支持此功能的版本:企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版。 对比版本
多方审批可防范在 Google 管理控制台中执行的恶意操作。所有敏感设置更改都必须获得超级用户或具有以下权限的管理员的批准:执行受保护的操作,以及委派权限以审核针对该操作的多方审批。
准备工作
多方审批设置
您可以针对以下管理控制台设置启用或停用多方审批:
安全设置
安全设置的 API 访问权限
日历设置
“群组”设置
网域设置
Google 保险柜设置
如需了解如何启用或停用多方审批,请参阅本页面上的启用或停用多方审批。
注意:应用和服务还可以通过 API 访问某些管理控制台设置。单独的多方审批可保护通过公共 API 调用执行的敏感操作。
转销商网域中的多方审批
如果转销商的客户的网域中启用了多方审批,并且转销商管理员尝试更新敏感设置,则系统只会将待审批的请求发送给转销商管理员,并且只有转销商管理员可以批准、拒绝或查看该请求。
分配管理员权限以审核多方审批请求
超级用户可以向其他管理员授予审核和批准多方审批请求所需的权限。
- 创建自定义管理员角色,其中包含您希望管理员拥有的多方审批权限。
提示:某些管理控制台操作需要超级用户权限,例如启用或停用两步验证 (2SV)。如果为其中一项操作启用了多方审批,您需要另一位超级用户来审核关联的多方审批请求。有关详情,请参阅让用户成为超级用户。 - 将您在第 1 步中创建的自定义管理员角色分配给一位或多位管理员。
有关详情,请参阅分配特定管理员角色。 - 保存您在第 2 步中分配的角色配置。
启用或停用多方审批
您必须以超级用户身份登录,才能执行此任务。使用管理控制台中的“多方审批”设置,为组织、个别管理控制台安全设置以及可访问安全设置的公共 API 启用或停用此功能。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性身份验证多方审批设置。您必须以超级用户身份登录,才能执行此任务。
如需为组织启用或停用多方审批,请点击多方审批设置,选中或取消选中需要多方审批才可执行敏感操作复选框,然后点击保存。
注意:如果您将组织的“多方审批”从启用状态设为停用状态,则:
- 待处理的请求会在相同的时间段内保持活跃状态,直到已审批、拒绝、取消或过期。
- 涉及敏感管理操作的新设置更改不会创建多方审批请求,即使针对该个别设置启用了多方审批也是如此。
如需为一项或多项个别安全设置启用或停用多方审批,请点击安全设置的多方审批,选中或取消选中与您要为其启用或停用多方审批的每项设置关联的复选框,然后点击保存。
注意:如果为某项个别设置启用了多方审批,则只有在为组织也启用了多方审批的情况下,在管理控制台中对该设置所做的更改才会创建多方审批请求。
如需针对可访问安全设置的公共 API 启用或停用多方审批,请点击安全设置的 API 访问权限对应的多方审批,选中或取消选中使用第三方 IDP 进行单点登录复选框,然后点击保存。
如需为日历设置启用或停用多方审批,请点击日历设置的多方审批,选中或取消选中与您要为其启用或停用多方审批的每项设置关联的复选框,然后点击保存。
如需为群组设置启用或停用多方审批,请点击群组设置的多方审批,选中或取消选中与您要为其启用或停用多方审批的每项设置关联的复选框,然后点击保存。
如需为敏感网域操作启用或停用多方审批,请点击管理员设置的多方审批,选中或取消选中网域 API 复选框,然后点击保存。
如需为保险柜设置启用或停用多方审批,请点击保险柜设置的多方审批,选中或取消选中创建导出复选框,然后点击保存。
查看、批准或取消请求
请求者或审批人可以在多方审批页面上查看待审批或过去的请求。点击提交的请求标签页中的某个请求,即可显示该请求的详情页面。在请求详情页面上,请求者可以取消请求,而审批人可以批准或拒绝请求。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性身份验证多方审批请求。您必须以超级用户身份登录,才能执行此任务。
您可以查看自己创建的请求,以及您有权审核的其他人的请求,前提是您同时拥有执行相同管理控制台操作的权限和审核多方审批请求的权限。请求详情包括请求状态、请求者姓名、请求创建日期、请求的设置更改,以及请求的失效日期。
如需查看特定请求的详细信息,请点击操作列中的相应链接。
- 请求者详情页面包含用于取消请求的选项。
- 审批人详情页面包含用于批准或拒绝请求的选项。
点击多方审批,返回审批列表页面。
敏感管理控制台操作和更改请求审核的权限
如需查看有关敏感管理控制台操作的多方审批请求,您必须拥有下表中列出的操作级权限,或者拥有可对所有敏感操作的多方审批进行审核权限。
