管理使用者的安全性設定

1. 依序按一下 [密碼]  [重設密碼]。
2. 選擇自動產生密碼，或是自行輸入密碼。

   根據預設，密碼長度下限為 8 個字元。您可以變更貴機構的密碼規定。

3. (選用) 如要查看密碼，請按一下「預覽」圖示 。
4. (選用) 如要強制要求使用者變更密碼，請確認「要求在下次登入變更密碼」已設為開啟 。
5. 按一下 [重設]。
6. (選用) 如要將密碼貼入其他位置 (例如與使用者的 Google Chat 對話中)，請點選 [按一下即可複製密碼]。
7. 選擇透過電子郵件將密碼傳送給使用者，或是按一下 [完成]。

安全金鑰是一種小型裝置，可讓您使用兩步驟驗證 (2SV) 登入 Google 帳戶。安全金鑰是 Google 支援的兩步驟驗證方法中最安全的一種。用法是將金鑰插入電腦的 USB 連接埠，或透過 NFC 或藍牙與行動裝置連線。瞭解詳情

如果使用者正在使用安全金鑰，按一下「安全金鑰」部分即可瞭解金鑰的新增日期和上次使用時間。

請新增金鑰

您可以為使用者新增安全金鑰，或是讓使用者自行新增安全金鑰。

• 使用者可以按照為 Google 帳戶新增安全金鑰的操作說明自行新增安全金鑰。
• 如何為使用者新增安全金鑰：
  1. 按一下 [安全金鑰] 即可顯示新增按鈕。
  2. 按一下 [新增安全金鑰]。
  3. 按照畫面上的指示操作。

     注意：如果您的電腦已插入安全金鑰，則必須先取出這個金鑰，才能為使用者註冊新的金鑰。

  4. 按一下 [完成]。

移除金鑰

只有在安全金鑰遺失時，您才需要將其移除。如果只是暫時無法取得金鑰，則可以產生備用安全碼做為臨時替代方案。詳情請參閱「為使用者取得備用驗證碼」一節。

1. 按一下 [安全金鑰] 即可顯示金鑰資訊表格。
2. 將表格捲動至最右側。
3. 找出要移除的金鑰，將滑鼠游標懸停在對應的表格行上，然後按一下右側的「刪除」圖示 。
4. 依序按一下「刪除」圖示 「移除」。
5. 按一下 [完成]。

   每撤銷一個安全金鑰，管理員記錄事件都會新增一筆記錄項目。

注意：您可以強制要求使用者運用安全金鑰進行兩步驟驗證。

管理員可以查看使用者的進階保護計畫註冊狀態，並視需要在使用者層級取消註冊。

• 如果狀態顯示為「開啟」，表示使用者目前已註冊進階保護計畫。
• 「關閉」狀態表示使用者尚未註冊進階保護計畫。

如果在這裡關閉進階保護註冊設定，只有「啟用使用者註冊作業」這項設定已啟用，使用者才能再次重新註冊，此設定位於「安全性」「驗證」「進階保護計畫」。詳情請參閱「允許使用者註冊」。

只有使用者可以啟用兩步驟驗證 (2SV)，但是管理員可以檢查使用者目前的兩步驟驗證設定，並在必要時為遭到鎖定的使用者取得備用碼。

「兩步驟驗證」部分會顯示個別使用者的兩步驟驗證啟用狀態，以及貴機構目前是否強制執行這項機制。

• 您可以為遭到鎖定的使用者關閉兩步驟驗證，但我們不建議這麼做。比較理想的做法是為這些使用者取得備用碼，讓他們以備用碼登入帳戶。

  注意：您無法為帳戶遭到停權的使用者關閉兩步驟驗證。

• 如果貴機構已強制執行兩步驟驗證，您就無法為個別使用者關閉這項功能。

如果使用者暫時無法取得自己的第二種驗證工具，就可能遭到系統鎖定。舉例來說，使用者可能會將安全金鑰忘在家裡，或是無法透過手機接收存取碼。當使用者因為這些情況而無法登入時，您就可以為他們產生備用驗證碼。

1. 如要查看使用者的備用驗證碼，請依序按一下 [兩步驟驗證]  [取得備用驗證碼]。
   注意：建立新的驗證碼會使所有現有的驗證碼失效。舉例來說，如果您透過管理控制台建立使用者的驗證碼，然後使用這些驗證碼產生新的驗證碼，則先前的這組驗證碼將會失效，反之亦然。
2. 複製現有的一組備用碼，或產生新的備用碼。注意：如果您認為現有的備用碼已經遭竊，或是現有的備用碼都用完了，請選取「取得新的備用碼」。舊的備用碼將自動失效。
3. 請使用者按照使用備用碼登入帳戶一文的說明操作。

