Approbation multipartite pour les actions sensibles

Éditions compatibles avec cette fonctionnalité : Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus. Comparer votre édition

En tant qu'administrateur Google Workspace, vous pouvez vous protéger contre les actions malveillantes dans la console d'administration Google en utilisant l'approbation multipartite. Lorsque l'approbation multipartite est activée, un deuxième administrateur doit approuver les modifications apportées aux paramètres sensibles.

Vous pouvez utiliser l'approbation multipartite pour certains paramètres de sécurité, de groupes Google, de domaines, de Google Agenda et de Google Vault. Pour consulter tous les paramètres de la console d'administration que l'approbation multipartite peut protéger, accédez à Paramètres de l'approbation multipartite (plus loin sur cette page).

Remarque : Les applications et les services peuvent également accéder à certains paramètres de la console d'administration via des API. Des approbations multipartites distinctes protègent les actions sensibles effectuées via des appels d'API publiques.

Avant de commencer

  • Pour examiner les demandes d'actions sensibles dans la console d'administration, tout administrateur qui n'est pas super-administrateur doit disposer du droit Peut examiner l'approbation multipartite pour toutes les actions sensibles ou du droit requis pour effectuer l'action sensible.
  • Si vous désactivez l'approbation multipartite pour votre organisation, les demandes en attente restent actives jusqu'à ce qu'elles soient approuvées, refusées, annulées ou arrivées à expiration.
  • Si l'approbation multipartite est activée dans le domaine d'un client indirect et qu'un administrateur revendeur tente de modifier un paramètre sensible, la demande d'approbation est envoyée aux administrateurs indirects uniquement. Seuls ces administrateurs peuvent approuver ou refuser la demande, ou la consulter.

Étape 1 : Activer ou désactiver l'approbation multipartite

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Authentification puis Paramètres d'approbation multipartite.

  2. Cliquez sur Paramètres d'approbation multipartite.
  3. Cochez ou décochez la case Exiger une approbation multipartite pour les actions d'administration sensibles.
  4. Cliquez sur Enregistrer.
  5. Cliquez sur une catégorie de paramètres, puis sur le paramètre souhaité. En savoir plus sur les paramètres (plus loin sur cette page)
  6. Pour exiger une approbation multipartite pour un paramètre, cochez la case.
  7. Cliquez sur Enregistrer.

Étape 2 : Accordez des droits d'approbation multipartite aux administrateurs

Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  1. Créez un ou plusieurs rôles d'administrateur personnalisés, chacun incluant les droits d'approbation multipartite que vous souhaitez accorder aux administrateurs.

    Remarque : Certaines actions de la console d'administration nécessitent d'être un super-administrateur (par exemple, activer ou désactiver la validation en deux étapes). Si l'approbation multipartite est activée pour l'une de ces actions, un deuxième super-administrateur doit examiner les demandes d'approbation multipartite associées. Pour en savoir plus, consultez Désigner un utilisateur comme super-administrateur.

  2. Attribuez le rôle d'administrateur personnalisé que vous avez créé à l'étape 1 à un ou plusieurs administrateurs. Pour en savoir plus, consultez Attribuer des rôles d'administrateur spécifiques.

  3. Enregistrez la configuration du rôle que vous avez attribué à l'étape 2.

Étape 3 : Examiner les demandes d'approbation multipartite

Vous pouvez examiner les demandes d'approbation multipartite que vous avez créées, ainsi que celles d'autres utilisateurs pour lesquelles vous êtes autorisé à effectuer un examen.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Authentification puis Demandes d'approbation multipartite.

    Pour cette tâche, vous devez être connecté en tant que super-administrateur.

  2. Pour approuver ou refuser une demande, cliquez sur son nom puis Approuver la demande ou Refuser la demande.
  3. Pour annuler une demande que vous avez envoyée, cliquez sur Demandes envoyées puis nom de la demande puis Annuler la demande.

Paramètres de l'approbation multipartite

Approbation multipartite pour les paramètres de sécurité

Validation en deux étapes

Cochez la case pour exiger une approbation multipartite pour les modifications apportées aux paramètres de validation en deux étapes de votre organisation. Un super-administrateur doit approuver la demande. Pour en savoir plus, consultez Protéger votre entreprise avec la validation en deux étapes.

