您可以控制组织的电子邮件域,防止用户在商业 Webex 环境中创建 Webex 帐户。 Webex 通过电子邮件地址识别用户。 管理员可以为您的 Webex 组织声明电子邮件域,例如 example.gov。 声明域时,您会将使用这些电子邮件地址的所有用户加入您的 Webex 组织。
我们将分阶段推出域管理功能。 如果您有兴趣让贵组织使用此功能,请联系您的 Cisco 支持团队以启用该功能。 |
本文仅适用于使用 Webex for Government 的客户。 如果您要管理其他任何 Webex 组织,请参阅管理您的域。 |
您可选择是否为您的 Webex 组织声明特定电子邮件域。 当您与拥有不同 Webex 组织的其他组共享域时,这种灵活性非常重要。 声明的域中的用户加入 Webex 时,他们始终会加入声明组织。 如果没有组织声明给定域,每个组织都可以在该域中加入自己的用户。
如果不想声明共享域,可以改为预留域以仅供 Webex for Government 组织使用。 当您预留域时,这些电子邮件地址只能加入 Webex for Government 组织。 用户无法在商业 Webex 组织(包括自助注册组织)中创建使用这些地址的帐户。
如果您不声明或预留您的域,使用该电子邮件域的所有用户电子邮件都将以加密形式与 Webex 商业环境共享。 要防止电子邮件地址离开 FedRAMP 授权的 Webex for Government 边界,请让管理员声明或预留您的域。 |
此部分中的任务按典型域所有权生命周期的自然顺序排列。 执行满足您需求的任务。
请参阅本文中的域状态以了解这些任务如何更改域状态,以及这些操作如何影响您的合规性。
1 | |
2 | 在左侧导航窗格中的管理下,单击组织设置。 |
3 | 输入域名,然后单击添加。 |
4 | 单击域旁边的省略号 (…),然后选择检索验证令牌。 |
5 | 将验证令牌复制到 DNS TXT 记录中。
|
6 | 将 DNS TXT 记录添加到 DNS 服务器中。 如果其他管理员配置了您的 DNS 服务器,请将 DNS TXT 记录发送给管理员以添加到您的 DNS 服务器。
|
7 | 单击每个添加的域旁边的验证。 |
预留域意味着 Webex for Government 外部的组织无法添加使用此域中的电子邮件地址的用户。 但是,任何 Webex for Government 组织都可以拥有该域中的用户。 如果在您预留域之前,商业 Webex 中存在任何用户,您可以为该用户触发强制电子邮件地址更改。 这两条规则允许不同的 Webex for Government 组织共享域。
准备工作
向您的组织添加并验证域。
1 | 登录 Control Hub 并转至组织设置。 |
2 | 在域部分中,找到要预留的已验证域。 |
3 | 单击省略号 (…),然后选择预留域。 如果此域包含的用户存在于不在 Webex for Government 中的组织中,Control Hub 会显示一条消息通知您。
|
4 | 阅读并确认该消息,即预留会触发从商业 Webex 组织中删除使用此域的用户。 接受即表示您承诺在其他组织中更改这些电子邮件地址,以免您的用户丢失其(可能是非敏感的)数据。
|
5 | 单击继续。 |
1 | 登录 Control Hub 并转至组织设置。 |
2 | 滚动至域并单击您要声明的域旁的省略号 (...),然后选择声明已验证域。 |
3 | 选择声明。 声明域后,Control Hub 会用绿点进行标记。
|
下一步
声明域后,您组织外部的管理员无法添加使用已声明域的用户,并且会收到错误消息。 在声明域之前就存在于其他组织中的用户不受影响。 |
您还可以释放预留域。
如果您释放预留域,该域中的用户有可能加入不在 Webex for Government 中的组织。 释放预留会与商业 Webex 环境(在 Webex for Government 外部)共享用户在该域中的电子邮件地址。 尽管商业环境会加密静态电子邮件地址,但大多数 Webex for Government 客户倾向于遵守其组织要求,将所有 Webex 数据保留在 Webex for Government 边界内。
只有在任何其他 Webex for Government 组织中都没有来自某个域的用户时,您才能取消预留该域。 您不能单方面与商业 Webex 环境共享其他 Webex for Government 组织的用户电子邮件地址。
1 | 登录 Control Hub 并转至组织设置。 | ||
2 | 在域部分中,找到要释放的预留域。 | ||
3 | 单击省略号 (...),然后选择释放预留域。
| ||
4 | 阅读警告并选中相应复选框,确认您了解并同意继续。 | ||
5 | 单击继续。 |
1 | 登录 Control Hub 并转至组织设置。 |
2 | 滚动至域并单击要删除的域旁边的省略号 (...)。 |
3 | 单击删除域,阅读提示,然后单击删除。 |
本部分介绍如何检查您将哪些电子邮件地址和域从 FedRAMP 共享到商业 Webex 环境。 还介绍了如何停止与商业 Webex 环境共享信息。
只有在 FedRAMP 中验证的电子邮件地址或域的加密哈希值会与商业 Webex 环境共享。 Webex 使用哈希值来确保用户唯一并路由到正确的环境进行验证和授权。 Webex 仅共享来自已验证域或消费者域的电子邮件地址,例如, joe@gmail.com 。 |
