敏感操作的多方审批

支持此功能的版本:企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版。比较您的版本

作为 Google Workspace 管理员,您可以使用多方审批来防范在 Google 管理控制台中执行的恶意操作。启用多方审批后,必须由第二位管理员批准对敏感设置的更改。

您可以针对某些安全设置、Google 群组设置、网域设置、Google 日历设置和 Google 保险柜设置使用多方审批。如需查看多方审批可保护的所有管理控制台设置,请参阅本页面稍后的多方审批设置

注意:应用和服务还可以通过 API 访问某些管理控制台设置。单独的多方审批可保护通过公共 API 调用执行的敏感操作。

准备工作

  • 如需审核有关敏感管理控制台操作的请求,任何非超级用户的管理员都必须拥有可对所有敏感操作的多方审批进行审核权限,或者拥有执行相应敏感操作所需的权限。
  • 如果您为组织停用多方审批,待处理的请求会在相同的时间段内保持活跃状态,直到已审批、拒绝、取消或过期。
  • 如果转销商的客户的网域中启用了多方审批,并且转销商管理员尝试更新敏感设置,则系统只会将审批请求发送给转销商管理员。只有这些管理员可以批准、拒绝或查看该请求。

第 1 步:启用或停用多方审批

您必须以超级用户身份登录,才能执行此任务。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 身份验证 然后 多方审批设置

  2. 点击多方审批设置
  3. 选中或取消选中需要多方审批才可执行敏感操作复选框。
  4. 点击保存
  5. 点击一个设置类别和一项设置。了解这些设置(本页下文)。
  6. 如需为某项设置启用多方审批,请选中相应复选框。
  7. 点击保存

第 2 步:向管理员授予多方审批权限

您必须以超级用户身份登录,才能执行此任务。

  1. 创建一个或多个自定义管理员角色,每个角色都包含您希望管理员拥有的多方审批权限。

    提示:某些管理控制台操作需要超级用户权限,例如启用或停用两步验证 (2SV)。如果为其中一项操作启用了多方审批,则必须由另一位超级用户审核任何关联的多方审批请求。有关详情,请参阅让用户成为超级用户

  2. 将您在第 1 步中创建的自定义管理员角色分配给一位或多位管理员。有关详情,请参阅分配特定管理员角色

  3. 保存您在第 2 步中分配的角色配置。

第 3 步:查看多方审批请求

您可以查看自己创建的多方审批请求,以及您有权审核的其他人的请求。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 身份验证 然后 多方审批请求

    您必须以超级用户身份登录,才能执行此任务。

  2. 如需批准或拒绝请求,请点击相应请求名称 然后 批准请求拒绝请求
  3. 如需取消您提交的请求,请依次点击已提交的请求 然后 请求名称 然后 取消请求

多方审批设置

安全设置的多方审批

两步验证

选中此复选框,即可要求在更改组织的 2SV 设置时必须经过多方审批。超级用户必须批准该请求。有关详情,请参阅通过两步验证来保护您的企业

账号恢复

需要多方审批才能更改组织的账号恢复设置。超级用户必须批准该请求。如需了解详情,请参阅为用户设置密码恢复功能

Google 会话控制

需要经过多方审批才能更改组织的 Google 会话控制设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全 > 控制安全设置的读取和写入

如需了解详情,请参阅设置 Google 服务的会话时长

高级保护计划

需要多方审批才能更改组织的高级保护计划设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全 > 控制安全设置的读取和写入

如需了解详情,请参阅使用高级保护计划保护用户

登录验证

需要多方审批才能更改组织的登录验证设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全 > 控制安全设置的读取和写入

如需了解详情,请参阅使用安全验证功能保护 Google Workspace 账号

免密码

需要多方审批才能更改组织的无密码设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全 > 控制安全设置的读取和写入

如需了解详情,请参阅允许用户在登录时跳过密码

全网域授权

需要多方审批才能更改贵组织的全网域委派设置。超级用户必须批准该请求。如需了解详情,请参阅使用全网域委托功能控制 API 访问权限

使用第三方身份提供方 (IdP) 的单点登录

需要多方审批才能更改贵组织的第三方身份提供方 (IdP) 单点登录 (SSO) 设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全 > 控制安全设置的读取和写入
  • 安全 > 控制入站单点登录设置的读取和写入

有关详情,请参阅设置单点登录

情境感知访问权限

需要多方审批才能更改组织的情境感知访问权限设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全性 > 数据安全 > 访问权限级别管理

如需了解详情,请参阅启用和停用情境感知访问权限

安全设置的 API 访问权限对应的多方审批

使用第三方身份提供商的单点登录

需要多方审批才能通过 API 更改组织的第三方 IdP 单点登录设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核安全操作
  • 安全 > 控制安全设置的读取和写入
  • 安全 > 控制入站单点登录设置的读取和写入

针对网域管理员设置的多方审批

Domains API

需要多方审批才能更改以下敏感的网域设置:

超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核网域操作
  • Admin API 权限 > 网域管理

针对日历设置的多方审批

日历共享

需要多方审批才能更改组织的日历共享设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核日历操作
  • 日历 > 所有设置 > 管理设置

如需了解详情,请参阅设置 Google 日历共享选项

基本日历设置

需要经过多方审批才能更改组织的日历常规设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核日历操作
  • 日历 > 所有设置 > 管理设置

如需了解详情,请参阅为用户管理日历

日历第三方归档设置

需要多方审批才能更改组织的日历第三方归档设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核日历操作
  • 第三方归档 > 管理第三方归档设置

如需了解详情,请参阅将 Google 日历与第三方归档解决方案集成

针对群组设置的多方审批

群组共享

需要多方审批才能更改组织的群组企业版共享设置。超级用户或拥有以下某项权限的管理员必须批准该请求:

  • 多方审批 > 可对所有敏感操作的多方审批进行审核
  • 多方审批 > 审核群组操作
  • Google 群组企业版 > Google 群组服务设置

如需了解详情,请参阅为群组的使用设置组织级政策

针对保险柜设置的多方审批

创建导出作业

需要多方审批才能更改组织的 Google 保险柜导出设置。超级用户或具有以下权限的管理员必须批准该请求:“多方审批”>“可对所有敏感操作的多方审批进行审核”>“审核保险柜操作”。

如需了解详情,请参阅为保险柜导出设置多方审批