Jako administrator Google Workspace lub Cloud Identity w swojej organizacji możesz wyświetlać ustawienia zabezpieczeń kont użytkowników i zarządzać nimi. Możesz na przykład zresetować hasło użytkownika, dodać lub usunąć klucze bezpieczeństwa do uwierzytelniania wielopoziomowego i zresetować pliki cookie logowania użytkownika.
Otwieranie ustawień zabezpieczeń konta użytkownika
Aby wykonać te czynności, musisz mieć odpowiednie uprawnienia administratora. Możesz nie mieć dostępu do wszystkich opcji wymaganych do wykonania tych czynności. Jest to uzależnione od uprawnień konta. Dowiedz się więcej o uprawnieniach administratora.
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
- W konsoli administracyjnej otwórz Menu Katalog Użytkownicy.
- Znajdź użytkownika na liście Użytkownicy.
Wskazówka: aby znaleźć użytkownika, możesz też wpisać jego nazwisko lub adres e-mail w polu wyszukiwania u góry konsoli administracyjnej. Jeśli potrzebujesz pomocy, skorzystaj z artykułu Znajdowanie konta użytkownika.
- Kliknij nazwę użytkownika, aby otworzyć stronę jego konta.
- U góry kliknij Bezpieczeństwo.
- Aby wyświetlić ustawienia zabezpieczeń konta użytkownika lub nimi zarządzać, wykonaj poniższe czynności.
Wyświetlanie ustawień zabezpieczeń kont użytkowników i zarządzanie nimi
Rozwiń wszystko | Zwiń wszystko
Resetowanie hasła użytkownika- Kliknij Hasło Resetuj hasło.
- Wpisz nowe hasło albo wygeneruj je automatycznie.
Minimalna długość hasła domyślnie wynosi osiem znaków. Możesz jednak zmienić wymagania dotyczące haseł w organizacji.
- (Opcjonalnie) Aby wyświetlić hasło, kliknij Podgląd .
- (Opcjonalnie) Aby wymusić na użytkowniku zmianę hasła, włącz opcję Poproś o zmianę hasła po następnym zalogowaniu.
- Kliknij Resetuj.
- (Opcjonalnie) Aby wkleić hasło, na przykład w rozmowie z użytkownikiem w Google Chat, wybierz Kliknij, aby skopiować hasło.
- Wyślij hasło w e-mailu do użytkownika albo kliknij Gotowe.
Klucz bezpieczeństwa to małe urządzenie, które umożliwia zalogowanie się na konto Google przy użyciu weryfikacji dwuetapowej. Ze wszystkich metod weryfikacji dwuetapowej obsługiwanych przez Google klucz bezpieczeństwa jest najbezpieczniejszy. Użytkownik musi podłączyć go do portu USB komputera lub połączyć z urządzeniem mobilnym przez NFC lub Bluetooth. Więcej informacji
Jeśli użytkownik korzysta z klucza bezpieczeństwa, kliknij sekcję Klucze bezpieczeństwa, aby zobaczyć, kiedy klucz został dodany i kiedy był ostatnio używany.
Dodawanie klucza
Możesz dodać klucz bezpieczeństwa do konta użytkownika lub pozwolić mu zrobić to samodzielnie.
- Aby umożliwić użytkownikom dodanie własnego klucza:
- Upewnij się, że ustawienie pomijania haseł jest wyłączone dla użytkowników. Szczegółowe instrukcje znajdziesz w sekcji poświęconej włączaniu i wyłączaniu pomijania haseł dla użytkowników.
- Poproś użytkowników o wykonanie instrukcji podanych w artykule Weryfikacja dwuetapowa z użyciem klucza bezpieczeństwa.
- Aby dodać klucz do konta użytkownika:
- Kliknij Klucze bezpieczeństwa Dodaj klucz bezpieczeństwa.
- Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
Uwaga: jeśli klucz bezpieczeństwa jest podłączony do komputera, usuń go, zanim zarejestrujesz nowy.
- Kliknij Gotowe.
