Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Best Practices für Super Admin-Konten

Zum Konfigurieren Ihrer Google Cloud-Organisationsressource benötigen Sie ein Super Admin-Konto für Google Workspace oder Cloud Identity. Super Admin-Konten haben unwiderrufliche Administratorberechtigungen, die für die Erledigung alltäglicher Verwaltungsaufgaben in einer Organisation nicht empfohlen werden. Auf dieser Seite werden Best Practices für die Verwendung von Super Admin-Konten für Google Workspace oder Cloud Identity in Ihrer Google Cloud-Organisation beschrieben.

Kontotypen

Ein Super Admin-Konto für Google Workspace umfasst eine Reihe von Verwaltungsfunktionen, darunter Cloud Identity. Damit werden verschiedene Möglichkeiten zur Identitätsverwaltung geboten, die Sie in allen Google-Diensten, wie Google Docs, Google Tabellen, Google Cloud usw., nutzen können.

Ein Cloud Identity-Konto bietet unabhängig von Google Workspace nur Funktionen zur Authentifizierung und Identitätsverwaltung.

E-Mail-Adresse für Super Admin erstellen

Erstellen Sie eine neue E-Mail-Adresse, die nicht für einen bestimmten Nutzer als Super Admin-Konto für Google Workspace oder Cloud Identity spezifisch ist. Das Konto sollte zusätzlich mit der Multi-Faktor-Authentifizierung gesichert sein und kann bei Bedarf als Tool zur Notfallwiederherstellung verwendet werden.

Organisationsadministratoren bestimmen

Nachdem Sie eine neue Organisation erworben haben, bestimmen Sie einen oder mehrere Organisationsadministratoren. Die mit dieser Rolle verbundenen Berechtigungen sind insgesamt weniger und auf die Verwaltung alltäglicher Organisationsvorgänge ausgelegt.

Erstellen Sie außerdem in Ihrem Super Admin-Konto für Google Workspace oder Cloud Identity eine private Google Cloud-Administratorgruppe. Fügen Sie dieser Gruppe Nutzer als Organisationsadministratoren hinzu, jedoch nicht den Super Admin-Nutzer. Erteilen Sie dieser Gruppe die IAM-Rolle "Administrator der Organisation" oder nur bestimmte Berechtigungen dieser Rolle.

Es wird empfohlen, das Super Admin-Konto von der Administratorgruppe Ihrer Organisation getrennt zu verwalten. Der Super Admin hat unwiderrufliche Berechtigungen der Rolle "Administrator der Organisation" und kann diese Rolle auch erteilen. Durch eine Trennung können Sie vermeiden, dass das Super Admin-Konto für alltägliche Verwaltungsaufgaben in Ihrer Organisation verwendet wird.

Informationen zum Verwalten der Zugriffssteuerung in Ihrer Organisation mithilfe von IAM-Richtlinien finden Sie unter Zugriffssteuerung für Organisationen mit IAM.

Geeignete Rollen festlegen

Google Workspace und Cloud Identity haben administrative Rollen mit eingeschränkten Berechtigungen im Vergleich zur Super Admin-Rolle. Es wird empfohlen, dem Prinzip der geringsten Berechtigung zu folgen. Erteilen Sie Nutzern nur so viele Berechtigungen, wie sie zum Verwalten von Nutzern und Gruppen tatsächlich benötigen.

Verwendung des Super Admin-Kontos vermeiden

Super Admin-Konten für Google Workspace und Cloud Identity sind mit umfangreichen Berechtigungen ausgestattet, die für alltägliche Verwaltungsaufgaben einer Organisation nicht erforderlich sind. Es wird empfohlen, Richtlinien zum Schutz von Super Admin-Konten einzurichten, um die Verwendung dieser Konten für Aufgaben des Tagesgeschäfts einzuschränken. Beispiele:

  • Erzwingen Sie Multi-Faktor-Authentifizierung für Super Admin-Konten und alle anderen Konten mit erhöhten Berechtigungen.

  • Verwenden Sie einen Sicherheitsschlüssel oder ein anderes physisches Authentifizierungsgerät, um die Bestätigung in zwei Schritten zu implementieren.

  • Bewahren Sie den Sicherheitsschlüssel für das primäre Super Admin-Konto an einem sicheren Ort auf, vorzugsweise an Ihrem physischen Standort.

  • Geben Sie Super Admins ein separates Konto, für das eine separate Anmeldung erforderlich ist. Zum Beispiel könnte die Nutzerin alice@example.com das Super Admin-Konto alice-admin@example.com haben.

    • Wenn Sie eine Synchronisierung mit dem Identitätsprotokoll eines Drittanbieters durchführen, wenden Sie dieselbe Sperr-Richtlinie auf Cloud Identity und die entsprechende Drittanbieteridentität an.
  • Wenn Sie ein Unternehmens- oder Geschäftskonto für Google Cloud oder ein Premiumkonto für Cloud Identity haben, können Sie für jedes Super Admin-Konto einen kurzen Anmeldezeitraum erzwingen.

  • Folgen Sie der Anleitung in den Best Practices für die Sicherheit von Administratorkonten.

Benachrichtigungen für API-Aufrufe

Verwenden Sie die Operations Suite von Google Cloud, um Warnungen einzurichten, die Sie über API-Aufrufe SetIamPolicy() benachrichtigen. So wird eine Warnung gesendet, sobald jemand eine IAM-Richtlinie ändert.

Vorgang zur Kontowiederherstellung

Achten Sie darauf, dass Organisationsadministratoren mit dem Vorgang zur Wiederherstellung von Super Admin-Konten vertraut sind. Über diesen können Sie das Konto wiederherstellen, wenn Super Admin-Anmeldedaten verloren gehen oder manipuliert werden.

Mehrere Organisationen

Wir empfehlen die Verwendung von Ordnern, um bestimmte Bereiche Ihrer Organisation separat zu verwalten. Wenn Sie stattdessen mehrere Organisationsressourcen verwenden möchten, benötigen Sie mehrere Google Workspace- oder Cloud Identity-Konten. Informationen zu den Auswirkungen der Verwendung mehrerer Google Workspace- und Cloud Identity-Konten finden Sie unter Mehrere Organisationen verwalten.