管理员账号的安全最佳做法

按照以下最佳做法操作可提高管理员账号的安全性，进而确保整体业务的安全。

如需了解更多安全防护最佳做法，请参阅安全防护核对清单。

保护管理员账号

	要求管理员账号使用两步验证如果管理员密码泄露，两步验证 (2SV) 可防止他人未经授权访问管理员账号。对于超级用户来说，使用两步验证尤其重要，因为他们的账号控制着单位中所有业务数据和员工数据的访问权限。通过两步验证来保护您的企业
	使用安全密钥进行两步验证两步验证方式包括安全密钥、Google 提示、Google 身份验证器和备用验证码。安全密钥是一种小型硬件设备，可用于进行双重身份验证。它可帮助防止用户遭受网上诱骗威胁，是最安全的两步验证方式。安全密钥
	不要让用户共用管理员账号向每位管理员提供他们自己的可识别个人身份的管理员账号，否则，如果多个用户使用同一管理员账号（例如 admin@example.com）来登录管理控制台，则您无法确定审核日志中负责特定活动的管理员。
	防范定向攻击您可以为超级用户账号和其他敏感账号注册加入高级保护计划，这样就可以一次性应用本文所述的许多推荐措施。使用高级保护计划保护用户

管理超级用户账号

	设置多个超级用户账号您的单位应设置多个超级用户账号，并由不同用户进行管理（避免共用管理员账号）。如此一来，如果有账号丢失或遭到盗用，则在该账号恢复期间，可以由其他超级用户来执行重要任务。
	请勿使用超级用户账号进行日常活动向每个超级用户提供 2 个账号：他们自己的超级用户账号，以及进行日常活动的另一个账号。用户应仅在登录超级用户账号后才能执行超级用户任务，如设置两步验证、管理结算和用户许可或帮助其他管理员恢复账号。超级用户应使用其他非管理员账号进行日常活动。举例来说，如果 Maria 和 James 都是超级用户，他们应该拥有属于可识别个人身份的管理员账号和用户账号，如下所示： admin-maria@example.com、maria@example.com admin-james@example.com、james@example.com
	确保您可以收到重要的管理员通知如果您不经常使用主要管理员账号登录，则可能会错过 Google 向您发送的重要服务通告。为了确保您收到这些通告，请设置辅助电子邮件联系人，以让系统将这些通告发送到您常用的账号。向其他管理员发送结算和账号通知
	不要将超级用户账号保持登录状态若在不执行特定管理任务时保持超级用户账号登录状态，会增加遭受钓鱼式攻击侵扰的概率。超级用户应根据需要登录账号，并在完成任务后退出登录。
	使用非超级用户账号执行日常管理任务仅在需要时使用超级用户账号。将管理员任务委托给拥有受限管理员角色的用户账号。推行最小权限方式，让每位用户只能访问完成各自平时任务所需的资源和工具。举例来说，您可以授予管理员创建用户账号和重置密码的权限，但不授予其删除账号的权限。关于管理员角色
	选择超级用户恢复账号的方式通过启用或停用账号自行恢复功能，控制超级用户在忘记密码时访问账号的方式。对于大多数现有客户和所有新客户，超级用户账号恢复功能在默认情况下处于停用状态。如果您是现有客户，且超级用户数量少于 3 人或用户数量少于 500 人，则该设置默认开启，同此前的默认选项保持一致。允许超级用户恢复其密码

监控管理员账号的活动

设置管理员电子邮件提醒

您可以针对特定事件（例如有可疑的登录尝试行为、移动设备遭到破解或者其他管理员更改设置）设置管理员电子邮件提醒，从而监控管理员活动并追踪潜在安全风险。

为某个活动开启提醒后，每次该活动发生时，您都会收到一封电子邮件。

管理员电子邮件提醒和系统指定的规则

查看管理员日志事件

通过日志事件数据查看在 Google 管理控制台中执行的各项任务的历史记录、执行任务的管理员、日期，以及管理员登录时使用的 IP 地址。

超级用户的活动在事件说明列中将显示为_SEED_ADMIN_ROLE，且后跟用户名。

管理员日志事件

恢复管理员账号的准备工作

	为管理员账号添加恢复选项管理员应为其管理员账号添加恢复选项。如果管理员忘记了密码，可以在登录页面点击需要帮助？链接，Google 会通过电话、短信或电子邮件发送新密码。为此，Google 需要管理员为其账号提供辅助电话号码和辅助邮箱。为管理员账号添加账号恢复信息
	妥善保存重设密码所需的信息如果超级用户的自行恢复账号功能处于启用状态，则为自己的账号添加了账号恢复选项的超级用户可以使用电子邮件或电话恢复选项重置密码。如果超级用户账号自行恢复功能处于停用状态，并且没有其他超级用户可重置密码，则需要重置密码的超级用户可以使用恢复向导。 Google 会询问有关单位账号的问题以验证身份：账号的创建日期。与账号关联的原始辅助电子邮件地址（用于注册的电子邮件地址）。与账号关联的 Google 订单号（如有）。已创建的用户账号数量。与账号关联的账单邮寄地址。所使用的信用卡类型及其最后 4 位数字。 Google 还会要求管理员验证网域的 DNS 所有权，因此管理员需要拥有修改注册商网域 DNS 设置的凭据。重置管理员密码 - 如果没有辅助邮箱和电话号码选项时该怎么办
	注册备用安全密钥管理员应为其管理员账号注册多个安全密钥，并将其保存在安全的地方。如果主安全密钥丢失或被盗，他们仍然可以登录自己的账号。为账号添加安全密钥
	提前保存备用验证码如果管理员丢失了安全密钥或手机（用于接收两步验证的验证码或 Google 提示），他们可以使用备用验证码登录。管理员应生成并打印备用验证码以供需要时使用。请将备用验证码保存在安全的地方。生成并打印备用验证码

