Éditions compatibles avec cette fonctionnalité : Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus. Comparer votre édition
L'approbation multipartite offre une protection contre les actions malveillantes dans la console d'administration Google. Toute modification des paramètres sensibles doit être approuvée par un super-administrateur ou un administrateur disposant des droits nécessaires pour effectuer l'action protégée et déléguer les droits permettant d'examiner l'approbation multipartite pour cette action.
Avant de commencer
Paramètres d'approbation multipartite
Vous pouvez activer ou désactiver l'approbation multipartite pour les paramètres suivants de la console d'administration :
Paramètres de sécurité
- Validation en deux étapes
- Récupération de compte
- Programme Protection Avancée
- Contrôle de session Google
- Questions d'authentification à la connexion
- Sans mot de passe
- Authentification unique avec un IdP tiers
- Délégation au niveau du domaine
- Accès contextuel
Accès de l'API aux paramètres de sécurité
Paramètres de Google Agenda
Paramètres de Google Groupes
Paramètres des domaines
- Ajouter un alias ou un domaine secondaire
- Changer de domaine principal
- Supprimer un alias ou un domaine secondaire
Paramètres Google Vault
Pour savoir comment activer ou désactiver l'approbation multipartite, consultez Activer ou désactiver l'approbation multipartite sur cette page.
Remarque : Les applications et les services peuvent également accéder à certains paramètres de la console d'administration via des API. Des approbations multipartites distinctes protègent les actions sensibles effectuées via des appels d'API publiques.
Approbation multipartite dans les domaines de revendeur
Si l'approbation multipartite est activée dans le domaine d'un client indirect et qu'un administrateur revendeur tente de modifier un paramètre sensible, la demande d'approbation est envoyée aux administrateurs indirects uniquement. Seuls ces derniers peuvent l'approuver, la refuser ou l'afficher.
Attribuer des droits d'administrateur pour examiner les demandes d'approbation multipartite
Les super-administrateurs peuvent accorder à d'autres administrateurs les droits nécessaires pour examiner et approuver les demandes d'approbation multipartite.
- Créez un rôle d'administrateur personnalisé qui inclut les droits d'approbation multipartite que vous souhaitez accorder aux administrateurs.
Remarque : Certaines actions de la console d'administration nécessitent d'être un super-administrateur (par exemple, activer ou désactiver la validation en deux étapes). Si l'approbation multipartite est activée pour l'une de ces actions, vous aurez besoin d'un deuxième super-administrateur pour examiner les demandes d'approbation multipartite associées. Pour en savoir plus, consultez Désigner un utilisateur comme super-administrateur. - Attribuez le rôle d'administrateur personnalisé que vous avez créé à l'étape 1 à un ou plusieurs administrateurs.
Pour en savoir plus, consultez Attribuer des rôles d'administrateur spécifiques. - Enregistrez la configuration du rôle que vous avez attribué à l'étape 2.
Activer ou désactiver l'approbation multipartite
Pour cette tâche, vous devez être connecté en tant que super-administrateur.Les paramètres d'approbation multipartite dans la console d'administration vous permettent d'activer ou de désactiver la fonctionnalité pour votre organisation, pour des paramètres de sécurité individuels de la console d'administration et pour les API publiques pouvant accéder aux paramètres de sécurité.
-
Dans la console d'administration Google, accédez à Menu
SécuritéAuthentificationParamètres d'approbation multipartite.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
Pour activer ou désactiver l'approbation multipartite pour votre organisation, cliquez sur Paramètres de l'approbation multipartite, cochez ou décochez la case Exiger une approbation multipartite pour les actions d'administration sensibles, puis cliquez sur Enregistrer.
Remarque : Si vous désactivez l'approbation multipartite pour votre organisation alors qu'elle était activée :
- Les demandes en attente restent actives pendant la même période, jusqu'à ce qu'elles soient approuvées, refusées, annulées ou arrivées à expiration.
- Les nouvelles modifications de paramètres impliquant des actions d'administration sensibles ne créent pas de demandes d'approbation multipartite, même si l'approbation multipartite est activée pour ce paramètre individuel.
