Om du inte vill ge en användare fullständig åtkomst till Googles administratörskonsol kan du låta personen utföra enbart en del av de administrativa uppgifterna. Gör detta genom att tilldela en administratörsroll. Du kan tilldela en användare fler än en administratörsroll.
Du kan även tilldela en administratörsroll till en grupp eller ett tjänstkonto i stället för en användare. Du kan till exempel använda en tjänstkontoadministratör för att skapa och uppdatera grupper och gruppmedlemskap med appar utanför administratörskonsolen med hjälp av Cloud Identity Groups API.
Så här fungerar administratörsroller
På administratörskonsolen kan administratörer enbart visa information och utföra uppgifter som rollens behörighet tillåter. Om du till exempel tilldelar den färdiga administratörsrollen för användarhantering till någon kan den personen bara visa och ändra specifika användarinställningar för personer som inte är administratörer.
Så här fungerar begränsningar av rolltilldelning
Du kan ställa in en roll som ska tillämpas på alla organisationsenheter. För dessa roller kan du göra upp till totalt 500 tilldelningar, oavsett antal roller. Du kan till exempel tilldela 300 användare en roll och 200 användare en annan roll.
Du kan tillämpa vissa roller på organisationsenheter i stället. För dessa roller kan du göra upp till totalt 500 tilldelningar för varje organisationsenhet, oavsett antalet roller. Kontrollera om du kan tillämpa en roll på organisationsenheter genom att öppna användarens rolltilldelningssida och leta efter Redigera bredvid Alla organisationsenheter. Exempel på detta är den färdiga rollen för användarhanteringsadministratör eller en anpassad roll som har minst en användarbehörighet.
Om du tilldelade fler än 500 roller på någon nivå innan gränserna trädde i kraft rekommenderar vi att du anpassar tilldelningarna så att de hamnar under gränsen. Om du fortfarande behöver tilldela fler än 500 roller kan du lägga till flera medlemmar i en grupp och tilldela gruppen en roll. En rolltilldelning till en grupp räknas som en tilldelning, oavsett hur många medlemmar som finns.
Innan du börjar
Steg 1: Granska färdiga eller anpassade roller som redan används
-
Logga in på Googles administratörskonsol.
Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).
- På administratörskonsolen går du till menyn KontoAdministratörsroller.
- Peka på rollen och sedan på Visa behörigheter eller Visa administratörer för att se de administratörer som har tilldelats rollen.
Steg 2: Bestäm typ av roll
- Tilldela en färdig systemroll för att utföra vanliga uppgifter. Granska Färdiga administratörsroller.
- Skapa och tilldela en anpassad roll som har olika åtkomstnivåer. I så fall måste du skapa rollen först. Öppna Skapa en anpassad roll.
Tilldela roller
Öppna avsnitt | Komprimera alla och gå högst upp
Du måste vara inloggad som avancerad administratör för den här uppgiften.
Du kan tilldela användare och grupper en roll samtidigt genom att följa endera proceduren för att tilldela en roll till flera användare eller till en grupp.
Tilldela roller till en användareOm du vill tilldela en användare rollen Läsbehörighet för grupper eller Redigeringsbehörighet för grupper med behörigheter begränsade till säkerhetsgrupper eller icke-säkerhetsgrupper följer du istället stegen nedan på den här sidan i Tilldela flera användare samtidigt en roll.
-
Logga in på Googles administratörskonsol.
Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).
- På administratörskonsolen går du till menyn KatalogAnvändare.
- Sök reda på användaren i listan.
Om du vill ha tips läser du Hitta ett användarkonto.
- Öppna kontosidan genom att klicka på användarens namn.
- Scrolla nedåt och klicka på Administratörsroller och behörigheter.
- Klicka på Slå på bredvid den färdiga eller anpassade rollen.
Om du inte ser Aktivera klickar du någonstans under Roller för att visa reglagen.
- (Valfritt) Begränsa administratörens roll till en viss organisationsenhet genom att klicka på Redigera bredvid Alla organisationsenheter, välja organisationsenheterna och klicka på Klart.
Om du inte ser Redigera kan du inte tillämpa rollen på organisationsenheter.
- Klicka på Spara.
Tips!
- I avsnittet Behörigheter kan du se alla användarens behörigheter från alla administratörsroller som personen har tilldelats.
- Om du vill återgå till användarens kontosida klickar du på uppåtpilen högst upp till höger.
-
Logga in på Googles administratörskonsol.
Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).
- På administratörskonsolen går du till menyn KontoAdministratörsroller.
- Peka på rollen som du vill tilldela och klicka på Tilldela administratör till höger.
Tips! Du kan växla mellan administratörer som du tilldelar rollen och behörigheterna. Klicka på Administratörer eller Behörigheter högst upp.
- Klicka på Tilldela medlemmar.
- (Beta, valfritt) För rollen Läsbehörighet för grupper eller Redigeringsbehörighet för grupper kan du ge administratörsbehörighet enbart till säkerhetsgrupper eller grupper som inte är säkerhetsgrupper. Så här begränsar du behörigheterna:
- Klicka på Ange villkor.
- Välj ett alternativ för att ge administratörsbehörigheter enbart till:
- Säkerhetsgrupper – välj Etiketten innehåller Säkerhet.
- Icke-säkerhetsgrupper – välj Etiketten innehåller inte Säkerhet.
- Klicka på Spara.
- Ange de första bokstäverna i användarens e-postadress (inte användarnamn) och välj användarens adress bland alternativen.
Du kan tilldela en roll till upp till 20 användare och grupper åt gången.
- Klicka på Tilldela roll.
- (Valfritt) Begränsa administratörens roll till en viss organisationsenhet genom att klicka på Redigera bredvid Alla organisationsenheter, välja organisationsenheterna och klicka på Klart.
Om du inte ser Redigera kan du inte tillämpa rollen på organisationsenheter.
När du tilldelar grupper roller kan du ge rollbehörigheter till ett stort antal användare.
Du hanterar grupper med tilldelade roller på samma sätt som andra grupper. Mer information finns i Grupper.
Begränsningar för tilldelning av grupproll
- Du kan tilldela alla roller utom Avancerad administratör eller Återförsäljaradministratör.
- Gruppen måste vara en säkerhetsgrupp i organisationen som inte också är en dynamisk grupp. Du kan läsa mer om säkerhetsgrupper i Styra åtkomsten till känslig data med säkerhetsgrupper.
Du kan kontrollera om en grupp är en dynamisk grupp genom att klicka på Grupper gruppnamnet i administratörskonsolen. Gå till Medlemmar. Om du ser Dynamiska medlemmar eller Redigera medlemskapsfråga är gruppen en dynamisk grupp. - När du tilldelar en grupp en roll räknas det som en hemuppgift i gränsen för rolltilldelning.
- Du kan tilldela grupper upp till 250 rolltilldelningar totalt på övergripande organisationsnivå och inom varje organisationsenhet.
- Om du vill tilldela många grupper en roll och hålla dig under gränsen väljer du en grupp som behöver rollen som överordnad grupp och lägger till de andra grupperna som behöver rollen som medlemmar i den överordnade gruppen. Tilldela sedan den överordnade gruppen en roll. Den här tilldelningen räknas som en rolltilldelning medan alla underordnade grupper får åtkomst till rollen. Mer information finns i Lägga till en grupp i en annan grupp.
- I vissa fall får gruppmedlemmarna kanske inte alla behörigheter för en tilldelad roll. Om du till exempel tilldelar en grupp en roll som inkluderar behörigheten Hantera maskinvara och kalendrar för Google Meet kanske gruppmedlemmar inte får alla funktioner som är kopplade till denna behörighet. Medlemmarna får andra behörigheter som ingår i rollen.
- Om du tilldelar en grupp rollen som återförsäljaradministratör får gruppmedlemmarna rollens behörigheter enbart i återförsäljarens organisation. De får inte fler behörigheter än återförsäljarens kunder.
- Vi rekommenderar att du begränsar gruppmedlemskap till användare i organisationen. Du kan lägga till användare utanför organisationen eller konsumentanvändare, men de kanske inte får rollbehörigheterna. Mer information finns i Begränsa gruppmedlemskap.
- Befintliga begränsningar för medlemskap för gruppen gäller.
- Standardgränserna för gruppmedlemskap gäller. Mer information finns i Medlemskap.
Tilldela en roll
-
Logga in på Googles administratörskonsol.
Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).
- På administratörskonsolen går du till menyn KontoAdministratörsroller.
- Peka på rollen som du vill tilldela och klicka på Tilldela administratör till höger.
Tips! Du kan växla mellan administratörer som du tilldelar rollen och behörigheterna. Klicka på Administratörer eller Behörigheter högst upp.
- Klicka på Tilldela medlemmar.
