תפקידי אדמין מוגדרים מראש

הדרך הקלה ביותר לתת הרשאות של אדמין למשתמשים אחרים היא להקצות תפקידי אדמין מוגדרים מראש. כל תפקיד נותן הרשאה אחת או יותר, וביחד הן מאפשרות לכם למלא פונקציות עסקיות נפוצות. לדוגמה, תפקיד אחד לניהול חשבונות של משתמשים, תפקיד נוסף לניהול קבוצות, תפקיד אחר לניהול יומנים ומשאבים וכו'. אפשר להקצות כמה תפקידים כדי להעניק את כל ההרשאות שבתפקידים האלה.

אתם גם יכולים ליצור תפקיד אדמין בהתאמה אישית כדי להקצות הרשאות ספציפיות למשתמשים בודדים.

הקצאת תפקידים יצירת תפקיד בהתאמה אישית

מה כל תפקיד מאפשר:

סופר-אדמין

לבעלי התפקיד הזה יש גישה לכל התכונות במסוף Google Admin וב-Admin API והם יכולים לנהל את חשבון הארגון מכל היבט.

לסופר-אדמינים יש גם גישה מלאה לפרטי האירועים והיומנים של כל המשתמשים. ההרשאות ליומן יהיו זמינות תוך 24 שעות מהקצאת תפקיד הסופר-אדמין למשתמש.

רק סופר-אדמינים יכולים...

  • ליצור ולהקצות תפקידי אדמין
  • לנהל אדמינים אחרים, כולל שינוי סיסמאות
  • להעביר בעלות על קבצים בתהליך מחיקת משתמש
  • להסכים לתנאים ולהגבלות של מוצר
  • להזמין חשבונות לא מנוהלים להפוך לחשבונות מנוהלים ב-Google Workspace
  • לשחזר משתמשים שנמחקו
  • הפעלה או השבתה של הגדרות לקבלת אישור ממספר משתמשים
  • לאפשר למשתמשים להפעיל אימות דו-שלבי
  • התקנת אפליקציות מ-Google Workspace Marketplace
  • לנהל את אמצעי הבקרה על רמות הגישה למשאבים לתזמון ביומן Google
  • להשתמש בשירות להעברת נתונים
  • להקצות גישה ברמת הדומיין ולנהל את גישת הלקוח ל-API
  • להגדיר את Google כספק זהויות ב-SAML ולהוסיף או לשנות אפליקציות SAML

צריך לפחות משתמש אחד בחשבון בתפקיד סופר-אדמין, אבל מומלץ להגדיר לפחות שניים כדי שאם אחד מהם ישכח את הסיסמה, השני יוכל לשחזר אותה בשבילו. אתם גם יכולים לאפשר לסופר-אדמינים לאפס את הסיסמאות שלהם בעצמם. פרטים נוספים מופיעים במאמר איך משחזרים גישה של אדמין בחשבון.

אחד מהסופר-אדמינים מקבל מ-Google הודעות בנוגע לחיוב ולנושאים חשובים אחרים בחשבון. האדמין הזה נקרא האדמין הראשי. מידע נוסף

מנהל המערכת של הקבוצות

לבעלי התפקיד הזה יש שליטה מלאה על המשימות של "קבוצות Google" במסוף Admin. האדמינים האלו יכולים להשתמש גם במסוף Admin וגם ב-Admin API כדי לבצע את המשימות האלו:

  • להציג פרופילים של משתמשים ואת המבנה הארגוני
  • ליצור קבוצות חדשות במסוף Admin
  • לנהל חברי קבוצה שנוצרו במסוף Admin
  • לנהל הגדרות גישה של קבוצה
  • למחוק קבוצות דרך מסוף Admin
  • להציג יחידות ארגוניות

לאדמין של קבוצות Google יש גם הרשאה להוסיף תווית אבטחה לקבוצה. האדמין יכול לבצע את המשימה הזו דרך מסוף Admin או דרך Admin API.

