根據搜尋結果執行動作

安全調查工具
在調查工具中執行搜尋後,您可以根據搜尋結果執行幾種動作。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過調查工具刪除特定郵件、將郵件標示為垃圾郵件或網路詐騙郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。

如要進一步瞭解可在調查工具中執行的多種動作,請參閱以下各節。

注意:

  • 可用的資料來源因 Google Workspace 版本而異。
  • 在對於搜尋結果執行動作之前,貴機構的管理員也許可以輸入原因說明文字,將自己採取行動的原因記錄下來。如果您是超級管理員,就可以調整調查工具的設定來啟用這個選項。如需操作說明,請參閱配置調查設定一文。
  • 如果縮小搜尋的日期範圍,就能更快在調查工具中看到結果。舉例來說,如果您只搜尋上週發生的事件,則相較於不限制時間範圍的搜尋,前者的查詢傳回速度會較快。
  • 如果執行大量動作時發生逾時的問題,請縮小搜尋的日期範圍,然後再試一次。

您的安全調查工具存取權

  • 支援安全調查工具的版本包括 Enterprise Plus、Education Standard、Education Plus 和 Enterprise Essentials Plus。
  • 使用 Cloud Identity 進階版、Frontline Standard、Enterprise Standard 和 Education Standard 的管理員也可以使用調查工具,但僅限部分資料來源。
  • 能否使用調查工具執行搜尋,取決於您的 Google 版本管理員權限資料來源。如果您無法在調查工具中執行特定資料來源的搜尋,可以改用稽核與調查頁面。 詳情請參閱「更完善的稽核與調查服務」。
  • 您可以在調查工具中對所有使用者執行搜尋作業,不論對方擁有的 Google 版本為何。

調查工具中的動作類型

裝置適用動作

根據裝置或裝置記錄事件執行搜尋時,您可以在搜尋結果中選取裝置,然後執行下列動作:

  • 核准裝置:核准裝置。如果您選取了 [啟用裝置啟動程序],那麼在啟用此設定後才註冊的裝置則必須經過核准,才能與您的網域進行同步處理。此外,啟用裝置啟動程序會強制使用者安裝 Device Policy 應用程式,以便與 Google Workspace 保持同步。
  • 封鎖裝置:封鎖裝置上 Google Workspace 資料 (Gmail、日曆和聯絡人) 的存取權。不過,使用者仍可透過電腦或行動瀏覽器存取自己的 Gmail、Google 日曆和聯絡人資料。
  • 透過管理員帳戶抹除裝置資料:從遠端清除裝置上的 Google Workspace 資料。詳情請參閱移除行動裝置上的公司資料
  • 從遠端清除裝置資料:從遠端清除裝置上的所有資料。詳情請參閱移除行動裝置上的公司資料
  • 取消從遠端清除裝置資料:取消從遠端清除裝置資料。
雲端硬碟記錄事件適用動作

根據雲端硬碟記錄事件執行搜尋時,您可以在搜尋結果中選取檔案,然後稽核這些檔案的權限或進行其他操作。

執行下列步驟:

  1. 使用調查工具根據雲端硬碟記錄事件執行搜尋後,在搜尋結果中勾選相關檔案的核取方塊。
  2. 依序點選「動作」>「稽核檔案權限」,即可開啟「權限」頁面。
    預設顯示的「檔案」分頁會列出搜尋結果中的檔案,您可以在此管理這些檔案的存取權。目前這個檢視畫面不會列出共用雲端硬碟檔案。
  3. 按一下「使用者」,即可查看有權存取這些檔案的使用者和群組。
    這份清單中的使用者可以存取您搜尋結果中的一或多個項目。您可以在這個檢視畫面中管理共用對象 (使用者和群組) 的存取權。
  4. 按一下 [連結] 查看或修改所選檔案的連結共用設定。
  5. 如果想將檔案存取權授予更多使用者,請點選 [新增使用者]。您可以使用以逗號分隔的清單來新增多位使用者,再為他們選取存取層級。

    注意:在「共用雲端硬碟」分頁中,您只能編輯共用雲端硬碟中檔案的存取權限。這個分頁不會顯示非共用雲端硬碟的檔案。
     
  6. 按一下 [待處理的變更] 檢查變更內容,然後再儲存變更。

共用雲端硬碟適用動作

如果您具備「安全調查工具」 接下來「雲端硬碟更新或刪除」權限,那麼您也可以修改共用雲端硬碟和其中的檔案:

  • 您可以為共用雲端硬碟成員變更、移除或新增存取層級。
  • 如果使用者已獲得共用雲端硬碟中一或多個檔案的存取權,您可以變更或移除該使用者的權限;也可以授權給尚未取得檔案權限的使用者。

注意:儘管 Google 雲端硬碟允許共用資料夾或變更資料夾擁有權,調查工具並不允許管理員執行這些動作。

Gmail 郵件和 Gmail 記錄事件所適用的動作

根據 Gmail 郵件或 Gmail 記錄事件執行搜尋時,您可以在搜尋結果中選取郵件,然後執行下列動作 (適用範圍僅限 Gmail 中的郵件,不含 Google 網路論壇中的訊息):

  • 查看標頭
  • 查看郵件
  • 刪除訊息
  • 復原郵件
  • 將郵件標示為垃圾郵件
  • 將郵件標示為網路詐騙郵件
  • 將郵件傳送至收件匣 (同時移除垃圾郵件或網路詐騙郵件分類)
  • 將郵件傳送至隔離區 (郵件會傳送到預設的隔離區)

    重要事項:保管箱資料保留政策觸發後,傳送到隔離區的郵件就會自動刪除。因此,如果在您設定保管箱資料保留政策之前,這些電子郵件就已經存在,系統會刪除郵件,不會傳送到隔離區。預設保留期限為郵件傳送或接收後 30 天。您也可以透過保管箱設定自訂保留規則

舉例來說,如要將郵件傳送至使用者的收件匣,請執行下列步驟:

  1. 使用調查工具執行搜尋後,在搜尋結果中勾選相關郵件的核取方塊。
  2. 按一下 [動作]
  3. 選擇 [將郵件傳送至收件匣]
  4. 按一下 [傳送至收件匣] 加以確認。
  5. 如要查看動作結果,請按一下頁面底部的「查看」
    您可以在「結果」欄中查看動作狀態,例如「已成功將這封郵件傳送至收件匣」

注意:您也可以查看 Gmail 郵件內容。詳情請參閱查看 Gmail 郵件內容

使用者適用動作

依使用者執行搜尋時,您可以在搜尋結果中選取使用者,然後執行下列動作:

  • 還原使用者
  • 將使用者停權

舉例來說,如要將搜尋結果中的特定使用者停權,請執行下列步驟:

  1. 使用調查工具執行搜尋後,在搜尋結果中勾選相關使用者的核取方塊。
  2. 按一下 [動作]
  3. 選擇 [將使用者停權]。
  4. 按一下 [將使用者停權] 加以確認。

您可以按照類似的步驟還原使用者。

使用者記錄事件適用動作

根據使用者記錄事件執行搜尋時,您可以在搜尋結果中選取使用者,然後執行下列動作:

  • 強制變更密碼
  • 還原使用者
  • 將使用者停權

舉例來說,如要將搜尋結果中的特定使用者停權,請執行下列步驟:

  1. 使用調查工具執行搜尋後,在搜尋結果中勾選相關使用者的核取方塊。
  2. 按一下 [動作]
  3. 選擇 [將使用者停權]
  4. 按一下 [將使用者停權] 加以確認。

您可以按照類似的步驟還原使用者。

Meet 記錄事件適用動作

根據 Meet 記錄事件執行搜尋時,您可以透過「結束整場會議」動作從機構內的指定會議中踢出所有使用者。舉例來說,您可能不希望使用者在無人監督的情況下進行會議,例如在會議主辦人不在場或活動已結束的情況下開會。

詳情請參閱使用調查工具結束會議

對搜尋結果執行大量動作

除了從搜尋結果中選取個別項目並執行動作外,您也可以選擇對當前頁面或所有頁面上的全部結果執行大量動作。

注意:如果執行大量動作時發生逾時的問題,請縮小搜尋的日期範圍,然後再次嘗試執行大量動作。

如何對目前瀏覽頁面中的搜尋結果執行大量動作:

  1. 勾選最左欄頂端的核取方塊。
    這麼做會勾選目前頁面中的所有核取方塊。
  2. 在標頭列中按一下 [動作]

如何對所有頁面中的全部搜尋結果執行大量動作:

  1. 勾選最左欄頂端的核取方塊。
  2. 按一下 [選取所有結果]
    這麼做會勾選所有搜尋結果頁面中的核取方塊。
  3. 在標頭列中按一下 [動作]

