קבלת אישור ממספר משתמשים לביצוע פעולות רגישות

התכונה הזו נתמכת במהדורות הבאות: Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus. השוואה בין מהדורות

קבלת אישור ממספר משתמשים מגנה מפני פעולות זדוניות במסוף Google Admin. כל השינויים בהגדרות רגישות חייבים להיות מאושרים על ידי סופר-אדמין או אדמין עם הרשאות לבצע את הפעולה המוגנת ולהקצות הרשאות לבדיקת אישור ממספר משתמשים עבור הפעולה הזו.

לפני שמתחילים

הגדרות של קבלת אישור ממספר משתמשים

אפשר להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות הבאות במסוף Admin:

הגדרות אבטחה

גישה באמצעות API להגדרות אבטחה

הגדרת יומן Google

הגדרות 'קבוצות Google'

הגדרות דומיינים

הגדרות Google Vault

הוראות להפעלה או להשבתה של קבלת אישור ממספר משתמשים מופיעות בקטע הפעלה או השבתה של קבלת אישור ממספר משתמשים בדף הזה.

הערה: אפליקציות ושירותים יכולים גם לגשת להגדרות מסוימות במסוף Admin דרך ממשקי API. קבלת אישור ממספר משתמשים (MPA) בנפרד מגנה על פעולות רגישות שמבוצעות באמצעות קריאות ל-API ציבורי.

קבלת אישור ממספר משתמשים בדומיינים של מפיצים

אם אישור על ידי גורמים מרובים מופעל בדומיין של לקוח שקנה דרך מפיץ, ואדמין של מפיץ מנסה לעדכן הגדרה רגישה, בקשת האישור נשלחת רק לאדמינים של הלקוח שקנה דרך מפיץ, ורק הם יכולים לאשר, לדחות או לצפות בבקשה.

הקצאת הרשאות אדמין לבדיקת בקשות לקבלת אישור ממספר משתמשים

סופר-אדמינים יכולים לתת לאדמינים אחרים את ההרשאות שנדרשות כדי לבדוק ולאשר בקשות לקבלת אישור ממספר משתמשים.

  1. יוצרים תפקיד אדמין בהתאמה אישית שכולל את ההרשאות לקבלת אישור ממספר משתמשים שרוצים לתת לאדמינים.
    טיפ: כדי לבצע פעולות מסוימות במסוף Admin, כמו הפעלה או השבתה של אימות דו-שלבי (2SV), צריך להיות סופר-אדמין. אם מופעלת קבלת אישור ממספר משתמשים לאחת מהפעולות האלה, צריך סופר-אדמין נוסף שיבדוק את הבקשות הרלוונטיות לקבלת אישור ממספר משתמשים. פרטים נוספים מופיעים במאמר בנושא הגדרת משתמש כסופר-אדמין.
  2. מקצים את תפקיד האדמין בהתאמה אישית שיצרתם בשלב 1 לאדמין אחד או יותר.
    פרטים נוספים מופיעים במאמר בנושא הקצאת תפקידי אדמין ספציפיים.
  3. שומרים את הגדרת התפקיד שהקציתם בשלב 2.

הפעלה או השבתה של קבלת אישור ממספר משתמשים

כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

אתם יכולים להשתמש בהגדרות של אישור ממספר משתמשים במסוף Admin כדי להפעיל או להשבית את התכונה בארגון, בהגדרות אבטחה ספציפיות במסוף Admin ובממשקי API ציבוריים שיכולים לגשת להגדרות אבטחה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזהגדרות של בקשות לקבלת אישור ממספר משתמשים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים בארגון, לוחצים על הגדרות של קבלת אישור ממספר משתמשים, מסמנים או מבטלים את הסימון בתיבה נדרשת קבלת אישור ממספר משתמשים לביצוע פעולות אדמין רגישות, ואז לוחצים על שמירה.

    הערה: אם משביתים את ההגדרה 'קבלת אישור ממספר משתמשים' בארגון ממצב מופעל:

    • בקשות בהמתנה נשארות פעילות למשך אותו פרק זמן עד שהן מאושרות, נדחות, מבוטלות או פגות תוקף.
    • שינויים חדשים בהגדרות שכוללים פעולות אדמין רגישות לא יוצרים בקשות לקבלת אישור ממספר משתמשים, גם אם ההגדרה הזו מופעלת עבור ההגדרה הספציפית הזו.

  3. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרת אבטחה אחת או יותר, לוחצים על קבלת אישור ממספר משתמשים להגדרות האבטחה, מסמנים או מבטלים את הסימון של התיבה שמשויכת לכל הגדרה שרוצים להפעיל או להשבית את קבלת האישור ממספר משתמשים עבורה, ואז לוחצים על שמירה.

