Unterstützte Versionen für diese Funktion: Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus. Versionen vergleichen
Die Genehmigung durch mehrere Parteien schützt vor schädlichen Aktionen in der Admin-Konsole. Alle Änderungen an vertraulichen Einstellungen müssen von einem Super Admin oder einem Administrator mit den Berechtigungen zum Ausführen der geschützten Aktion und zum Delegieren von Berechtigungen zum Überprüfen der Genehmigung durch mehrere Parteien für diese Aktion genehmigt werden.
Hinweis
Einstellungen für die Genehmigung durch mehrere Parteien
Sie können die Genehmigung durch mehrere Parteien für die folgenden Einstellungen der Admin-Konsole aktivieren oder deaktivieren:
Sicherheitseinstellungen
- Bestätigung in zwei Schritten
- Kontowiederherstellung
- Erweiterte Sicherheit
- Google-Sitzungssteuerung
- Identitätsbestätigung
- Passwortlos
- SSO mit Drittanbieter-IdP
- Domainweite Delegierung
- Kontextsensitiver Zugriff
API-Zugriff auf Sicherheitseinstellungen
Kalendereinstellungen
Groups-Einstellungen
Domaineinstellungen
- Alias- oder sekundäre Domain hinzufügen
- Primäre Domain ändern
- Alias- oder sekundäre Domain entfernen
Google Vault-Einstellungen
Eine Anleitung zum Aktivieren oder Deaktivieren der Genehmigung durch mehrere Parteien finden Sie auf dieser Seite unter Genehmigung durch mehrere Parteien aktivieren oder deaktivieren.
Hinweis: Apps und Dienste können auch über APIs auf bestimmte Einstellungen der Admin-Konsole zugreifen. Separate Genehmigungen durch mehrere Parteien schützen sensible Aktionen, die über öffentliche API-Aufrufe ausgeführt werden.
Genehmigung durch mehrere Parteien in Reseller-Domains
Wenn die Genehmigung durch mehrere Parteien in der Domain eines weiterverkauften Kunden aktiviert ist und ein Reseller-Administrator versucht, eine vertrauliche Einstellung zu aktualisieren, wird die Genehmigungsanfrage nur an die weiterverkauften Administratoren gesendet. Nur diese können die Anfrage genehmigen, ablehnen oder ansehen.
Administratorberechtigungen zum Überprüfen von Anfragen zur Genehmigung durch mehrere Parteien zuweisen
Super Admins können anderen Administratoren die nötigen Berechtigungen gewähren, die zum Prüfen und Genehmigen von Anfragen, für die die Genehmigung durch mehrere Parteien erforderlich ist.
- Erstellen Sie eine benutzerdefinierte Administratorrolle, die die Berechtigungen für die Genehmigung durch mehrere Parteien enthält, die Administratoren haben sollen.
Tipp: Für einige Aktionen in der Admin-Konsole ist die Rolle „Super Admin“ erforderlich, z. B. zum Aktivieren oder Deaktivieren der Bestätigung in zwei Schritten. Wenn die Genehmigung durch mehrere Parteien für eine dieser Aktionen aktiviert ist, benötigen Sie einen zweiten Super Admin, um die zugehörigen Anfragen zur Genehmigung durch mehrere Parteien zu überprüfen. Weitere Informationen finden Sie unter Nutzer zum Super Admin machen. - Weisen Sie einem oder mehreren Administratoren die benutzerdefinierte Administratorrolle zu, die Sie in Schritt 1 erstellt haben.
Weitere Informationen finden Sie unter Bestimmte Administratorrollen zuweisen. - Speichern Sie die Rollenkonfiguration, die Sie in Schritt 2 zugewiesen haben.
Genehmigung durch mehrere Parteien aktivieren oder deaktivieren
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.In den Einstellungen für die Genehmigung durch mehrere Parteien in der Admin-Konsole können Sie die Funktion für Ihre Organisation, für einzelne Sicherheitseinstellungen der Admin-Konsole und für öffentliche APIs aktivieren oder deaktivieren, die auf Sicherheitseinstellungen zugreifen können.
