如果在情境感知访问权限设置中启用修复措施消息和自定义消息,当政策禁止用户访问某个应用时,这些消息可以帮助他们自行恢复访问权限。这些可选的消息有助于让用户保持工作效率并减少向管理员寻求支持的次数,因此推荐您使用。
例如,假设一名移动设备用户白天在办公室可以正常使用 Gmail,但当该用户晚上在家尝试访问 Gmail 时,却被禁止访问。启用修复措施消息后,该用户就会看到相关指南,了解如何解决禁止访问的问题。
在基本模式和高级模式下创建的访问权限级别都支持修复措施消息和自定义消息。此外,核心服务和 SAML 应用也都支持这些消息。
使用修复措施消息和自定义消息来帮助用户自行恢复访问权限
当被禁止访问后,用户可能会看到以下消息:
- 默认消息 - 如果您尚未添加修复措施消息或自定义消息,则系统会显示此消息。默认消息示例:贵组织的政策禁止您使用此应用。
- 修复措施消息 - 此消息会替换默认消息。这类消息是系统生成的,与导致用户被禁止访问的具体违规行为相对应。
修复措施消息可能会向用户显示多个修复选项,用户点击显示更多选项就能展开这些选项。如果有多个修复选项,用户需要完成其中任一可用选项的相应步骤才能自行恢复访问权限。 - 自定义消息 - 这是为用户添加的具体帮助信息,例如有关恢复访问权限的其他建议或可点击的实用链接。您可以根据需要添加自定义消息。自定义消息可以与默认消息或修复措施消息一同显示。
下方表格显示了这些消息的互动情况:
已启用修复措施消息? | 已添加自定义消息? | 用户看到的消息 |
---|---|---|
否 | 否 | 仅默认消息 |
是 | 否 | 仅修复措施消息。在某些情况下,如果无法生成修复措施消息,系统可能会显示默认消息。 |
否 | 是 | 默认消息和自定义消息 |
是 | 是 | 修复措施消息和自定义消息 |
了解修复措施消息
每个修复操作都与导致访问遭拒的归因相对应。下方表格总结了用户可能会看到的修复措施消息。系统会根据违反的政策系统性地创建消息。
请注意,系统可以根据访问权限级别中的预期,为同一归因显示不同的消息。例如,如果访问权限级别为 device.screen_lock_enabled == true,则系统会显示消息在您的设备上设置屏幕锁定密码。如果访问权限级别为 device.screen_lock_enabled == false,则系统会显示消息从您的设备中移除屏幕锁定密码。移除屏幕锁定密码可能会降低安全性,因此用户应让管理员确认可否这样做。
实际消息可能与下方显示的消息不同。
属性 | 消息 |
---|---|
管理员批准 | 改用经贵组织批准的设备。如果您没有这样的设备,请与您的管理员联系。 |
改用未与贵组织关联的设备。请注意,这样做可能会降低安全性,因此您最好让管理员确认可否这样做。 | |
公司自有设备 | 请改用归贵组织所有的设备。如果您没有这类设备可用,请联系您的管理员。 |
改用不归贵组织所有的设备。 | |
CTS 配置文件匹配性 | 将您的设备恢复出厂设置。 |
您的设备无法使用由原始设备制造商 (OEM) 安装的 Android 版本访问此应用。如需了解详情,请联系您的管理员。 | |
加密 | 改用处于以下某种加密状态的设备:[status1, status2]。 |
改用不处于以下加密状态的设备:[status] | |
带有潜在有害应用 | 卸载由 Google Play 保护机制列出的所有可能有害的应用。 |
您的设备无法使用目前已安装的应用访问此应用。如需了解详情,请联系您的管理员。 | |
IP 地址 | 您无法从当前所用 IP 子网访问此应用。如需了解详情,请联系您的管理员。 |
操作系统类型 | 改用搭载以下任一操作系统的设备:[os1, os2] |
改用未搭载以下操作系统的设备:os1 | |
操作系统版本 | 将您的设备更新到 [OS version X] 或更高版本 |
将您的设备降级到低于 [OS version X] 的操作系统版本 | |
归因于合作伙伴 | 在您的设备上安装 [PARTNER NAME]。 1 |
根据 [PARTNER NAME] 提供的信息,您的设备不符合某些要求。 2 | |
地区代码 | 您无法从当前所在位置访问此应用。如需了解详情,请联系您的管理员。 |
屏幕锁定 | 在您的设备上设置屏幕锁定密码。 |
从您的设备中移除屏幕锁定密码。请注意,这样做可能会降低安全性,因此您最好让管理员确认可否这样做。 | |
验证应用 | 在您的设备上启用 Google Play 保护机制。 |
在您的设备上停用 Google Play 保护机制。 | |
以验证模式启动的设备数 | 按照您的设备制造商提供的说明锁定引导加载程序。 |
按照您的设备制造商提供的说明解锁引导加载程序。 | |
已验证的 ChromeOS | 在您的设备上安装经过验证的 ChromeOS。 |
您无法在经过验证的 ChromeOS 中访问此应用。 |