Pour activer ou désactiver l'approbation multipartite pour un ou plusieurs paramètres de sécurité individuels, cliquez sur Approbation multipartite pour les paramètres de sécurité, cochez ou décochez la case associée à chaque paramètre pour lequel vous souhaitez activer ou désactiver l'approbation multipartite, puis cliquez sur Enregistrer.
Remarque : Si l'approbation multipartite est activée pour un paramètre individuel, les modifications apportées à ce paramètre dans la console d'administration ne créent une demande d'approbation multipartite que si l'approbation multipartite est également activée pour l'organisation.
Pour activer ou désactiver l'approbation multipartite pour les API publiques pouvant accéder aux paramètres de sécurité, cliquez sur Approbation multipartite pour l'accès de l'API aux paramètres de sécurité, cochez ou décochez la case SSO avec des fournisseurs d'identité tiers, puis cliquez sur Enregistrer.
Pour activer ou désactiver l'approbation multipartite pour les paramètres d'Agenda, cliquez sur Approbation multipartite pour les paramètres d'agenda, cochez ou décochez la case associée à chaque paramètre pour lequel vous souhaitez activer ou désactiver l'approbation multipartite, puis cliquez sur Enregistrer.
Pour activer ou désactiver l'approbation multipartite pour les paramètres de Google Groupes, cliquez sur Approbation multipartite pour les paramètres de groupe, cochez ou décochez la case associée à chaque paramètre pour lequel vous souhaitez activer ou désactiver l'approbation multipartite, puis cliquez sur Enregistrer.
Pour activer ou désactiver l'approbation multipartite pour les actions sensibles au niveau du domaine, cliquez sur Approbation multipartite pour les paramètres d'administration, cochez ou décochez la case API Domains, puis cliquez sur Enregistrer.
Pour activer ou désactiver l'approbation multipartite pour les paramètres de Vault, cliquez sur Approbation multipartite pour les paramètres de Vault, cochez ou décochez la case Créer une exportation, puis cliquez sur Enregistrer.
Afficher, approuver ou annuler une demande
Le demandeur et l'approbateur peuvent consulter les demandes en attente ou passées sur la page "Approbation multipartite". Cliquez sur une demande dans l'onglet Demandes envoyées pour afficher la page d'informations correspondante. Sur la page d'informations d'une demande, les demandeurs peuvent l'annuler, et les approbateurs peuvent l'approuver ou la refuser.
-
Dans la console d'administration Google, accédez à Menu
SécuritéAuthentificationDemandes d'approbation multipartite.Pour cette tâche, vous devez être connecté en tant que super-administrateur.
Vous pouvez afficher les demandes que vous avez créées, ainsi que celles d'autres utilisateurs pour lesquelles vous êtes autorisé à effectuer un examen, à condition de disposer des droits nécessaires pour effectuer la même action dans la console d'administration et examiner les demandes d'approbation multipartite. Les détails de la demande incluent son état, le nom du demandeur, la date de création de la demande, le changement de paramètre demandé et la date d'expiration de la demande.
Pour afficher les détails d'une demande spécifique, cliquez sur le lien correspondant dans la colonne Action.
- La page d'informations du demandeur inclut une option permettant d'annuler la demande.
- La page d'informations de l'approbateur inclut des options permettant d'approuver ou de refuser la demande.
Cliquez sur Approbation multipartite pour revenir à la page de la liste des approbations.
Droits pour les actions sensibles dans la console d'administration et l'examen des demandes de modification
Pour afficher les demandes d'approbation multipartite pour les actions sensibles dans la console d'administration, vous devez disposer du droit au niveau de l'action indiqué dans le tableau ci-dessous ou du droit Peut examiner l'approbation multipartite pour toutes les actions sensibles.
