強制執行密碼規定及監控執行情況

本文適用於負責管理組織中其他使用者帳戶的管理員。如要重設個人帳戶密碼,請改為參閱這篇文章

管理員可以強制執行密碼規定,保護使用者的受管理 Google 帳戶,並滿足組織的法規遵循需求。此外也能監控密碼強度,找出密碼較弱的使用者。

重要事項:如果貴組織已啟用舊版單一登入 (SSO) 設定檔,這會導致密碼政策對所有使用者失效。如要強制執行密碼政策,並確保使用者符合特定安全性規定,您必須停用舊版單一登入 (SSO) 設定檔,並改用單一登入 (SSO) 設定檔。詳情請參閱「從舊版單一登入 (SSO) 改用單一登入 (SSO) 設定檔」。

協助確保使用者帳戶安全無虞

  • 要求使用高強度密碼:您可以強制要求密碼強度不足的使用者變更密碼,也可以規定密碼長度。
  • 禁止使用者重複使用舊密碼
  • 說明高強度密碼的重要性:您可以與使用者分享這些密碼設定祕訣,協助他們設定高強度密碼。

事前須知

密碼政策不適用的情況

  • 若密碼是透過雜湊方法設定,Google 無法強制要求符合密碼強度和長度規定。例如,使用大量使用者上傳工具、Directory API 或同步工具 (如 Password Sync 或 Google Cloud Directory Sync) 建立的密碼,均屬此情況。詳情請參閱「Google Workspace Admin SDK」或「關於 Password Sync」。
  • 管理員手動重設的使用者密碼,不受密碼強度與長度規定限制。當您手動重設密碼時,請務必勾選「要求使用者在登入時變更密碼」方塊。
  • 若使用者是透過第三方識別資訊提供者 (IdP) 使用 SAML 或 OIDC 驗證,同樣不適用您設定的密碼政策。

高強度密碼的構成條件

如果您強制使用高強度密碼,Google 會使用密碼強度分級演算法確認密碼符合以下條件:

  • 具有高度隨機性 (稱為「密碼熵」);您可以使用一長串不同類型的字元,例如大小寫字母、數字和特殊字元

    注意:高強度密碼不要求特定類型字元的數量。

  • 不是常用的低強度密碼,例如「123456」或「password123」
  • 不是容易猜中的簡單字詞或片語,或和使用者名稱一樣的密碼
  • 不是已知遭竊的密碼,即不在遭入侵帳戶的資料庫中

密碼到期設定的運作方式

由於研究顯示,定期更改密碼對提升安全性的效果有限,因此系統預設關閉此功能。如需符合法規要求,您可以設定使用者密碼的有效期限 (例如 90 或 180 天)。

密碼到期設定僅適用於透過瀏覽器登入的應用程式。若使用者僅使用手機,或透過 OAuth 驗證的應用程式登入,則不受此限制。

密碼防護警示

如果您設定了密碼有效期限,在密碼到期前 30 天,使用者會在 Gmail、日曆等 Google 服務中收到彈出式快訊 (而不是電子郵件提醒)。他們可以選擇立即變更密碼或關閉快訊,若未變更密碼,下次登入帳戶仍會收到快訊。當使用者關閉快訊 3 次後,快訊將不再出現,但在密碼過期後,使用者必須在下一次登入時更改密碼,才能繼續使用服務。

使用者何時需變更密碼

您首次設定密碼有效期限政策時,有些使用者可能會立即收到更改密碼的提示,有些使用者則暫時無需更改密碼,例如:

  • 如果設定密碼效期為 90 天,而某位使用者上次更改密碼是在「100 天前」,則在您設定政策後,該使用者的密碼會立即失效,下次登入帳戶時會收到更改密碼的提示。
  • 如果設定密碼效期為 90 天,而某位使用者在「30 天前」才換過密碼,則該密碼目前仍然有效。系統會在 60 天後,於該使用者下次登入時提示變更密碼。

設定密碼規定

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「驗證」接下來「密碼管理」

    必須具備安全性設定管理員權限。

  2. 在左側選取要設定密碼政策的組織單位。

    如要為所有使用者套用設定,請選取頂層組織單位。如果只為特定組織的使用者套用設定,請選取該組織。在預設狀態下,組織會沿用上層組織的設定。

  3. 在「強度」部分勾選「強制使用高強度密碼」方塊。

    進一步瞭解高強度密碼

  4. 在「長度」部分輸入使用者密碼長度的上限與下限。密碼長度可介於 8 至 100 個半形字元。

  5. (選用) 如要強制使用者變更密碼,請勾選「下次登入時強制執行密碼政策」方塊。

    如果不勾選此選項,使用者即使密碼強度不足,也能繼續存取組織的 Google 服務,無需強制更改密碼。

  6. (選用) 如要允許使用者重複使用舊密碼,請勾選「允許重複使用密碼」方塊。

    您無法設定讓 Google 檢查密碼記錄,來防止重複使用密碼的行為。

  7. 在「有效期限」部分選取密碼效期。

    注意:如果使用者帳戶已新增委派使用者,即使帳戶密碼已過期,委派使用者仍可存取帳戶。如果不想讓委派使用者在密碼過期後繼續存取帳戶,請重設帳戶密碼,或是直接移除委派使用者

  8. 按一下「覆寫」即可保留設定。即使上層設定改變,這項設定仍會維持原樣。

  9. 如果該組織單位的狀態為「已覆寫」,請選擇下列其中一個選項:

    • 沿用:還原成與上層組織相同的設定。
    • 儲存:儲存您的新設定 (即使上層設定變更,仍會套用新設定)。

  10. 向使用者說明高強度密碼的建立方式。

監控使用者的密碼強度

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「使用者報告」接下來「帳戶」

    必須具備報告管理員權限。

  2. (選用) 如要以圖表形式檢視密碼強度資訊,請依序前往「報告」接下來「應用程式報告」接下來「帳戶」。進一步瞭解帳戶報告