Phê duyệt nhiều bên đối với hành động nhạy cảm

Các phiên bản hỗ trợ tính năng này: Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus. So sánh phiên bản của bạn

Tính năng phê duyệt nhiều bên giúp bảo vệ khỏi các hành động độc hại trong Bảng điều khiển dành cho quản trị viên của Google. Mọi thay đổi đối với chế độ cài đặt nhạy cảm đều phải được quản trị viên cấp cao hoặc quản trị viên có đặc quyền thực hiện hành động được bảo vệ và uỷ quyền xem xét quy trình Phê duyệt nhiều bên cho hành động đó phê duyệt.

Trước khi bắt đầu

Chế độ cài đặt phê duyệt nhiều bên

Bạn có thể bật hoặc tắt chế độ Phê duyệt nhiều bên cho các chế độ cài đặt sau đây trên Bảng điều khiển dành cho quản trị viên:

Cài đặt bảo mật

Quyền truy cập bằng API vào các chế độ cài đặt bảo mật

Cài đặt lịch

Cài đặt Nhóm

Chế độ cài đặt miền

Cài đặt Google Vault

Để xem hướng dẫn về cách bật hoặc tắt tính năng Phê duyệt nhiều bên, hãy chuyển đến phần Bật hoặc tắt tính năng Phê duyệt nhiều bên trên trang này.

Lưu ý: Các ứng dụng và dịch vụ cũng có thể truy cập vào một số chế độ cài đặt trong Bảng điều khiển dành cho quản trị viên thông qua API. Tính năng Phê duyệt nhiều bên riêng biệt giúp bảo vệ các hành động nhạy cảm được thực hiện thông qua lệnh gọi API công khai.

Cơ chế phê duyệt nhiều bên trong miền của người bán lại

Nếu bạn bật tính năng Phê duyệt nhiều bên trong miền của khách hàng mua qua đại lý và quản trị viên đại lý cố gắng cập nhật một chế độ cài đặt nhạy cảm, thì yêu cầu phê duyệt sẽ chỉ được gửi đến quản trị viên của khách hàng mua qua đại lý và chỉ những quản trị viên này mới có thể phê duyệt, từ chối hoặc xem yêu cầu.

Chỉ định đặc quyền quản trị để xem xét các yêu cầu phê duyệt nhiều bên

Quản trị viên cấp cao có thể cấp cho các quản trị viên khác những đặc quyền cần thiết để xem xét và phê duyệt các yêu cầu phê duyệt nhiều bên.

  1. Tạo vai trò quản trị viên tuỳ chỉnh bao gồm các đặc quyền Phê duyệt nhiều bên mà bạn muốn quản trị viên có.
    Lưu ý: Một số thao tác trong Bảng điều khiển dành cho quản trị viên yêu cầu bạn phải là quản trị viên cấp cao, chẳng hạn như bật hoặc tắt tính năng Xác minh 2 bước (2SV). Nếu tính năng Phê duyệt nhiều bên được bật cho một trong những thao tác này, thì bạn sẽ cần một quản trị viên cấp cao thứ hai để xem xét các yêu cầu phê duyệt nhiều bên có liên quan. Để biết thông tin chi tiết, hãy xem phần Chỉ định người dùng làm quản trị viên cấp cao.
  2. Chỉ định vai trò quản trị viên tuỳ chỉnh mà bạn đã tạo ở bước 1 cho một hoặc nhiều quản trị viên.
    Để biết thông tin chi tiết, hãy xem bài viết Chỉ định vai trò quản trị viên cụ thể.
  3. Lưu cấu hình vai trò mà bạn đã chỉ định ở bước 2.

Bật hoặc tắt chế độ Phê duyệt nhiều bên

Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

Sử dụng chế độ cài đặt Phê duyệt nhiều bên trong Bảng điều khiển dành cho quản trị viên để bật hoặc tắt tính năng này cho tổ chức của bạn, cho từng chế độ cài đặt bảo mật trong Bảng điều khiển dành cho quản trị viên và cho các API công khai có thể truy cập vào chế độ cài đặt bảo mật.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóCài đặt phê duyệt nhiều bên.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Để bật hoặc tắt chế độ Phê duyệt nhiều bên cho tổ chức của bạn, hãy nhấp vào Chế độ cài đặt Phê duyệt nhiều bên, đánh dấu hoặc bỏ đánh dấu hộp Bắt buộc phải có sự phê duyệt nhiều bên đối với các thao tác nhạy cảm, rồi nhấp vào Lưu.

