敏感操作的多方核准機制

支援這項功能的版本:Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus。版本比較

Google Workspace 管理員可以啟用多方核准功能,防範 Google 管理控制台中的惡意動作。啟用這項功能後,如有敏感設定變更,須經由第二位管理員核准。

您可以針對特定安全性、Google 群組、網域、Google 日曆和 Google 保管箱設定啟用多方核准機制。如要查看多方核准功能可保護的所有管理控制台設定,請參閱本頁稍後的「多方核准設定」。

附註:應用程式和服務也能透過 API 存取特定管理控制台設定。建議另外設定多方核准功能,保護透過公用 API 呼叫執行的敏感操作。

事前準備

  • 如要審查管理控制台敏感操作的要求,任何非超級管理員的管理員都必須具備「可查看所有敏感操作的多方核准要求」權限,或是執行敏感操作所需的權限。
  • 如果為貴機構關閉多方核准功能,待處理的要求仍會保持有效,直到獲准、遭拒、取消或到期為止。
  • 如果在經銷商客戶的網域中啟用多方核准功能,當經銷商管理員嘗試更新敏感設定時,系統僅會將核准要求傳送給轉售管理員,且只有轉售管理員可以核准、拒絕或查看要求。

步驟 1:開啟或關閉多方核准功能

必須以超級管理員身分登入,才能執行這項工作。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「驗證」接下來「多方核准設定」

  2. 按一下「多方核准設定」
  3. 勾選或取消勾選「必須經過多方核准才能執行敏感的管理員動作」方塊。
  4. 按一下「儲存」
  5. 按一下設定類別和設定,瞭解設定 (本頁後續內容)。
  6. 如要為某項設定啟用多方核准功能,請勾選對應的方塊。
  7. 按一下「儲存」

步驟 2:授予管理員多方核准權限

必須以超級管理員身分登入,才能執行這項工作。

  1. 建立一或多個自訂管理員角色,並授予所需的多方核准權限。

    提示:部分管理控制台動作需要超級管理員權限,例如開啟或關閉兩步驟驗證 (2SV)。如果此類動作已開啟多方核准功能,就需要另一位超級管理員來審核相關的多方核准要求。詳情請參閱「將使用者設為超級管理員」。

  2. 將您在步驟 1 建立的自訂管理員角色指派給一或多位管理員。詳情請參閱指派特定管理員角色

  3. 儲存您在步驟 2 指派的角色設定。

步驟 3:審查多方核准要求

您可以查看自己建立的多方核准要求,以及您有權審查的要求。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來 「安全性」 接下來「驗證」 接下來「多方核准要求」

    必須以超級管理員身分登入,才能執行這項工作。

  2. 如要核准或拒絕要求,請按一下要求名稱 接下來「核准要求」或「拒絕要求」
  3. 如要取消已提交的要求,請依序點按「已提交的要求」接下來「要求名稱」接下來「取消要求」

多方核准設定

安全性設定的多方核准措施

兩步驟驗證

勾選方塊,要求變更貴機構的兩步驟驗證設定時須經過多方核准。超級管理員必須核准要求。詳情請參閱「使用兩步驟驗證功能保障企業資料安全」一文。

帳戶救援

變更貴機構的帳戶救援設定時,需要多方核准。超級管理員必須核准要求。詳情請參閱「為使用者設定密碼救援」。

Google 工作階段控制設定

變更貴機構的 Google 工作階段控制設定時,需要經過多方核准。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 「安全性」>「控管安全性設定的讀取及寫入行為」

詳情請參閱「設定 Google 服務的工作階段時間長度」。

進階保護計畫

變更貴機構的進階保護計畫設定時,需要多方核准。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 「安全性」>「控管安全性設定的讀取及寫入行為」

詳情請參閱「透過進階保護計畫為使用者提供保障」。

登入驗證

變更機構的登入驗證設定時,需要多方核准。超級管理員或具備下列任一權限的管理員必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 「安全性」>「控管安全性設定的讀取及寫入行為」

詳情請參閱「透過安全驗證問題保護 Google Workspace 帳戶」。

無密碼

變更貴機構的無密碼設定時,需要經過多方核准。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 「安全性」>「控管安全性設定的讀取及寫入行為」

詳情請參閱「允許使用者在登入時略過密碼輸入步驟」。

全網域委派

變更貴機構的全網域委派設定時,需要多方核准。超級管理員必須核准要求。詳情請參閱「使用全網域委派功能控管 API 存取權」。

使用第三方識別資訊提供者 (IdP) 的單一登入 (SSO) 服務

變更貴機構的單一登入 (SSO) 服務與第三方 IdP 設定時,需要經過多方核准。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 「安全性」>「控管安全性設定的讀取及寫入行為」
  • 「安全性」>「控管傳入單一登入 (SSO) 設定的讀取及寫入行為」

詳情請參閱「設定單一登入」。

情境感知存取權

變更貴機構的「情境感知存取」設定時,需要多方核准。超級管理員或具備下列任一權限的管理員必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 依序點選「安全性」>「資料安全性」>「管理存取層級」。

詳情請參閱「啟用及停用情境感知存取權」。

API 存取安全性設定的權限須經過多方核准

使用第三方 IdP 的單一登入 (SSO) 服務

透過 API 變更貴機構的第三方 IdP 單一登入設定時,必須經過多方核准。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看安全性動作」
  • 「安全性」>「控管安全性設定的讀取及寫入行為」
  • 「安全性」>「控管傳入單一登入 (SSO) 設定的讀取及寫入行為」

網域管理員設定的多方核准機制

Domains API

必須經過多方核准才能變更下列敏感網域設定:

超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看網域動作」
  • 「Admin API 權限」>「網域管理」

日曆設定的多方核准機制

共用日曆

變更貴機構的日曆共用設定時,需要多方核准。超級管理員或具備下列任一權限的管理員必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看日曆動作」
  • 「日曆」>「所有設定」>「管理設定」

詳情請參閱「設定 Google 日曆共用選項」。

一般日曆設定

變更貴機構的日曆一般設定時,需要經過多方核准。超級管理員或具備下列任一權限的管理員必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看日曆動作」
  • 「日曆」>「所有設定」>「管理設定」

詳情請參閱「管理使用者的日曆」。

日曆第三方封存設定

必須經過多方核准,才能變更貴機構的 Google 日曆第三方封存設定。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看日曆動作」
  • 「第三方封存功能」>「管理第三方封存設定」

詳情請參閱「整合 Google 日曆與第三方封存解決方案」。

群組設定的多方核准措施

群組共用

變更貴機構的網路論壇企業版共用設定時,需要多方核准。超級管理員或具備下列任一權限的管理員,必須核准要求:

  • 「多方核准」>「可查看所有敏感動作的多方核准要求」
  • 「多方核准」>「查看群組動作」
  • 「網路論壇企業版」>「網路論壇服務設定」

詳情請參閱「設定全機構適用的群組使用政策」。

保管箱設定的多方核准措施

建立匯出作業

變更貴機構的 Google 保管箱匯出設定時,需要多方核准。這項要求必須由超級管理員,或具備「多方核准」>「可查看所有敏感動作的多方核准要求」>「查看保管箱動作」權限的管理員核准。

詳情請參閱「設定保管箱匯出作業的多方核准功能」。