Чтобы не предоставлять пользователю полный доступ к консоли администратора Google, вы можете разрешить ему выполнять только ограниченный набор административных задач. Для этого назначьте ему роль администратора. Одному пользователю можно назначить несколько ролей администратора.
Роль администратора можно также назначить группе или сервисному аккаунту, например, чтобы создавать и изменять группы и информацию об их участниках в приложениях, недоступных в консоли администратора, с помощью Cloud Identity Groups API.
О ролях администратора
В консоли администраторы могут просматривать только ту информацию и выполнять только те задачи, для которых они имеют полномочия. Например, администратор аккаунтов пользователей может просматривать и изменять только определенные настройки для пользователей, не имеющих прав администратора.
Ограничения на число назначений ролей
Вы можете настроить применение любой роли для всех организационных подразделений. Независимо от числа ролей, суммарно можно использовать 1000 назначений ролей. Например, вы можете применить одну роль для 300 пользователей, а другую роль – для 700 пользователей.
Вы также можете применить некоторые роли для определенных организационных подразделений. Для каждого организационного подразделения суммарно можно использовать 1000 назначений ролей, независимо от числа ролей. Чтобы узнать, можете ли вы применить роль к организационным подразделениям, перейдите на страницу назначения ролей пользователя и рядом с элементом "Все организационные подразделения" проверьте наличие значка "Изменить" . Примерами могут служить стандартная роль "Администратор аккаунтов пользователей" и специальная роль, которой предоставлено по крайней мере одно право пользователя.
Чтобы назначить больше 1000 ролей, добавьте в группу несколько участников и назначьте ей роль. Это будет считаться одним назначением независимо от количества участников.
Подготовка
Шаг 1. Проверьте, какие стандартные и специальные роли уже используются
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню АккаунтРоли администраторов.
- Выберите роль и нажмите Список разрешений или Список администраторов, чтобы посмотреть, кому назначена эта роль.
Шаг 2. Определите нужный тип роли
- Назначить пользователю стандартную роль для выполнения рядовых задач. Подробнее…
- Создать и назначить специальную роль с нужными уровнями доступа. Чтобы создать специальную роль, следуйте этим инструкциям.
Назначение ролей
Развернуть раздел | Свернуть все и перейти к началу
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
Вы можете назначить роль пользователям и группам одновременно, используя процедуру назначения роли нескольким пользователям или группе.
Как назначить роль одному пользователюЧтобы назначить одному пользователю роль "Пользователь групп (чтение)" или "Редактор групп" с правами только для групп безопасности или только для групп, не являющихся группами безопасности, следуйте инструкциям в разделе Как назначить роль сразу нескольким пользователям.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню КаталогПользователи.
- Найдите нужного пользователя.
Подробнее о том, как найти аккаунт пользователя…
- Нажмите на имя пользователя. Откроется страница его аккаунта.
- Прокрутите страницу вниз и нажмите Права и роли администратора.
- Рядом с названием стандартной или специальной роли установите переключатель во включенное положение .
Если переключателя нет, нажмите в любом месте раздела "Роли", чтобы он появился.
- Если нужно ограничить использование какой-либо роли администратора определенными организационными подразделениями, рядом с элементом Все организационные подразделения нажмите "Изменить" , выберите организационные подразделения и нажмите Готово.
Если значка "Изменить" нет, вы не можете применить роль для организационных подразделений.
- Нажмите Сохранить.
Советы
- В разделе Полномочия ниже можно проверить, какие полномочия есть у пользователей согласно назначенным им ролям администратора.
- Чтобы вернуться на страницу аккаунта пользователя, в правом верхнем углу нажмите на стрелку вверх .
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню АккаунтРоли администраторов.
- Наведите указатель на роль, которую хотите назначить, и справа выберите Назначить администратора.
Совет. Вы можете переключаться между администраторами, которым вы назначаете роль, и их правами, нажимая Администраторы или Полномочия в верхней части страницы.
- Выберите Назначить роль.
- В настоящее время доступна бета-версия возможности, позволяющей при выборе роли "Пользователь групп (чтение)" и "Редактор групп" предоставить права администратора только для групп безопасности или только для групп, не являющихся группами безопасности. Чтобы ограничить права:
- Нажмите Задать условия.
- Выберите вариант, чтобы предоставить права администратора:
- Только для групп безопасности – выберите Ярлык содержит слово "Безопасность".
- Только для групп, не являющихся группами безопасности – выберите Ярлык не содержит слово "Безопасность".
- Нажмите Сохранить.
- Введите первые буквы адреса электронной почты пользователя (не имени) и выберите адрес из предложенных вариантов.
Роль можно назначить до 20 пользователям и группам за один раз.
- Нажмите Назначить роль.
- Если нужно ограничить использование какой-либо роли администратора определенными организационными подразделениями, рядом с элементом Все организационные подразделения нажмите "Изменить" , выберите организационные подразделения и нажмите Готово.
Если значка "Изменить" нет, вы не можете применить роль для организационных подразделений.
Назначив роль группе, можно предоставить полномочия роли большому количеству пользователей.
Управлять группами с назначенными ролями можно так же, как и любыми другими группами. Подробнее…
Ограничения на назначение роли группе
- Группе можно назначить любую роль, кроме роли суперадминистратора или администратора реселлера.
- Группа должна быть группой безопасности в вашей организации и не являться динамической. Подробнее о группах безопасности…
Чтобы узнать, является ли группа динамической, в консоли администратора нажмите Группыназвание группы. Выберите Участники. Если вы видите динамических участников или кнопку Изменить запрос принадлежности к группе, это динамическая группа. - Назначение роли группе считается одним назначением в общей квоте на число назначений.