    Lưu ý: Nếu bạn tắt chế độ Phê duyệt nhiều bên cho tổ chức của mình khi chế độ này đang bật:

    • Các yêu cầu đang chờ xử lý vẫn hoạt động trong cùng khoảng thời gian cho đến khi được phê duyệt, bị từ chối, bị huỷ hoặc hết hạn.
    • Những thay đổi mới về chế độ cài đặt liên quan đến các thao tác nhạy cảm của quản trị viên sẽ không tạo ra yêu cầu Phê duyệt nhiều bên, ngay cả khi bạn bật chế độ Phê duyệt nhiều bên cho chế độ cài đặt riêng lẻ đó.

  3. Để bật hoặc tắt chế độ Phê duyệt nhiều bên cho một hoặc nhiều chế độ cài đặt bảo mật riêng lẻ, hãy nhấp vào Phê duyệt nhiều bên đối với chế độ cài đặt bảo mật, đánh dấu hoặc bỏ đánh dấu hộp liên kết với từng chế độ cài đặt mà bạn muốn bật hoặc tắt chế độ Phê duyệt nhiều bên, rồi nhấp vào Lưu.

    Lưu ý: Nếu bạn bật chế độ Phê duyệt nhiều bên cho một chế độ cài đặt riêng lẻ, thì những thay đổi đối với chế độ cài đặt đó trong Bảng điều khiển dành cho quản trị viên sẽ chỉ tạo yêu cầu Phê duyệt nhiều bên khi bạn cũng bật chế độ Phê duyệt nhiều bên cho tổ chức.

  4. Để bật hoặc tắt chế độ Phê duyệt nhiều bên đối với các API công khai có thể truy cập vào chế độ cài đặt bảo mật, hãy nhấp vào Phê duyệt nhiều bên đối với quyền truy cập bằng API vào các chế độ cài đặt bảo mật, đánh dấu hoặc bỏ đánh dấu hộp SSO với các nhà cung cấp danh tính bên thứ ba, rồi nhấp vào Lưu.

  5. Để bật hoặc tắt chế độ Phê duyệt nhiều bên đối với chế độ cài đặt Lịch, hãy nhấp vào Phê duyệt nhiều bên đối với chế độ cài đặt lịch, đánh dấu hoặc bỏ đánh dấu hộp liên kết với từng chế độ cài đặt mà bạn muốn bật hoặc tắt chế độ Phê duyệt nhiều bên, rồi nhấp vào Lưu.

  6. Để bật hoặc tắt chế độ Phê duyệt nhiều bên đối với các chế độ cài đặt Nhóm, hãy nhấp vào Phê duyệt nhiều bên đối với các chế độ cài đặt Nhóm, đánh dấu hoặc bỏ đánh dấu hộp liên kết với từng chế độ cài đặt mà bạn muốn bật hoặc tắt chế độ Phê duyệt nhiều bên, rồi nhấp vào Lưu.

  7. Để bật hoặc tắt chế độ Phê duyệt nhiều bên đối với các thao tác nhạy cảm trên miền, hãy nhấp vào Phê duyệt nhiều bên đối với chế độ cài đặt của quản trị viên, đánh dấu hoặc bỏ đánh dấu hộp Domains API, rồi nhấp vào Lưu.

  8. Để bật hoặc tắt chế độ Phê duyệt nhiều bên đối với chế độ cài đặt Vault, hãy nhấp vào Phê duyệt nhiều bên đối với chế độ cài đặt Vault, đánh dấu hoặc bỏ đánh dấu hộp Tạo tệp xuất, rồi nhấp vào Lưu.