使用者若依規定必須使用安全金鑰進行兩步驟驗證，您將在他們使用備用碼登入後，看到他們可以免用安全金鑰登入的寬限期。

如果您懷疑使用者的密碼遭竊，可以強制要求使用者在下次登入時重設密碼。

1. 按一下 [必須變更密碼]  將切換按鈕設為 [開啟] 。
2. 按一下 [完成]。

在使用者重設密碼後，這項設定會自動設為「關閉」。

注意：如果貴機構是透過第三方 IdP 使用單一登入 (SSO) 服務，則必須使用網路遮罩允許部分使用者直接登入 Workplace，才能強制變更密碼。如要檢查網路遮罩是否已設定完成，請依序前往「安全性」「使用第三方 IDP 的 SSO 服務」「貴機構的單一登入 (SSO) 設定檔」。

如果 Google 發現未經授權的人士試圖登入某位使用者的帳戶，會要求對方必須先回答登入身分確認問題，才會授予該帳戶的存取權。登入驗證必要的操作如下 (二擇一)：

• 輸入 Google 傳送至他們備援電話號碼或備援電子郵件地址 (貴機構以外的電子郵件地址) 的驗證碼。
• 回答只有帳戶擁有者才知道答案的確認問題。

如何新增或編輯使用者的備援資訊：

1. 按一下 [備援資訊]。
2. 新增或編輯下列任一資訊：
   • (貴機構以外的) 電子郵件地址
   • 備援電話號碼

     注意：每位使用者的備援電話號碼不得重複。如果有多位使用者的備援電話號碼相同，系統會基於安全考量自動封鎖該號碼。

3. 按一下「儲存」。

如果 Google 發現未經授權的人士試圖登入某位使用者的帳戶，會要求對方必須先回答登入身分確認問題，才會授予該帳戶的存取權。在這種情況下，使用者必須輸入 Google 傳送至手機的驗證碼。或是選擇回答只有帳戶擁有者能解決的其他確認問題。

此外，如果 Google Workspace 使用者嘗試執行敏感動作，系統有時可能會要求使用者驗證身分。如果使用者無法輸入要求的資訊，Google 會禁止該敏感動作。

如果獲得授權的使用者無法驗證自己的身分，您可以關閉登入功能或驗證身分的確認問題 10 分鐘，讓使用者得以登入帳戶。

萬一使用者遺失電腦或行動裝置，您可以透過重設登入 Cookie 來防止他人未經授權存取使用者的 Google 帳戶。這樣一來，使用者就會從所有裝置和瀏覽器中登出 Google 帳戶 (包括任何 Google Workspace 應用程式)。

注意：如果您已將使用者停權，則不需執行這項操作，因為系統會為被停權的使用者重設登入 Cookie。

如果您已透過第三方識別資訊提供者 (IdP) 設定單一登入 (SSO) 服務，那麼即使登入 Cookie 已經重設，使用者仍可能在 SSO 工作階段中存取自己的 Google 帳戶。為了避免這種情況，請「先終止使用者的 SSO 登入階段」，再重設使用者的 Google 登入 Cookie。如需 SSO 管理作業的相關協助，請與您的 IdP 支援小組聯絡。

如何重設使用者的 Cookie：

1. 依序按一下 [登入 Cookie] [重設]。
2. 按一下 [完成]。

系統最多可能需要一小時，才能將使用者登出目前的 Gmail 工作階段。其他應用程式所需的時間不盡相同。

如果使用者採用兩步驟驗證，但是他們需要登入的應用程式或裝置不接受驗證碼，則必須用「應用程式專用密碼」存取這類應用程式。進一步瞭解如何使用應用程式密碼登入帳戶。

「應用程式專用密碼」部分會列出使用者已建立專用密碼的應用程式。注意：如果沒有設定任何應用程式密碼，這個部分就不會出現。

按一下應用程式名稱，即可進一步瞭解應用程式密碼的建立時間，上次使用密碼的時間。

當使用者遺失裝置，或是停止使用以專用密碼獲得授權的應用程式時，請務必撤銷相關的應用程式密碼。

1. 按一下「應用程式專用密碼」部分，即可查看設有專用密碼的應用程式。
2. 將游標移至應用程式名稱上，然後按一下右側的 圖示。
3. 按一下 [撤銷]。
4. 按一下 [完成]。

使用者也可以自行撤銷應用程式密碼。

在「已連結的應用程式」部分中，系統會列出所有能夠存取該使用者 Google 帳戶資料的第三方應用程式 (例如 Google Workspace Marketplace 中的應用程式)。瞭解授權存取的運作方式。

注意：如果沒有安裝任何第三方應用程式，這個部分就不會出現。

按一下應用程式名稱即可瞭解詳情：

• 「存取層級」一欄會顯示該應用程式可存取的使用者資料。使用者可以授予完整存取權，也可以僅授予特定 Google 資料的存取權。
• 「授權日期」一欄會顯示應用程式獲得資料存取權的日期。

如何暫時移除應用程式的資料存取權：

1. 將游標移至應用程式名稱上，然後按一下右側的 圖示。
2. 按一下「移除」。
3. 按一下 [完成]。

注意：移除應用程式的資料存取權並無法防止使用者日後使用該應用程式 (前提是使用者擁有必要權限)。當使用者重新登入應用程式，應用程式就會取回資料存取權。如要永久限制使用者使用應用程式，您可以封鎖特定範圍應用程式的存取權，並為貴機構設定核准應用程式的許可清單。