高级保护计划常见问题解答

可以。您可以将高级保护计划用于以 SAML 模式通过 IdP 访问 Google 服务的帐号。如果拥有这类帐号的用户注册加入高级保护计划，那么我们会要求他们在登录 IdP 后使用安全密钥。请注意，SAML 用户可以选择记住设备，以避免登录浏览器或设备时需要进行身份验证。

需要有两个安全密钥是为了多一重保障。在一个密钥丢失或损坏的情况下，用户可以使用另一个密钥重新获得帐号的访问权限。

无论用户是否注册加入高级保护计划，系统都会采取相同的身份验证行为。一般来说，系统会在用户用来登录 Google Workspace 的设备或浏览器上记住该用户，并且用户日后在同一浏览器或设备上登录时，系统不会要求两步验证。此外，可以通过管理控制台中的设置来让用户免于使用安全密钥。

您可以使用蓝牙低功耗 (BLE) 安全密钥与移动设备通信，以便进行 Google 帐号身份验证。在登录过程中，系统会提示您从 Apple App Store 下载 Google SmartLock 应用并进行使用。必须通过 SmartLock 才能与 BLE 安全密钥进行通信。

大多数浏览器、应用和服务都支持基于网络的身份验证方式，并且本身也支持安全密钥。不过，仍有很多无法使用安全密钥的用例，所涉及的都是 Internet Explorer 之类的旧平台，或者使用嵌入式 WebView 的旧原生移动应用。此外，如果您目前为远程工作站使用 Chrome 远程桌面，则可能无法将安全密钥插入该远程设备的 USB 端口。

对于这类情况，我们支持使用安全代码。安全代码是由用户将安全密钥插入受支持的平台所生成的一次性代码。

对于可以自行注册加入高级保护计划的用户，他们也可以选择使用安全代码。但请注意，直接使用安全密钥比同时使用安全密钥和安全代码更加安全。我们建议，管理员在允许用户使用安全代码时要三思而后行。

默认情况下，系统会自动屏蔽需要以高风险方式访问 Gmail 和 Google 云端硬盘的应用，但所有 Google 应用、Apple 原生 iOS 应用和 Mozilla Thunderbird 邮件客户端除外。

用户可能会上当受骗，向应用授予高风险访问权限。高级保护计划旨在保护风险最高的用户，因此我们希望遏制通过应用实施的网上诱骗。

管理员可以批准用户访问特定关联的应用。系统会按照管理员创建的已批准应用列表来管理用户的访问行为，对于被视为存在高风险（见上文）且未列入管理员批准列表的应用，系统会将它们屏蔽。

系统会自动允许包括 GCDS 和 GSPS 在内的 Google 第一方应用进行访问，无需管理员执行任何操作。

对于注册加入高级保护计划且拥有适当许可的用户，系统会为其启用增强型递送前扫描和安全沙盒。所有版本均提供增强型递送前扫描。但安全沙盒仅供 Enterprise 版用户使用。