Usuwanie klucza
Klucz bezpieczeństwa należy usunąć tylko w przypadku jego utraty. Jeśli klucz jest tymczasowo niedostępny, możesz przez jakiś czas generować zapasowe kody zabezpieczające. Przeczytaj artykuł poświęcony pobieraniu zapasowych kodów weryfikacyjnych dla użytkownika.
- Kliknij Klucze bezpieczeństwa, aby wyświetlić tabelę z informacjami o kluczach.
- Przewiń tabelę do końca w prawo.
- Najedź kursorem na wiersz tabeli z kluczem, który chcesz usunąć, i po prawej stronie kliknij Usuń .
- Kliknij Usuń Usuń.
- Kliknij Gotowe.
Każde unieważnienie klucza bezpieczeństwa powoduje dodanie wpisu w zdarzeniach z dziennika administratora.
Uwaga: w ustawieniach weryfikacji dwuetapowej możesz wymusić stosowanie kluczy bezpieczeństwa przez użytkowników.
Jako administrator możesz sprawdzić stan rejestracji użytkownika w programie Ochrony zaawansowanej i w razie potrzeby wyrejestrować go na poziomie użytkownika.
- Stan Wł. oznacza, że użytkownik jest obecnie zarejestrowany w programie Ochrony zaawansowanej.
- Stan Wył. oznacza, że użytkownik nie jest zarejestrowany w programie Ochrony zaawansowanej.
Jeśli wyłączysz tutaj rejestrację w programie Ochrony zaawansowanej, tylko użytkownik będzie mógł ponownie zarejestrować się w tej usłudze, o ile ustawienie Włącz rejestrację użytkowników jest włączone w: Zabezpieczenia Uwierzytelnianie Program ochrony zaawansowanej. Więcej informacji znajdziesz w artykule Umożliwianie użytkownikom rejestrowania się w programie.
Tylko użytkownik może włączyć weryfikację dwuetapową. Jako administrator możesz sprawdzić obecne ustawienia weryfikacji dwuetapowej użytkownika i w razie potrzeby pobrać dla niego kod zapasowy.
W sekcji Weryfikacja dwuetapowa możesz sprawdzić, czy użytkownik ma włączoną tę funkcję i czy jest ona wymuszana w całej organizacji.
- Możesz wyłączyć weryfikacje dwuetapową dla zablokowanego użytkownika, ale nie jest to zalecane. Zamiast tego pobierz dla niego kod zapasowy, aby umożliwić mu zalogowanie się na konto.
Uwaga: weryfikacji dwuetapowej nie można wyłączyć, jeśli konto użytkownika jest zawieszone.
- Jeśli weryfikacja dwuetapowa jest wymuszana w całej organizacji, opcja wyłączenia tej funkcji dla pojedynczego użytkownika jest niedostępna.
Użytkownicy, którzy tymczasowo nie mają dostępu do drugiej metody uwierzytelniania, mogą zostać zablokowani. Na przykład użytkownik mógł zostawić swój klucz bezpieczeństwa w domu lub nie może odebrać kodu dostępu przez telefon. W przypadku tych użytkowników możesz wygenerować zapasowe kody weryfikacyjne, aby umożliwić im zalogowanie się.
- Aby wyświetlić zapasowe kody weryfikacyjne użytkownika, kliknij Weryfikacja dwuetapowa Pobierz zapasowe kody weryfikacyjne.
Uwaga: utworzenie nowych kodów weryfikacyjnych powoduje unieważnienie istniejącego. Jeśli na przykład utworzysz kod weryfikacyjny użytkownika w konsoli administracyjnej, a następnie wygenerujesz nowy kod weryfikacyjny przy użyciu kodów weryfikacyjnych, poprzedni zestaw kodów zostanie unieważniony i odwrotnie. - Skopiuj jeden z istniejących kodów zapasowych lub wygeneruj nowe. Uwaga: jeśli uważasz, że istniejące kody zapasowe zostały skradzione lub wykorzystane, kliknij Wygeneruj nowe kody. Poprzedni zestaw kodów zapasowych automatycznie stanie się nieaktywny.
