支援這項功能的版本:Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus。 版本比較
多方核准功能可防範 Google 管理控制台中的惡意動作。只要啟用這項功能,所有敏感設定異動都須經過超級管理員或具有以下權限的管理員核准:執行受保護的動作;委派相應權限以審查該動作的多方核准要求。
事前準備
多方核准設定
您可以對下列管理控制台設定開啟/關閉多方核准功能:
安全性設定
透過 API 存取安全性設定
日曆設定
網路論壇設定
網域設定
Google 保管箱設定
如要瞭解如何開啟/關閉多方核准功能,請參閱本頁的「開啟或關閉多方核准功能」。
注意:應用程式和服務也能透過 API 存取特定管理控制台設定。建議另外設定多方核准功能,保護透過公開 API 呼叫執行的敏感操作。
經銷商網域中的多方核准
如果在經銷商客戶的網域中啟用多方核准功能,當經銷商管理員嘗試更新敏感設定時,系統僅會將核准要求傳送給轉售管理員,且只有轉售管理員可以核准、拒絕或查看要求。
指派管理員權限以審查多方核准要求
超級管理員可以授予其他管理員權限,允許他們審查及核准多方核准要求。
- 建立自訂管理員角色,並授予所需的多方核准權限。
提示:部分管理控制台動作需要超級管理員權限,例如開啟或關閉兩步驟驗證 (2SV)。如果此類動作已開啟多方核准功能,就需要另一位超級管理員來審核相關的多方核准要求。詳情請參閱「將使用者設為超級管理員」。 - 將您在步驟 1 建立的自訂管理員角色指派給一或多位管理員。
詳情請參閱「指派特定管理員角色」。 - 儲存您在步驟 2 指派的角色設定。
開啟或關閉多方核准功能
您必須以超級管理員的身分登入,才能執行這項工作。只要使用管理控制台中的多方核准設定,即可為以下項目開啟/關閉這項功能:組織、管理控制台的個別安全性設定,以及可存取安全性設定的公開 API。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「驗證」「多方核准設定」。您必須以超級管理員的身分登入,才能執行這項工作。
如要為貴機構開啟/關閉多方核准功能,請按一下「多方核准設定」,勾選或取消勾選「必須經過多方核准才能執行敏感的管理員動作」方塊,然後點選「儲存」。
注意:如果將組織的多方核准設定從「開啟」切換為「關閉」,會有以下影響:
- 待處理要求會在相同期間內保持有效,直到獲准、遭拒、取消或到期為止。
- 涉及敏感管理員操作的新設定變更不會建立多方核准要求,即使該個別設定已啟用多方核准也是如此。
如要為一或多項個別安全性設定開啟/關閉多方核准功能,請按一下「安全性設定的多方核准措施」,勾選或取消勾選要開啟/關閉此功能的設定方塊,然後點選「儲存」。
注意:在管理控制台中開啟個別設定的多方核准功能後,您還須為組織開啟這項功能,系統才會在該項設定有所變更時,建立多方核准要求。
如要為可存取安全性設定的公開 API 開啟多方核准功能,請按一下「API 存取安全性設定的權限須經過多方核准」,勾選或取消勾選「使用第三方 IDP 的 SSO 服務」,然後點選「儲存」。
如要開啟/關閉 Google 日曆設定的多方核准功能,請按一下「日曆設定的多方核准機制」,勾選或取消勾選要開啟/關閉此功能的設定方塊,然後點選「儲存」。
如要開啟/關閉 Google 網路論壇設定的多方核准功能,請按一下「群組設定的多方核准措施」,勾選或取消勾選要開啟/關閉此功能的設定方塊,然後點選「儲存」。
如要開啟/關閉敏感網域動作的多方核准功能,請按一下「管理員設定的多方核准機制」,勾選或取消勾選「Domains API」方塊,然後點選「儲存」。
如要開啟/關閉 Google 保管箱設定的多方核准功能,請按一下「保管箱設定的多方核准措施」,勾選或取消勾選「建立匯出項目」方塊,然後點選「儲存」。
查看、核准或取消要求
要求者或核准者可以在「多方核准」頁面中,查看待處理的要求或過往要求。按一下「提出的要求」分頁中的要求,系統會顯示該要求的詳細資料頁面。在該頁面中,要求者可以取消要求,核准者則可核准或拒絕要求。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「驗證」「多方核准要求」。您必須以超級管理員的身分登入,才能執行這項工作。
您可以查看自己建立的要求,以及他人建立但您有權審查的要求 (前提是您有權執行相同的管理控制台動作,且具備審查多方核准要求的權限)。要求詳細資料包括要求狀態、要求者名稱、要求建立日期、要求的設定異動,以及要求到期日。
如要查看特定要求的詳細資料,請按一下「動作」欄中的連結。
- 要求者詳細資料頁面會顯示取消要求的選項。
- 核准者詳細資料頁面則會顯示核准/拒絕要求的選項。
按一下「多方核准」,即可返回核准清單頁面。
執行管理控制台敏感動作及審查變更要求的權限
如要查看管理控制台敏感動作的多方核准要求,您必須具備下表列出的動作層級權限,或是「可查看所有敏感動作的多方核准要求」權限。