| Paramètre de la console d'administration | Rôle ou droit requis pour effectuer l'action | Rôle ou droit requis pour examiner une demande d'approbation multipartite pour l'action |
|---|---|---|
| Validation en deux étapes | Rôle de super-administrateur | Rôle de super-administrateur |
| Récupération de compte | Rôle de super-administrateur | Rôle de super-administrateur |
| Contrôle de session Google | Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de sécurité |
| Programme Protection Avancée | Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de sécurité |
| Questions d'authentification à la connexion | Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de sécurité |
| Sans mot de passe | Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de sécurité |
| Délégation au niveau du domaine | Rôle de super-administrateur | Rôle de super-administrateur |
| SSO avec des fournisseurs d'identité tiers | Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres de sécurité ou Sécurité > Contrôler les droits en lecture et en écriture pour les paramètres SSO entrants | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de sécurité |
| Accès contextuel | Services > Sécurité des données > Gestion des niveaux d'accès | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de sécurité |
| API Domains | Droits pour l'API Admin > Gestion de domaine | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles > Examiner les actions du domaine |
| Partage d'agenda | Agenda > Tous les paramètres > Gérer les paramètres | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de l'agenda |
| Paramètres généraux de l'agenda | Agenda > Tous les paramètres > Gérer les paramètres | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de l'agenda |
| Paramètres d'archivage tiers de l'agenda | Archivage tiers > Gérer les paramètres d'archivage tiers | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions de l'agenda |
| Partage de groupe | Groups for Business > Paramètres du service Groupes | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles ou Approbation multipartite > Examiner les actions des groupes |
| (Vault) Créer une exportation | Rôle de super-administrateur | Approbation multipartite > Peut examiner l'approbation multipartite pour toutes les actions sensibles > Examiner les actions Vault |
En savoir plus sur les rôles et les droits d'approbation multipartite
- Seuls les super-administrateurs peuvent accorder des droits d'approbation multipartite à d'autres administrateurs et modifier les paramètres d'approbation multipartite dans la console d'administration.
- Les administrateurs qui ont envoyé une ou plusieurs demandes d'approbation peuvent les consulter dans la console d'administration.
- Les super-administrateurs peuvent consulter les droits associés au rôle Administrateur de l'approbation multipartite.
- Pour examiner les demandes envoyées par d'autres administrateurs, un administrateur doit à la fois être autorisé à examiner les demandes d'approbation multipartite et à modifier les paramètres en cours d'examen.
Fonctionnement de l'approbation multipartite
Dans cet exemple, l'approbation multipartite protège l'action sensible qui consiste à modifier les paramètres de la validation en deux étapes.
- Un super-administrateur Workspace accède à SécuritéAuthentificationParamètres de la validation en deux étapes et tente de basculer l'option Activé sur Désactivé.
- Une boîte de dialogue informe le super-administrateur que cette action doit être approuvée par un autre administrateur. Le demandeur peut éventuellement saisir un message explicatif avant d'envoyer la demande d'approbation.
Remarque : Si une demande de modification d'un paramètre est déjà en attente d'approbation, toute nouvelle demande est temporairement bloquée jusqu'à ce que la demande en attente soit traitée. L'administrateur dont la requête est bloquée peut afficher la requête en conflit. - Le super-administrateur à l'origine de la demande reçoit un e-mail confirmant l'envoi de sa demande pour approbation.
L'administrateur chargé de l'approbation reçoit une demande par e-mail et ouvre un lien vers la page d'approbation multipartite dans la console d'administration, qui affiche les informations suivantes :
- Personne à l'origine de la demande de modification
- Paramètre actuel (avant la modification) et paramètre proposé (après la modification)
- Options permettant d'approuver ou de refuser la demande
Remarque : Si un administrateur obtient le droit d'effectuer une action sensible ou d'examiner des demandes d'approbation multipartite grâce à l'attribution d'un rôle basée sur un groupe, il ne recevra pas de demandes d'examen par e-mail. Les administrateurs peuvent accéder à la page "Approbation multipartite", qui liste toutes les demandes qu'ils sont autorisés à examiner.
L'administrateur chargé de l'approbation examine les détails de la demande, puis l'approuve ou la refuse.
- Si la demande est approuvée, la modification des paramètres de la validation en deux étapes est effectuée, et aucune action supplémentaire n'est requise de la part de l'administrateur à l'origine de cette demande.
- Si l'administrateur chargé de l'approbation ne prend aucune mesure, la demande expire au bout de trois jours.
La personne à l'origine de la demande reçoit un e-mail lorsque la demande a été approuvée ou refusée, ou si elle a expiré sans que l'approbateur n'ait pris de décision.