Récupération de compte

Nécessite une approbation multipartite pour modifier les paramètres de récupération de compte de votre organisation. Un super-administrateur doit approuver la demande. Pour en savoir plus, consultez Configurer la récupération de mot de passe pour les utilisateurs.

Contrôle de session Google

Nécessite une approbation multipartite pour modifier les paramètres de contrôle des sessions Google de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité

Pour en savoir plus, consultez Définir la durée de session pour les services Google.

Programme Protection Avancée

L'approbation multipartite est requise pour modifier les paramètres du programme Protection Avancée de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité

Pour en savoir plus, consultez Protéger les utilisateurs grâce au programme Protection Avancée.

Questions d'authentification à la connexion

L'approbation multipartite est requise pour modifier les paramètres des questions de connexion de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité

Pour en savoir plus, consultez Protéger les comptes Google Workspace à l'aide de questions d'authentification.

Sans mot de passe

La modification des paramètres sans mot de passe de votre organisation nécessite une approbation multipartite. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité

Pour en savoir plus, consultez Autoriser les utilisateurs à ignorer les mots de passe lors de la connexion.

Délégation au niveau du domaine

Une approbation multipartite est requise pour modifier les paramètres de délégation au niveau du domaine de votre organisation. Un super-administrateur doit approuver la demande. Pour en savoir plus, consultez Contrôler l'accès à l'API à l'aide de la délégation au niveau du domaine.

Authentification unique (SSO) avec un fournisseur d'identité (IdP) tiers

Nécessite une approbation multipartite pour modifier les paramètres d'authentification unique (SSO) de votre organisation avec un fournisseur d'identité tiers. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres SSO entrants

Pour en savoir plus, consultez Configurer le SSO.

Accès contextuel

Nécessite une approbation multipartite pour modifier les paramètres d'accès dépendant du contexte de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Sécurité des données > Gestion des niveaux d'accès

Pour en savoir plus, consultez Activer et désactiver l'accès contextuel.

Approbation multipartite pour l'accès de l'API aux paramètres de sécurité

SSO avec un IdP tiers

Nécessite une approbation multipartite pour modifier les paramètres de l'authentification unique de votre organisation avec un IdP tiers via une API. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité
  • Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres SSO entrants

Approbation multipartite pour les paramètres d'administration des domaines

API Domains

Nécessite une approbation multipartite pour les paramètres de domaine sensibles suivants :

Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions du domaine
  • Droits pour l'API Admin > Gestion de domaine

Approbation multipartite pour les paramètres d'agenda

Partage d'agendas

L'approbation multipartite est requise pour modifier les paramètres de partage de l'agenda de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de l'agenda
  • Agenda > Tous les paramètres > Gérer les paramètres

Pour en savoir plus, consultez Configurer les options de partage dans Google Agenda.

Paramètres généraux de l'agenda

L'approbation multipartite est requise pour modifier les paramètres généraux de l'agenda de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de l'agenda
  • Agenda > Tous les paramètres > Gérer les paramètres

Pour en savoir plus, consultez Gérer Agenda pour vos utilisateurs.

Paramètres d'archivage tiers de l'agenda

L'approbation multipartite est requise pour modifier les paramètres d'archivage tiers de l'agenda de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions de l'agenda
  • Archivage tiers > Gérer les paramètres d'archivage tiers

Pour en savoir plus, consultez Intégrer Agenda dans une solution d'archivage tierce.

Approbation multipartite pour les paramètres de groupe

Partage de groupe

L'approbation multipartite est requise pour modifier les paramètres de partage Groups for Business de votre organisation. Un super-administrateur ou un administrateur disposant de l'un des droits suivants doit approuver la demande :

  • Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles
  • Approbation multipartite > Examiner les actions des groupes
  • Groups for Business > Paramètres du service Groupes

Pour en savoir plus, consultez Définir des règles à l'échelle de l'organisation pour l'utilisation des groupes.

Approbation multipartite pour les paramètres Vault

Créer une exportation

Une approbation multipartite est requise pour modifier les paramètres d'exportation Google Vault de votre organisation. Un super-administrateur ou un administrateur disposant du droit Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles > Examiner les actions Vault doit approuver la demande.

Pour en savoir plus, consultez Configurer l'approbation multipartite pour les exportations Vault.