קבלת אישור ממספר משתמשים לביצוע פעולות רגישות

התכונה הזו נתמכת במהדורות הבאות: Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus. השוואה בין מהדורות

קבלת אישור ממספר משתמשים מגנה מפני פעולות זדוניות במסוף Google Admin. כל שינוי בהגדרות רגישות צריך לקבל אישור מאדמין על או מאדמין עם הרשאות לבצע את הפעולה המוגנת ולהקצות הרשאות לבדיקת קבלת אישור ממספר משתמשים לפעולה הזו.

לפני שמתחילים

הגדרות של קבלת אישור ממספר משתמשים

אפשר להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות הבאות במסוף Admin:

הגדרות אבטחה

גישה באמצעות API להגדרות אבטחה

הגדרת יומן Google

הגדרות 'קבוצות Google'

הגדרות דומיינים

הגדרות Google Vault

הוראות להפעלה או להשבתה של קבלת אישור ממספר משתמשים מופיעות בקטע הפעלה או השבתה של קבלת אישור ממספר משתמשים בדף הזה.

הערה: לאפליקציות ולשירותים יש גם גישה להגדרות מסוימות במסוף Admin דרך ממשקי API. קבלת אישור ממספר משתמשים בנפרד מגנה על פעולות רגישות שמבוצעות באמצעות קריאות ל-API ציבורי.

קבלת אישור ממספר משתמשים בדומיינים של מפיצים

אם ההגדרה 'קבלת אישור ממספר משתמשים' מופעלת בדומיין של לקוח שרכש דרך מפיץ, ואדמין של המפיץ מנסה לעדכן הגדרה רגישה, בקשת האישור נשלחת רק לאדמינים של הלקוח שרכש דרך המפיץ, ורק הם יכולים לאשר, לדחות או לראות את הבקשה.

הקצאת הרשאות אדמין לבדיקת בקשות לקבלת אישור ממספר משתמשים

סופר-אדמינים יכולים לתת לאדמינים אחרים את ההרשאות שנדרשות כדי לבדוק ולאשר בקשות לקבלת אישור ממספר משתמשים.

  1. יוצרים תפקיד אדמין בהתאמה אישית שכולל את ההרשאות לקבלת אישור ממספר משתמשים שרוצים לתת לאדמינים.

    טיפ: כדי לבצע פעולות מסוימות במסוף Admin, כמו הפעלה או השבתה של אימות דו-שלבי (2SV), צריך להיות סופר-אדמין. אם מופעלת קבלת אישור ממספר משתמשים לאחת מהפעולות האלה, תצטרכו סופר-אדמין נוסף שיבדוק את הבקשות הרלוונטיות לקבלת אישור ממספר משתמשים. פרטים נוספים זמינים במאמר בנושא הגדרת משתמש כאדמין על.

  2. מקצים את תפקיד האדמין בהתאמה אישית שיצרתם בשלב 1 לאדמין אחד או יותר.

    פרטים נוספים מופיעים במאמר בנושא הקצאת תפקידי אדמין ספציפיים.

  3. שומרים את הגדרת התפקיד שהקציתם בשלב 2.

הפעלה או השבתה של קבלת אישור ממספר משתמשים

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

אתם יכולים להשתמש בהגדרות של קבלת אישור ממספר משתמשים במסוף Admin כדי להפעיל או להשבית את התכונה בארגון, בהגדרות אבטחה ספציפיות במסוף Admin ובממשקי API ציבוריים שיכולים לגשת להגדרות אבטחה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז הגדרות של בקשות לקבלת אישור ממספר משתמשים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים בארגון, לוחצים על הגדרות של קבלת אישור ממספר משתמשים, מסמנים או מבטלים את הסימון בתיבה נדרשת קבלת אישור ממספר משתמשים לביצוע פעולות רגישות, ואז לוחצים על שמירה.

    הערה: אם משביתים את ההגדרה 'קבלת אישור ממספר משתמשים' בארגון ממצב מופעל:

    • בקשות בהמתנה נשארות פעילות למשך אותו פרק זמן עד שהן מאושרות, נדחות, מבוטלות או שהתוקף שלהן פג.
    • שינויים חדשים בהגדרות שכוללים פעולות אדמין רגישות לא יוצרים בקשות לקבלת אישור ממספר משתמשים, גם אם ההגדרה הזו מופעלת עבור ההגדרה הספציפית הזו.