如果您需要添加域,我们强烈建议预留或声明它们。 如果您需要添加用户,请从具有预留域或已声明域的组织提供其电子邮件地址。
1 | 登录 Control Hub 并转至组织设置。 |
2 | 在 FedRAMP 合规性部分中查看您的状态。
|
3 | 单击检查我的合规性并等待 Control Hub 向您显示报告。 该报告显示以下合规性类别:
|
4 | 单击继续。 使用报告中的信息可了解您与商业 Webex 共享的数据。 (此部分中的其他任务提供更多详细信息)。 根据组织的具体情况完成相应任务,然后再次检查报告。
|
5 | 当报告在所有三个类别中都显示为绿色时,单击更新 FedRAMP 状态以声明您的组织不与商业 Webex 共享用户电子邮件地址和域。 |
下一步
1 | 登录 Control Hub 并转至组织设置。 |
2 | 找到与商业环境共享电子邮件地址并将其关闭。 电子邮件地址不在预留域或已声明域中的用户无法加入您的组织。 Webex 完全权限管理员或用户管理员在您的组织中只能从预留域或已声明域创建用户。
|
如果您的域识别的用户存在于商业组织中,则您的 Webex for Government 组织不合规。 从所有商业组织中删除或重命名用户将使您的组织合规。
此过程假设您要复用这些身份在 Webex for Government 组织中创建用户。
您无法将商业托管用户转换到 Webex for Government 组织并同时引入其数据。 这样做会违反我们的运营授权,我们不允许。 |
1 | 登录 Control Hub 并转至组织设置。 |
2 | 在上一个报告中查找其电子邮件地址包含您的 Webex for Government 域的所有用户。 如果您不管理这些用户所在的商业组织,请联系 Cisco TAC。
|
3 | (可选)根据需要选择为每位用户执行的操作:
|
下一步
重新测试您的合规性,确认您已解决报告中的所有问题。
1 | 登录 Control Hub 并转至组织设置。 |
2 | 读取每个域的状态。 待处理或已验证的域可能导致您的组织与商业 Webex 环境共享有关其用户的信息。 这些域中的用户可以注册商业许可服务。
|
3 | 对于每个待处理的域,检查您是否满足验证域所有权的要求。 如果待处理状态仍然存在,请联系 Cisco TAC。 |
4 | 对于每个已验证域,预留或声明已验证域。 如果您无法预留或声明已验证域,您或其他实体先前可能已验证或声明该域。 其他实体需要先释放并删除该域,然后您才能进行预留。 |
5 | (可选)您还可以删除您不使用的任何不合规域。 |
域状态与 FedRAMP 合规性的关系
状态 | 描述 |
---|---|
"公共" | 这不是 Control Hub 中或 Webex 的其他位置中的真实状态。 但是,它是第三方拥有的域的一个方便术语,任何公众成员都可以拥有其中的电子邮件地址。 例如,这些域包括 gmail.com、outlook.com 和 aol.com。 您无法在组织中管理这些域。 如果使用这些电子邮件地址的人员属于您的组织,则该组织不合规。 |
无 | 这是域在添加到组织后的缺省状态。 如果使用此域的用户尚未在其他组织中,他们可以加入您的组织。 没有任何限制会阻止使用此域的用户加入其他组织。 如果任何商业 Webex 组织有通过此域识别的用户,则您的组织不合规。 |
待处理 | 您已采取措施验证此域,Webex 正在确认您的所有权。 这是域通过验证之前的临时状态。 |
已验证 | 这意味着 Webex 已确认您对域的所有权。 此状态不会阻止此域中的用户成为其他组织的成员。 如果这些用户在 Webex for Government 外部的组织中,那么您的组织不合规。 例如,他们使用该电子邮件地址免费加入了 Webex。 您可以将这些用户拉入您的组织。 |
预留 | 此状态仅适用于 Webex for Government 中的域。 您的组织预留了该域,但这是代表所有其他 Webex for Government 组织预留的。 任何 Webex for Government 组织都可以包含使用该域中的电子邮件地址的用户。 Webex for Government 外部的组织无法添加通过预留域中的电子邮件地址识别的新用户。 即使在您预留域之后,如果使用该域的用户在您预留该域之前存在于 Webex for Government 外部,那么您的组织可能不合规。 您可以更正该问题,保持将来的合规性。 |
已声明 | 此状态限制性最高,可能会使 Webex for Government 中的用户管理复杂化。 只有拥有该域的组织可以添加其电子邮件地址以该域结尾的用户。 您无法预留已声明域,但如果其他 Webex for Government 组织需要添加此类用户,您可以释放声明,然后预留该域。 |
更改域状态所需的操作
此表显示了将域移至组织合规性的首选状态所需执行的操作。
开始状态 | 操作 | 结束日期 | 可能的错误 |
---|---|---|---|
"公共" | 不适用 | "公共" | 无法添加此域 |
不在您的组织中 | 添加 | 无 | 域已声明 |
无 | 验证 | 待处理,然后是已验证 | — |
已验证 | 声明 | 已声明 | |
已验证 | 预约 | 预留 | 域已声明 |
预留 | 声明 | 已声明 | — |
预留 | 发行版 | 已验证 | 选项不可用,因为其他组织共享了预留域 |
已声明 | 发行版 | 已验证 | — |
已验证或无 | 删除 | 不在您的组织中 | — |