支持此功能的版本:一线员工 Plus 版;企业 Plus 版;教育标准版和教育 Plus 版。比较您的版本
作为 Google Workspace 管理员,您可以针对提醒中心中的许多提醒快速采取相应操作,以提高网域的安全性。您可以在提醒详情页面上的推荐操作部分中执行此项操作。
举例来说,如果您收到 Gmail 检测到可能有人仿冒员工的电子邮件地址提醒,则可以转到推荐操作部分,然后点击标记为网上诱骗邮件,以将邮件移至用户的垃圾邮件文件夹,也可以在收到设备已破解的提醒时屏蔽相应设备。
采用推荐的操作
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性提醒中心。您必须以超级用户身份登录,才能执行此任务。
- 点击此页面上的其中一项提醒即可打开提醒详情页面。
- 在推荐操作部分,点击相应推荐操作,例如删除邮件或标记为网上诱骗邮件。
输入操作说明或原因,然后点击该操作进行确认 - 例如,点击删除邮件或标记为网上诱骗邮件。
如需查看提醒中心中已有的推荐操作的完整列表以及所需权限,请参阅以下部分。
如果有 Gmail 提醒详情缺失,最常见的原因包括:
- 提醒是针对用户对垃圾邮件进行分类而生成的。例如,“用户举报了网上诱骗”提醒可能就没有对应的“执行者电子邮件地址”部分。如果提醒详情有所缺失,针对该提醒的推荐操作可能会无法成功执行,并且系统可能会显示“出了点问题”错误消息。
- 您创建了数据区域政策,以将政策涵盖的数据存储在特定地理位置。在这种情况下,系统会从 Gmail 日志事件中移除个人身份信息 (PII),而这些事件用于生成 Gmail 提醒。
提醒、推荐操作和所需权限
您可以针对提醒中心中的部分提醒执行以下操作:
- 标记为网上诱骗邮件 - 将邮件标记为触发了提醒的网上诱骗电子邮件。
- 删除邮件 - 删除触发了提醒的邮件。
- 隔离邮件 - 将触发了提醒的邮件发送至隔离区。
- 恢复邮件 - 将错误分类的电子邮件(标记为垃圾邮件或被隔离的邮件)恢复到原始文件夹。
- 暂停申诉 - 针对“账号中止警告”提醒中指定的账号中止问题提出申诉。
- 暂停用户 - 暂停提醒中指定的用户。
- 恢复用户 - 恢复提醒中指定的用户。
- 屏蔽设备 - 屏蔽触发了提醒的设备。系统会禁止访问设备上的 Google Workspace 数据,直到您确认设备是安全的。用户仍然可以通过桌面设备或移动浏览器访问 Gmail、日历和联系人。
擦除账号 - 系统会从设备中删除用户的账号和 Google Workspace 数据。
注意:如果您已为组织中的设备设置了离线访问 Google 账号的功能,就无法从离线设备上擦除这些账号。如需详细了解如何擦除设备上的账号,请参阅移除设备中的公司数据。
要在提醒中心中使用建议的操作,您需要拥有使用调查工具的权限。超级用户默认拥有此类权限,您也可以为自定义管理员角色添加此类权限。有关设置权限的说明,请参阅使用调查工具所需的管理员权限。
如需查看包含推荐操作的提醒列表以及每个提醒所需的权限,请参阅下表。
| 提醒名称 | 建议的操作 | 所需的权限 |
|---|---|---|
| Gmail 检测到可能有人仿冒员工的电子邮件地址 | 标记为钓鱼式攻击邮件 |
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 邮件送达后检测到包含恶意软件 |
|
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 邮件送达后检测到钓鱼式攻击行为 |
|
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 用户举报的钓鱼式攻击 |
|
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 不当白名单导致钓鱼式攻击邮件进入收件箱 | 删除消息 |
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 用户举报的垃圾邮件数激增 | 删除消息 |
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 举报了可疑邮件 |
|
调查工具 > Gmail > 更新或删除 调查工具 > Gmail > 查看元数据和属性 |
| 账号中止警告 | 对暂停提出申诉 | 可供可以访问提醒中心的所有管理员查看 |
| 密码泄露 | 暂停用户 |
调查工具 > 用户 > 更新或删除 调查工具 > 用户 > 查看元数据和属性 |
| 可疑登录 | 暂停用户 |
调查工具 > 用户 > 更新或删除 调查工具 > 用户 > 查看元数据和属性 |
| 通过程序化方式进行的可疑登录 | 暂停用户 |
调查工具 > 用户 > 更新或删除 调查工具 > 用户 > 查看元数据和属性 |
| 用户被暂停 | 恢复用户 |
调查工具 > 用户 > 更新或删除 调查工具 > 用户 > 查看元数据和属性 |
| 用户因可疑活动而被暂停 | 恢复用户 |
调查工具 > 用户 > 更新或删除 调查工具 > 用户 > 查看元数据和属性 |
| 用户因发送垃圾内容而被中止 | 恢复用户 |
调查工具 > 用户 > 更新或删除 调查工具 > 用户 > 查看元数据和属性 |
| 用户因通过中继服务发送垃圾内容而被暂停 | 恢复用户 |
调查工具 > 设备 > 更新或删除 调查工具 > 设备 > 查看元数据和属性 |
| 设备被破解 | 屏蔽设备 |
调查工具 > 设备 > 更新或删除 调查工具 > 设备 > 查看元数据和属性 |
| 可疑的设备活动 |
|
调查工具 > 设备 > 更新或删除 调查工具 > 设备 > 查看元数据和属性 |
建议的操作可以在多长时间内使用
记录事件后,您可以在限定时间内执行推荐操作。下表显示了推荐操作的有效时长。例如,如果触发提醒的事件是在 30 天之前发生的,您将无法使用删除消息操作。
| 操作 | 有效期 |
|---|---|
| 标记为钓鱼式攻击邮件 | 30 天 |
| 删除消息 | 30 天 |
| 恢复邮件 | 30 天 |
| 账号中止警告 | 3 天 |
| 暂停用户 | 6 个月 |
| 对暂停提出申诉 | 6 个月 |
| 恢复用户 | 6 个月 |
| 屏蔽设备 | 6 个月 |