本文供管理员参考。要了解用户可以执行哪些操作,请转到安全性较低的应用和您的 Google 帐号。
您可以禁止用户登录某些安全性较低的应用或设备。安全性较低的应用没有采用 OAuth 等现代安全标准,因此使用这类应用将增加帐号被盗用以及设备被破解的风险。屏蔽这类应用和设备有助于提升数据的安全性。
不支持现代安全标准的应用示例包括:
- 旧版本 iOS 和 OSX 上的原生邮件、通讯录和日历同步应用
- 旧版本 Microsoft Outlook 等某些计算机邮件客户端
支持现代安全标准的应用示例包括 Gmail、Windows Mail、Microsoft 365(桌面版)中的 Outlook、Outlook for Mac、Instagram、PayPal、Amazon、Facebook 以及 Basecamp。
注意:在为帐号启用两步验证后,系统会自动停用对安全性较低的应用的访问权限,除非用户所在的配置群组允许访问安全性较低的应用。请参阅下文中的管理对安全性较低的应用的访问权限。
改用安全性较高的应用访问 Google 帐号
禁止登录安全性较低的应用有助于确保帐号安全无虞。出于上述原因,Google 将限制通过基于密码的程序化登录方法登录 Google 帐号。
您将无法再通过管理控制台进行安全性较低的应用相关的强制执行设置。
尽管强制执行选项已被移除,您仍然可以允许用户开启或关闭通过个人帐号访问安全性较低的应用的权限。对于不再使用安全性较低的应用的用户,Google 将为其个人帐号关闭该设置。在该设置被移除之前,用户可以重新开启。
由于 Google 正逐步禁止安全性较低的应用访问 Google 帐号,您将收到相关电子邮件通知,告知此变化对您的影响。
由于强制执行选项已不再提供,我们建议您立即关闭安全性较低的应用的访问权限。您应尽早开始使用替代应用来替换安全性较低的应用。
- 使用您公司内采用 OAuth 2.0 身份验证的应用。部署新应用,或将现有应用更新至支持 OAuth 2.0 身份验证的版本。
- 如果部分用户无法迁移到安全性更高的平台,则可以使用替代方案。
| 安全性较低的应用 | 替代方案 |
|---|---|
| 配置 POP3 的 Apple 邮件 |
将您的 Google 帐号重新添加到 Apple 邮件,并将其配置为通过 OAuth 使用 IMAP。 这会自动启动与 OAuth 的连接。 |
| iOS 邮件 |
只要您使用的是 iOS 6.0 或更高版本,就可以继续使用 iOS 邮件。 当您使用 Google 选项添加帐号时,OAuth 支持会自动包含在 iOS 6.0 及更高版本中。 |
|
通过基于密码的 POP 或 IMAP |
Google Workspace Sync for Microsoft Outlook (GWSMO). |
| Mozilla Thunderbird |
将您的 Google 帐号重新添加到 Thunderbird,并将其配置为通过 OAuth 使用 IMAP。 这会自动启动与 OAuth 的连接。 |
|
旧办公设备 例如:扫描仪和可发送电子邮件的多功能打印机 |
继续通过 SMTP 使用旧办公设备。其他协议(例如 POP3 和 IMAP)将被禁用,除非它们使用 OAuth。 |
| 其他任何应用 | 要求应用开发者更新应用,使其使用 OAuth 2.0。 |
管理对安全性较低的应用的访问权限
您可以允许用户开启或关闭安全性较低的应用的访问权限,或禁止用户授权安全性较低的应用。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择一个下级单位部门或配置群组。
- 针对安全性较低的应用,选择设置:
-
禁止访问安全性较低的应用(推荐)
用户无法开启对安全性较低的应用的访问权限。
如果您禁止所有用户访问安全性较低的应用,但某一安全性较低的应用与用户帐号建立了开放连接,那么该应用在尝试刷新连接时会出现超时。超时期限会因应用而异。 - 让用户自行管理他们能否访问安全性较低的应用
用户可以开启或关闭对安全性较低的应用的访问权限。
-
- 点击保存。如果您配置了下级单位部门,则或许可以继承或覆盖上级单位部门的设置。
监控允许安全性较低的应用访问的帐号
使用帐号报告来查看用户是否可以允许安全性较低的应用访问其帐号。有关详情,请参阅帐号报告。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
