepartsarkivering Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska kalenderåtgärder
Gruppdelning Grupper för företag > Inställningar för grupptjänster Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder eller Flerpartsgodkännande > Granska gruppers åtgärder
(Valv) Skapa Exportera Rollen Superadministratör Flerpartsgodkännande > Kan granska flerpartsgodkännanden för alla känsliga åtgärder > Granska arkivåtgärder

Mer om roller och behörigheter för godkännande av flera parter

  • Endast superadministratörer kan ge andra administratörer behörighet för flerpartsgodkännande och uppdatera inställningar för flerpartsgodkännande i administratörskonsolen.
  • Administratörer som har skickat in en eller flera begäranden om godkännande kan se sina begäranden i administratörskonsolen.
  • Superadministratörer kan se de behörigheter som är kopplade till rollen Administratör för godkännande av flerpartsgodkännande .
  • För att granska förfrågningar som skickats in av andra administratörer måste en administratör ha både behörighet att granska förfrågningar om godkännande från flera parter och behörighet att ändra inställningar som granskas.

Så fungerar flerpartsgodkännande

I det här exemplet skyddar flerpartsgodkännande den känsliga åtgärden att ändra 2SV-inställningar.

  1. En superadministratör i Workspace navigerar till Säkerhet och sedan Autentisering och sedan Inställningar för tvåstegsverifiering och försök att aktivera tillämpning från till Av .

  2. En ruta meddelar superadministratören att den här åtgärden kräver godkännande från en annan administratör. Begäraren kan valfritt ange ett förklarande meddelande innan begäran om godkännande skickas.

    Obs ! Om det redan finns en väntande begäran om att godkänna en inställningsändring blockeras alla nya begäranden tillfälligt tills den väntande begäran är löst. Administratören vars begäran är blockerad kan se den motstridiga begäran.

  3. Den begärande superadministratören får ett e-postmeddelande som bekräftar att deras begäran om godkännande har skickats in.

  4. Godkännandeadministratören får en begäran om godkännande via e-post och öppnar en länk till sidan för godkännande av flera parter i administratörskonsolen, som visar information om:

    • Vem begär ändringen
    • Den nuvarande inställningen (före ändringen) och den föreslagna inställningen (efter ändringen)
    • Alternativ för att godkänna eller avslå begäran

    Obs ! Om en administratör får behörighet att utföra en känslig åtgärd eller granska begäranden om flerpartsgodkännande via gruppbaserad rolltilldelning, kommer de inte att få granskningsförfrågningar via e-post. Administratörer kan komma åt sidan för flerpartsgodkännande där alla begäranden som de är behöriga att granska listas.

  5. Godkännandeadministratören granskar begärans detaljer och godkänner eller avslår sedan begäran.

    • Om begäran godkänns genomförs ändringen av 2SV-inställningarna utan att ytterligare åtgärder krävs från den begärande administratören.
    • Om godkännandeadministratören inte vidtar några åtgärder upphör begäran att gälla om 3 dagar.

  6. Den ursprungliga begärande parten får ett e-postmeddelande när begäran godkänns eller avslås, eller om begäran har löpt ut utan att någon åtgärd har vidtagits.