強制執行密碼規定及監控執行情況

本文適用於負責管理組織中其他使用者帳戶的管理員。如要重設個人帳戶密碼,請參閱這篇文章

管理員可以強制執行密碼規定,保護使用者的受管理 Google 帳戶,並滿足組織的法規遵循需求。此外也能監控密碼強度,找出密碼較弱的使用者。

如果使用單一登入 (SSO)…

如果組織採用單一登入 (SSO) 服務,請依下列步驟操作:

  1. 關閉密碼強制執行功能。
  2. 確認使用者帳戶未設為須在下次登入時變更密碼。

已知問題:系統會對透過第三方識別資訊提供者 (IdP) 和 SSO 設定檔驗證的使用者強制執行密碼政策。請關閉密碼強制執行功能,以免發生這個問題。就算使用者收到重設 Google 密碼的一次性要求,也不會影響他們使用 SSO 服務、登入方式,或相關的密碼。

協助確保使用者帳戶安全無虞

  • 要求使用高強度密碼:您可以強制要求密碼強度不足的使用者變更密碼,也可以規定密碼長度。
  • 禁止使用者重複使用舊密碼
  • 說明高強度密碼的重要性:您可以與使用者分享這些密碼設定祕訣,協助他們設定高強度密碼。

事前準備

密碼政策不適用的情況

  • 若密碼是透過雜湊方法設定,Google 無法強制要求符合密碼強度和長度規定。例如,使用大量使用者上傳工具、Directory API 或同步工具 (如 Password Sync 或 Google Cloud Directory Sync) 建立的密碼,均屬此情況。詳情請參閱「Google Workspace Admin SDK」或「關於 Password Sync」。
  • 管理員手動重設的使用者密碼,不受密碼強度與長度規定限制。當您手動重設密碼時,請務必勾選「要求使用者在登入時變更密碼」方塊。
  • 若使用者透過第三方 IdP 使用 OIDC 驗證,將不會套用您設定的密碼政策。

注意:若組織採用 SAML IdP,目前會強制執行密碼政策。詳情請參閱本頁上方的「如果使用單一登入 (SSO)」一節。

高強度密碼的構成條件

如果您強制使用高強度密碼,Google 會使用密碼強度分級演算法確認密碼符合以下條件:

  • 具有高度隨機性 (稱為「密碼熵」);您可以使用一長串不同類型的字元,例如大小寫字母、數字和特殊字元

    注意:高強度密碼不要求特定類型字元的數量。

  • 不是常用的低強度密碼,例如「123456」或「password123」
  • 不是容易猜中的簡單字詞或片語,或和使用者名稱一樣的密碼
  • 不是已知遭竊的密碼,即不在遭入侵帳戶的資料庫中

密碼到期設定的運作方式

由於研究顯示,定期更改密碼對提升安全性的效果有限,因此系統預設關閉此功能。如需符合法規要求,您可以設定使用者密碼的有效期限 (例如 90 或 180 天)。

密碼到期設定僅適用於透過瀏覽器登入的應用程式。若使用者僅使用手機,或透過 OAuth 驗證的應用程式登入,則不受此限制。

密碼防護警示

如果您設定了密碼有效期限,在密碼到期前 30 天,使用者會在 Gmail、日曆等 Google 服務中收到彈出式快訊 (而不是電子郵件提醒)。他們可以選擇立即變更密碼或關閉快訊,若未變更密碼,下次登入帳戶仍會收到快訊。當使用者關閉 3 次後,快訊將不再出現。但在密碼過期後,使用者須在下次登入時變更密碼,才能繼續使用服務。

使用者何時需變更密碼

首次設定密碼有效期限政策時,部分使用者可能會收到立即變更密碼的提示,有些使用者則暫時無需變更密碼,例如:

  • 如果設定密碼效期為 90 天,而某位使用者上次更改密碼是在「100 天前」,則在您設定政策後,該使用者的密碼會立即失效,下次登入帳戶時會收到更改密碼的提示。
  • 如果設定密碼效期為 90 天,而某位使用者在「30 天前」才換過密碼,則該密碼目前仍然有效。系統會在 60 天後,於該使用者下次登入時提示變更密碼。

設定密碼規定

事前準備:詳閱本頁上方的「如果使用單一登入 (SSO)」一節。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「驗證」接下來「密碼管理」

    必須具備安全性設定管理員權限。

  2. 在左側選取要設定密碼政策的組織單位。

    如要為所有使用者套用設定,請選取頂層組織單位。如果只為特定組織的使用者套用設定,請選取該組織。在預設狀態下,組織會沿用上層的設定。

  3. 在「強度」部分勾選「強制使用高強度密碼」方塊。

    進一步瞭解高強度密碼

  4. 在「長度」部分輸入使用者密碼長度的上限與下限,可介於 8 至 100 個半形字元之間。

  5. (選用) 如要強制使用者變更密碼,請勾選「下次登入時強制執行密碼政策」方塊。

    如果不勾選此選項,即便使用者密碼強度不足,也能繼續存取組織的 Google 服務,無需強制更改密碼。

  6. (選用) 如要允許使用者重複使用舊密碼,請勾選「允許重複使用密碼」方塊。

    您無法自訂 Google 檢查密碼是否重複時需比對的組數。

  7. 在「有效期限」部分選取密碼效期。

    注意:如果使用者帳戶已新增委派使用者,即使帳戶密碼已過期,委派使用者仍可存取帳戶。如果不想讓委派使用者在密碼過期後繼續存取帳戶,請重設帳戶密碼,或是直接移除委派使用者

  8. 按一下「覆寫」即可維持設定,不受上層設定變更的影響。

  9. 如果該組織單位的狀態為「已覆寫」,請選擇下列其中一個選項:

    • 沿用:還原成與上層相同的設定。
    • 儲存:儲存您的新設定 (不受上層設定變更的影響)。

  10. 向使用者說明高強度密碼的建立方式。

監控使用者的密碼強度

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「使用者報告」接下來「帳戶」

    必須具備報告管理員權限。

  2. (選用) 如要以圖表形式檢視密碼強度資訊,請依序前往「報告」接下來「應用程式報告」接下來「帳戶」。進一步瞭解帳戶報告