- Poinformuj użytkownika, aby postępował zgodnie z instrukcjami w artykule Logowanie się przy użyciu kodów zapasowych.
Jeśli użytkownik musi korzystać z weryfikacji dwuetapowej za pomocą klucza bezpieczeństwa:
- Użytkownik nie może generować własnych zapasowych kodów weryfikacyjnych. Administrator musi wygenerować te kody i w razie potrzeby przekazać je użytkownikowi.
- Gdy wygenerujesz kody dla użytkownika, rozpocznie się jego okres prolongaty na ich używanie. Powiadomimy Cię o pozostałym okresie prolongaty, po którym użytkownik będzie musiał zalogować się za pomocą klucza bezpieczeństwa.
Szczegółowe informacje o konfigurowaniu wymagań dotyczących weryfikacji dwuetapowej dla użytkowników znajdziesz w artykule Wdrażanie weryfikacji dwuetapowej.
Jeśli podejrzewasz, że hasło do konta użytkownika zostało przejęte, możesz wymusić zresetowanie hasła przez tego użytkownika podczas następnego logowania.
- Kliknij Wymagaj zmiany hasła Włącz .
- Kliknij Gotowe.
To ustawienie zostaje automatycznie wyłączone, gdy użytkownik zresetuje swoje hasło.
Uwaga: jeśli Twoja organizacja korzysta z logowania SSO przy użyciu zewnętrznego dostawcy tożsamości, ustawienie wymuszania zmiany hasła jest niedostępne, chyba że za pomocą maski sieci zezwalasz niektórym użytkownikom na logowanie się bezpośrednio w aplikacji Workplace. Aby sprawdzić, czy maska sieci jest skonfigurowana, otwórz Security(Zabezpieczenia) SSO with third-party IDPs(Logowanie SSO przy użyciu zewnętrznych dostawców tożsamości) SSO profile for your organization (Profil logowania jednokrotnego dla Twojej organizacji).
Jeśli Google wykryje nieuprawnioną próbę zalogowania się na konto użytkownika, wyświetlany jest test zabezpieczający logowanie. Dostęp do konta jest możliwy tylko po pomyślnym przejściu tego testu. W takiej sytuacji użytkownik musi wykonać jedną z tych czynności:
- podać kod weryfikacyjny, który Google wysyła na jego pomocniczy numer telefonu lub pomocniczy adres e-mail (adres e-mail spoza organizacji);
- rozwiązać test, na który odpowiedź zna tylko właściciel konta.
Aby dodać lub edytować informacje umożliwiające odzyskanie dostępu do konta użytkownika:
- Kliknij Informacje umożliwiające odzyskanie dostępu do konta.
- Dodaj lub zmodyfikuj jedną z tych informacji:
- adres e-mail (spoza organizacji),
- Pomocniczy numer telefonu
Uwaga: pomocniczy numer telefonu musi być unikatowy dla każdego użytkownika. Jeśli przypiszesz ten sam pomocniczy numer telefonu do kilku kont użytkowników, zostanie on automatycznie zablokowany ze względów bezpieczeństwa.
- Kliknij Zapisz.
Jeśli Google wykryje nieuprawnioną próbę zalogowania się na konto użytkownika, wyświetlany jest test zabezpieczający logowanie. Dostęp do konta jest możliwy tylko po pomyślnym przejściu tego testu. Użytkownik musi podać kod weryfikacyjny, który Google wysyła na jego telefon. Może też rozwiązać inny test, na który odpowiedź zna tylko właściciel konta.
Dodatkowo, jeśli użytkownik Google Workspace spróbuje wykonać działanie dotyczące poufnych danych, może mu się wyświetlić prośba o potwierdzenie tożsamości. Jeśli użytkownik nie może podać wymaganych informacji, Google uniemożliwi wykonanie tego działania.
Jeżeli autoryzowany użytkownik nie może potwierdzić swojej tożsamości, możesz wyłączyć test zabezpieczający logowanie lub potwierdzający tożsamość na 10 minut, aby umożliwić użytkownikowi zalogowanie się.