-
Gehen Sie in der Admin-Konsole zu „Menü“
SicherheitAuthentifizierungEinstellungen für die Genehmigung durch mehrere Parteien.Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Wenn Sie die Genehmigung durch mehrere Parteien für Ihre Organisation aktivieren oder deaktivieren möchten, klicken Sie auf Einstellungen für die Genehmigung durch mehrere Parteien , setzen Sie ein Häkchen bei Genehmigung durch mehrere Parteien für sensible Aktionen erzwingen oder entfernen Sie es und klicken Sie dann auf Speichern.
Hinweis: Wenn Sie die Genehmigung durch mehrere Parteien für Ihre Organisation deaktivieren, während sie aktiviert ist, gilt Folgendes:
- Ausstehende Anfragen bleiben für denselben Zeitraum aktiv, bis sie genehmigt, abgelehnt, storniert werden oder ablaufen.
- Bei neuen Einstellungsänderungen, die sensible Administratoraktionen umfassen, werden keine Anfragen zur Genehmigung durch mehrere Parteien erstellt, auch wenn die Genehmigung durch mehrere Parteien für diese einzelne Einstellung aktiviert ist.
Wenn Sie die Genehmigung durch mehrere Parteien für eine oder mehrere einzelne Sicherheitseinstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Sicherheitseinstellungen, setzen Sie ein Häkchen bei den Einstellungen, für die Sie die Genehmigung durch mehrere Parteien aktivieren oder deaktivieren möchten, oder entfernen Sie es und klicken Sie dann auf Speichern.
Hinweis: Wenn die Genehmigung durch mehrere Parteien für eine einzelne Einstellung aktiviert ist, wird bei Änderungen an der Einstellung in der Admin-Konsole nur dann eine Anfrage zur Genehmigung durch mehrere Parteien erstellt, wenn die Genehmigung durch mehrere Parteien auch für die Organisation aktiviert ist.
Wenn Sie die Genehmigung durch mehrere Parteien für öffentliche APIs aktivieren oder deaktivieren möchten, die auf Sicherheitseinstellungen zugreifen können, klicken Sie auf Genehmigung durch mehrere Parteien für API-Zugriff auf Sicherheitseinstellungen, setzen Sie ein Häkchen bei SSO mit externen IdPs oder entfernen Sie es und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für Kalendereinstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Kalendereinstellungen, setzen Sie ein Häkchen bei den Einstellungen, für die Sie die Genehmigung durch mehrere Parteien aktivieren oder deaktivieren möchten, oder entfernen Sie es und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für Groups-Einstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Groups-Einstellungen, setzen Sie ein Häkchen bei den Einstellungen, für die Sie die Genehmigung durch mehrere Parteien aktivieren oder deaktivieren möchten, oder entfernen Sie es und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für sensible Domainaktionen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Administratoreinstellungen , setzen Sie ein Häkchen bei Domains API oder entfernen Sie es und klicken Sie dann auf Speichern.
Wenn Sie die Genehmigung durch mehrere Parteien für Vault-Einstellungen aktivieren oder deaktivieren möchten, klicken Sie auf Genehmigung durch mehrere Parteien für Vault-Einstellungen, setzen Sie ein Häkchen bei Export erstellen oder entfernen Sie es und klicken Sie dann auf Speichern.
Anfrage ansehen, genehmigen oder abbrechen
Der Anfragende oder der Genehmiger kann ausstehende oder frühere Anfragen auf der Seite „Genehmigung durch mehrere Parteien“ sehen. Wenn Sie auf eine Anfrage auf dem Tab Gesendete Anfragen klicken, wird eine Detailseite für diese Anfrage angezeigt. Auf der Detailseite der Anfrage können Anfragende ihre Anfrage abbrechen. Genehmiger können die Anfrage genehmigen oder ablehnen.