| 管理控制台中的设置 | 执行相应操作所需的角色或权限 | 审核相应操作的多方审批请求所需的角色或权限 |
|---|---|---|
| 两步验证 | 超级用户角色 | 超级用户角色 |
| 账号恢复 | 超级用户角色 | 超级用户角色 |
| Google 会话控制 | 安全 > 控制安全设置的读取和写入 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核安全操作 |
| 高级保护计划 | 安全 > 控制安全设置的读取和写入 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核安全操作 |
| 登录验证 | 安全 > 控制安全设置的读取和写入 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核安全操作 |
| 免密码 | 安全 > 控制安全设置的读取和写入 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核安全操作 |
| 全网域授权 | 超级用户角色 | 超级用户角色 |
| 使用第三方身份提供商的单点登录 | 安全 > 控制安全设置的读取和写入或安全 > 控制入站单点登录设置的读取和写入 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核安全操作 |
| 情境感知访问权限 | 服务 > 数据安全 > 访问权限级别管理 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核安全操作 |
| Domains API | Admin API 权限 > 网域管理 | 多方审批 > 可对所有敏感操作的多方审批进行审核 > 审核网域操作 |
| 日历共享 | 日历 > 所有设置 > 管理设置 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核日历操作 |
| 基本日历设置 | 日历 > 所有设置 > 管理设置 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核日历操作 |
| 日历第三方归档设置 | 第三方归档 > 管理第三方归档设置 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核日历操作 |
| 群组共享 | Google 群组企业版 > Google 群组服务设置 | 多方审批 > 可对所有敏感操作的多方审批进行审核或多方审批 > 审核群组操作 |
| (保险柜)创建导出 | 超级用户角色 | 多方审批 > 可对所有敏感操作的多方审批进行审核 > 审核保险柜操作 |
详细了解多方审批角色和权限
- 只有超级用户才能在管理控制台中向其他管理员授予多方审批权限,并更新多方审批设置。
- 已提交一项或多项审批请求的管理员可以在管理控制台中查看自己的请求。
- 超级用户可以查看与多方审批管理员角色关联的权限。
- 如需审核其他管理员提交的请求,管理员必须同时拥有审核多方审批请求的权限和更改审核中的设置的权限。
多方审批的工作原理
在此示例中,多方审批可保护更改两步验证设置这一敏感操作。
- Workspace 超级管理员前往安全性 身份验证 两步验证设置,并尝试将强制执行从启用设为停用。
- 系统会显示一个框,通知超级用户此操作需要另一位管理员的批准。在发送待审批的请求之前,请求者可以选择输入说明性消息。
注意:如果已存在待处理的设置更改批准请求,则系统会暂时屏蔽所有新请求,直到待处理请求得到解决。请求被屏蔽的管理员可以查看冲突的请求。 - 提出请求的超级用户会收到一封邮件,确认其已提交待审批的请求。
审批人管理员收到待审批的邮件请求,然后在管理控制台中打开多方审批页面的链接,该页面会显示以下方面的详细信息:
- 请求更改的人员
- 当前设置(更改前)和建议的设置(更改后)
- 用于批准或拒绝请求的选项
注意:如果管理员是通过基于群组的角色分配获得执行敏感操作或审核多方审批请求的权限,则不会通过电子邮件收到审核请求。管理员可以访问“多方审批”页面,其中列出了他们有权审核的所有请求。
审批人管理员审核请求详细信息,然后批准或拒绝该请求。
- 如果请求获得批准,系统会执行两步验证设置更改,无需请求的管理员执行其他操作。
- 如果审批人管理员未执行任何操作,相应请求将在 3 天后过期。
如果请求获批或遭拒,或者请求因为审批人没有执行任何操作而过期,则原始请求者会收到电子邮件。