  3. כדי להפעיל או להשבית את ההגדרה 'קבלת אישור ממספר משתמשים' עבור הגדרת אבטחה אחת או יותר, לוחצים על קבלת אישור ממספר משתמשים להגדרות האבטחה, מסמנים או מבטלים את הסימון בתיבה שמשויכת לכל הגדרה שרוצים להפעיל או להשבית עבורה את ההגדרה 'קבלת אישור ממספר משתמשים', ואז לוחצים על שמירה.

    הערה: אם ההגדרה 'קבלת אישור ממספר משתמשים' מופעלת עבור הגדרה ספציפית, שינויים בהגדרה במסוף Admin יוצרים בקשה לקבלת אישור ממספר משתמשים רק אם ההגדרה הזו מופעלת גם עבור הארגון.

  4. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים לממשקי API ציבוריים שיכולים לגשת להגדרות אבטחה, לוחצים על קבלת אישור ממספר משתמשים לגישה באמצעות ממשק API להגדרות אבטחה, מסמנים או מבטלים את הסימון בתיבה כניסה יחידה (SSO) עם ספקי זהויות (IDP) של צד שלישי ואז לוחצים על שמירה.

  5. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות היומן, לוחצים על קבלת אישור ממספר משתמשים להגדרות היומן, מסמנים או מבטלים את הסימון בתיבה שמשויכת לכל הגדרה שרוצים להפעיל או להשבית את קבלת האישור ממספר משתמשים עבורה, ואז לוחצים על שמירה.

  6. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות של קבוצות, לוחצים על קבלת אישור ממספר משתמשים להגדרות של הקבוצות, מסמנים או מבטלים את הסימון בתיבה שמשויכת לכל הגדרה שרוצים להפעיל או להשבית את קבלת האישור ממספר משתמשים עבורה, ואז לוחצים על שמירה.

  7. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים לפעולות רגישות בדומיין, לוחצים על קבלת אישור ממספר משתמשים להגדרות אדמין, מסמנים או מבטלים את הסימון של התיבה Domains API ואז לוחצים על שמירה.

  8. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות של Vault, לוחצים על קבלת אישור ממספר משתמשים להגדרות של Vault, מסמנים או מבטלים את הסימון בתיבה יצירת ייצוא ואז לוחצים על שמירה.

צפייה בבקשה, אישור או ביטול שלה

מגיש הבקשה או המאשר יכולים לראות את הבקשות הפתוחות או הקודמות בדף 'אישור על ידי גורמים מרובים'. כשלוחצים על בקשה בכרטיסייה בקשות שנשלחו, מוצג דף פרטים של הבקשה הזו. בדף פרטי הבקשה, מגישי הבקשה יכולים לבטל אותה, והגורמים המאשרים יכולים לאשר או לדחות אותה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז בקשות לקבלת אישור ממספר משתמשים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

    אתם יכולים לראות את הבקשות שיצרתם, וגם בקשות ממשתמשים אחרים שקיבלתם הרשאה לבדוק. כדי לבדוק בקשות לקבלת אישור ממספר משתמשים, אתם צריכים הרשאות גם לביצוע אותה פעולה במסוף Admin וגם לבדיקת בקשות לקבלת אישור ממספר משתמשים. פרטי הבקשה כוללים את סטטוס הבקשה, שם השולח, תאריך יצירת הבקשה, שינוי ההגדרה המבוקש ותאריך התפוגה של הבקשה.

  2. כדי לראות את הפרטים של בקשה ספציפית, לוחצים על הקישור שלה בעמודה פעולה.

    • בדף הפרטים של מגיש הבקשה יש אפשרות לבטל את הבקשה.
    • בדף הפרטים של הגורם המאשר יש אפשרויות לאשר או לדחות את הבקשה.

  3. לוחצים על קבלת אישור ממספר משתמשים כדי לחזור לדף רשימת האישורים.

הרשאות לפעולות רגישות במסוף Admin ולבדיקות של בקשות לשינוי

כדי לראות בקשות לקבלת אישור ממספר משתמשים לביצוע פעולות רגישות במסוף Admin, צריך לקבל את ההרשאה לביצוע הפעולה שמפורטת בטבלה שלמטה או את ההרשאה אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות.