1 确保在设备上安装了合作伙伴的安全应用(例如 Lookout)。如果已安装,但用户仍然看到此消息,则表示设备可能未正确注册合作伙伴移动设备管理 (MDM)。请检查合作伙伴信息中心,确认这是否属实。如果需要,请联系合作伙伴来解决此问题。
2 如需了解更多详情,请查看设备上的合作伙伴应用。如果需要,请联系合作伙伴来解决此问题。
了解修复措施消息和第三方合作伙伴集成
作为管理员,您可以将受支持的第三方合作伙伴(属于 BeyondCorp Alliance 的合作伙伴)与 Google 管理控制台中的 Google 端点管理服务集成。以下文本会显示在修复措施消息界面中,用于说明合作伙伴消息可向用户显示:
例如,在 Lookout 中:
如需了解详情,请参阅设置第三方合作伙伴集成。
修复常见错误后用户才能看到修复措施消息或自定义消息
必须先修复以下错误,用户才能查看修复措施消息:
系统无法识别您的设备。您需采取的措施可能会因您的设备类型而异。
Google 无法识别登录设备。修复步骤因平台而异。
- 桌面设备:用户必须使用安装了端点验证扩展程序的 Chrome 个人资料。用户无法通过无痕模式、访客身份或个人资料(非工作资料)登录 Google Workspace 应用。请注意,当用户首次尝试登录新设备时,系统可能会显示此错误消息。在这种情况下,用户必须通过端点验证扩展程序进行同步并刷新浏览器。
- 移动设备:设备需要通过 Google 端点管理服务(基本或高级管理服务)进行管理,才能被 CAA 识别。如需了解详情,请参阅借助 Google 端点管理服务管理设备。此外,设备可能需要同步,然后 Google 才能识别登录位置。有关详情,请参阅同步设备。
同步设备
- 桌面设备:用户必须通过端点验证扩展程序进行同步。
- 桌面设备 - 采用高级管理服务的设备可通过 Device Policy 应用进行同步。对于采用基本管理服务的设备,您可以等待设备自动同步,或者让用户重新登录任何 Google 应用。请告知用户设备同步可能需要一些时间。
-
iOS 设备:在 Safari 中,系统通过会话或令牌跟踪各种应用中的 Google 会话。如果 Safari 令牌被删除(由用户手动删除或由 Apple ITP 删除),系统将无法将后续登录行为与最初登录应用的设备对应起来。这可能会导致新的登录行为遭到阻止,且如果启用了修复措施消息,还会显示“系统无法识别您的设备。您需采取的措施可能会因您的设备类型而异”消息。无论设备采用基本管理服务还是高级管理服务,都可能出现此问题。
用户需要完成以下步骤才能解除阻止:-
从所有 Google 应用中移除 Google 企业账号。
从 Safari 中退出 Google 账号,并从任何可能正在使用该账号的非 Google 应用中将其移除。 -
登录任何 Google 第一方应用,例如云端硬盘或 Gmail。
-
访问其余所有 Google 第一方应用,以验证您是否拥有访问权限。
-
如果需要访问非 Google 应用,请在登录 Google 应用后的几天内登录这些应用。
如果您在执行第 3 步后的 30 天内未登录这类应用,且目前仍被禁止访问相应应用,请从第 1 步重新开始操作。
-
-
启用修复措施消息或自定义消息
启用修复措施消息
-
- 在管理控制台首页,依次前往安全性 访问权限和数据控件 情境感知访问权限。
- 选择用户消息。
- 点击“修复措施消息”下的关闭,然后向右滑动以开启该消息。此时系统会显示一个对勾标记。
- 点击保存。
此时,您还可以添加自定义消息。
添加自定义消息
-
- 在管理控制台首页,依次前往安全性 访问权限和数据控件 情境感知访问权限。
- 选择用户消息。
- 在“附加的自定义消息”下方,输入消息。
- 点击预览即可查看用户会看到的内容。
- 点击保存。
修复措施消息和自定义消息的用户体验
仅默认消息
这是在未配置修复措施消息或自定义消息时用户看到的消息示例。
默认消息和自定义消息
这是在未配置修复措施消息但配置了自定义消息时用户看到的消息示例。
仅修复措施消息
这是配置了修复措施消息但未配置自定义消息时用户看到的消息示例。用户点击显示更多选项可展开修复步骤。
修复措施消息和自定义消息
这是同时配置了修复措施消息和自定义消息时用户看到的消息示例。用户点击显示更多选项可展开修复步骤。
情境感知访问权限中修复措施消息和自定义消息常见问题解答
修复措施消息是否会导致任何其他访问遭拒的情况?在设备与 Google 服务器同步之前,用户无法获得访问权限。在某些情况下,用户可以尝试强制进行同步:
- 桌面设备:通过 Chrome 上的端点验证扩展程序进行同步
- 移动设备(高级管理):通过 Device Policy 应用进行同步
- 移动设备(基本管理):重新登录采用基本管理服务的设备
此外,如果设备不符合 Beyondcorp Alliance 合作伙伴的要求,请尝试通过该合作伙伴应用进行同步。请注意,在某些情况下,手动同步可能无法正常运行,因此用户应等到同步完成。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。