应用自定义的安全政策

利用例外群组,您可以创建采用不同的 Google 安全服务配置的自定义用户组,从而对组织结构加以补充。例外群组增强了按单位部门启用或停用服务的功能。这一额外层级可让您对现有单位中的部分用户应用特殊的安全设置。您单位中的其余用户不受这些更改的影响。

例如,您可以创建如下所示的组织结构:

  • your-domain.com
    • 工程
      • 前端
      • 后端
    • 营销
      • 生产
      • 公司

要对整个单位应用某项设置更改,请执行以下操作:

  1. 在管理控制台中,点击安全 > 高级安全设置
  2. 选择顶级单位部门 (your-domain.com),并进行更改。
  3. (可选)要将更改单独应用于“工程”或“营销”部门的所有用户,请选择相应单位部门。

    除非被覆盖,否则所有设置均会被下级单位部门继承。

要进行自定义设置更改(例如为您的所有承包商执行两步验证),请执行以下操作:

  1. 创建包含您的所有承包商的群组。
  2. 选择顶级单位部门和该群组,以对网域中的所有承包商应用更改。

    这些设置会应用于单位和群组的交集(同时属于两者的成员)。

  3. (可选)您还可以进一步细化更改的应用范围,方法是在选择目标群组之前选择较低级别的单位部门(例如,工程 > 生产,或营销 > 公司)。

    此设置将仅应用于这些单位部门中的所有承包商。类似地,您可以更改较高级别单位部门的自定义设置,然后转到较低级别的单位部门并改变设置,从而覆盖前面的设置。

要创建和使用例外群组,请执行以下操作:

在第 7 步操作之前,请先转至报告 > 帐号活动 > 两步验证注册部分,验证所选群组中的所有用户均已注册两步验证,然后再设置此政策。所有未注册的用户都可能会被锁定。
  1. 按照说明在管理控制台中创建群组。
    这样可建立由管理员管理的群组。通过 Google 网上论坛创建的群组不能应用例外设置。
  2. 保存群组后,根据需要向其中添加用户。
  3. 点击安全
  4. 点击基本设置 > 两步验证。有关详情,请参阅执行两步验证
  5. 选中允许用户启用两步验证框。
  6. 点击保存更改
  7. 点击转到高级设置以执行两步验证链接。
  8. 选择要应用自定义两步验证执行设置的单位。
  9. 选择开启“立即执行”设置开启“执行开始日期”设置停止执行
  10. 滚动至执行选项部分,选择使用继承设置,以将父群组或网域中的政策映射到所选群组。
  11. 点击保存更改

    所有执行更改在执行前都会显示确认或取消提示。

要创建和使用“免除执行两步验证”例外群组,请执行以下操作:

  1. 按照在管理控制台中创建群组中的说明,在您的网域中创建免除执行两步验证群组。
    注意:如果您使用 Google Cloud Directory Sync (GCDS) 同步您的 Active Directory 群组,请先在 Active Directory 中创建群组,将用户添加到此群组,运行 GCDS 以同步群组,然后跳过下一步。
  2. 向此群组添加用户,添加到其中的用户不会被要求使用两步验证登录其 Gmail 帐号。
  3. 点击安全
  4. 依次点击基本设置 > 两步验证。有关详情,请参阅执行两步验证
  5. 点击转到高级设置以执行两步验证链接。
  6. 选择网域。
  7. 群组过滤器部分,点击选择,查找您创建的群组(免除执行两步验证)。
  8. 选择停止执行,然后点击保存
  9. 群组过滤器部分,点击未选择管理员组
  10. 选择开启“立即执行”设置,然后点击保存
  11. 此群组中的每个成员启用两步验证后,他们便可从免除执行两步验证例外群组中移除。
该内容对您有帮助吗?
您有什么改进建议?