- Можно назначить роли не более чем 250 группам на уровне организации и в каждом организационном подразделении.
- Чтобы назначить роль нескольким группам и не превысить лимит, выберите одну группу, которой необходимо назначить роль, в качестве родительской и добавьте в нее другие в качестве участников. Затем назначьте роль родительской группе. Это считается одним назначением роли, и при этом все дочерние группы могут получить роль. Подробнее о том, как добавить группу в другую группу…
- В некоторых случаях участникам группы могут быть предоставлены не все права назначенной роли. Например, если вы назначили группе роль, которая включает право на управление оборудованием Google Meet и календарями, участники группы могут получить доступ не ко всем возможностям, связанным с этим правом. При этом участникам группы будут предоставлены все остальные права этой роли.
- Если назначить группе роль "Администратор реселлера", ее участники получат права только в отношении организации реселлера. Они не смогут управлять клиентами реселлера.
- Рекомендуем разрешить участие в группе только пользователям в организации. Вы можете добавлять внешних и обычных пользователей, но они могут не получить полномочия роли. Подробнее о том, как ограничить участие в группах…
- Действуют стандартные квоты на число участников. Подробнее…
Как назначить роль
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню АккаунтРоли администраторов.
- Наведите указатель на роль, которую хотите назначить, и справа выберите Назначить администратора.
Совет. Вы можете переключаться между администраторами, которым вы назначаете роль, и их правами, нажимая Администраторы или Полномочия в верхней части страницы.
- Выберите Назначить роль.
- В настоящее время доступна бета-версия возможности, позволяющей при выборе роли "Пользователь групп (чтение)" и "Редактор групп" предоставить права администратора только для групп безопасности или только для групп, не являющихся группами безопасности. Чтобы ограничить права:
- Нажмите Задать условия.
- Выберите вариант, чтобы предоставить права администратора:
- Только для групп безопасности – выберите Ярлык содержит слово "Безопасность".
- Только для групп, не являющихся группами безопасности – выберите Ярлык не содержит слово "Безопасность".
- Нажмите Сохранить.
- Введите первые буквы адреса электронной почты или названия группы и выберите адрес из предложенных вариантов.
Роль можно назначить до 20 группам и пользователям за один раз.
- Нажмите Назначить роль.
- Если нужно ограничить использование какой-либо роли администратора определенными организационными подразделениями, рядом с элементом Все организационные подразделения нажмите "Изменить" , выберите организационные подразделения и нажмите Готово.
Если значка "Изменить" нет, вы не можете применить роль для организационных подразделений.
Сервисному аккаунту можно назначить любую стандартную или специальную роль, кроме роли суперадминистратора. Назначение ролей сервисным аккаунтам учитывается в общей квоте на число назначений.
Подготовка: создайте сервисный аккаунт в Google Cloud. Подробнее о том, как это сделать…
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню АккаунтРоли администраторов.
- Наведите указатель на роль, которую хотите назначитьнажмите Назначить администратора.
- Нажмите Назначить сервисным аккаунтам.
- В настоящее время доступна бета-версия возможности, позволяющей при выборе роли "Пользователь групп (чтение)" и "Редактор групп" предоставить права администратора только для групп безопасности или только для групп, не являющихся группами безопасности. Чтобы ограничить права:
- Нажмите Задать условия.
- Выберите вариант, чтобы предоставить права администратора:
- Только для групп безопасности – выберите Ярлык содержит слово "Безопасность".
- Только для групп, не являющихся группами безопасности – выберите Ярлык не содержит слово "Безопасность".
- Нажмите Сохранить.
- Введите адрес электронной почты сервисного аккаунта.
Чтобы найти адрес электронной почты, откройте консоль Google Cloud и нажмите на значок меню IAM & Admin (IAM и администрирование)Service Accounts (Сервисные аккаунты).
- Нажмите Add (Добавить)Assign role (Назначить роль).
Что дальше?
В журнале аудита администратора можно увидеть, когда сервисному аккаунту была назначена роль администратора и какие действия выполнял этот администратор. Подробнее…
Если вы назначили сервисному аккаунту стандартную роль администратора групп, действия этого администратора также можно посмотреть в журнале аудита Groups Enterprise. Администратор сервисного аккаунта может быть указан в поле Описание события или Пользователь. Подробнее о журнале Groups Enterprise…
Статьи по теме
После назначения пользователю роли администратора при следующем входе в аккаунт у него откроется главная страница консоли администратора. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Отмена назначения ролей
Развернуть раздел | Свернуть все и перейти к началу
Вы не можете отменить назначенную вам роль.
Следуйте инструкциям из раздела Как назначить роль одному пользователю. В шаге 6 установите переключатель в выключенное положение .
Для этого перейдите на страницу ролей администратора.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню АккаунтРоли администраторов.
- Наведите указатель на роль, которую хотите отменить, и справа выберите Назначить администратора.
- Выберите один из вариантов:
- Установите флажок рядом с каждым пользователем или сервисным аккаунтом, для которого нужно отменить роль.
- Чтобы отменить роли всех пользователей и сервисных аккаунтов, установите флажок рядом с заголовком столбца Администратор.
- Нажмите Отмена назначения ролиОтменить назначение роли.
Дальнейшие действия
Администраторы могут добавить способы восстановления доступа к своему аккаунту.