根據使用者和裝置情境來控管應用程式存取權

允許使用者透過情境感知存取權的修復訊息恢復應用程式存取權

使用修復訊息協助使用者自行恢復存取權

下一個: 將情境感知存取權與配置群組搭配使用

如果政策禁止使用者存取特定應用程式，您可以使用情境感知存取權的修復訊息和自訂訊息，協助使用者自行恢復存取權。這些選用 (但建議使用) 的訊息有助於讓使用者恢復工作效率，並減少尋求管理員支援的次數。

舉例來說，如果使用者白天在辦公室時可以在行動裝置上順利使用 Gmail，但晚上在家嘗試存取 Gmail 卻遭到禁止，那麼只要啟用修復訊息，系統就會顯示指引，說明如何解決禁止存取的問題。

在基本模式和進階模式中建立的存取層級皆支援修復和自訂訊息。此外，核心服務和 SAML 應用程式也都支援這些訊息。

使用修復訊息和自訂訊息協助使用者自行恢復存取權

遭禁止存取的使用者可能會看到下列訊息：

預設訊息：如果您未新增修復訊息或自訂訊息，系統會顯示預設訊息。預設訊息範例：「貴機構的政策禁止您存取這個應用程式」。
修復訊息：取代預設訊息。這類訊息是由系統產生，會對應導致使用者存取權遭到封鎖的特定違規情況。
修復訊息可以向使用者顯示多個修復選項，只要按一下「顯示更多選項」即可展開。在有多個修復選項的情況下，使用者必須完成任一個可用選項的步驟，才能自行恢復存取權。
自訂訊息：新增給使用者的專屬說明，例如提供恢復存取權的其他建議，或可點選的實用連結。您可以視需要新增自訂訊息。自訂訊息可以與預設訊息一併顯示，或與修復訊息一併顯示。

下表顯示這些訊息的互動情形：

已啟用修復訊息？	已新增自訂訊息？	向使用者顯示的訊息
否	否	只顯示預設訊息
是	否	只顯示修復訊息。在某些情況下，如果系統無法產生修復訊息，則可能顯示預設訊息。
否	是	預設訊息和自訂訊息
是	是	修復訊息和自訂訊息

瞭解修復訊息

每個修復動作都會對應至導致存取遭拒的屬性。請見下表摘要，瞭解使用者可能會看到的修復訊息。系統會根據違規的政策，以系統化的方式建立訊息。

請注意，相同屬性可能會顯示不同訊息，具體取決於存取層級中的預期行為。舉例來說，如果存取層級為「device.screen_lock_enabled == true」，則訊息為「在裝置上設定螢幕密碼」。如果存取層級為「device.screen_lock_enabled == false」，則訊息為「移除裝置的螢幕密碼」。移除螢幕密碼可能會降低安全性，因此建議使用者先與管理員確認。

實際訊息可能與下方顯示的訊息不同。

屬性	訊息
管理員核准	改用貴機構核准的裝置。如果您沒有這類裝置，請與管理員聯絡。
管理員核准	改用未與貴機構建立關聯的裝置。請注意，這樣做可能會降低安全性，因此建議您先與管理員確認。
公司擁有的裝置	改用貴機構擁有的裝置。如果您沒有這類裝置，請與管理員聯絡。
公司擁有的裝置	改用不是貴機構擁有的裝置。
CTS 設定檔比對	將裝置恢復原廠設定。
CTS 設定檔比對	原始設備製造商 (OEM) 為您裝置安裝的 Android 無法使用這個應用程式，詳情請洽詢管理員。
加密	改用處於以下任一加密狀態的裝置：[狀態 1、狀態 2]。
加密	改用未處於以下加密狀態的裝置：[狀態]。
包含可能有害的應用程式	解除安裝 Google Play 安全防護列為可能有害的所有應用程式。
包含可能有害的應用程式	您裝置上目前安裝的應用程式無法使用這個應用程式，詳情請洽詢管理員。
IP 位址	您無法從目前的 IP 子網路存取這個應用程式。如要瞭解詳情，請與管理員聯絡。
OS 類型	改用搭載以下任一作業系統的裝置：[os1、os2]
OS 類型	改用未搭載 os1 的裝置。
OS 版本	將裝置更新至 [OS X 版本] 以上版本。
OS 版本	將裝置更新至低於 [OS X 版本] 的 OS 版本。
合作夥伴屬性	在裝置上安裝「[合作夥伴名稱]」。¹
合作夥伴屬性	根據「[合作夥伴名稱]」提供的資訊，您的裝置不符合某些要求。²
區域代碼	您無法從目前所在位置存取這個應用程式。如要瞭解詳情，請與管理員聯絡。
螢幕鎖定	在裝置上設定螢幕密碼。
螢幕鎖定	移除裝置的螢幕密碼。請注意，這樣做可能會降低安全性，因此建議您先與管理員確認。
驗證應用程式	在您的裝置上啟用 Google Play 安全防護機制。
驗證應用程式	在您的裝置上停用 Google Play 安全防護機制。
在已驗證模式啟動的裝置數	按照裝置製造商的指示鎖定系統啟動載入程式。
在已驗證模式啟動的裝置數	按照裝置製造商的指示解鎖系統啟動載入程式。
已驗證的 ChromeOS	在裝置上安裝已驗證的 ChromeOS。
已驗證的 ChromeOS	您無法透過已驗證的 ChromeOS 存取這個應用程式。