    הערה: אם ההגדרה 'קבלת אישור ממספר משתמשים' מופעלת עבור הגדרה ספציפית, שינויים בהגדרה במסוף Admin יוצרים בקשה לקבלת אישור ממספר משתמשים רק אם ההגדרה הזו מופעלת גם עבור הארגון.

  4. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים לגישה באמצעות ממשקי API ציבוריים להגדרות אבטחה, לוחצים על קבלת אישור ממספר משתמשים לגישה באמצעות ממשק API להגדרות אבטחה, מסמנים או מבטלים את הסימון בתיבה כניסה יחידה (SSO) עם ספקי זהויות (IDP) של צד שלישי ואז לוחצים על שמירה.

  5. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות היומן, לוחצים על קבלת אישור ממספר משתמשים להגדרות היומן, מסמנים או מבטלים את הסימון של התיבה שמשויכת לכל הגדרה שרוצים להפעיל או להשבית את קבלת האישור ממספר משתמשים עבורה, ואז לוחצים על שמירה.

  6. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות של קבוצות, לוחצים על קבלת אישור ממספר משתמשים להגדרות של קבוצות, מסמנים או מבטלים את הסימון בתיבה שמשויכת לכל הגדרה שרוצים להפעיל או להשבית את קבלת האישור ממספר משתמשים עבורה, ואז לוחצים על שמירה.

  7. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים לפעולות רגישות בדומיין, לוחצים על קבלת אישור ממספר משתמשים להגדרות האדמין, מסמנים או מבטלים את הסימון של התיבה Domains API ואז לוחצים על שמירה.

  8. כדי להפעיל או להשבית את קבלת האישור ממספר משתמשים להגדרות של Vault, לוחצים על קבלת אישור ממספר משתמשים להגדרות של Vault, מסמנים או מבטלים את הסימון בתיבה יצירת ייצוא ואז לוחצים על שמירה.

איך צופים בבקשה, מאשרים אותה או מבטלים אותה

מגיש הבקשה או המאשר יכולים לראות את הבקשות שממתינות לאישור או בקשות קודמות בדף 'בקשות לקבלת אישור ממספר משתמשים'. כשלוחצים על בקשה בכרטיסייה בקשות שנשלחו, מוצג דף פרטים של הבקשה. בדף פרטי הבקשה, מגישי הבקשה יכולים לבטל אותה, והגורמים המאשרים יכולים לאשר או לדחות אותה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזבקשות לקבלת אישור ממספר משתמשים.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

    אתם יכולים לראות את הבקשות שיצרתם, וגם בקשות ממשתמשים אחרים שקיבלתם הרשאה לבדוק. כדי לבדוק בקשות לקבלת אישור ממספר משתמשים, אתם צריכים הרשאות גם לביצוע הפעולה הרלוונטית במסוף Admin וגם לבדיקת בקשות לקבלת אישור ממספר משתמשים. פרטי הבקשה כוללים את סטטוס הבקשה, שם השולח, תאריך יצירת הבקשה, שינוי ההגדרה המבוקש ותאריך התפוגה של הבקשה.

  2. כדי לראות את הפרטים של בקשה ספציפית, לוחצים על הקישור שלה בעמודה פעולה.

    • בדף הפרטים של השולח יש אפשרות לבטל את הבקשה.
    • בדף הפרטים של המאשר יש אפשרויות לאשר או לדחות את הבקשה.

  3. לוחצים על בקשות לקבלת אישור ממספר משתמשים כדי לחזור לדף רשימת האישורים.

הרשאות לפעולות רגישות במסוף Admin ולבדיקות של בקשות לשינוי

כדי לראות בקשות לקבלת אישור ממספר משתמשים לביצוע פעולות רגישות במסוף Admin, צריך לקבל את ההרשאה ברמת הפעולה שמפורטת בטבלה שלמטה או את ההרשאה אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות.