אתם יכולים לתת הרשאות ניהול למשתמשים באמצעות 2 תפקידי האדמין שמצוינים כאן. משתמשים שהתפקידים האלה הוקצו להם יכולים לעבוד במסוף Admin ולהשתמש ב-Admin API:

  • הרשאת קריאה בקבוצות – מאפשר לקרוא את המידע בקבוצות Google, אבל לא לשנות או לעדכן אותו.
  • הרשאת עריכה בקבוצות – כולל את ההרשאות של אדמין של קבוצות Google, חוץ מההרשאה שנדרשת כדי להוסיף או להסיר תווית אבטחה במשאב קבוצתי.

אם בארגון שלכם יש קבוצות אבטחה, אתם יכולים לתת למשתמשים שהוקצו להם התפקידים "הרשאת קריאה בקבוצות" או "הרשאת עריכה בקבוצות" הרשאות לכל הקבוצות, רק לקבוצות אבטחה או רק לקבוצות שהן לא קבוצות אבטחה.

אתם יכולים גם לתת למשתמשים שהוקצה להם התפקיד "הרשאת עריכה בקבוצות" הרשאות לקבוצות נעולות. אתם יכולים להחיל את ההרשאות האלה על כל הקבוצות, רק על קבוצות נעולות או רק על קבוצות לא נעולות. פרטים נוספים מופיעים במאמר בנושא איך נועלים קבוצות כדי לשמור על סנכרון הנתונים.

מנהל מערכת של ניהול משתמשים

בעלי התפקיד הזה יכולים לבצע כל פעולה על משתמשים שהם לא אדמינים. האדמינים האלו יכולים להשתמש גם במסוף Admin וגם ב-Admin API כדי לבצע את המשימות האלו:

  • להציג פרופילים של משתמשים ואת המבנה הארגוני
  • להציג יחידות ארגוניות
  • ליצור ולמחוק חשבונות משתמשים *
  • לשנות שמות משתמשים ולשנות סיסמאות *
  • לנהל הגדרות האבטחה של משתמשים ספציפיים *
  • לבצע משימות אחרות לניהול משתמשים *

‫* ההגדרה רלוונטית רק למשתמשים שהם לא אדמינים. אדמין לניהול משתמשים לא יכול להקצות הרשאות אדמין, לאפס סיסמה של אדמין או לבצע שינויים אחרים בחשבון אדמין. רק סופר-אדמין יכול לבצע את המשימות האלה.

כשאתם מקצים למשתמש את תפקיד האדמין לניהול משתמשים, אתם יכולים להגביל את ההרשאות שלו ליחידות ארגוניות ספציפיות.

מנהל המערכת של מרכז העזרה

האדמינים האלו יכולים:

  • לאפס סיסמאות של משתמשים שהם לא אדמינים, גם דרך מסוף Admin וגם דרך Admin API
  • להציג פרופילים של משתמשים ואת המבנה הארגוני
  • להציג יחידות ארגוניות

כשאתם מקצים למשתמש את התפקיד "אדמין של מחלקת תמיכה", אתם יכולים להגביל את ההרשאות שלו ליחידות ארגוניות ספציפיות.

מנהל מערכת לשירותים

בעלי התפקיד הזה יכולים לנהל הגדרות של שירותים ומכשירים מסוימים במסוף Admin, כולל יומן Google, ‏Drive ו-Docs. האדמינים האלו יכולים:

  • הפעלה או השבתה של שירותים *
  • לשנות הגדרות והרשאות של שירות *
  • ליצור, לערוך ולשתף משאבים לתזמון ביומן
  • לנהל מכשירי Chrome ומכשירים ניידים שרשומים במסוף Admin
  • לנהל את ההגדרות של Google Takeout
  • לנהל את הההגדרות של Google AppSheet, כולל מדיניות ניהול וניהול צוותים. איך מקצים הרשאות אדמין ב-AppSheet לאדמינים ב-Workspace
  • לנהל תוויות סיווג וכללי סיווג כברירת מחדל
  • להציג יחידות ארגוניות
  • להשתמש במרכז ההתראות (גישה מלאה)

‫* רלוונטי רק לאפליקציות ב-Google Workspace Marketplace, לשירותי Google כמו Blogger ולמוצרים מסוימים שנוספו לחשבון (שירותי Google Workspace,‏ Google Voice וכו'). התפקיד "אדמין של שירותים" לא מאפשר לנהל מוצרים ושירותים מסוימים, כמו Google Vault ו-Google Cloud Print.

