如果您不想授予使用者完整的 Google 管理控制台存取權,可以指派管理員角色,只讓他們執行部分管理工作。您可以將多個管理員角色指派給使用者。
此外,您也可以將管理員角色指派給群組或服務帳戶,而非指派給使用者。舉例來說,您可以讓服務帳戶管理員使用 Cloud Identity Groups API 透過管理控制台以外的應用程式建立及更新群組和群組成員。
管理員角色如何發揮作用
在管理控制台中,管理員可以查看的資訊和執行的工作,只限於角色權限內。舉例來說,假設您指派了預先建立的「使用者管理」管理員角色給使用者,對方就只能查看及修改管理員以外使用者的某些設定。
角色指派限制的運作方式
您可以設定任何角色來套用至所有機構單位。無論角色的數量為何,您最多可以設定 1000 個指派作業。舉例來說,您可以將一個角色指派給 300 位使用者,並將另一個角色指派給 700 位使用者。
您也可以改為將部分角色套用至機構單位。無論角色的數量為何,您最多可以為每個機構單位設定 100 個指派作業。如要查看是否能對機構單位套用角色,請前往使用者的角色指派頁面,然後在「所有機構單位」旁邊找出「編輯」圖示 。例如,使用者管理員預先建立的角色,或至少擁有一項「使用者」權限的自訂角色。
如果您仍然需要指派超過 1000 個角色,則可以為群組新增多位成員,並將角色指派給群組。無論群組成員人數為何,對群組的角色指派作業都只會計為一次指派。
事前準備
步驟 1:查看使用中的預先建立/自訂角色
-
- 在管理控制台中,依序點選「選單」圖示 「帳戶」「管理員角色」。
- 將滑鼠游標移至要查看的角色,然後按一下 [查看權限] 即可檢視角色的權限;點選 [查看管理員] 則可瀏覽已獲得該角色的管理員。
步驟 2:決定角色類型
- 指派預先建立的系統角色來處理一般工作。請參閱「預先建立的管理員角色」。
- 建立及指派具備不同存取層級的自訂角色。如要採取這種做法,您必須先建立角色。請參閱建立自訂角色一節。
指派角色
您必須以超級管理員的身分登入才能執行這項工作。
您可以按照將角色指派給多位使用者或群組的程序操作,同時指派角色給使用者和群組。
指派角色給單一使用者(Beta 版) 如要將「網路論壇檢視者」或「網路論壇編輯者」角色指派給單一使用者,並將權限範圍限制在安全性群組、非安全性群組,已鎖定/未鎖定的群組,請參閱「一次將角色指派給多位使用者」。
-
- 在管理控制台中,依序點選「選單」圖示 「目錄」「使用者」。
- 在清單中找出使用者。
如需相關提示,請參閱尋找使用者帳戶。
- 按一下使用者的名稱,開啟對方的帳戶頁面。
- 向下捲動,然後按一下 [管理員角色與權限]。
- 在自訂或預先建立的角色旁邊,將切換按鈕設為開啟 。
如果找不到能開啟的切換按鈕 ,點選「角色」下方任一處即可看到該按鈕。
- (選用) 如要將管理員的角色限制在特定機構單位,請按一下「所有機構單位」旁邊的「編輯」圖示 ,然後選取機構單位,並按一下「完成」。
如果沒有看到「編輯」圖示 ,表示該角色無法套用至機構單位。
- 按一下「儲存」。
提示:
- 「權限」專區會根據使用者獲派的所有管理員角色將相關權限全數列出。
- 如要返回使用者的帳戶頁面,請按一下右上方的向上箭頭 。
-
- 在管理控制台中,依序點選「選單」圖示 「帳戶」「管理員角色」。
- 將滑鼠游標移至要指派的角色,然後按一下右側的 [指派管理員]。
提示:您可以切換檢視要指派角色的管理員及相關權限,做法是點選頂端的 [管理員] 或 [權限]。
- 按一下「指派成員」。
- (Beta 版,選用) 針對「網路論壇檢視者」或「網路論壇編輯者」角色,您可以只授予安全性群組/非安全性群組,或已鎖定/未鎖定群組的管理員權限。如要限制權限:
- 按一下「設定條件」。
- 選取選項,僅將管理員權限授予以下項目:
- 安全性群組:選取「標籤包含『安全性』」。
- 非安全性群組:選取「標籤不含『安全性』」。
- 鎖定的群組:選取「標籤包含『已鎖定』」。
- 未鎖定的群組:選取「標籤不含『已鎖定』」。
- 按一下「儲存」。
- 輸入使用者電子郵件地址 (非使用者名稱) 的前幾個字母,然後從隨即顯示的選項中選取該使用者的地址。
您一次最多可將角色指派給 20 個使用者和群組。
- 按一下 [指派角色]。
- (選用) 如要將管理員的角色限制在特定機構單位,請按一下「所有機構單位」旁邊的「編輯」圖示 ,然後選取機構單位,並按一下「完成」。
如果沒有看到「編輯」圖示 ,表示該角色無法套用至機構單位。
將角色指派給群組可讓您將角色權限授予大量使用者。
您可以藉由指派角色,以相同方式管理多個群組。詳情請參閱「網路論壇」。
將角色指派給群組的限制
- 您可以指派任何角色 (超級管理員或經銷商管理員除外)。
- 群組必須是貴機構內的安全性群組,且並非動態群組。 如要瞭解安全性群組,請參閱「使用安全性群組控管機密資料存取權」。
如要查看群組是否為動態群組,請在管理控制台中依序按一下「群組」 群組名稱。前往「成員」頁面,如果您看到「動態成員」或「編輯成員資格查詢」,表示該群組為動態群組。 - 將角色指派給群組,只會計入一次角色指派上限。
