如果政策禁止使用者存取特定應用程式,您可以使用情境感知存取權的修復訊息和自訂訊息,協助使用者自行恢復存取權。這些選用 (但建議使用) 的訊息有助於讓使用者恢復工作效率,並減少尋求管理員支援的次數。
舉例來說,如果使用者白天在辦公室時可以在行動裝置上順利使用 Gmail,但晚上在家嘗試存取 Gmail 卻遭到禁止,那麼只要啟用修復訊息,系統就會顯示指引,說明如何解決禁止存取的問題。
在基本模式和進階模式中建立的存取層級皆支援修復和自訂訊息。此外,核心服務和 SAML 應用程式也都支援這些訊息。
使用修復訊息和自訂訊息協助使用者自行恢復存取權
遭禁止存取的使用者可能會看到下列訊息:
- 預設訊息:如果您未新增修復訊息或自訂訊息,系統會顯示預設訊息。預設訊息範例:「貴機構的政策禁止您存取這個應用程式」。
- 修復訊息:取代預設訊息。這類訊息是由系統產生,會對應導致使用者存取權遭到封鎖的特定違規情況。
修復訊息可以向使用者顯示多個修復選項,只要按一下「顯示更多選項」即可展開。在有多個修復選項的情況下,使用者必須完成任一個可用選項的步驟,才能自行恢復存取權。 - 自訂訊息:新增給使用者的專屬說明,例如提供恢復存取權的其他建議,或可點選的實用連結。您可以視需要新增自訂訊息。自訂訊息可以與預設訊息一併顯示,或與修復訊息一併顯示。
下表顯示這些訊息的互動情形:
已啟用修復訊息? | 已新增自訂訊息? | 向使用者顯示的訊息 |
---|---|---|
否 | 否 | 只顯示預設訊息 |
是 | 否 | 只顯示修復訊息。在某些情況下,如果系統無法產生修復訊息,則可能顯示預設訊息。 |
否 | 是 | 預設訊息和自訂訊息 |
是 | 是 | 修復訊息和自訂訊息 |
瞭解修復訊息
每個修復動作都會對應至導致存取遭拒的屬性。請見下表摘要,瞭解使用者可能會看到的修復訊息。系統會根據違規的政策,以系統化的方式建立訊息。
請注意,相同屬性可能會顯示不同訊息,具體取決於存取層級中的預期行為。舉例來說,如果存取層級為「device.screen_lock_enabled == true」,則訊息為「在裝置上設定螢幕密碼」。如果存取層級為「device.screen_lock_enabled == false」,則訊息為「移除裝置的螢幕密碼」。移除螢幕密碼可能會降低安全性,因此建議使用者先與管理員確認。
實際訊息可能與下方顯示的訊息不同。
屬性 | 訊息 |
---|---|
管理員核准 | 改用貴機構核准的裝置。如果您沒有這類裝置,請與管理員聯絡。 |
改用未與貴機構建立關聯的裝置。請注意,這樣做可能會降低安全性,因此建議您先與管理員確認。 | |
公司擁有的裝置 | 改用貴機構擁有的裝置。如果您沒有這類裝置,請與管理員聯絡。 |
改用不是貴機構擁有的裝置。 | |
CTS 設定檔比對 | 將裝置恢復原廠設定。 |
原始設備製造商 (OEM) 為您裝置安裝的 Android 無法使用這個應用程式,詳情請洽詢管理員。 | |
加密 | 改用處於以下任一加密狀態的裝置:[狀態 1、狀態 2]。 |
改用未處於以下加密狀態的裝置:[狀態]。 | |
包含可能有害的應用程式 | 解除安裝 Google Play 安全防護列為可能有害的所有應用程式。 |
您裝置上目前安裝的應用程式無法使用這個應用程式,詳情請洽詢管理員。 | |
IP 位址 | 您無法從目前的 IP 子網路存取這個應用程式。如要瞭解詳情,請與管理員聯絡。 |
OS 類型 | 改用搭載以下任一作業系統的裝置:[os1、os2] |
改用未搭載 os1 的裝置。 | |
OS 版本 | 將裝置更新至 [OS X 版本] 以上版本。 |
將裝置更新至低於 [OS X 版本] 的 OS 版本。 | |
合作夥伴屬性 | 在裝置上安裝「[合作夥伴名稱]」。1 |
根據「[合作夥伴名稱]」提供的資訊,您的裝置不符合某些要求。2 | |
區域代碼 | 您無法從目前所在位置存取這個應用程式。如要瞭解詳情,請與管理員聯絡。 |
螢幕鎖定 | 在裝置上設定螢幕密碼。 |
移除裝置的螢幕密碼。請注意,這樣做可能會降低安全性,因此建議您先與管理員確認。 | |
驗證應用程式 | 在您的裝置上啟用 Google Play 安全防護機制。 |
在您的裝置上停用 Google Play 安全防護機制。 | |
在已驗證模式啟動的裝置數 | 按照裝置製造商的指示鎖定系統啟動載入程式。 |
按照裝置製造商的指示解鎖系統啟動載入程式。 | |
已驗證的 ChromeOS | 在裝置上安裝已驗證的 ChromeOS。 |
您無法透過已驗證的 ChromeOS 存取這個應用程式。 |
1 確認裝置已安裝合作夥伴安全性應用程式 (例如 Lookout)。如果使用者已安裝這個應用程式,但仍看到這則訊息,表示裝置可能未正確註冊合作夥伴行動裝置管理 (MDM)。請查看合作夥伴資訊主頁,檢查是否發生這個情形。如有需要,請與合作夥伴聯絡解決問題。
