作为贵组织的 Google Workspace 或 Cloud Identity 服务的管理员,您可以查看和管理用户的安全设置。例如,您可以重置用户的密码,添加或移除用于多重身份验证的安全密钥,以及重置用户的登录 Cookie。
打开用户的安全设置
如要完成这些步骤,您需要拥有适当的管理员权限。根据您的权限,您可能无法看到完成这些步骤所需的所有控件。详细了解管理员权限。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
- 依次点击“菜单”图标
目录 > 用户。
- 在用户列表中找到相应用户。
提示:要查找用户,您还可以在管理控制台顶部的搜索框中输入用户的姓名或电子邮件地址。如果您需要帮助,请参阅查找用户账号。
- 点击用户的姓名以打开其账号页面。
- 点击顶部的安全性。
- 按照以下步骤操作,以查看或管理用户的安全设置。
查看和管理用户的安全设置
重置用户密码- 点击密码
重置密码。
- 选择自动生成密码或输入密码。
默认情况下,密码长度不能短于 8 个字符。您可以更改单位的密码要求。
- (可选)如需查看密码,请点击“预览”
。
- (可选)如果您想要求用户更改密码,请确保已开启要求在下次登录时更改密码开关
。
- 点击重置。
- (可选)要将密码粘贴到其他位置(如与用户的 Google Chat 对话中),请点击点击即可复制密码。
- 选择将密码通过电子邮件发送给用户,或点击完成。
通行密钥和安全密钥部分会显示用户已注册的密钥的以下信息:
- 密钥的名称(默认名称或用户指定的名称)
- 密钥的创建平台或设备
- 注册方式(由用户注册或自动注册)
- 无密码支持,通行密钥能否用于跳过密码验证
- 密钥的添加时间和地点以及上次使用时间
您可以添加或移除用户的安全密钥,以及移除用户的通行密钥。
通行密钥
通行密钥是一种简单又安全的登录方式,可作为密码登录的替代方法。借助通行密钥,用户可以使用手机、安全密钥或计算机的屏幕锁定方式登录受管理的 Google 账号。如果管理员已为用户账号启用“跳过密码输入步骤”设置,则用户可以跳过密码登录验证步骤,改为使用包含第一个和第二个验证步骤的通行密钥。如需了解详情,请参阅使用通行密钥(而非密码)登录。
移除用户创建的通行密钥
- 点击通行密钥和安全密钥,以显示密钥信息表。
- 滚动到表格的右侧。
- 将光标悬停在要移除的密钥所在的表格行上,然后点击移除。
- 点击移除进行确认。
- 点击完成。
管理员日志事件会在您每次撤消通行密钥时添加一个条目。
移除自动创建的通行密钥
当用户登录 Google 账号时,Android 设备上会自动生成通行密钥。如需移除某个设备,请执行以下操作:
- 前往用户的“安全性”页面中的关联的应用部分。
- 在应用列中,找到要移除的 Android 设备。
- 将鼠标悬停在相应行上,然后点击“移除”
。
- 点击移除。
- 点击完成。
如需阻止用户再创建自动通行密钥,请重置密码,并在所有设备和浏览器中将其退出 Google 账号(包括 Google Workspace 应用)。
- 按照重置用户密码中的步骤操作。
- 如需让用户退出其 Google 账号,请按照重置用户的登录 Cookie 中的步骤操作。
如果您重置用户的 Cookie,但未重置其密码,用户仍能登录 Android 设备,系统会再次添加自动创建的通行密钥。
如需更好地控制自动创建通行密钥的行为,您可以使用基本设备管理限制 Android 设备的使用。有关详情,请参阅设置基本移动设备管理。
安全密钥
安全密钥是一种小型设备,可让您使用两步验证 (2SV) 登录 Google 账号。它可插入计算机的 USB 端口,或者通过 NFC 或蓝牙连接到移动设备。如需了解详情,请参阅使用安全密钥进行两步验证。