Xem, phê duyệt hoặc huỷ yêu cầu

Người yêu cầu hoặc người phê duyệt đều có thể xem các yêu cầu đang chờ xử lý hoặc đã xử lý trên trang Phê duyệt nhiều bên. Khi bạn nhấp vào một yêu cầu trong thẻ Yêu cầu đã gửi, trang chi tiết của yêu cầu đó sẽ xuất hiện. Trên trang chi tiết yêu cầu, người yêu cầu có thể huỷ yêu cầu và người phê duyệt có thể phê duyệt hoặc từ chối yêu cầu.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mậtsau đóXác thựcsau đóYêu cầu phê duyệt nhiều bên.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

    Bạn có thể xem những yêu cầu mà bạn đã tạo, cũng như những yêu cầu của người khác mà bạn được uỷ quyền xem xét bằng cách có cả đặc quyền thực hiện cùng một thao tác trên Bảng điều khiển dành cho quản trị viên và đặc quyền xem xét các yêu cầu phê duyệt nhiều bên. Thông tin chi tiết về yêu cầu bao gồm trạng thái yêu cầu, tên của người yêu cầu, ngày tạo yêu cầu, thay đổi chế độ cài đặt được yêu cầu và ngày hết hạn của yêu cầu.

  2. Để xem thông tin chi tiết về một yêu cầu cụ thể, hãy nhấp vào đường liên kết của yêu cầu đó trong cột Hành động.

    • Trang thông tin chi tiết về người yêu cầu có lựa chọn huỷ yêu cầu.
    • Trang chi tiết về người phê duyệt có các lựa chọn để phê duyệt hoặc từ chối yêu cầu.

  3. Nhấp vào Phê duyệt nhiều bên để quay lại trang danh sách phê duyệt.

Đặc quyền đối với các thao tác nhạy cảm trong Bảng điều khiển dành cho quản trị viên và việc xem xét yêu cầu thay đổi

Để xem các yêu cầu Phê duyệt nhiều bên đối với các hành động nhạy cảm trong Bảng điều khiển dành cho quản trị viên, bạn phải có đặc quyền ở cấp hành động được liệt kê trong bảng bên dưới hoặc đặc quyền Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm.

Chế độ cài đặt Bảng điều khiển dành cho quản trị viên Vai trò hoặc đặc quyền cần thiết để thực hiện hành động Vai trò hoặc đặc quyền cần thiết để xem xét Yêu cầu phê duyệt nhiều bên đối với thao tác
Xác minh 2 bước Vai trò quản trị viên cấp cao Vai trò quản trị viên cấp cao
Khôi phục tài khoản Vai trò quản trị viên cấp cao Vai trò quản trị viên cấp cao
Kiểm soát phiên truy cập vào Google Bảo mật > Kiểm soát quyền đọc và ghi ở chế độ cài đặt bảo mật Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động bảo mật
Chương trình Bảo vệ nâng cao Bảo mật > Kiểm soát quyền đọc và ghi ở chế độ cài đặt bảo mật Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động bảo mật
Thử thách đăng nhập Bảo mật > Kiểm soát quyền đọc và ghi ở chế độ cài đặt bảo mật Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động bảo mật
Không dùng mật khẩu Bảo mật > Kiểm soát quyền đọc và ghi ở chế độ cài đặt bảo mật Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động bảo mật
Uỷ quyền trên toàn miền Vai trò quản trị viên cấp cao Vai trò quản trị viên cấp cao
Đăng nhập một lần (SSO) thông qua nhà cung cấp dịch vụ danh tính (IDP) bên thứ ba Bảo mật > Kiểm soát quyền đọc và ghi ở chế độ cài đặt bảo mật hoặc Bảo mật > Kiểm soát quyền đọc và ghi ở chế độ cài đặt đăng nhập một lần nội bộ Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động bảo mật
Context-Aware Access Dịch vụ > Bảo mật dữ liệu > Quản lý cấp truy cập Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động bảo mật
Domains API Đặc quyền của API quản trị > Quản lý miền Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm > Xem xét các hành động đối với miền
Chia sẻ lịch Lịch > Tất cả chế độ cài đặt > Quản lý chế độ cài đặt Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động trên lịch
Chế độ cài đặt chung cho lịch Lịch > Tất cả chế độ cài đặt > Quản lý chế độ cài đặt Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động trên lịch
Chế độ cài đặt lưu trữ của bên thứ ba cho lịch Lưu trữ của bên thứ ba > Quản lý chế độ cài đặt lưu trữ của bên thứ ba Phê duyệt nhiều bên > Có thể xem xét các yêu cầu Phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động trên lịch
Chia sẻ theo nhóm Groups for Business > Chế độ cài đặt dịch vụ Groups Phê duyệt nhiều bên > Có thể xem xét các yêu cầu phê duyệt nhiều bên đối với mọi hành động nhạy cảm hoặc Phê duyệt nhiều bên > Xem xét các hành động đối với Nhóm
(Vault) Tạo tệp xuất Vai trò quản trị viên cấp cao Phê duyệt nhiều bên > Có thể xem xét các yêu cầu phê duyệt nhiều bên đối với mọi hành động nhạy cảm > Xem xét các hành động trong Vault