| 管理控制台設定 | 執行動作須具備的角色或權限 | 須具備哪種角色或權限,才能查看該動作的多方核准要求 |
|---|---|---|
| 兩步驟驗證 | 超級管理員角色 | 超級管理員角色 |
| 帳戶救援 | 超級管理員角色 | 超級管理員角色 |
| Google 工作階段控制設定 | 「安全性」>「控管安全性設定的讀取及寫入行為」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看安全性動作」 |
| 進階保護計畫 | 「安全性」>「控管安全性設定的讀取及寫入行為」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看安全性動作」 |
| 登入驗證 | 「安全性」>「控管安全性設定的讀取及寫入行為」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看安全性動作」 |
| 無密碼 | 「安全性」>「控管安全性設定的讀取及寫入行為」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看安全性動作」 |
| 全網域委派 | 超級管理員角色 | 超級管理員角色 |
| 使用第三方 IDP 的 SSO 服務 | 「安全性」>「控管安全性設定的讀取及寫入行為」或「安全性」>「控管傳入單一登入 (SSO) 設定的讀取及寫入行為」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看安全性動作」 |
| 情境感知存取權 | 「服務」>「資料安全性」>「管理存取層級」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看安全性動作」 |
| Domains API | 「Admin API 權限」>「網域管理」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」>「查看網域動作」 |
| 共用日曆 | 「日曆」>「所有設定」>「管理設定」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看日曆動作」 |
| 一般日曆設定 | 「日曆」>「所有設定」>「管理設定」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看日曆動作」 |
| 日曆的第三方封存設定 | 「第三方封存功能」>「管理第三方封存設定」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看日曆動作」 |
| 群組共用 | 「網路論壇企業版」>「網路論壇服務設定」 | 「多方核准」>「可查看所有敏感動作的多方核准要求」或「多方核准」>「查看群組動作」 |
| (保管箱) 建立匯出項目 | 超級管理員角色 | 「多方核准」>「可查看所有敏感動作的多方核准要求」>「查看 Google 保管箱動作」 |
進一步瞭解多方核准角色和權限
- 只有超級管理員才能在管理控制台中,授予其他管理員多方核准權限,以及更新多方核准設定。
- 管理員提交一或多項核准要求後,可以在管理控制台中查看自己的要求。
- 超級管理員可以查看與「多方核准管理員」角色關聯的權限,詳情請參閱這篇文章。
- 如要審查其他管理員提交的要求,管理員必須同時具備多方核准要求審查權限,以及變更待審查設定的權限。
多方核准的運作方式
在這個示例中,多方核准功能可保護變更兩步驟驗證設定的敏感動作。
- Workspace 超級管理員依序前往「安全性」「驗證」「兩步驟驗證設定」,然後嘗試將強制執行設定從「開啟」設為「關閉」。
- 系統顯示通知方塊,告知超級管理員這項操作需要其他管理員核准。要求者可選擇在將要求送審之前,先輸入說明訊息。
注意:如果已有待處理的設定變更要求正在等待核准,則在該要求獲得解決之前,我們會暫時封鎖所有新要求。要求遭封鎖的管理員可以查看相衝突的要求。 - 提出要求的超級管理員會收到確認電子郵件,指出核准要求已提交。
核准者管理員收到核准要求電子郵件,並透過連結前往管理控制台中的「多方核准」頁面,其中顯示下列詳細資料:
- 要求變更者
- 目前的設定 (變更前) 和建議設定 (變更後)
- 核准/拒絕要求的選項
注意:如果管理員是透過群組角色指派,取得執行敏感動作或審查多方核准要求的權限,就不會透過電子郵件收到審查要求。管理員可以前往「多方核准」頁面,查看他們有權審查的所有要求。
核准者管理員會審查要求詳細資料,然後核准或拒絕要求。
- 如果要求獲得核准,系統就會變更兩步驟驗證設定,提出要求的管理員不必再執行任何動作。
- 如果核准者管理員未採取任何行動,要求會在 3 天後失效。
要求獲准或遭拒後,或要求已過期且無回應,原始要求者會收到電子郵件通知。