2 請查看裝置上的合作夥伴應用程式瞭解詳情。如有需要,請與合作夥伴聯絡解決問題。
瞭解修復訊息與第三方合作夥伴的整合方式
在 Google 管理控制台中,您可以透過管理員身分將支援的第三方合作夥伴 (屬於 BeyondCorp Alliance 的合作夥伴) 與 Google 端點管理服務整合。修復訊息介面會顯示說明文字,讓您瞭解可以將合作夥伴訊息顯示給使用者:
例如,從 Lookout:
詳情請參閱「設定第三方合作夥伴整合服務」。
解決常見錯誤後使用者才能看到修復或自訂訊息
如要讓使用者查看修復訊息,必須先解決以下錯誤:
系統無法辨識您的裝置。視您使用的裝置類型而定,您可能要採取不同的步驟。
Google 無法辨識登入的裝置。修復步驟會因平台而異。
- 電腦裝置:使用者必須使用已安裝端點驗證擴充功能的 Chrome 設定檔。使用者無法透過無痕模式、訪客或個人設定檔登入 Google Workspace 應用程式。請注意,如果使用者是首次嘗試登入新裝置,系統就會顯示這則錯誤訊息。在這種情況下,使用者必須透過端點驗證擴充功能執行同步處理,然後重新整理瀏覽器。
- 行動裝置:如要讓 CAA 辨識裝置,您需要透過 Google 端點管理服務 (基本或進階管理服務) 管理裝置。詳情請參閱「使用 Google 端點管理服務管理裝置」。此外,裝置可能需要同步,Google 才能辨識登入事件發生的位置。詳情請參閱「同步處理裝置」。
同步處理裝置
- 電腦裝置:使用者必須透過端點驗證擴充功能執行同步處理。
- 電腦裝置:採用進階管理服務的裝置可與 Device Policy 應用程式保持同步;採用基本管理服務的裝置可以等待裝置自動同步,或者使用者可以重新登入任何 Google 應用程式。請告知使用者裝置同步作業可能需要一些時間。
-
iOS 裝置:在 Safari 中,系統透過工作階段或權杖追蹤各個應用程式的 Google 工作階段。如果 Safari 權杖遭到刪除 (使用者手動刪除或由 Apple ITP 刪除),後續的登入資訊就無法對應到原本登入的裝置。這會導致新的登入活動遭到封鎖,如果啟用修復訊息就會顯示「系統無法辨識您的裝置。視您使用的裝置類型而定,您可能要採取不同的步驟。」錯誤訊息。基本和進階受管理的裝置都可能發生這個問題。
使用者需要完成下列步驟才能解除封鎖:-
從所有 Google 應用程式中移除 Google 公司帳戶。
從 Safari 中登出 Google 帳戶,並從任何可能正在使用該帳戶的非 Google 應用程式中移除該帳戶。 -
登入任何 Google 第一方應用程式,例如雲端硬碟或 Gmail。
-
存取所有其他 Google 第一方應用程式,驗證您具有存取權。
-
如需存取非 Google 應用程式,請在登入 Google 應用程式後的幾天內登入這些應用程式。
如果您未按照步驟 3 指示在 30 天內登入,且應用程式存取權遭到封鎖,請從步驟 1 重新開始操作。
-
-
實作修復或自訂訊息
開啟修復訊息
-
- 在管理控制台首頁中,依序前往「安全性」「存取權與資料控管」「情境感知存取權」。
- 選取「給使用者的訊息」。
- 在「修復訊息」下方,按一下「關閉」,然後向右滑動即可將訊息「開啟」。成功開啟後,畫面上會顯示勾號。
- 按一下「儲存」。
您也可以在這個時候新增自訂訊息。
新增自訂訊息
-
- 在管理控制台首頁中,依序前往「安全性」「存取權與資料控管」「情境感知存取權」。
- 選取「給使用者的訊息」。
- 在「其他自訂訊息」下方輸入訊息。
- 按一下「預覽」即可查看會向使用者顯示的內容。
- 按一下「儲存」。
修復和自訂訊息的使用者體驗
只顯示預設訊息
以下是在未設定修復訊息或自訂訊息時,使用者會看到的訊息示例。
預設訊息和自訂訊息
以下是未設定修復訊息,但提供自訂訊息時,使用者會看到的訊息示例。
只顯示修復訊息
以下是已設定修復訊息,但未設定自訂訊息時,使用者會看到的訊息示例。使用者只要按一下「顯示更多選項」即可展開修復步驟。
修復和自訂訊息
以下是修復訊息和自訂訊息均已設定的情況下,使用者會看到的訊息示例。使用者只要按一下「顯示更多選項」即可展開修復步驟。
情境感知存取權修復和自訂訊息常見問題
修復作業是否會導致其他存取權遭拒的情況?裝置必須先與 Google 伺服器進行同步處理,使用者才能取得存取權。在某些情況下,使用者可以嘗試強制執行同步處理:
- 電腦:透過 Chrome 的端點驗證擴充功能執行同步處理
- 行動裝置 (進階管理服務):透過 Device Policy 應用程式執行同步處理
- 行動裝置 (基本管理服務):重新登入以基本模式管理的裝置
此外,如果裝置不符合 Beyondcorp Alliance 合作夥伴的規定,請嘗試透過合作夥伴應用程式進行同步處理。請注意,在某些情況下,手動同步處理可能無法正常運作,因此使用者應等待同步作業執行。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。