-
Gehen Sie in der Admin-Konsole zu „Menü“
SicherheitAuthentifizierungAnfragen zur Genehmigung durch mehrere Parteien.Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.
Sie können Anfragen ansehen, die Sie erstellt haben, sowie Anfragen von anderen, die Sie prüfen dürfen, weil Sie sowohl die Berechtigungen haben, um dieselbe Aktion in der Admin-Konsole auszuführen, als auch Anfragen für die Genehmigung durch mehrere Parteien zu prüfen. Die Anfragedetails umfassen den Anfragestatus, den Namen des Anfragenden, das Datum, an dem die Anfrage erstellt wurde, die angeforderte Einstellungsänderung und das Ablaufdatum der Anfrage.
Wenn Sie Details zu einer bestimmten Anfrage sehen möchten, klicken Sie in der Spalte Aktion auf den Link.
- Die Detailseite Anfragender enthält eine Option zum Abbrechen der Anfrage.
- Die Detailseite Genehmiger enthält Optionen zum Genehmigen oder Ablehnen der Anfrage.
Klicken Sie auf Genehmigung durch mehrere Parteien , um zur Seite mit der Genehmigungsliste zurückzukehren.
Berechtigungen für sensible Aktionen in der Admin-Konsole und Überprüfungen von Änderungsanfragen
Wenn Sie Anfragen für die Genehmigung durch mehrere Parteien von sensiblen Aktionen in der Admin-Konsole ansehen möchten, benötigen Sie entweder die in der Tabelle unten aufgeführte Berechtigung auf Aktionsebene oder die Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen Berechtigung.
| Einstellung für die Admin-Konsole | Rolle oder Berechtigung, die zum Ausführen der Aktion erforderlich ist | Rolle oder Berechtigung, die zum Überprüfen einer Anfrage zur Genehmigung durch mehrere Parteien für die Aktion erforderlich ist |
|---|---|---|
| Bestätigung in zwei Schritten | Rolle „Super Admin“ | Rolle „Super Admin“ |
| Kontowiederherstellung | Rolle „Super Admin“ | Rolle „Super Admin“ |
| Google-Sitzungssteuerung | Sicherheit > Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Erweiterte Sicherheit | Sicherheit > Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Identitätsbestätigung | Sicherheit > Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Passwortlos | Sicherheit > Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Domainweite Delegierung | Rolle „Super Admin“ | Rolle „Super Admin“ |
| SSO mit externen IdPs | Sicherheit > Lese- und Schreibzugriffe auf Sicherheitseinstellungen steuern oder Sicherheit > Lese- und Schreibzugriffe auf Einstellungen für eingehende SSO steuern | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Kontextsensitiver Zugriff | Dienste > Datensicherheit > Zugriffsebenen verwalten | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Sicherheitsaktionen prüfen“ |
| Domains API | Admin API-Berechtigungen > Domainverwaltung | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ > „Domainaktionen prüfen“ |
| Kalenderfreigabe | Kalender > Alle Einstellungen > Einstellungen verwalten | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Kalenderaktionen prüfen“ |
| Allgemeine Kalendereinstellungen | Kalender > Alle Einstellungen > Einstellungen verwalten | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Kalenderaktionen prüfen“ |
| Einstellungen für die Kalenderarchivierung über Drittanbieter | Archivierung über Drittanbieter > Einstellungen für die Archivierung über Drittanbieter verwalten | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Kalenderaktionen prüfen“ |
| Freigabe von Gruppen | Google Groups for Business > Einstellungen für den Groups-Dienst | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ oder „Genehmigung durch mehrere Parteien“ > „Gruppenaktionen prüfen“ |
| (Vault) Export erstellen | Rolle „Super Admin“ | „Genehmigung durch mehrere Parteien“ > „Gewährt das Überprüfen der Genehmigung durch mehrere Parteien für alle sensiblen Aktionen“ > „Vault-Aktionen prüfen“ |
Weitere Informationen zu Rollen und Berechtigungen für die Genehmigung durch mehrere Parteien
- Nur Super Admins können anderen Administratoren Berechtigungen für die Genehmigung durch mehrere Parteien erteilen und die Einstellungen für die Genehmigung durch mehrere Parteien in der Admin-Konsole aktualisieren.
