Google Workspace 管理員完整教學:Admin Console 設定、用戶管理與安全配置
Google Workspace 管理員完整教學:設定與最佳實踐
「公司買了 Google Workspace,但我不知道怎麼設定⋯⋯」這是很多新手管理員的困擾。Google Workspace 的管理功能很強大,但介面選項也很多,不知道從哪裡開始。
這篇文章會帶你從零開始,學會 Google Workspace 管理員最重要的設定。
想了解 Google Workspace 是什麼,請參考 Google Workspace 完整指南。
Admin Console 管理控制台介紹
登入與介面導覽
登入方式:
- 前往 admin.google.com
- 使用管理員帳號登入
- 完成兩步驟驗證(如果已啟用)
主畫面區塊:
| 區塊 | 功能 |
|---|---|
| 使用者 | 新增、編輯、刪除用戶 |
| 裝置 | 管理公司裝置 |
| 應用程式 | 設定 Google 服務 |
| 帳單 | 訂閱和付款管理 |
| 安全性 | 安全設定和報告 |
| 報告 | 使用狀況分析 |
| 目錄 | 組織架構、群組 |
快速搜尋:畫面頂端有搜尋框,可以直接搜尋用戶、群組、設定項目。很好用,記得善用。
管理員角色與權限
Google Workspace 的管理員不只一種:
| 角色 | 權限 | 適合誰 |
|---|---|---|
| 超級管理員 | 完全控制所有設定 | IT 主管、老闆 |
| 群組管理員 | 管理群組和成員 | 部門主管 |
| 使用者管理員 | 新增、編輯用戶 | HR、IT 助理 |
| 服務管理員 | 管理特定服務 | 專責人員 |
| 報告管理員 | 檢視報告(唯讀) | 需要看報表的人 |
| 自訂角色 | 自訂權限組合 | 特殊需求 |
建議:
- 超級管理員帳號限制在 2-3 個人
- 日常管理用權限較小的角色
- 定期審查誰有管理權限
常用功能快速入口
這些是你最常用的功能:
用戶相關:
- 新增使用者:使用者 → 新增使用者
- 重設密碼:使用者 → 選擇用戶 → 重設密碼
- 停用帳號:使用者 → 選擇用戶 → 暫停使用者
安全相關:
- 2FA 設定:安全性 → 驗證 → 兩步驟驗證
- 密碼政策:安全性 → 驗證 → 密碼管理
郵件相關:
- MX 記錄:帳戶 → 網域 → DNS 設定
- 郵件路由:應用程式 → Google Workspace → Gmail → 設定
用戶管理教學
新增/刪除用戶
新增單一用戶:
- 進入 Admin Console
- 點選「使用者」
- 點選「新增使用者」
- 填寫資料:
- 名字、姓氏
- 主要電子郵件(@yourcompany.com)
- 次要電子郵件(找回密碼用)
- 電話(選填)
- 設定臨時密碼
- 點選「新增使用者」
小技巧:勾選「要求使用者在下次登入時變更密碼」,強制新用戶改密碼。
刪除用戶:
- 進入「使用者」
- 選擇要刪除的用戶
- 點選「更多選項」→「刪除使用者」
- 選擇要不要轉移資料
- 確認刪除
注意:刪除是永久的。建議先「暫停」帳號,確認沒問題再刪除。
批次匯入用戶
人多的話,一個一個加太慢。用 CSV 批次匯入:
Step 1:下載範本
- 使用者 → 批次更新使用者 → 下載 CSV 範本
Step 2:填寫 CSV
必填欄位:
First Name [Required],Last Name [Required],Email Address [Required],Password [Required],Org Unit Path [Required]
小明,王,[email protected],TempPass123!,/
Step 3:上傳 CSV
- 使用者 → 批次更新使用者 → 選擇檔案 → 上傳
常見錯誤:
- Email 格式錯誤
- 密碼不符合政策
- 組織單位路徑不存在
- CSV 編碼問題(用 UTF-8)
組織單位設定
組織單位(OU)讓你分群管理:
建立組織單位:
- 目錄 → 組織單位
- 點選「建立組織單位」
- 輸入名稱(例如:業務部、工程部)
- 選擇上層單位
- 儲存
組織架構範例:
公司(根目錄)
├── 管理部門
│ ├── 財務
│ └── 人資
├── 業務部門
│ ├── 北區
│ └── 南區
└── 技術部門
├── 開發
└── 維運
用途:
- 對不同部門套用不同設定
- 開放/關閉特定服務
- 設定不同的安全政策
大量用戶遷移?