¹ 確認裝置已安裝合作夥伴安全性應用程式 (例如 Lookout)。如果使用者已安裝這個應用程式，但仍看到這則訊息，表示裝置可能未正確註冊合作夥伴行動裝置管理 (MDM)。請查看合作夥伴資訊主頁，檢查是否發生這個情形。如有需要，請與合作夥伴聯絡解決問題。

² 請查看裝置上的合作夥伴應用程式瞭解詳情。如有需要，請與合作夥伴聯絡解決問題。

瞭解修復訊息與第三方合作夥伴的整合方式

在 Google 管理控制台中，您可以透過管理員身分將支援的第三方合作夥伴 (屬於 BeyondCorp Alliance 的合作夥伴) 與 Google 端點管理服務整合。修復訊息介面會顯示說明文字，讓您瞭解可以將合作夥伴訊息顯示給使用者：

例如，從 Lookout：

詳情請參閱「設定第三方合作夥伴整合服務」。

解決常見錯誤後使用者才能看到修復或自訂訊息

如要讓使用者查看修復訊息，必須先解決以下錯誤：

系統無法辨識您的裝置。視您使用的裝置類型而定，您可能要採取不同的步驟。

Google 無法辨識登入的裝置。修復步驟會因平台而異。

電腦裝置：使用者必須使用已安裝端點驗證擴充功能的 Chrome 設定檔。使用者無法透過無痕模式、訪客或個人設定檔登入 Google Workspace 應用程式。請注意，如果使用者是首次嘗試登入新裝置，系統就會顯示這則錯誤訊息。在這種情況下，使用者必須透過端點驗證擴充功能執行同步處理，然後重新整理瀏覽器。
行動裝置：如要讓 CAA 辨識裝置，您需要透過 Google 端點管理服務 (基本或進階管理服務) 管理裝置。詳情請參閱「使用 Google 端點管理服務管理裝置」。此外，裝置可能需要同步，Google 才能辨識登入事件發生的位置。詳情請參閱「同步處理裝置」。

同步處理裝置

電腦裝置：使用者必須透過端點驗證擴充功能執行同步處理。
電腦裝置：採用進階管理服務的裝置可與 Device Policy 應用程式保持同步；採用基本管理服務的裝置可以等待裝置自動同步，或者使用者可以重新登入任何 Google 應用程式。請告知使用者裝置同步作業可能需要一些時間。
- iOS 裝置：在 Safari 中，系統透過工作階段或權杖追蹤各個應用程式的 Google 工作階段。如果 Safari 權杖遭到刪除 (使用者手動刪除或由 Apple ITP 刪除)，後續的登入資訊就無法對應到原本登入的裝置。這會導致新的登入活動遭到封鎖，如果啟用修復訊息就會顯示「系統無法辨識您的裝置。視您使用的裝置類型而定，您可能要採取不同的步驟。」錯誤訊息。基本和進階受管理的裝置都可能發生這個問題。
  
  使用者需要完成下列步驟才能解除封鎖：
  1. 從所有 Google 應用程式中移除 Google 公司帳戶。
    從 Safari 中登出 Google 帳戶，並從任何可能正在使用該帳戶的非 Google 應用程式中移除該帳戶。
  2. 刪除 Safari Cookie 和快取。
  3. 登入任何 Google 第一方應用程式，例如雲端硬碟或 Gmail。
  4. 存取所有其他 Google 第一方應用程式，驗證您具有存取權。
  5. 如需存取非 Google 應用程式，請在登入 Google 應用程式後的幾天內登入這些應用程式。
    如果您未按照步驟 3 指示在 30 天內登入，且應用程式存取權遭到封鎖，請從步驟 1 重新開始操作。