作为管理员,您可以审核和批准每个访问公司数据的 Endpoint Verification 设备。默认情况下,每当用户关联他们的 Google 帐号时,所有设备都会获得批准。您可以将这些设备标记为已批准或已屏蔽。
Access Context Manager 会使用这些标记来配置基于管理员审批的访问权限级别。
即使您设置了设备审批,按序列号注册的设备也会自动获得批准。如需了解详情,请参阅配置公司自有设备。
启用管理员审批
必须先启用管理员审批,然后您才能为设备附上标记。
打开 Google Workspace 管理控制台,然后登录您的管理员帐号。
在管理控制台首页,转到设备。
在导航菜单中,依次点击移动设备和端点 > 通用设置 > 安全。
可选:要在单位部门间自定义设备审批设置,请从单位部门窗格中选择一个单位。
点击安全卡片。
在设备审批部分,选择需要管理员审批。
可选:输入电子邮件地址,以便在用户注册设备时接收通知。您可以使用包含能够激活设备的所有管理员的群组电子邮件地址。
点击保存。
审批和屏蔽设备
打开 Google Workspace 管理控制台,然后登录您的管理员帐号。
在管理控制台首页,转到设备。
点击端点。
根据您是批准还是屏蔽设备,请执行适当的操作:
要允许设备访问公司数据并将 Endpoint Verification 设备标记为已批准,请选择相应设备,点击更多
,然后选择批准设备。要禁止设备访问公司数据,并将 Endpoint Verification 设备标记为已屏蔽,请选择相应设备并点击屏蔽
。
当员工将公司帐号添加到自己的设备时,他们会看到需要管理员激活设备的提示消息。
实施管理员审批
批准或屏蔽某个设备并不会更改设备访问公司数据的权限。相反,系统会为设备添加一个标记,而该标记可用来在 Access Context Manager 中配置访问权限级别。按照以下流程实施设备审批设置。
- 使用 IAP 保护您的资源。
创建一个访问权限级别,以将设备政策 > 需要管理员审批属性设为是。
针对资源应用访问权限级别。