從其他系統搬過來,帳號很多?讓我們協助,批次建立帳號、遷移郵件,省時省力。
網域與郵件設定
這是最多人卡關的地方。
網域驗證步驟
買了 Google Workspace 後,第一件事是驗證你擁有這個網域:
驗證方式(擇一):
| 方式 | 適合情況 | 難度 |
|---|---|---|
| TXT 記錄 | 有 DNS 權限 | 中 |
| CNAME 記錄 | 有 DNS 權限 | 中 |
| Meta 標籤 | 有網站管理權限 | 簡單 |
| HTML 檔案 | 有網站管理權限 | 簡單 |
TXT 記錄驗證(推薦):
- Admin Console → 帳戶 → 網域 → 新增/驗證網域
- 複製 Google 提供的 TXT 記錄值
- 登入你的 DNS 服務商(GoDaddy、Cloudflare、中華電信等)
- 新增 TXT 記錄:
- 名稱:@(或留空)
- 值:Google 提供的那串
- TTL:3600(或預設)
- 回到 Admin Console 點選「驗證」
- 等待 DNS 生效(幾分鐘到 48 小時)
MX 記錄設定
驗證完網域,還要設定 MX 記錄,郵件才會寄到 Google:
MX 記錄值:
| 優先順序 | 郵件伺服器 |
|---|---|
| 1 | ASPMX.L.GOOGLE.COM |
| 5 | ALT1.ASPMX.L.GOOGLE.COM |
| 5 | ALT2.ASPMX.L.GOOGLE.COM |
| 10 | ALT3.ASPMX.L.GOOGLE.COM |
| 10 | ALT4.ASPMX.L.GOOGLE.COM |
設定步驟:
- 登入 DNS 服務商
- 找到 MX 記錄設定
- 刪除舊的 MX 記錄
- 新增上面五筆 MX 記錄
- 儲存並等待生效
注意:
- 優先順序數字越小越優先
- 設定期間可能會有郵件遺失,建議離峰時間操作
- DNS 變更需要時間生效(TTL)
詳細 MX 設定教學請見 Google Workspace MX 記錄設定教學。
SPF/DKIM/DMARC 設定
這三個是郵件驗證機制,設定好可以:
- 減少郵件被標為垃圾信
- 防止別人冒用你的網域發信
- 提升郵件送達率
SPF(Sender Policy Framework)
告訴收件伺服器:「只有這些伺服器可以用我的網域發信」
新增 TXT 記錄:
v=spf1 include:_spf.google.com ~all
DKIM(DomainKeys Identified Mail)
數位簽章,證明郵件來自你的網域。
- Admin Console → 應用程式 → Google Workspace → Gmail
- 驗證電子郵件 → 產生新記錄
- 複製 DKIM 記錄到 DNS
- 啟用 DKIM
DMARC(Domain-based Message Authentication)
告訴收件伺服器如何處理驗證失敗的郵件。
新增 TXT 記錄(名稱:_dmarc):
v=DMARC1; p=quarantine; rua=mailto:[email protected]
DNS 設定搞不定?
