作为超级用户或转销商,您可以为管理控制台分配情境感知访问权限级别,从而定义其他管理员可以在哪些情境中访问 Google 管理控制台。
注意:除非您明确需要限制其他管理员对管理控制台的访问权限,否则请勿为管理控制台分配访问权限级别。若要详细了解如何为应用分配访问权限级别,请参阅为应用分配情境感知访问权限级别。
本文概述了如何完成以下操作:
- 分配和更新这些访问权限级别。
- 避免意外锁定自己或其他管理员的帐号,以致无法登录管理控制台。
- 应对无法登录管理控制台的情况。
准备工作
了解可能导致无法登录的情形:
- 管理员可能会错误地为属于其他用户的 IP 子网配置了访问权限级别,然后将此访问权限级别应用于管理控制台。
- 他们也可能将过时的访问权限级别应用于管理控制台。如果访问权限级别要求使用公司自有设备,当管理员从使用公司自有设备切换到使用个人设备时,就可能会出现这种情况。
如何避免无法登录管理控制台
- 检查您打算应用于管理控制台的访问权限级别。确保至少有一位管理员满足访问权限的条件。
- 根据需要,创建新的访问权限级别。挑选一个您已知满足条件的访问权限级别,以确保满足访问权限的条件。
- 请留意您在管理控制台中添加或编辑访问权限级别时收到的消息。此类消息可帮助您确定后续步骤,以免您的帐号无法登录。
-
为配置群组应用政策,这些配置群组可用作访问权限级别的容器。
- 创建一个配置群组,并为应用分配访问权限级别。
- 您可以将用户群组添加为该配置群组的成员,前提是没有为该配置群组应用任何会导致无法登录的政策。
有关详情,请参阅通过群组自定义情境感知访问权限。
确保在无法登录的情况下仍能访问支持服务
首先,请确认您(指定的超级用户)或任何一位作为支持团队联系人的管理员可以访问 Google 客户服务门户。
如有需要,请按相关步骤向用户授予客户服务门户的访问权限。
为了提高安全性,请为可访问客户服务门户的管理员启用两步验证。有关详情,请参阅通过两步验证来保护您的企业。
使用管理控制台访问权限级别
当您执行或尝试执行以下任务时,系统会采取措施,防止发生管理员无法登录的情况:
-
- 在管理控制台首页,依次点击安全性 > 访问权限和数据控件 > 情境感知访问权限。
- 在列表中找到管理控制台,然后点击分配。
- 为管理控制台选择一个或多个访问权限级别。
如果管理员满足以下访问权限级别中的条件,系统就会授予其访问管理控制台的权限:- 您所选择的某个访问权限级别 - 列表中各访问权限级别之间的逻辑关系是“或”。
- 多个访问权限级别 - 创建包含多个访问权限级别(各访问权限级别之间的逻辑关系是“与”)的访问权限级别。
- 点击保存。
系统会验证访问权限级别条件是否会导致管理员无法登录,并显示一个进度条。如果您:- 满足至少一个所选访问权限级别中的条件 - 您已成功应用此访问权限级别。“分配访问权限级别”页面会显示已应用该访问权限级别。
- 不满足一个或多个所选访问权限级别的条件 - 该访问权限级别未应用。点击保存后,在系统尝试验证时,您会看到以下消息:您无法分配这些访问权限级别,因为您目前不符合所有这些条件,这么做会失去管理控制台的访问权限。
编辑分配给管理控制台的访问权限级别时,存在一些限制。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 点击访问权限级别。
- 点击一个现有的访问权限级别。
您在尝试编辑分配给管理控制台的访问权限级别时,可以编辑其名称和说明,但无法编辑条件。如果尝试编辑条件,系统会显示以下错误消息:您无法编辑此访问权限级别中的条件,因为该级别当前已分配给管理控制台,对其进行更改可能影响其他管理员对管理控制台的访问。要编辑条件,请先为管理控制台取消分配此访问权限级别。。
只有在删除操作不会造成无法访问的情况下,您才能删除访问权限级别。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击访问权限级别。
- 点击一个现有的访问权限级别。
- 点击删除访问权限级别。
验证过程中会显示此消息:要删除访问权限级别吗?管理控制台(以及 Google Cloud 和 Cloud SDK [如适用])中将不再提供该访问权限级别。如果已将该访问权限级别分配给任何应用,那么该访问权限级别会从相应应用中移除。删除此访问权限级别可能会影响其他管理员对管理控制台的访问权限。- 您可以删除访问权限级别。若要执行此操作,请点击确认。
- 您无法删除访问权限级别,因为这会导致您失去对管理控制台的访问权限。系统在验证后会显示以下消息:无法删除访问权限级别。
如果您是管理员,但不是超级用户,在您尝试删除访问权限级别时,系统会显示以下消息:仅超级用户可以删除分配给管理控制台的访问权限级别。在这种情况下,请与超级用户或转销商联系,讨论删除访问权限级别的事宜。
如果对群组优先级进行重新排序的过程会影响管理控制台的访问权限,系统会阻止您进行重新排序。如果尝试以上述方式对群组重新排序,系统会显示以下消息:您无法更改群组顺序,因为这样做会导致您无法再访问管理控制台。
如果您是管理员,但不是超级用户,在您尝试对群组重新排序时,系统会显示以下消息:您需要额外的管理员权限才能更改群组排序。在这种情况下,请与超级用户或转销商联系,讨论群组重新排序事宜。
如果您无法登录帐号,请与支持团队联系
如果遇到完全无法登录的问题,请通过客户服务门户与 Google 支持团队联系。
为了恢复访问权限,支持团队需要在管理控制台中移除情境感知访问权限政策。此操作不会影响针对其他应用(如 Gmail 或 Google 日历)的情境感知访问权限政策。
重要提示:请在支持团队移除这些政策后立即重新应用这些政策。
