超級管理員或經銷商可為 Google 管理控制台指派情境感知存取權層級,藉此定義其他管理員能夠在哪些情境存取管理控制台。
注意:除非您需要明確限制其他管理員對管理控制台的存取權,否則請勿為管理控制台指派存取層級。如要進一步瞭解如何為應用程式指派存取層級,請參閱「為應用程式指派情境感知存取權層級」。
本文將概略說明如何完成下列事項:
- 指派及更新這類存取層級。
- 避免自己或其他管理員因意外遭到鎖定而無法使用管理控制台。
- 在發生鎖定問題時採取應變措施。
事前準備
瞭解可能發生鎖定問題的情況:
- 管理員可能會誤將存取層級設為他人的 IP 子網路,然後套用此存取層級到管理控制台。
- 管理員也可能將過舊的存取層級套用至管理控制台。如果存取層級要求使用公司擁有的裝置,而管理員從這類裝置改用個人裝置,就有可能發生這種情況。
避免發生鎖定問題
- 檢查要套用至管理控制台的存取層級。請確認至少有一位管理員符合存取條件。
- 視需要建立新的存取層級。您可以特別建立一個確定符合條件的存取層級,確保能夠滿足各項存取條件。
- 留意您在管理控制台中新增或編輯存取層級時收到的訊息。這些訊息可協助您決定後續步驟,避免發生鎖定問題。
-
將政策套用至配置群組,這類群組可做為存取層級的容器。
- 您可以建立配置群組,並為應用程式指派存取層級。
- 接下來,您可以將使用者群組新增為配置群組中的成員,前提是您並未對成員套用會造成鎖定問題的政策。
詳情請參閱「使用群組自訂情境感知存取權」一文。
確保在發生鎖定問題時能夠取得支援
首先,請確認您 (指定的超級管理員) 或身為支援團隊聯絡人的管理員能夠存取 Google 客戶服務入口網站。
如有需要,可按照這篇文章的步驟操作,授權使用者存取客戶服務入口網站。
如要提升安全性,請針對可存取客戶服務入口網站的管理員使用兩步驟驗證功能。詳情請參閱「使用兩步驟驗證功能保障企業資料安全」一文。
處理管理控制台存取層級
當您執行或嘗試執行下列作業時,系統會設法防止管理員遭到鎖定:
-
- 在管理控制台首頁中,依序前往「安全性」>「存取權與資料控管」>「情境感知存取權」。
- 在清單中找出「管理控制台」,然後按一下「指派」。
- 針對管理控制台選取一或多個存取層級。
如果管理員符合下列項目中指定的條件,系統就會將存取權授予管理控制台:- 您選取的任一存取層級:清單中的存取層級使用邏輯運算子 OR。
- 多個存取層級:新建存取層級內含多個使用邏輯運算子 AND 的存取層級。
- 按一下「儲存」。
系統在驗證存取層級條件並未鎖定任何管理員時,會顯示進度列。套用存取層級的情況會因您是否符合條件而異:- 如果您符合至少一個所選存取層級中的條件,即可成功套用存取層級。「指派存取層級」頁面會顯示存取層級順利套用。
- 如果您不符合至少一個所選存取層級中的條件,存取層級就不會套用。一旦您點選「儲存」,且系統嘗試進行驗證後,畫面上會顯示以下訊息:您目前不符合所選存取層級中的任何條件,因此無法指派這些存取層級,之後也無法再存取管理控制台。
編輯指派給管理控制台的存取層級時會有一些限制。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
- 按一下「存取層級」。
- 按一下現有的存取層級。
編輯指派給管理控制台的存取層級時,您可以變更該層級的名稱和說明,但無法修改條件。如果您嘗試編輯條件,畫面上會顯示以下錯誤訊息:這個存取層級目前已指派給管理控制台,任何變更都可能影響其他管理員的存取權,因此您無法編輯此存取層級中的條件。如要編輯條件,請先在管理控制台中取消指派該存取層級。
如要刪除存取層級,您只能在這項操作不會封鎖存取權時這麼做。
-
-
在管理控制台中,依序點選「選單」圖示
- 按一下「存取層級」。
- 按一下現有的存取層級。
- 按一下「刪除存取層級」。
系統會在驗證期間顯示以下訊息:要刪除存取層級嗎?這個存取層級不會繼續留在管理控制台,也會從 Google Cloud 和 Cloud SDK 中移除 (如果原本有的話)。如果目前有任何應用程式獲派此存取層級,系統也會從這些應用程式移除。如果刪除這個存取層級,可能會影響其他管理員的管理控制台存取權。- 若您「可以」刪除存取層級:按一下「確認」就能完成操作。
- 若您「無法」刪除存取層級:執行這項操作會導致您無法存取管理控制台。系統會在驗證完成後顯示以下訊息:無法刪除存取層級。
假使您是超級管理員以外的管理員,當您嘗試刪除存取層級時,畫面上會顯示以下訊息:只有超級管理員可以刪除指派給管理控制台的存取層級。在此情況下,請向超級管理員或經銷商洽詢刪除存取層級的事宜。
如果重新排列群組優先順序的過程影響到管理控制台存取權,系統會禁止您執行這項操作。當您嘗試以這種方式重新排列群組順序時,畫面上會顯示以下訊息:變更群組順序會導致您無法存取管理控制台,因此請勿變更順序。
假使您是超級管理員以外的管理員,當您嘗試重新排列群組順序時,畫面上會顯示以下訊息:您需要取得其他管理員權限才能變更群組順序。在此情況下,請向超級管理員或經銷商洽詢重新排列群組順序的事宜。
在遭到鎖定時與支援團隊聯絡
如果所有管理員都遭到鎖定,請透過客戶服務入口網站與 Google 支援團隊聯絡。
為了還原存取權,支援團隊會移除管理控制台中的情境感知存取權政策。這項操作不會影響其他應用程式 (例如 Gmail 或 Google 日曆) 的情境感知存取權政策。
重要事項:支援團隊移除這類政策後,請立即重新套用政策。