MX、SPF、DKIM、DMARC⋯⋯太多縮寫看不懂?預約技術諮詢,讓專家幫你處理。
安全設定
2FA 兩步驟驗證強制啟用
兩步驟驗證是最重要的安全設定。強烈建議:全公司強制啟用。
啟用步驟:
- Admin Console → 安全性 → 驗證 → 兩步驟驗證
- 選擇組織單位(建議先從 IT 部門試行)
- 允許使用者啟用兩步驟驗證 → 開啟
- 強制執行 → 設定時程
- 選擇強制執行日期(給用戶時間準備)
強制執行建議:
- 給用戶 1-2 週準備時間
- 提前發公告說明
- 準備教學文件
- IT 部門先示範
支援的驗證方式:
- Google Authenticator(推薦)
- 簡訊驗證碼(較不安全)
- 安全金鑰(最安全)
- 備用碼
詳細 2FA 設定請見 Google Workspace 2FA 設定指南。
密碼政策設定
設定位置:安全性 → 驗證 → 密碼管理
建議設定:
| 項目 | 建議值 |
|---|---|
| 密碼最短長度 | 12 字元以上 |
| 密碼強度 | 強制包含大小寫、數字、符號 |
| 密碼到期 | 90 天(或永不過期 + 2FA) |
| 禁止重複使用 | 最近 10 組密碼 |
現代建議: 長密碼 + 2FA > 短密碼頻繁更換
如果已經強制 2FA,密碼可以設定永不過期,減少用戶困擾。
裝置管理(MDM)
管理員工使用的裝置:
基本管理(免費):
- 檢視哪些裝置連接公司帳號
- 遠端清除帳號(保留裝置資料)
- 強制裝置密碼
進階管理(需 Business Plus 以上):
- 遠端完全清除裝置
- 應用程式管理
- 裝置政策
- 位置追蹤
設定步驟:
- 裝置 → 行動裝置和端點
- 選擇管理等級
- 設定裝置政策
- 用戶需在裝置上確認
擔心帳號安全?
資安事件層出不窮,你的設定夠安全嗎?預約資安評估,找出潛在風險。
常見管理任務
重設用戶密碼
最常做的事⋯⋯
方法一:Admin Console
- 使用者 → 選擇用戶
- 安全性 → 重設密碼
- 輸入新密碼或自動產生
- 勾選「要求使用者下次登入時變更密碼」
- 重設
方法二:委派給主管 可以設定讓部門主管幫屬下重設密碼,IT 不用事事處理。
查看使用報告
使用狀況報告:
- 報告 → 應用程式報告 → 選擇服務
- 可以看到誰在用、用多少
安全報告:
- 報告 → 安全性 → 安全性調查
- 可疑登入、失敗的登入嘗試
匯出報告: 大部分報告可以匯出 CSV 或連接 BigQuery。
管理第三方應用存取
用戶常常會授權奇怪的 App 存取公司資料。管理員要控管:
查看已授權的應用: 安全性 → API 控制項 → 管理第三方應用程式存取權
設定應用存取政策:
- 信任的應用程式:允許存取
- 受限制的應用程式:需要管理員核准
- 封鎖的應用程式:禁止存取
建議做法:
- 預設封鎖不認識的應用
- 建立白名單(信任的應用)
- 定期審查已授權的應用
- 教育用戶不要亂授權
FAQ:管理員常見問題
管理員帳號被鎖怎麼辦?
如果你是唯一的超級管理員,而且被鎖了:
- 檢查有沒有其他超級管理員可以幫忙
- 使用帳號還原選項(需要先設定備用聯絡方式)
- 聯繫 Google 支援(需要驗證身份)
預防方法:
- 至少有 2 個超級管理員帳號
- 設定帳號還原選項
- 記錄備用碼
用戶自己改了密碼我能知道嗎?
可以。報告 → 稽核日誌 → 使用者 → 篩選「密碼變更」。
可以看到用戶的郵件內容嗎?
一般情況:不行,這是隱私問題。
特殊情況(需 Business Plus 或 Enterprise):
- 使用 Vault 進行 eDiscovery
- 需要有正當理由(法律調查等)
- 會留下稽核紀錄
怎麼知道誰登入失敗很多次?
報告 → 安全性 → 安全性調查 → 選擇「登入嘗試失敗」。
可以設定警示,失敗次數過多自動通知管理員。
組織單位可以後來再改嗎?
可以。用戶可以隨時移動到不同的組織單位,設定會立即套用。
管理設定需要幫手?
Google Workspace 設定看似簡單,但細節決定安全性與效率。
我們可以協助:
- 初始設定和網域驗證
- 安全性最佳實踐
- 批次帳號建立
- 管理員培訓
預約免費諮詢,讓有經驗的顧問協助你完成最佳配置。
延伸閱讀
- 回到完整指南,請見 Google Workspace 完整指南
- MX 記錄詳細設定,請見 Google Workspace MX 記錄設定教學
- 2FA 設定詳細教學,請見 Google Workspace 2FA 設定指南
- SMTP 設定教學,請見 Google Workspace SMTP 設定完整教學