- 您可以在整個機構以及每個機構單位中,設定最多 250 個角色指派作業。
- 如要將某個角色指派給多個群組,並且不超過限制,請選取一個需要該角色的群組做為上層群組,然後將其他需要該角色的群組新增為上層群組的成員。接著,將角色指派給上層群組。系統會將這個指派作業計為 1 次角色指派作業,且所有下層群組都會取得該角色。詳情請參閱「將群組新增到其他群組中」。
- 在某些情況下,群組成員可能無法取得所有指派角色的權限。舉例來說,假使您將含有「管理 Google Meet 設備和日曆」權限的角色指派給群組,群組成員可能無法取得與該權限相關聯的所有功能。成員會取得該角色涵蓋的其他權限。
- 如果您將經銷商管理員角色指派給群組,則群組成員只會取得經銷商機構中角色的權限,不會取得任何經銷商客戶的權限。
- 建議您限制只有貴機構中的群組成員才能加入群組。您可以新增貴機構外部人士或一般使用者,但他們可能無法取得角色權限。詳情請參閱「限制群組成員資格」。
- 適用標準群組成員資格限制。詳情請參閱「成員資格」。
指派角色
-
- 在管理控制台中,依序點選「選單」圖示 「帳戶」「管理員角色」。
- 將滑鼠游標移至要指派的角色,然後按一下右側的 [指派管理員]。
提示:您可以切換檢視要指派角色的管理員及相關權限,做法是點選頂端的 [管理員] 或 [權限]。
- 按一下「指派成員」。
- (Beta 版,選用) 針對「網路論壇檢視者」或「網路論壇編輯者」角色,您可以只授予安全性群組/非安全性群組,或已鎖定/未鎖定群組的管理員權限。如要限制權限:
- 按一下「設定條件」。
- 選取選項,僅將管理員權限授予以下項目:
- 安全性群組:選取「標籤包含『安全性』」。
- 非安全性群組:選取「標籤不含『安全性』」。
- 鎖定的群組:選取「標籤包含『已鎖定』」。
- 未鎖定的群組:選取「標籤不含『已鎖定』」。
- 按一下「儲存」。
- 輸入群組電子郵件地址或名稱的前幾個字母,然後從選項中選取地址。
您一次最多可以將角色指派給 20 個群組和使用者。
- 按一下 [指派角色]。
- (選用) 如要將管理員的角色限制在特定機構單位,請按一下「所有機構單位」旁邊的「編輯」圖示 ,然後選取機構單位,並按一下「完成」。
如果沒有看到「編輯」圖示 ,表示該角色無法套用至機構單位。
您可以指派任何預先建立的角色或自訂角色,並將超級管理員以外的角色指派給服務帳戶。指派給服務帳戶的角色會計入角色指派限制中。
事前準備:在 Google Cloud 中設定服務帳戶。請參閱建立及管理服務帳戶。
-
- 在管理控制台中,依序點選「選單」圖示 「帳戶」「管理員角色」。
- 將滑鼠游標移至要指派的角色 按一下「指派管理員」。
- 按一下「指派服務帳戶」。
- (Beta 版,選用) 針對「網路論壇檢視者」或「網路論壇編輯者」角色,您可以只授予安全性群組/非安全性群組,或已鎖定/未鎖定群組的管理員權限。如要限制權限:
- 按一下「設定條件」。
- 選取選項,僅將管理員權限授予以下項目:
- 安全性群組:選取「標籤包含『安全性』」。
- 非安全性群組:選取「標籤不含『安全性』」。
- 鎖定的群組:選取「標籤包含『已鎖定』」。
- 未鎖定的群組:選取「標籤不含『已鎖定』」。
- 按一下「儲存」。
- 輸入服務帳戶的電子郵件地址。
如要查看電子郵件地址,請開啟 Google Cloud Console,然後依序點選「選單」圖示 「IAM 與管理」「服務帳戶」。
- 依序按一下「新增」「指派角色」。
後續操作
在管理員稽核記錄中,您可以查看管理員角色何時套用至服務帳戶,以及服務帳戶管理員執行動作的相關記錄。詳情請參閱「管理員記錄事件」。
如果您為服務帳戶套用了預先建立的「群組管理員」角色,也可以查看 Groups Enterprise 稽核記錄中的動作。服務帳戶管理員可能會顯示在「事件說明」或「使用者」下方。詳情請參閱「Group Enterprise 記錄事件」。
相關主題
指派角色後,獲派角色的使用者會在下次登入時直接進入管理控制台首頁。變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
取消指派角色
您無法自行取消指派角色。
如要取消指派使用者的角色,請按照上方「指派角色給單一使用者」一節的步驟操作。在步驟 6 中,請按「關閉」圖示 ,而非開啟角色。
在「管理員角色」頁面中,從多位使用者或服務帳戶中取消指派角色。
-
- 在管理控制台中,依序點選「選單」圖示 「帳戶」「管理員角色」。
- 將滑鼠游標移至要取消指派的角色,然後按一下右側的「指派管理員」。
- 選擇下列其中一種做法:
- 找到您要取消指派的每個使用者或服務帳戶,然後勾選旁邊的方塊。
- 如要取消指派所有使用者和服務帳戶的角色,請勾選「管理員」欄位標題旁邊的方塊。
- 依序按一下「取消指派角色」「取消指派角色」加以確認。
後續步驟
管理員可以在自己的帳戶中新增救援選項。