הגדרה במסוף Admin תפקיד או הרשאה שנדרשים לביצוע הפעולה התפקיד או ההרשאה שנדרשים כדי לבדוק בקשה לקבלת אישור ממספר משתמשים לפעולה
אימות דו-שלבי תפקיד סופר-אדמין תפקיד סופר-אדמין
שחזור חשבון תפקיד סופר-אדמין תפקיד סופר-אדמין
בקרת סשנים ב-Google אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
תוכנית ההגנה המתקדמת אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
אימותי זהות אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
ללא סיסמה אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
הענקת גישה ברמת הדומיין תפקיד סופר-אדמין תפקיד סופר-אדמין
כניסה יחידה (SSO) עם ספקי זהות (IDPs) של צד שלישי אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה או אבטחה > שליטה בקריאה ובכתיבה של הגדרות SSO של כניסה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
בקרת גישה מבוססת הקשר שירותים > אבטחת נתונים > ניהול רמות גישה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
Domains API הרשאות ב-Admin API > ניהול דומיין קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות > בדיקת פעולות בדומיין
שיתוף היומן יומן > כל ההגדרות > ניהול הגדרות קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות ביומן
ההגדרות הכלליות של היומן יומן > כל ההגדרות > ניהול הגדרות קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות ביומן
הגדרות להעברה לארכיון של צד שלישי ביומן העברה לארכיון של צד שלישי > ניהול ההגדרות להעברה לארכיון של צד שלישי קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות ביומן
שיתוף עם קבוצות ‫Groups for Business > הגדרות שירות לקבוצות קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות בקבוצות
‫(Vault) יצירת ייצוא תפקיד סופר-אדמין קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות > בדיקת פעולות ב-Vault

מידע נוסף על תפקידים והרשאות בקבלת אישור ממספר משתמשים

  • רק סופר-אדמינים יכולים לתת לאדמינים אחרים הרשאות לקבלת אישור ממספר משתמשים ולעדכן את ההגדרות של קבלת אישור ממספר משתמשים במסוף Admin.
  • אדמינים ששלחו בקשה אחת או יותר לאישור יכולים לראות את הבקשות שלהם במסוף Admin.
  • סופר-אדמינים יכולים לראות את ההרשאות שמשויכות לתפקיד האדמין 'אישור ממספר משתמשים'.
  • כדי לבדוק בקשות שנשלחו על ידי אדמינים אחרים, לאדמין צריכות להיות גם ההרשאה לבדוק בקשות לקבלת אישור ממספר משתמשים וגם ההרשאה לשנות הגדרות שנמצאות בבדיקה.

איך פועל התהליך של קבלת אישור ממספר משתמשים

בדוגמה הזו, קבלת אישור ממספר משתמשים מגנה על הפעולה הרגישה של שינוי ההגדרות של האימות הדו-שלבי.

  1. אדמין על בארגון Workspace נכנס אל אבטחה ואז אימות ואז הגדרות של אימות דו-שלבי ומנסה להעביר את האכיפה ממצב מופעל למצב מושבת.

  2. מוצגת תיבה שמודיעה לסופר-אדמין שהפעולה הזו מחייבת אישור מאדמין אחר. לפני שליחת הבקשה לאישור, המבקש יכול להוסיף הודעה עם הסבר.

    הערה: אם כבר יש בקשה בהמתנה לאישור שינוי בהגדרות, כל בקשה חדשה תיחסם באופן זמני עד שהבקשה בהמתנה תיפתר. האדמין שהבקשה שלו נחסמה יכול לראות את הבקשה שגורמת לקונפליקט.

  3. הסופר-אדמין ששלח את הבקשה מקבל אימייל שמאשר שהבקשה לאישור נשלחה.

  4. אדמין שמוגדר כמאשר מקבל בקשה לאישור באימייל ופותח קישור לדף 'אישור על ידי גורמים מרובים' במסוף Admin, שבו מוצגים פרטים על:

    • מי מבקש את השינוי
    • ההגדרה הנוכחית (לפני השינוי) וההגדרה המוצעת (אחרי השינוי)
    • אפשרויות לאישור או לדחייה של הבקשה

    הערה: אם אדמין מקבל הרשאה לבצע פעולה רגישה או לבדוק בקשות לאישור על ידי גורמים מרובים באמצעות הקצאת תפקידים שמבוססת על קבוצות, הוא לא יקבל בקשות לבדיקה באימייל. אדמינים יכולים לגשת לדף 'אישור ממספר משתמשים' שבו מפורטות כל הבקשות שיש להם הרשאה לבדוק.

  5. האדמין שמוגדר כגורם מאשר בודק את פרטי הבקשה ומאשר או דוחה אותה.

    • אם הבקשה תאושר, שינוי הגדרות האימות הדו-שלבי יתבצע ללא צורך בפעולה נוספת מצד האדמין ששלח את הבקשה.
    • אם האדמין שצריך לאשר את הבקשה לא יבצע פעולה כלשהי, התוקף של הבקשה יפוג תוך 3 ימים.

  6. מי ששלח את הבקשה המקורית מקבל אימייל כשהבקשה מאושרת או נדחית, או אם תוקף הבקשה פג בלי שננקטה פעולה.