根据搜索结果执行操作

安全调查工具
在调查工具中执行搜索后,您可以根据搜索结果选择执行一些操作。举例来说,您可以搜索 Gmail 日志事件,然后使用调查工具删除特定邮件,将邮件标记为垃圾邮件或网上诱骗邮件,或者将邮件发送至隔离区或用户的收件箱。

请参阅下文,详细了解可在调查工具中执行的诸多操作及相关说明。

注意:

  • 可用的数据源会因 Google Workspace 的版本而异。
  • 在根据搜索结果执行操作之前,您单位中的管理员可能可以选择输入理由文本内容,以记录执行该操作的原因。如果您是超级用户,则可以通过调整调查工具设置来启用此选项。有关说明,请参阅为调查配置设置
  • 如果您缩小搜索的日期范围,调查工具就能更快地显示搜索结果。举例来说,如果您将搜索范围缩小为上一周发生的事件,那么相对于不限制时间段的查询,系统将能更快地返回结果。
  • 如果执行批量操作时出现超时错误,请缩小搜索的日期范围,然后重试。

您对安全调查工具的访问权限

  • 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
  • Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
  • 能否在调查工具中进行搜索取决于您的 Google 版本管理特权数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验
  • 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。

调查工具中的操作类型

针对设备的操作

您搜索设备或设备日志事件后,可以在搜索结果中选择设备,然后执行以下操作:

  • 批准设备 - 批准设备。如果您选择了启用设备激活,那么在启用该设置之后注册的设备必须经过批准才能开始与您的网域同步。此外,启用设备激活会强制设备用户安装 Device Policy 应用,以便与 Google Workspace 同步。
  • 屏蔽设备 - 禁止访问设备上的 Google Workspace 数据(Gmail、日历和联系人)。用户仍然可以通过桌面设备或移动浏览器访问 Gmail、日历和联系人。
  • 管理员帐号擦除设备 - 仅远程擦除设备上的 Google Workspace 数据。有关详情,请参阅移除移动设备中的公司数据
  • 远程擦除设备 - 远程擦除设备上的所有数据。有关详情,请参阅移除移动设备中的公司数据
  • 取消远程擦除设备 - 取消远程擦除设备的操作。
针对云端硬盘日志事件的操作

您搜索云端硬盘日志事件后,可以在搜索结果中选择文件,审核所选文件的权限等等。

执行以下操作:

  1. 在调查工具中搜索云端硬盘日志事件后,在搜索结果中选中与相关文件对应的复选框。
  2. 点击操作 > 审核文件权限,打开权限页面。
    文件标签页(此标签页会默认显示)会显示搜索结果中包含的文件。在这里,您可以管理这些文件的访问权限。您目前无法在此视图中查看共享云端硬盘文件。
  3. 点击相关人员查看有权访问文件的用户和群组。
    此列表中的相关人员有权访问您搜索结果中的一项或多项内容。在此视图中,您可以管理人员(如用户和群组)的访问权限。
  4. 点击链接,查看或修改所选文件的链接共享设置。
  5. 如果您想授予更多用户访问文件的权限,请点击添加用户。您可以通过逗号分隔列表添加多个用户,并为添加的用户选择访问权限级别。

    注意:对于“共享云端硬盘”标签页中的操作,您只能修改共享云端硬盘中的文件的访问权限。系统不会在此标签中显示该共享云端硬盘之外的文件。
     
  6. 点击待保存的更改,查看尚未保存的更改。

针对共享云端硬盘的操作

如果您拥有安全调查工具 接着点击 更新或删除云端硬盘文件权限,还可以针对共享云端硬盘及其文件修改设置:

  • 您可以为共享云端硬盘成员更改、移除或添加访问权限级别。
  • 您可以为用户更改、移除或添加直接访问共享云端硬盘中一个或多个文件的权限。

注意:虽然 Google 云端硬盘允许共享文件夹和更改文件夹的所有权,但调查工具不允许管理员执行这些操作。

针对 Gmail 邮件和 Gmail 日志事件的操作

搜索 Gmail 邮件或 Gmail 日志事件后,您可以在搜索结果中选择邮件,然后执行以下操作(可执行的操作仅适用于 Gmail 中的邮件,不包括 Google 网上论坛中的邮件):

  • 查看标头
  • 查看邮件
  • 删除邮件
  • 恢复邮件
  • 将邮件标记为垃圾邮件
  • 将邮件标记为网上诱骗邮件
  • 将邮件发送至收件箱(还会取消将邮件归类为垃圾邮件或网上诱骗邮件)
  • 将邮件发送到隔离区(邮件将发送到默认隔离区)

    重要提示:如果保险柜保留政策被触发,系统会自动删除发送到隔离区的邮件。因此,如果这些邮件的保留时长已超出您的保险柜保留政策所规定的期限,系统会将其删除,而不会发送至隔离区。默认保留期限为电子邮件最初发送或收到后的 30 天。您还可以使用保险柜设置自定义保留规则

举例来说,如要将邮件发送至用户的收件箱,请按以下步骤操作:

  1. 在调查工具中执行搜索后,选中搜索结果中与相关邮件对应的复选框。
  2. 点击操作
  3. 选择将邮件发送至收件箱
  4. 点击发送至收件箱进行确认。
  5. 点击页面底部的查看,即可查看操作结果。
    在“结果”列中,您可以查看操作的状态,例如“邮件已成功发送至收件箱”

注意:您还可以查看 Gmail 邮件内容。有关详情,请参阅查看 Gmail 邮件内容

针对用户的操作

您搜索用户后,可以在搜索结果中选择用户,然后执行以下操作:

  • 恢复用户
  • 暂停用户

举例来说,如要暂停搜索结果中特定用户的帐号,请按以下步骤操作:

  1. 在调查工具中执行搜索后,选中搜索结果中与相关用户对应的复选框。
  2. 点击操作
  3. 选择暂停用户
  4. 点击暂停用户进行确认。

您可以按照类似步骤来恢复用户。

针对用户日志事件的操作

您搜索用户日志事件后,可以在搜索结果中选择用户,然后执行以下操作:

  • 强制更改密码
  • 恢复用户
  • 暂停用户

举例来说,如要暂停搜索结果中特定用户的帐号,请按以下步骤操作:

  1. 在调查工具中执行搜索后,选中搜索结果中与相关用户对应的复选框。
  2. 点击操作
  3. 选择暂停用户
  4. 点击暂停用户进行确认。

您可以按照类似步骤来恢复用户。

针对 Meet 日志事件的操作

您在搜索 Meet 日志事件后,可以通过为所有人结束会议操作,将所有用户从贵单位的所选会议中移除。例如,您可能不希望有用户在会议主持人不在场或活动结束后举行不受监管的会议。

有关详情,请参阅使用调查工具结束会议

对搜索结果执行批量操作

除了在搜索结果中选择单项内容并执行操作外,您还可以对当前整个页面或全部页面上的所有搜索结果执行批量操作。

注意:如果执行批量操作时出现超时错误,请缩小搜索的日期范围,然后重新执行批量操作。

要对当前所查看页面上的搜索结果执行批量操作,请按以下步骤操作:

  1. 点击最左侧列顶部的复选框。
    这样会勾选当前页面上的所有复选框。
  2. 点击标题栏中的操作

要对全部页面上的所有搜索结果执行批量操作,请按以下步骤操作:

  1. 点击最左侧列顶部的复选框。
  2. 点击选择所有结果
    这样会勾选所有搜索结果页面上的每一个复选框。
  3. 点击标题栏中的操作

    注意:如果您在此过程中点击进入下一页搜索结果,则会取消选中所有搜索结果页面上的复选框,因此您将需要重头来过。

查看批量操作的状态

您可以在 Google 管理控制台中检查大型任务的状态,看相应操作是仍在进行还是已完成。

举例来说,如果您在调查工具中执行的批量操作有一项耗时较长,您可以先退出管理控制台,过会儿再回来查看操作状态。

在管理控制台顶部,点击任务图标 ,查看大型任务的状态。

在哪里点击“任务”。

有关更多详情,另请参阅查看大型任务的状态

按列对搜索结果进行数据透视

您可以按列对调查工具中的搜索结果进行数据透视,从而查看某项内容与其他数据源相关的数据。举例来说,您可以搜索 Gmail 日志事件,然后在“收件人”列中点击任一收件人,继而创建针对该所有者的云端硬盘事件查询。这样一来,您就可以从两个不同数据源(Gmail 日志事件和云端硬盘日志事件)的角度分析特定用户的相关数据。

要创建从 Gmail 日志事件到云端硬盘日志事件搜索结果的数据透视分析,请按以下步骤操作:

  1. 在调查工具中执行搜索后,将鼠标悬停在“收件人”列中的相关用户上方。
  2. 点击与该用户对应的菜单图标(三个垂直的点)。
  3. 选择云端硬盘日志事件 接着点击 所有者
    系统会自动为“云端硬盘日志事件”搜索输入搜索条件。
  4. 添加其他搜索条件,例如标题公开范围
  5. 点击搜索

您可以对搜索结果中的许多内容执行其他数据透视操作。举例来说,您可以对整列内容进行数据透视,也可以针对邮件主题、邮件 ID 和发件人等进行数据透视。

取消操作

在调查工具中,您可以在操作完成前将其取消。例如,当您开始暂停多名用户后,可以点击“调查”页面底部的取消

如果您取消的是批量操作,且相应操作已在进行中,那么您将获得部分结果。

注意:对于导出操作,只有启动导出操作的管理员才能取消操作。对于所有其他操作,对操作相关数据(例如云端硬盘、Gmail 或 Google 移动)拥有特定操作权限的管理员可以取消操作。

重新尝试操作

执行批量操作后,您可能偶尔会遇到搜索错误,例如要找的某些用户不在搜索结果中。如果发生这种情况,您可以重新尝试操作:

  1. 在调查工具中完成一项操作后,点击查看详细信息
  2. 操作详细信息面板,点击重试
  3. 点击重试窗口中的操作,例如,点击标记为垃圾邮件

将操作结果导出至“我的云端硬盘”文件夹中的表格文件

要将操作结果保存到您的“我的云端硬盘”文件夹,请执行以下操作:

  1. 点击操作结果表格顶部的“导出”按钮 file_download_grey600_24dp.png
  2. 输入导出名称。
  3. 点击导出

查看导出的操作结果

查看导出的操作结果时,请注意以下事项:

  • 在点击表格顶部的“导出”按钮 file_download_grey600_24dp.png 后,系统会在您的“我的云端硬盘”文件夹中创建一个包含相应操作结果的 Google 表格。导出过程可能需要一段时间,而系统也可能会创建多个 Google 表格,具体取决于操作结果的大小。导出的操作结果总数上限为 3 千万行。
  • 在导出过程中,系统会以临时名称(例如 TMP-1-<标题>)来创建 Google 表格。如果创建了多个 Google 表格,则会将其他文件命名为 TMP-2-<标题>TMP-3-<标题>,以此类推。导出完毕后,文件会自动重命名为 <标题> [1/N]<标题> [2/N],以此类推。如果导出数据只有一个 Google 表格,则文件将重命名为 <标题>
  • 对于包含导出的操作结果的文件,其共享权限以您的网域配置为准。举例来说,如果创建的文件在默认情况下会与公司中的所有人共享,那么导出的数据也会与公司中的所有人共享。

该内容对您有帮助吗?

您有什么改进建议?
true
搜索
清除搜索内容
关闭搜索框
主菜单
17859891429124507050
true
搜索支持中心
true
true
true
false
false