適用於管理員帳戶的安全性最佳做法

請按照下列最佳做法提升管理員帳戶的安全性,進而確保貴公司的整體安全。

保護管理員帳戶

規定管理員帳戶必須使用兩步驟驗證

即使有人設法取得了管理員密碼,兩步驟驗證 (2SV) 也可防止帳戶在未經授權的情況下遭到存取。由於超級管理員的帳戶可控管機構中所有業務資料和員工資料的存取權,因此使用兩步驟驗證對這類帳戶而言格外重要。

使用安全金鑰進行兩步驟驗證

您可以透過多種方式進行兩步驟驗證,包括安全金鑰、Google 提示、Google Authenticator 和備用碼。安全金鑰是用於雙重驗證的小型硬體裝置;這是最為安全的兩步驟驗證形式,可協助您防範網路詐騙威脅。

避免共用管理員帳戶
請給予每位管理員可辨識其身分的管理員帳戶。否則,如果多位使用者透過同一管理員帳戶 (例如 admin@example.com) 登入管理控制台,您將無法分辨哪位管理員負責稽核記錄中的特定活動。

控管超級管理員帳戶

設定多個超級管理員帳戶

一間公司應該要有多個超級管理員帳戶,並分別交由不同人員控管 (避免共用管理員帳戶)。這樣一來,如有任何超級管理員失去帳戶存取權或發現帳戶遭駭,在等待該帳戶復原期間,其他超級管理員仍可處理重要工作。

不要使用超級管理員帳戶從事日常活動

請給予每位超級管理員 2 個帳戶:一個是他們自己的超級管理員帳戶,另一個是用於執行日常活動的帳戶。

以超級管理員身分登入後,您便可全面掌控貴公司的帳戶,包括管理帳單、使用者授權及其他管理員等重要活動。為盡可能減少對這些控制項的存取次數,每位超級管理員應使用不具有超級管理員權限的另一個帳戶來處理日常活動。另外,如先前所述,這些超級管理員不應共用同一個超級管理員帳戶,而應分別具有可辨識其身分的超級管理員帳戶。

舉例來說,如果 Maria 和 James 都是超級管理員,他們每人都應具有使用者帳戶和便於辨識身分的管理員帳戶,具體如下:

  • admin-maria@example.com、maria@example.com
  • admin-james@example.com、james@example.com

他們應該只在需要執行超級管理員工作 (例如設定兩步驟驗證 (2SV) 或協助其他管理員復原帳戶) 時,才登入超級管理員帳戶。

重要事項:如果不常登入主要管理員帳戶 (在 Google 管理控制台中設定,依序點選 [帳戶設定] > [設定檔] > [聯絡資訊]),則將錯過 Google 傳送的重大服務公告。如要確保收到這些公告,請將日常使用的帳戶設定為次要電子郵件聯絡人。如需操作說明,請參閱將帳單與帳戶通知傳送給另一位管理員

不要將超級管理員帳戶保持在登入狀態

並未執行特定管理工作卻將超級管理員帳戶保持在登入狀態,可能會提高遭受網路詐騙攻擊的風險。超級管理員應該只在需要處理特定工作時才登入,工作完成後就要立即登出。

將日常管理員工作委派給非超級管理員使用者

您可以在不授予完整超級管理員權限的情況下,允許管理員執行日常管理員工作,只需向其帳戶指派一或多個管理員角色即可。舉例來說,您可以授予管理員建立使用者帳戶及重設密碼的權限,但不允許其刪除使用者帳戶。

您可以指派預先建立的管理員角色,或建立擁有多項所選權限的自訂角色。在任何情況下,請嘗試僅向每位管理員授予其工作角色所需資源和工具的存取權限。

如要開始設定,請參閱關於管理員角色一文

監控管理員帳戶的活動

設定管理員電子郵件快訊

如要監控管理員活動及追蹤潛在安全性風險,您可以針對特定事件設定管理員電子郵件快訊,例如發生可疑的登入嘗試行為、行動裝置遭駭,或是其他管理員所做的變更。

針對特定活動開啟快訊功能後,只要發生這類活動,您就會收到電子郵件。

檢閱管理員稽核記錄

您也可以利用管理員稽核記錄這項工具來監控管理員活動。管理員稽核記錄會顯示多種資訊,包括透過 Google 管理控制台執行的每一項工作、執行工作的管理員、工作執行日期,以及管理員登入時使用的 IP 位址等。

超級管理員的活動會在「活動說明」一欄顯示 _SEED_ADMIN_ROLE,後面接上相關的使用者名稱。

預先為管理員帳戶救援功能做好準備

新增管理員帳戶救援選項

管理員應在自己的管理員帳戶中新增救援選項

管理員如果忘記自己的密碼,只要按一下登入頁面上的 [需要協助嗎?] 連結,就會收到 Google 透過電話、簡訊或電子郵件寄出的新密碼。為了在必要時使用這項功能,Google 需要管理員為帳戶提供備援電話號碼和電子郵件地址。

收集用於重設密碼的資訊

超級管理員如果無法自行透過電子郵件或電話號碼等救援選項重設密碼,也找不到另一位超級管理員代為重設密碼,則可與 Google 支援團隊聯絡。

為了驗證身分,Google 會詢問下列與機構帳戶相關的資訊:

  • 帳戶建立日期。
  • 與帳戶相關聯的原始次要電子郵件地址 (用來申請帳戶的電子郵件地址)。
  • 與帳戶相關聯的 Google 訂單號碼 (如果有的話)。
  • 已建立的使用者帳戶數量。
  • 連結至帳戶的帳單地址。
  • 申請帳號時使用的信用卡類型,以及該信用卡的末 4 碼。

Google 也會要求管理員驗證網域的 DNS 擁有權,因此管理員必須擁有所需憑證,才能配合註冊商編輯網域 DNS 設定。

註冊備用的安全金鑰

管理員應為管理員帳戶註冊多個安全金鑰,並妥善存放在安全的地方。這麼一來,即使主要的安全金鑰遺失或遭竊,管理員仍可登入自己的帳戶。

事先儲存備用碼

如果管理員遺失自己的安全金鑰或是用來接收兩步驟驗證碼或 Google 提示的手機,還可以利用備用碼登入。

管理員應事先建立備用碼並列印出來,以備不時之需。請將備用碼存放在安全的地方。

設定其他管理員

如果管理員無法登入自己的管理員帳戶,可以要求其他管理員代為建立備用碼,藉此透過兩步驟驗證登入。

相關主題

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題