该内容对您有帮助吗？

您有什么改进建议？

	要求管理员账号使用两步验证如果管理员密码泄露，两步验证 (2SV) 可防止他人未经授权访问管理员账号。对于超级用户来说，使用两步验证尤其重要，因为他们的账号控制着单位中所有业务数据和员工数据的访问权限。通过两步验证来保护您的企业
	使用安全密钥进行两步验证两步验证方式包括安全密钥、Google 提示、Google 身份验证器和备用验证码。安全密钥是一种小型硬件设备，可用于进行双重身份验证。它可帮助防止用户遭受网上诱骗威胁，是最安全的两步验证方式。安全密钥
	不要让用户共用管理员账号向每位管理员提供他们自己的可识别个人身份的管理员账号，否则，如果多个用户使用同一管理员账号（例如 admin@example.com）来登录管理控制台，则您无法确定审核日志中负责特定活动的管理员。
	防范定向攻击您可以为超级用户账号和其他敏感账号注册加入高级保护计划，这样就可以一次性应用本文所述的许多推荐措施。使用高级保护计划保护用户

	设置多个超级用户账号您的单位应设置多个超级用户账号，并由不同用户进行管理（避免共用管理员账号）。如此一来，如果有账号丢失或遭到盗用，则在该账号恢复期间，可以由其他超级用户来执行重要任务。
	请勿使用超级用户账号进行日常活动向每个超级用户提供 2 个账号：他们自己的超级用户账号，以及进行日常活动的另一个账号。用户应仅在登录超级用户账号后才能执行超级用户任务，如设置两步验证、管理结算和用户许可或帮助其他管理员恢复账号。超级用户应使用其他非管理员账号进行日常活动。举例来说，如果 Maria 和 James 都是超级用户，他们应该拥有属于可识别个人身份的管理员账号和用户账号，如下所示： admin-maria@example.com、maria@example.com admin-james@example.com、james@example.com
	确保您可以收到重要的管理员通知如果您不经常使用主要管理员账号登录，则可能会错过 Google 向您发送的重要服务通告。为了确保您收到这些通告，请设置辅助电子邮件联系人，以让系统将这些通告发送到您常用的账号。向其他管理员发送结算和账号通知
	不要将超级用户账号保持登录状态若在不执行特定管理任务时保持超级用户账号登录状态，会增加遭受钓鱼式攻击侵扰的概率。超级用户应根据需要登录账号，并在完成任务后退出登录。
	使用非超级用户账号执行日常管理任务仅在需要时使用超级用户账号。将管理员任务委托给拥有受限管理员角色的用户账号。推行最小权限方式，让每位用户只能访问完成各自平时任务所需的资源和工具。举例来说，您可以授予管理员创建用户账号和重置密码的权限，但不授予其删除账号的权限。关于管理员角色
	选择超级用户恢复账号的方式通过启用或停用账号自行恢复功能，控制超级用户在忘记密码时访问账号的方式。对于大多数现有客户和所有新客户，超级用户账号恢复功能在默认情况下处于停用状态。如果您是现有客户，且超级用户数量少于 3 人或用户数量少于 500 人，则该设置默认开启，同此前的默认选项保持一致。允许超级用户恢复其密码

	为管理员账号添加恢复选项管理员应为其管理员账号添加恢复选项。如果管理员忘记了密码，可以在登录页面点击需要帮助？链接，Google 会通过电话、短信或电子邮件发送新密码。为此，Google 需要管理员为其账号提供辅助电话号码和辅助邮箱。为管理员账号添加账号恢复信息
	妥善保存重设密码所需的信息如果超级用户的自行恢复账号功能处于启用状态，则为自己的账号添加了账号恢复选项的超级用户可以使用电子邮件或电话恢复选项重置密码。如果超级用户账号自行恢复功能处于停用状态，并且没有其他超级用户可重置密码，则需要重置密码的超级用户可以使用恢复向导。 Google 会询问有关单位账号的问题以验证身份：账号的创建日期。与账号关联的原始辅助电子邮件地址（用于注册的电子邮件地址）。与账号关联的 Google 订单号（如有）。已创建的用户账号数量。与账号关联的账单邮寄地址。所使用的信用卡类型及其最后 4 位数字。 Google 还会要求管理员验证网域的 DNS 所有权，因此管理员需要拥有修改注册商网域 DNS 设置的凭据。重置管理员密码 - 如果没有辅助邮箱和电话号码选项时该怎么办
	注册备用安全密钥管理员应为其管理员账号注册多个安全密钥，并将其保存在安全的地方。如果主安全密钥丢失或被盗，他们仍然可以登录自己的账号。为账号添加安全密钥
	提前保存备用验证码如果管理员丢失了安全密钥或手机（用于接收两步验证的验证码或 Google 提示），他们可以使用备用验证码登录。管理员应生成并打印备用验证码以供需要时使用。请将备用验证码保存在安全的地方。生成并打印备用验证码

管理员账号的安全最佳做法

保护管理员账号

管理超级用户账号

监控管理员账号的活动

恢复管理员账号的准备工作

相关主题

该内容对您有帮助吗？

需要更多帮助？

请尝试以下步骤：

该选择与什么问题最相关？

共享其他信息或建议