適用於管理員帳戶的安全性最佳做法

請按照下列最佳做法提升管理員帳戶的安全性,進而確保貴公司的整體安全。

保護管理員帳戶

針對管理員帳戶要求第二重身分驗證

即使有人設法取得了管理員密碼,兩步驟驗證 (2SV) 也可防止帳戶在未經授權的情況下遭到存取。由於超級管理員的帳戶可控管機構中所有業務資料和員工資料的存取權,因此使用兩步驟驗證對這類帳戶而言格外重要。

使用安全金鑰進行兩步驟驗證

您可以透過多種方式進行兩步驟驗證,包括安全金鑰、Google 提示、Google Authenticator 和備用碼。安全金鑰是用於雙重驗證的小型硬體裝置;這是最為安全的兩步驟驗證形式,可協助您防範網路詐騙的威脅。

不要使用超級管理員帳戶從事日常活動

超級管理員可以全面掌控貴公司的帳戶,並重設其他帳戶的密碼。

超級管理員平時應透過其他使用者帳戶從事日常活動,只有在需要執行超級管理員的特定工作 (例如設定兩步驟驗證或協助其他管理員復原帳戶) 時,才登入超級管理員帳戶。

不要將超級管理員帳戶保持在登入狀態

並未執行特定管理工作卻將超級管理員帳戶保持在登入狀態,可能會提高遭受網路詐騙攻擊的風險。超級管理員應該只在需要處理特定工作時才登入,工作完成後就要立即登出。

控管超級管理員帳戶

設定多個超級管理員帳戶

一間公司應該要有多個超級管理員帳戶,並分別交由不同使用者控管,這樣一來,如有任何超級管理員失去帳戶存取權或發現帳戶遭駭,其他超級管理員仍可在復原該帳戶的期間處理重要工作。

建立使用者專屬超級管理員角色帳戶

如果多位超級管理員皆使用 admin@example.com 登入,您就無法在稽核記錄中分辨特定活動是由哪位超級管理員負責。因此,每位超級管理員都應該要有可辨識出其身分的管理員帳戶。

舉例來說,如果 Maria 和 James 都是超級管理員,他們除了自己的使用者帳戶外,也應該要有使用者專屬超級管理員角色帳戶

  • admin-maria@example.com、maria@example.com
  • admin-james@example.com、james@example.com
設定管理員權限以保護使用者隱私

根據預設,貴機構的管理員帳戶可用於存取 Google Workspace 服務的使用者內容和活動記錄,例如稽核記錄中的 Gmail 和 Chat 活動記錄。超級管理員可以只授予管理員在一般使用情況下所需的權限,藉此保護使用者的安全和隱私。

舉例來說,您可以限制貴機構中有多少位管理員有權存取報告和稽核記錄、調查工具、安全性資訊主頁和 Meet 品質工具。如需啟用/停用這些服務權限的操作說明,請參閱設定管理員權限以保護使用者隱私一文。

將日常管理工作委派給使用者帳戶

如要鼓勵超級管理員僅在有必要的時候使用超級管理員帳戶,您可以將一般的日常管理作業委派給使用者帳戶。舉例來說,您可以將重設密碼這類經常需要處理的活動委派給使用者帳戶,但僅允許超級管理員刪除帳戶。

委派管理員權限時,請採用最低權限模型,讓管理員只能透過日常使用的帳戶存取一般工作所需的資源和工具。

監控管理員帳戶的活動

設定管理員電子郵件快訊

如要監控管理員活動及追蹤潛在安全性風險,您可以針對特定事件設定管理員電子郵件快訊,例如發生可疑的登入嘗試行為、行動裝置遭駭,或是其他管理員所做的變更。

針對特定活動開啟快訊功能後,只要發生這類活動,您就會收到電子郵件。

檢閱管理員稽核記錄

您也可以利用管理員稽核記錄這項工具來監控管理員活動。管理員稽核記錄會顯示多種資訊,包括透過 Google 管理控制台執行的每一項工作、執行工作的管理員、工作執行日期,以及管理員登入時使用的 IP 位址等。

超級管理員的活動會在「活動說明」一欄顯示 _SEED_ADMIN_ROLE,後面接上相關的使用者名稱。

預先為管理員帳戶救援功能做好準備

新增管理員帳戶救援選項

管理員應在自己的管理員帳戶中新增救援選項

管理員如果忘記自己的密碼,只要按一下登入頁面上的 [忘記密碼?] 連結,就會收到 Google 透過電話、簡訊或電子郵件傳送的新密碼。為了在必要時使用這項功能,Google 需要管理員為帳戶提供備援電話號碼和電子郵件地址。

收集用於重設密碼的資訊

超級管理員如果無法自行透過電子郵件或電話號碼等救援選項重設密碼,也找不到另一位超級管理員代為重設密碼,則可與 Google 支援團隊聯絡。

為了驗證身分,Google 會詢問下列與機構帳戶相關的資訊:

  • 帳戶建立日期。
  • 與帳戶相關聯的原始次要電子郵件地址 (用來申請帳戶的電子郵件地址)。
  • 與帳戶相關聯的 Google 訂單號碼 (如果有的話)。
  • 已建立的使用者帳戶數量。
  • 連結至帳戶的帳單地址。
  • 申請帳號時使用的信用卡類型,以及該信用卡的末 4 碼。

Google 也會要求管理員驗證網域的 DNS 擁有權,因此管理員必須擁有所需憑證,才能配合註冊商編輯網域 DNS 設定。

註冊備用的安全金鑰

管理員應為管理員帳戶註冊多個安全金鑰,並妥善存放在安全的地方。這麼一來,即使主要的安全金鑰遺失或遭竊,管理員仍可登入自己的帳戶。

事先儲存備用碼

如果管理員遺失自己的安全金鑰或是用來接收兩步驟驗證碼或 Google 提示的手機,還可以利用備用碼登入。

管理員應事先建立備用碼並列印出來,以備不時之需。請將備用碼存放在安全的地方。

設定其他管理員

如果管理員無法登入自己的管理員帳戶,可以要求其他管理員代為建立備用碼,藉此透過兩步驟驗證的方式登入。

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題