    注意:如果您在這個流程中點選下一頁搜尋結果,就會取消勾選所有搜尋結果頁面中的核取方塊,並且必須從頭來過。

查看大量動作的狀態

您可以透過 Google 管理控制台查看大型工作的狀態,確認工作是否仍在進行中或已完成。

舉例來說,如果調查工具中的其中一項大量動作需要很長一段時間才能完成,您可以先離開管理控制台,等之後再返回查看該動作的狀態。

在管理控制台頂端按一下「工作」圖示 ,即可查看大型工作的狀態。

  在哪裡點選 [工作]。

另請參閱檢查大型工作的狀態以瞭解詳情。

在搜尋結果中根據資料欄進行資料透視

您可以在調查工具搜尋結果中,依資料欄進行資料透視,藉此查看與其他資料來源有關的項目相關資料。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後點選「收件者」欄中任一收件者,依擁有者建立雲端硬碟事件查詢。這可讓您透過兩個不同資料來源 (Gmail 記錄事件和雲端硬碟記錄事件) 分析特定使用者的相關資料。

如要透過 Gmail 記錄事件的搜尋結果透視雲端硬碟記錄事件的資料,請執行下列步驟:

  1. 使用調查工具執行搜尋後,將游標移至「收件者」欄中的相關使用者上。
  2. 按一下該使用者的選單圖示 (縱向排列的三個點)。
  3. 依序選取 [雲端硬碟記錄事件] 接下來 [擁有者]
    系統會自動為「雲端硬碟記錄事件」輸入搜尋條件。
  4. 加入其他搜尋條件,例如「名稱」或「瀏覽權限」
  5. 按一下 [搜尋]

您可以對搜尋結果中的許多項目執行其他資料透視動作。舉例來說,您可以對整個資料欄進行資料透視,或對郵件主旨、郵件 ID、寄件者等項目進行資料透視。

取消動作

您可以在調查工具中的動作完成以前將其取消。舉例來說,如果您將多位使用者停權,您可以在「調查」頁面底部按一下 [取消],讓系統不要執行這項動作。

如果您取消了大量動作,但該動作已在處理中,則您會得到部分結果。

注意:如果是匯出動作,只有啟動該動作的管理員才能取消;至於其他動作,只要管理員具備特定權限,能夠針對與該動作相關的雲端硬碟、Gmail 或行動服務等資料執行動作,就能予以取消。

重新嘗試動作

執行大量動作時,您有時會碰到搜尋錯誤 (例如某些使用者並未包含在搜尋結果中)。如果發生這種情形,您可以重新嘗試動作:

  1. 在調查工具中完成動作後,按一下 [查看詳細資料]
  2. 在「動作詳細資料」面板中,按一下 [重試]
  3. 按一下重試視窗中的動作。舉例來說,按一下 [標示為垃圾郵件]

將動作結果匯出為 Google 試算表檔案,並儲存在「我的雲端硬碟」資料夾

如要將動作結果儲存在「我的雲端硬碟」資料夾,請按照以下步驟操作:

  1. 在動作結果表格頂端按一下「匯出」按鈕 file_download_grey600_24dp.png
  2. 輸入匯出檔案的名稱。
  3. 按一下 [匯出]

查看匯出的動作結果

查看匯出的動作結果時,請留意下列事項:

  • 按一下表格頂端的「匯出」按鈕 file_download_grey600_24dp.png 後,系統會在您的「我的雲端硬碟」資料夾中建立含有動作結果的 Google 試算表。視結果的大小而定,匯出流程可能需要一段時間才能完成,且系統可能會建立多個 Google 試算表。匯出結果的總上限為 3,000 萬列。
  • 資料匯出的過程中,系統會以暫時的名稱建立 Google 試算表,例如:TMP-1<名稱>。如果建立多個 Google 試算表,系統則會將其他檔案命名為 TMP-2<名稱>、TMP-3<名稱>,以此類推。匯出完畢後,檔案名稱會自動改為 <名稱> [N 之 1]<名稱> [N 之 2],以此類推。如果只有一個 Google 試算表含有匯出的資料,該檔案的名稱會改為 <名稱>
  • 動作結果匯出檔案的共用權限取決於您所屬網域的設定。舉例來說,假如根據預設,建立的檔案會與公司內部的所有人共用,則匯出的資料也會採用這項瀏覽權限設定。

這對您有幫助嗎?

我們應如何改進呢?
true
搜尋
清除搜尋內容
關閉搜尋
主選單
15110565978432328108
true
搜尋說明中心
true
true
true
false
false