Jeśli użytkownik utraci komputer lub urządzenie mobilne, możesz spróbować zapobiec nieautoryzowanemu dostępowi do jego konta Google przez zresetowanie plików cookie logowania. Spowoduje to wylogowanie użytkownika z konta Google (w tym ze wszystkich aplikacji Google Workspace) na wszystkich urządzeniach i we wszystkich przeglądarkach.
Uwaga: jeśli zawiesisz konto użytkownika, nie musisz resetować jego plików cookie. zostaną one zresetowane automatycznie.
Jeśli skonfigurowano logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości, trwająca sesja użytkownika może nadal pozwalać mu na dostęp do konta Google po zresetowaniu plików cookie używanych do logowania. W takim przypadku zakończ sesję logowania jednokrotnego tego użytkownika, zanim zresetujesz pliki cookie używane do logowania w Google. Jeśli potrzebujesz pomocy przy zarządzaniu logowaniem jednokrotnym, skontaktuj się z zespołem pomocy dostawcy tożsamości.
Aby zresetować pliki cookie użytkownika:
- Kliknij Pliki cookie używane do logowania Zresetuj.
- Kliknij Gotowe.
Wylogowanie użytkownika z sesji Gmaila może potrwać do godziny. Czas wylogowania z innych aplikacji może się różnić.
Jeśli Twoi użytkownicy korzystają z weryfikacji dwuetapowej i muszą logować się w aplikacjach lub na urządzeniach, które nie akceptują kodów weryfikacyjnych, potrzebują oni haseł do aplikacji. Dowiedz się więcej o logowaniu się za pomocą haseł do aplikacji.
Wszystkie aplikacje, dla których użytkownik utworzył hasła do aplikacji, są wymienione w sekcji Hasło aplikacji. Uwaga: jeśli nie są używane żadne hasła do aplikacji, ta sekcja jest nieaktywna.
Kliknij nazwę aplikacji, aby uzyskać więcej informacji o tym, kiedy hasło do danej aplikacji zostało utworzone i kiedy było ostatnio używane.
Jeśli użytkownik utraci urządzenie lub przestanie korzystać z aplikacji, która została autoryzowana przy użyciu hasła, należy unieważnić to hasło do aplikacji.
- Kliknij sekcję Hasło aplikacji, aby wyświetlić aplikacje korzystające z takich haseł.
- Najedź kursorem myszy na nazwę aplikacji i kliknij Unieważnij po prawej stronie.
- Kliknij Unieważnij.
- Kliknij Gotowe.
Użytkownicy mogą też unieważniać własne hasła do aplikacji.
Sekcja Połączone aplikacje zawiera listę wszystkich aplikacji innych firm (na przykład aplikacji z Google Workspace Marketplace), które mają dostęp do danych konta Google tego użytkownika. Dowiedz się, jak działa autoryzowany dostęp.
Uwaga: jeśli nie zainstalowano żadnych aplikacji innych firm, ta sekcja jest nieaktywna.
Kliknij nazwę aplikacji, aby uzyskać więcej informacji:
- Kolumna Poziom dostępu zawiera opis danych, z których usługa może korzystać. Użytkownik może przyznać pełny lub częściowy dostęp do danych w Google.
- Kolumna Data autoryzacji pokazuje, kiedy aplikacja uzyskała dostęp do danych.
Aby tymczasowo zablokować aplikacji dostęp do danych:
- Najedź kursorem myszy na nazwę aplikacji i kliknij Usuń po prawej stronie.
- Kliknij Usuń.
- Kliknij Gotowe.
Uwaga: zablokowanie aplikacji dostępu do danych nie uniemożliwia użytkownikowi korzystania z aplikacji w przyszłości (jeśli ma on odpowiednie uprawnienia). Gdy użytkownik ponownie zaloguje się w aplikacji, dostęp do danych zostanie przywrócony. Aby na stałe ograniczyć dostęp użytkowników do aplikacji, możesz zablokować dostęp do określonych zakresów aplikacji i skonfigurować listę dozwolonych zatwierdzonych aplikacji w swojej organizacji.
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.