将安全密钥添加为仅限两步验证的密钥
您可以为用户添加安全密钥,也可以让用户自行添加。如果您通过这种方式添加安全密钥,则该密钥仅用于两步验证,用户在使用该密钥时需要输入密码进行登录。
- 如需为用户添加密钥,请执行以下操作:
- 点击通行密钥和安全密钥,以显示添加安全密钥按钮。
- 点击添加安全密钥。
- 按照屏幕上的说明操作。
注意:如果您的计算机上已插入安全密钥,请先移除该密钥,然后再为用户注册新密钥。 - 点击完成。
- 如需允许用户添加自己的安全密钥(仅可用于两步验证),请执行以下操作:
- 务必为用户关闭“跳过密码”设置,否则他们只能将安全密钥添加为通行密钥。如需了解相关步骤,请参阅为用户启用或停用“跳过密码”功能。
- 让用户按照使用安全密钥进行两步验证中的说明操作。
移除安全密钥
请仅在安全密钥丢失时移除该密钥。如果密钥暂时不可用,您可以生成备用安全码作为临时解决方法。如需了解详情,请参阅为用户获取备用验证码。
- 点击通行密钥和安全密钥,以显示密钥信息表。
- 滚动到表格的右侧。
- 将光标悬停在要移除的密钥所在的表格行上,然后点击移除。
- 点击移除进行确认。
- 点击完成。
管理员日志事件会在您每次撤消安全密钥时添加一个条目。
作为管理员,您可以查看用户的高级保护注册状态。如有必要,您可以在用户层级取消注册高级保护。
- 开启状态表示该用户目前已注册高级保护。
- 关闭状态表示该用户尚未注册高级保护。
如果您在此处停用了高级保护注册,那么只有用户能够重新注册,但前提是启用了安全身份验证
高级保护计划的允许用户注册设置。有关详情,请参阅允许用户注册。
只有用户可以启用两步验证 (2SV)。作为管理员,您可以检查用户当前的两步验证设置,并根据需要为被锁定用户获取备用验证码。
两步验证部分会显示用户是否启用了两步验证,以及您的组织当前是否强制执行两步验证。
- 您可以为被锁定用户关闭两步验证,但我们不建议这样做。我们建议为用户获取备用验证码,以便用户自行登录账号。
注意:如果用户账号被暂停,那么您将无法为其停用两步验证。
- 如果您单位强制执行两步验证,则您无法使用为个别用户关闭两步验证的选项。
暂时无法使用第二重身份验证方法的用户可能会被锁定。例如,用户将安全密钥落在家中,或者无法通过手机接收访问代码。对于这类用户,您可以生成备用验证码以允许他们登录。
- 要查看用户的备用验证码,请点击两步验证
注意:创建新的验证码会使所有现有验证码失效。例如,如果您使用管理控制台为用户创建了验证码,然后使用这些验证码生成新的验证码,那么上一组验证码就会失效,反之亦然。 - 复制一个现有的备用验证码或生成新验证码。注意:如果您认为现有的备用验证码已被盗或已用尽,请选择生成新验证码。先前的备用验证码会自动失效。
- 请让用户按照使用备用验证码登录中的说明操作。
如果要求用户必须使用安全密钥进行两步验证,则:
- 用户将无法生成自己的备用验证码。管理员需要生成验证码,并根据需要将其提供给用户。
- 在您为用户生成验证码后,宽限期即开始,在该宽限期结束之前,用户都可以使用这些验证码。系统将为您显示一个宽限期,在该宽限期结束后,用户需要使用他们的安全密钥登录。
如要详细了解如何要求用户必须设置两步验证,请参阅部署两步验证。
如果您怀疑用户的密码被盗,则可以强制用户在下次登录时重置密码。
- 点击需要更改密码
。
- 点击完成。
用户重置密码后,该设置会自动设为关闭。
注意:如果您的组织通过第三方 IdP 使用单点登录,则无法使用强制更改密码设置,除非您使用网络掩码允许部分用户直接登录 Workplace。要检查是否设置了网络掩码,请点击安全性 使用第三方身份提供商的单点登录服务
贵组织的单点登录配置文件。
如果 Google 怀疑有人在未经授权的情况下尝试登录用户的账号,就会在授予账号访问权限之前要求进行登录验证。用户必须执行下列任一操作:
- 输入 Google 向其辅助电话号码或辅助邮箱地址(您组织以外的电子邮件地址)发送的验证码。
- 回答只有账号所有者才能解答的验证问题。
添加或修改用户的恢复信息:
- 点击恢复信息。
- 添加或修改以下其中一项信息:
- 电子邮件地址(不属于您的单位)
- 辅助电话号码
注意:每位用户的辅助电话号码不得重复。如果多位用户使用了同一辅助电话号码,则系统会出于安全考虑自动屏蔽该号码。
- 点击保存。
如果 Google 怀疑有人在未经授权的情况下尝试登录用户的账号,就会在授予账号访问权限之前要求进行登录验证。用户必须输入 Google 向其手机发送的验证码,或者选择回答只有账号所有者才能解答的其他验证问题。
此外,如果 Google Workspace 用户尝试执行敏感操作,系统有时会要求用户进行身份验证。如果用户无法输入所需的信息,Google 会禁止敏感操作。
如果授权用户无法验证其身份,您可以关闭登录验证或身份验证 10 分钟,以允许用户登录。
如果用户丢失了自己的计算机或移动设备,您可以通过重置其登录 Cookie 来防止他人在未经授权的情况下访问该用户的 Google 账号。这会在所有设备和浏览器中,将用户退出 Google 账号(包括所有 Google Workspace 应用)。
注意:如果您暂停了用户,则无需执行此操作,因为暂停用户会重置其登录 Cookie。
如果您使用第三方身份提供商 (IdP) 设置了单点登录 (SSO),则用户的单点登录会话在重置登录 Cookie 后可能仍允许访问用户的 Google 账号。在这种情况下,请先终止用户的单点登录会话,然后再重置其 Google 登录 Cookie。如需有关单点登录管理的帮助,请与您的 IdP 支持团队联系。
要重置用户的 Cookie,请执行以下操作:
- 点击登录 Cookie
- 点击完成。
系统最长可能需要 1 小时才能将用户退出当前的 Gmail 会话。将用户退出其他应用所需的时间可能会有所不同。
如果您的用户使用两步验证,并且需要登录不接受验证码的应用或设备,那么用户需要使用应用专用密码才能访问这些应用。详细了解如何使用应用专用密码登录。
应用专用密码部分列出了用户已为哪些应用创建应用专用密码。注意:如果未使用任何应用专用密码,则此部分不可用。
点击应用名称,可详细了解该应用的密码的创建时间和上次使用时间。
如果用户丢失设备或停止使用通过该密码授权的应用,则您应该撤消应用专用密码。
- 点击应用专用密码部分以查看使用应用专用密码的应用。
- 将鼠标悬停在应用名称上,然后点击右侧的“撤消”图标
- 点击撤消。
- 点击完成。
您的用户还可以撤消自己的应用专用密码。
已关联的应用部分列出了有权访问相应用户的 Google 账号数据的所有第三方应用(例如 Google Workspace 应用商店中的应用)。了解授权访问的工作原理。
注意:如果未安装任何第三方应用,则此部分不可用。
点击应用名称可了解详情:
- 访问权限级别列会显示该应用可访问的用户数据。用户可以授予 Google 数据的完全访问权限,也可以授予其中特定数据的访问权限。
- 授权日期列会显示向应用授予数据访问权限的时间。
要暂时移除应用对数据的访问权限,请执行以下操作:
- 将鼠标悬停在应用名称上,然后点击右侧的“移除”图标
- 点击移除。
- 点击完成。
注意:移除应用的数据访问权限并不会阻止用户之后使用该应用(前提是用户拥有必要的权限)。用户重新登录应用后,数据访问权限就会恢复。要永久限制用户访问应用,您可以屏蔽对特定应用范围的访问权限,并为您的组织设置许可名单来添加已批准的应用。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。