הגדרה במסוף Admin תפקיד או הרשאה שנדרשים לביצוע הפעולה התפקיד או ההרשאה שנדרשים כדי לבדוק בקשה לאישור על ידי גורמים מרובים לפעולה
אימות דו-שלבי תפקיד סופר-אדמין תפקיד סופר-אדמין
שחזור חשבון תפקיד סופר-אדמין תפקיד סופר-אדמין
בקרת סשנים ב-Google אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
תוכנית ההגנה המתקדמת אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
אימותי זהות אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
ללא סיסמה אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
הענקת גישה ברמת הדומיין תפקיד סופר-אדמין תפקיד סופר-אדמין
כניסה יחידה (SSO) עם ספקי זהות (IDPs) של צד שלישי אבטחה > שליטה בקריאה ובכתיבה של הגדרות האבטחה או אבטחה > שליטה בקריאה ובכתיבה של הגדרות SSO של כניסה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
בקרת גישה מבוססת הקשר שירותים > אבטחת נתונים > ניהול רמת הגישה קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות אבטחה
Domains API הרשאות ב-Admin API > ניהול דומיין קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות > בדיקת פעולות בדומיין
שיתוף היומן יומן > כל ההגדרות > ניהול הגדרות קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות ביומן
ההגדרות הכלליות של היומן יומן > כל ההגדרות > ניהול הגדרות קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות ביומן
הגדרות להעברה לארכיון של צד שלישי ביומן העברה לארכיון של צד שלישי > ניהול ההגדרות להעברה לארכיון של צד שלישי קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות ביומן
שיתוף עם קבוצות ‫Groups for Business > הגדרות שירות לקבוצות קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות או קבלת אישור ממספר משתמשים > בדיקת פעולות בקבוצות
‫(Vault) יצירת ייצוא תפקיד סופר-אדמין קבלת אישור ממספר משתמשים > אפשרות לבדוק קבלת אישור ממספר משתמשים לכל הפעולות הרגישות > בדיקת פעולות ב-Vault

מידע נוסף על תפקידים והרשאות בקבלת אישור ממספר משתמשים

  • רק סופר-אדמינים יכולים לתת לאדמינים אחרים הרשאות לקבלת אישור ממספר משתמשים ולעדכן את ההגדרות של קבלת אישור ממספר משתמשים במסוף Admin.
  • אדמינים ששלחו בקשה אחת או יותר לאישור יכולים לראות את הבקשות שלהם במסוף Admin.
  • סופר-אדמינים יכולים לראות את ההרשאות שמשויכות לתפקיד האדמין 'אישור ממספר משתמשים'.
  • כדי לבדוק בקשות שנשלחו על ידי אדמינים אחרים, לאדמין צריכות להיות גם הרשאה לבדיקת בקשות לקבלת אישור ממספר משתמשים וגם הרשאה לשינוי הגדרות שנמצאות בבדיקה.

איך פועל התהליך של קבלת אישור ממספר משתמשים

בדוגמה הזו, קבלת אישור ממספר משתמשים מגנה על הפעולה הרגישה של שינוי ההגדרות של האימות הדו-שלבי.

  1. אדמין על ב-Workspace עובר אל אבטחהואזאימותואזהגדרות אימות דו-שלבי ומנסה להעביר את האכיפה ממופעל למושבת.
  2. מוצגת תיבה שמודיעה לסופר-אדמין שהפעולה הזו מחייבת אישור מאדמין אחר. אם רוצים, אפשר להוסיף הודעה עם הסבר לפני ששולחים את הבקשה לאישור.
    הערה: אם כבר יש בקשה בהמתנה לאישור שינוי בהגדרות, כל בקשה חדשה נחסמת באופן זמני עד שהבקשה בהמתנה מטופלת. האדמין שהבקשה שלו נחסמה יכול לראות את הבקשה שגורמת לקונפליקט.
  3. סופר-אדמין ששלח בקשה מקבל אימייל שמאשר שהבקשה שלו לאישור נשלחה.

  4. האדמין שצריך לאשר מקבל בקשה באימייל לאישור ופותח קישור לדף 'אישור על ידי גורמים מרובים' במסוף Admin, שבו מוצגים פרטים על:

    • מי מבקש את השינוי
    • ההגדרה הנוכחית (לפני השינוי) וההגדרה המוצעת (אחרי השינוי)
    • אפשרויות לאישור או לדחייה של הבקשה

    הערה: אם אדמין מקבל הרשאה לבצע פעולה רגישה או לבדוק בקשות MPA באמצעות הקצאת תפקידים שמבוססת על קבוצות, הוא לא יקבל בקשות לבדיקה באימייל. אדמינים יכולים לגשת לדף 'אישור על ידי גורמים מרובים' שבו מפורטות כל הבקשות שהם מורשים לבדוק.

  5. האדמין שמוגדר כמאשר בודק את פרטי הבקשה ומאשר או דוחה אותה.

    • אם הבקשה מאושרת, שינוי הגדרות האימות הדו-שלבי מתבצע ללא צורך בפעולה נוספת מצד האדמין ששלח את הבקשה.
    • אם האדמין שצריך לאשר את הבקשה לא יבצע פעולה כלשהי, התוקף של הבקשה יפוג תוך 3 ימים.

  6. מי ששלח את הבקשה המקורית מקבל אימייל כשהבקשה מאושרת או נדחית, או אם תוקף הבקשה פג ולא בוצעה פעולה.