本页面适用于为组织管理群组的管理员。要管理自己账号的群组,请访问 Google 群组帮助。
支持此功能的版本:企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;Enterprise Essentials Plus;Cloud Identity 专业版。 比较您的版本
作为管理员,您可以通过单个群组级别的成员限制设置,来限制内部群组或帐号加入贵单位的其他群组。您还可以使用此设置来允许外部单位的特定成员加入贵单位的某个群组。
重要提示:只有贵单位内部用户创建的群组(而不是贵单位外部用户创建的外部群组)才能加入限制成员的群组。
使用相应 API
任何有权访问该 API 的群组所有者或管理员都可以使用它来限制成员资格。这类用户无法放宽或移除限制,只有管理员可以撤消这类用户所做的更改。
使用成员类型
您可以使用以下成员类别的任意组合来允许或排除成员:
- 群组
- 个人使用的用户帐号
- 应用或虚拟机使用的服务帐号
举例来说,您可以允许用户帐号和服务帐号加入您的群组,但不允许其他群组加入。
此外,如果您允许群组作为成员类型,则可以将群组添加或嵌套到其他群组中。通过禁止在群组中添加其他群组来停用嵌套功能。
注意事项
- 如果您向群组添加成员限制,则无法直接添加违反这些限制的成员(您也许可以通过嵌套间接完成此操作)。
- 子级群组可能比上级群组拥有更多限制,且它们肯定至少拥有上级群组的限制。
使用客户 ID
虽然您无法限制单个用户,但除了成员类型,您还可以进一步进行限制。根据 Google 为每个单位提供的客户 ID,您可以排除特定外部成员类型,同时允许其他类型。例如,您可以:
- 仅允许内部成员
- 允许外部用户帐号,且仅允许内部服务帐号和群组
- 允许外部服务帐号,且仅允许内部用户和群组。
某个群组是否已受到限制?
请查看该群组详细信息页面上的安全设置(Beta 版)卡片。“成员限制”标题下方的代码表示存在限制。由于系统会在有人向群组添加成员时强制执行这些限制,因此添加成员会触发评估状态检查。请查看评估状态列,了解已有限制的当前状态。
| 评估状态 | 含义 |
|---|---|
| 合规 | 该群组仅包含符合当前限制条件的成员。 |
| 不合规 | 该群组包含不符合当前限制条件的成员,且其他此类成员可以添加至群组中的群组。 |
| 符合规范 | 该群组包含不符合当前限制条件的成员,但其他此类成员无法添加至群组中的群组。 |
| 正在评估 | 系统仍在确认您的评估状态。 |
注意事项
- 移除嵌套的下级群组的限制会导致上级群组不合规。
- 您只能直接添加合规的群组或成员。不过,用户添加群组或成员后,该群组或成员之后可能会变成不合规。
- 即使上级群组嵌套了不合规的下级群组,上级群组仍可能合规。
创建包含成员限制的群组
-
-
在管理控制台中,依次点击“菜单”图标
目录
群组。
- 点击创建群组。
- 输入群组信息
- 选择访问权限设置
- 选择限制成员。
- 向群组安全设置中添加条件。
构建查询时,您会看到代码。 - (可选)要更改查询,请修改已选的选项或底部的代码。
- 点击创建群组。
“群组详细信息”页面上的“安全设置(Beta 版)”卡片会显示您创建的查询和限制状态。
管理现有群组的限制
为群组设置成员限制,意味着任何人都无法将不合规的用户添加到群组中。相应限制不会自动将任何不合规的成员踢出群组。不过,您可以转到成员列表,手动从群组中移除帐号。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击某个群组
- 点击安全设置(Beta 版)卡片
- 选择一个选项:
- 使用查询构建器或代码修改查询(将光标指向相应提示可查看代码的详细信息)。
- 点击无限制以清除您的查询,从而移除成员限制。
- 点击保存。
限制状态的评估时间可能从几秒钟到 24 小时不等。
向包含限制条件的群组中添加成员或从中移除成员
- 用户尝试添加不合规成员时,系统会显示错误消息。按常规方式添加或邀请用户。有关详情,请参阅将用户添加到群组或邀请用户加入群组。
- 如移除任何其他成员一样移除此类成员。有关详情,请参阅将用户从群组中移除或将用户加入群组黑名单。