אדמין לקבלת אישור ממספר משתמשים

בעלי התפקיד הזה יכולים לנהל בקשות לקבלת אישור ממספר משתמשים כדי שאדמינים אחרים יוכלו לבצע פעולות רגישות, כמו הפעלה או השבתה של אימות דו-שלבי (2SV). האדמינים האלו יכולים:

  • לבדוק בקשות לביצוע פעולות רגישות
  • לאשר או לדחות בקשות

התפקיד הזה זמין ללקוחות שיש להם מהדורת Google Workspace שתומכת בקבלת אישור ממספר משתמשים.

אדמין לנייד

בעלי התפקיד הזה יכולים לנהל מכשירים ניידים ונקודות קצה באמצעות ניהול נקודות קצה ב-Google. האדמינים האלו יכולים:

  • להקצות הרשאות ולאשר מכשירים
  • לנהל אפליקציות
  • לחסום או לאפס נתונים של מכשירים וחשבונות
  • להגדיר כללי מדיניות של מכשירים
  • להציג קבוצות ומשתמשים בדומיין

התפקיד הזה זמין רק ללקוחות שנרשמו ל-Google Workspace אחרי פברואר 2018. אם הצטרפתם לפני התאריך הזה, אתם יכולים ליצור תפקיד בהתאמה אישית באותה רמת גישה. איך יוצרים, עורכים ומוחקים תפקידי אדמין בהתאמה אישית

ניהול נפח אחסון

בעלי התפקיד הזה יכולים להשתמש בהגדרות האחסון במסוף Admin. האדמינים האלו יכולים:

  • לראות נפח האחסון בשימוש של הארגון
  • לראות אילו משתמשים ותיקיות אחסון שיתופי מנצלים הכי הרבה נפח אחסון
  • להגדיר מגבלות אחסון
  • לפתוח את דוח החשבונות, ספריית המשתמשים ורשימת תיקיות האחסון השיתופי

התפקיד הזה נותן גם גישה מלאה להגדרות של דוחות ו-Drive.

אדמין ב-Google Voice

בעלי התפקיד הזה יכולים לנהל את כל ההגדרות והקצאת ההרשאות ב-Google Voice. האדמינים האלו יכולים:

  • להוסיף מיקומים
  • להקצות מספרים למשתמשים
  • לנייד מספרים
  • לשנות כתובת למקרי חירום
  • להגדיר מכשירי טלפון IP
  • להגדיר מערכת לניתוב שיחות
  • לנהל את רישיונות המשתמשים

אדמין של Directory Sync

בעלי התפקיד הזה יכולים לנהל את תהליך הסנכרון באמצעות Directory Sync. האדמינים האלו יכולים:

  • להגדיר ולהריץ סנכרון באמצעות Directory Sync
  • לעדכן את הגדרות הסנכרון

אדמין של מפיצים ואדמין של מפיצים לא ישירים

אתם יכולים להקצות את התפקיד "אדמין של מפיצים" למפיצים או למשווקים מורשים של Google Workspace. אדמינים של מפיצים יכולים לגשת לכל התכונות וההרשאות שכלולות בהרשאה "ניהול כלים למפיצים", כולל:

  • ביצוע הזמנות של Google Workspace ושירותים אחרים שמשתמשים במסוף Admin
  • הוספה, צפייה, עריכה והעברה של לקוחות שקנו דרך מפיץ
  • גישה להגדרות ב-Partner Sales Console כדי לראות ולערוך את פרטי התמיכה
  • צפייה בחשבוניות לחיוב ושינוי אמצעי התשלום
  • גישה למסוף Admin של לקוח, ל-Google Workspace Admin SDK ולבקשות תמיכה וניהול (נדרשת גם ההרשאה 'הצגת לקוחות').
  • אפשר לנהל קבוצות Google של לקוחות שמוכרים להם שירותים באמצעות ממשק האינטרנט של קבוצות.

אתם יכולים להקצות את התפקיד "אדמין של מפיצים לא ישירים" למפיצים שעובדים עם מפיץ מורשה של Google Workspace. אדמינים של מפיצים לא ישירים יכולים להוסיף, לצפות, לערוך ולהעביר לקוחות שקנו דרך מפיץ.

פרטים על הקצאת התפקידים מופיעים במאמר בנושא הקצאת הרשאות אדמין למפיץ של Google Workspace.