Tìm hiểu thêm về vai trò và đặc quyền của cơ chế phê duyệt nhiều bên

  • Chỉ quản trị viên cấp cao mới có thể cấp cho các quản trị viên khác đặc quyền Phê duyệt nhiều bên và cập nhật chế độ cài đặt Phê duyệt nhiều bên trong Bảng điều khiển dành cho quản trị viên.
  • Những quản trị viên đã gửi một hoặc nhiều yêu cầu phê duyệt có thể xem các yêu cầu của họ trong Bảng điều khiển dành cho quản trị viên.
  • Quản trị viên cấp cao có thể xem các đặc quyền liên quan đến vai trò Quản trị viên phê duyệt nhiều bên.
  • Để xem xét các yêu cầu do quản trị viên khác gửi, quản trị viên phải có cả đặc quyền xem xét các yêu cầu phê duyệt nhiều bên và đặc quyền thay đổi các chế độ cài đặt đang được xem xét.

Cách hoạt động của tính năng Phê duyệt nhiều bên

Trong ví dụ này, tính năng Phê duyệt nhiều bên bảo vệ hành động nhạy cảm là thay đổi chế độ cài đặt 2SV.

  1. Quản trị viên cấp cao của Workspace chuyển đến phần Bảo mậtsau đóXác thựcsau đóChế độ cài đặt xác minh 2 bước và cố gắng chuyển chế độ thực thi từ Bật sang Tắt.
  2. Một hộp thông báo cho quản trị viên cấp cao biết rằng hành động này cần được một quản trị viên khác phê duyệt. Người yêu cầu có thể nhập một tin nhắn giải thích (không bắt buộc) trước khi gửi yêu cầu phê duyệt.
    Lưu ý: Nếu đã có một yêu cầu đang chờ xử lý để phê duyệt thay đổi chế độ cài đặt, thì mọi yêu cầu mới sẽ tạm thời bị chặn cho đến khi yêu cầu đang chờ xử lý được giải quyết. Quản trị viên có yêu cầu bị chặn có thể xem yêu cầu xung đột.
  3. Quản trị viên cấp cao yêu cầu sẽ nhận được email xác nhận rằng họ đã gửi yêu cầu phê duyệt.

  4. Quản trị viên phê duyệt nhận được yêu cầu phê duyệt qua email và mở một đường liên kết đến trang Phê duyệt nhiều bên trong Bảng điều khiển dành cho quản trị viên. Trang này cho biết thông tin chi tiết về:

    • Ai đang yêu cầu thay đổi
    • Chế độ cài đặt hiện tại (trước khi thay đổi) và chế độ cài đặt được đề xuất (sau khi thay đổi)
    • Lựa chọn phê duyệt hoặc từ chối yêu cầu

    Lưu ý: Nếu việc chỉ định vai trò dựa trên nhóm là cách mà quản trị viên có được đặc quyền thực hiện một hành động nhạy cảm hoặc xem xét yêu cầu Phê duyệt nhiều bên, thì họ sẽ không nhận được yêu cầu xem xét qua email. Quản trị viên có thể truy cập vào trang Phê duyệt nhiều bên, nơi liệt kê tất cả các yêu cầu mà họ được phép xem xét.

  5. Quản trị viên phê duyệt sẽ xem xét thông tin chi tiết về yêu cầu, sau đó phê duyệt hoặc từ chối yêu cầu.

    • Nếu yêu cầu được phê duyệt, chế độ cài đặt 2SV sẽ được thay đổi mà quản trị viên yêu cầu không cần làm gì thêm.
    • Nếu quản trị viên phê duyệt không làm gì cả, yêu cầu sẽ hết hạn sau 3 ngày.

  6. Người yêu cầu ban đầu sẽ nhận được email khi yêu cầu được phê duyệt hoặc bị từ chối, hoặc nếu yêu cầu đã hết hạn mà không có hành động nào.