- Administratoren, die eine oder mehrere Genehmigungsanfragen gesendet haben, können ihre Anfragen in der Admin-Konsole ansehen.
- Super Admins können die Berechtigungen ansehen, die mit der Administratorrolle für die Genehmigung durch mehrere Parteien verknüpft sind.
- Wenn ein Administrator Anfragen überprüfen möchte, die von anderen Administratoren gesendet wurden, muss er sowohl die Berechtigung zum Überprüfen von Anfragen zur Genehmigung durch mehrere Parteien als auch die Berechtigung zum Ändern der Einstellungen haben, die überprüft werden.
So funktioniert die Genehmigung durch mehrere Parteien
In diesem Beispiel schützt die Genehmigung durch mehrere Parteien die vertrauliche Aktion der Änderung der Einstellungen für die Bestätigung in zwei Schritten.
- Ein Super Admin für Google Workspace geht zu SicherheitAuthentifizierungEinstellungen für die Bestätigung in zwei Schritten und versucht, die Erzwingung von Ein auf Aus umzustellen.
- In einem Feld wird der Super Admin darüber informiert, dass für diese Aktion die Genehmigung eines anderen Administrators erforderlich ist. Der Anfragende kann optional eine erläuternde Nachricht eingeben, bevor er die Genehmigungsanfrage sendet.
Hinweis: Wenn es bereits eine ausstehende Anfrage zur Genehmigung einer Einstellungsänderung gibt, wird jede neue Anfrage vorübergehend blockiert, bis die ausstehende Anfrage bearbeitet wurde. Der Administrator, dessen Anfrage blockiert wurde, kann die in Konflikt stehende Anfrage sehen. - Der anfragende Super Admin erhält eine E-Mail, in der bestätigt wird, dass seine Genehmigungsanfrage gesendet wurde.
Der Administrator (Genehmiger) erhält eine E-Mail-Anfrage zur Genehmigung und öffnet einen Link zur Seite „Genehmigung durch mehrere Parteien“ in der Admin-Konsole. Dort sind folgende Details zu sehen:
- Wer die Änderung anfordert
- Die aktuelle Einstellung (vor der Änderung) und die vorgeschlagene Einstellung (nach der Änderung)
- Optionen zum Genehmigen oder Ablehnen der Anfrage
Hinweis: Wenn ein Administrator die Berechtigung zum Ausführen einer sensiblen Aktion oder zum Überprüfen von Anfragen zur Genehmigung durch mehrere Parteien über die rollenbasierte Zuweisung zu einer Gruppe erhält, erhält er keine Überprüfungsanfragen per E-Mail. Administratoren können auf die Seite „Genehmigung durch mehrere Parteien“ zugreifen, auf der alle Anfragen aufgeführt sind, die sie überprüfen dürfen.
Der Administrator (Genehmiger) überprüft die Anfragedetails und genehmigt die Anfrage oder lehnt sie ab.
- Wenn die Anfrage genehmigt wird, wird die Änderung an den Einstellungen für die Bestätigung in zwei Schritten vorgenommen, ohne dass der anfragende Administrator weitere Maßnahmen ergreifen muss.
- Wenn der Administrator (Genehmiger) nichts unternimmt, läuft die Anfrage nach drei Tagen ab.
Der ursprüngliche Anfragende erhält eine E-Mail, wenn die Anfrage genehmigt oder abgelehnt wurde oder wenn die Anfrage ohne Aktion abgelaufen ist.