- (Beta, valfritt) För rollen Läsbehörighet för grupper eller Redigeringsbehörighet för grupper kan du ge administratörsbehörighet enbart till säkerhetsgrupper eller grupper som inte är säkerhetsgrupper. Så här begränsar du behörigheterna:
- Klicka på Ange villkor.
- Välj ett alternativ för att ge administratörsbehörigheter enbart till:
- Säkerhetsgrupper – välj Etiketten innehåller Säkerhet.
- Icke-säkerhetsgrupper – välj Etiketten innehåller inte Säkerhet.
- Klicka på Spara.
- Ange de första bokstäverna i gruppens e-postadress eller namn och välj adressen bland alternativen.
Du kan tilldela en roll till upp till 20 grupper och användare åt gången.
- Klicka på Tilldela roll.
- (Valfritt) Begränsa administratörens roll till en viss organisationsenhet genom att klicka på Redigera bredvid Alla organisationsenheter, välja organisationsenheterna och klicka på Klart.
Om du inte ser Redigera kan du inte tillämpa rollen på organisationsenheter.
Du kan tilldela en förskapad eller anpassad roll förutom avancerad administratör till ett tjänstkonto. När du tilldelar ett tjänstkonto en roll räknas det in i gränsen för rolltilldelning.
Innan du börjar: Konfigurera ett tjänstkonto i Google Cloud. Öppna Skapa och hantera tjänstkonton.
-
Logga in på Googles administratörskonsol.
Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).
- På administratörskonsolen går du till menyn KontoAdministratörsroller.
- Peka på rollen som du vill tilldela klicka på Tilldela administratör.
- Klicka på Tilldela tjänstkonton.
- (Beta, valfritt) För rollen Läsbehörighet för grupper eller Redigeringsbehörighet för grupper kan du ge administratörsbehörighet enbart till säkerhetsgrupper eller grupper som inte är säkerhetsgrupper. Så här begränsar du behörigheterna:
- Klicka på Ange villkor.
- Välj ett alternativ för att ge administratörsbehörigheter enbart till:
- Säkerhetsgrupper – välj Etiketten innehåller Säkerhet.
- Icke-säkerhetsgrupper – välj Etiketten innehåller inte Säkerhet.
- Klicka på Spara.
- Ange e-postadressen för tjänstkontot.
Du hittar e-postadressen genom att öppnaGoogle Cloud Console och klicka på Meny IAM och adminTjänstkonton.
- Klicka på Lägg tillTilldela roll.
Vad händer sedan?
I administratörsgranskningsloggen kan du se när en administratörsroll har tillämpats på ett tjänstkonto och en lista över åtgärder som utförts av tjänstkontoadministratörer. Mer information finns i Händelser i administratörsloggen.
Om du har använt den färdiga rollen som gruppadministratör på ett tjänstkonto kan du även se åtgärder i granskningsloggen för företagsgrupper. Tjänstadministratören kan visas under Händelsebeskrivning eller Användare. Mer information finns i Logghändelser för Group Enterprise.
Relaterat ämne
När du har tilldelat en roll kommer användaren till startsidan för administratörskonsolen vid nästa inloggning. Det kan ta upp till 24 timmar att införa ändringar, men det går oftast snabbare. Läs mer
Ta bort tilldelning av roller
Öppna avsnitt | Komprimera alla och gå högst upp
Du kan inte ta bort tilldelningen av en roll från dig själv.
Om du vill ta bort tilldelningen av en roll från en användare följer du alla steg ovan i Tilldela en användare roller. I steg 6 klickar du på Inaktivera i stället för att aktivera rollen.
Ta bort tilldelningen av en roll från flera användare eller ett tjänstkonto på sidan Administratörsroller.
-
Logga in på Googles administratörskonsol.
Logga in med ett konto som har behörighet som avancerad administratör (slutar inte på @gmail.com).
- På administratörskonsolen går du till menyn KontoAdministratörsroller.
- Peka på rollen som du vill tilldela och klicka på Tilldela administratör till höger.
- Välj ett alternativ:
- Markera rutan bredvid varje användar- eller tjänstkonto.
- Om du vill ta bort tilldelningen av rollen från alla användare och tjänstkonton markerar du rutan bredvid kolumnrubriken Administratör.
- Klicka på Ta bort tilldelning av rollTa bort tilldelning av roll för att bekräfta.
Nästa steg:
Administratörer kan lägga till återställningsalternativ i sina konton.