我應該如何授權 Google Analytics 給外包廠商?
先說結論,原則上就是不要把最高權限給外包廠商,僅授予可使用範圍的較低權限。
經常看到公司的 Google Analytics 帳號遺失或是被委外廠商挾持,造成公司無法繼續使用的窘況,原因都是因為對於 Google Analytics 不夠了解而造成。
以下是一些常見的狀況 :
(1) 公司的 Google Analytics 帳號是公司內部職員由私人的 Google 帳號建立,當他離職時帶走了這個 Google 帳號並更改了密碼,結果大家都無法登入使用該 Google Analytics。
(2) 公司的 Google Analytics 帳號是公司內部職員由私人的 Google 帳號建立,並授權給其他人編輯者或更低的權限。當他離職時沒有交接管理員權限給公司其他人員,結果大家都無法管理使用者。如果離職的管理員把其他人都移除,大家就都無法登入使用該 Google Analytics。
(3) 公司的 Google Analytics 帳號由委外廠商建立,只給公司人員編輯者或更低的權限。當與委外廠商結束合作時,委外廠商宣稱這是他們的帳號而拒絕轉移。
碰到以上的狀況,最壞的結果就是重新建立 Google Analytics 帳號,忍痛丟失以往的統計資料。
不過如果你能夠早點看到這篇文章,你就不會碰到這些窘況了。
最推薦的做法是:
(1) 公司的 Google Analytics 帳號要由公司的 Google 帳號建立,再用授權的方式給其他人編輯者或更低的權限。
(2) 盡量使用「資源層級」授權:例如只給 GA4 的「某個資源」,不要給整個帳戶的權限。
(3) 授權只給最小權限:能看報表就不要給能改設定;能改事件就不要給最高管理權。
(4) 分開系統授權:GA4、GTM、Google Ads、Search Console、Looker Studio、BigQuery 分開控權,避免「一把鑰匙開所有門」。
(5) 設定撤權機制:專案結束當天就移除群組或移除使用者,避免「合約到期但權限還在」。
一、外包廠商通常會跟你要哪些權限?
Google Analytics 帳號的角色有 :
管理員 -- 可以管理使用者 (不要給外包廠商這個權限)
編輯者 -- 可編輯所有資料和設定,但無法管理使用者
行銷人員 -- 可編輯目標對象、重要事件、歸因模式、回溯期和事件
分析人員 -- 可將已建立的探索分享給其他使用者
檢視者 -- 只能檢視資料及設定
管理員具有全部權限,其他角色除了具有該角色權限外,也具有下層角色的權限。
通常給外包廠商的權限,視他的工作範圍來授予權限,但最高只給到編輯者權限。
二、GA4 正確授權方式
(1) 預設建議只給資源層級 (Property) 的權限,這樣外包只會看到指定資源,不會碰到你整個公司所有 GA4。
(2) 只看報表的角色,給予分析人員、檢視者授權。做探索、切維度、做分析,給予分析人員授權。需要改事件/轉換/設定,才給予編輯者授權。
(3) 若不確定角色,先給予最低的檢視者授權,視實際需要再往上調整到編輯者授權。
(4) 有人建議使用「使用者群組 (User groups)」管理外包,但是必須先將帳戶連結至 Google Marketing Platform 機構組織即可啟用群組。
啟用群組參考資料 : https://support.google.com/analytics/answer/9305788?hl=zh-Hant
三、除了 GA4,外包常常還需要這些授權
1) Google Tag Manager (GTM,Google 代碼管理工具)
如果外包廠商經常要修改追蹤,幾乎一定會使用 GTM。
上面提到,如果 Google Analytics 帳號遺失,最壞的結果就是重新建立帳號,忍痛丟失以往的統計資料。如果 GTM 帳號遺失,最壞的結果就是重新建立帳號,雖然不會牽涉到資料遺失,但是整個 GTM 設定要重來,除非你的 GTM 有定期匯出備份 (如何匯出備份?)。
同樣的,針對 Container 給外包廠商授權,不要給 Account 層級授權。讓外包廠商負責「編輯」,由公司內部人員負責「發布」,可以降低錯誤的風險。
2) Google Ads (Google 廣告)
若外包廠商要代操廣告,你應該在 Google Ads 裡用「共享存取」加人,之後也能隨時調整或移除。另外,若你把 GA4 與 Google Ads 連結,GA4 端也會出現「Google Ads linked users」這類存取管理概念,變更這類角色可能會影響到該 Google Ads 帳戶內的一群使用者,因此更要小心。
3) Search Console (Google 網站管理員)
Search Console 的權限分為 : 擁有者、完整 (具有全部權限,但不能管理帳戶)、限制 (只能檢視)。
若外包廠商要看自然流量、搜尋字詞、索引問題,通常也會要 Search Console 權限,給予[限制]的權限即可。
4) Looker Studio (以前叫 Data Studio)
外包廠商若要做儀表板,你可以用 Looker Studio 的「邀請」方式分享報表,並決定對方是「可檢視」或「可編輯」。
實務建議: 報表 (Report) 與資料來源 (Data source) 要分開想:有些狀況外包只需要改報表排版,不需要動資料來源憑證。 組織端也能控管分享行為與資料來源憑證規則 (若你們是 Google Workspace)。
5) BigQuery (資料倉儲匯出或分析)
若外包廠商要用 BigQuery 分析 GA4 匯出資料,請用 Google Cloud IAM (Identity and Access Management) 授權,並盡量控制在「Dataset 層級」,而不是整個 Project。甚至可以用 IAM Conditions 設定「限時」或「條件式」存取,做成真正的「到期自動失效」。
結論 :
Google Analytics 授權需要很小心的規劃,除了依照以上規範之外,如果可能,還可以演練一些意外狀況,例如授權給外包廠商,發生錯誤編輯該怎麼辦? 有無回復機制? 例如最高權限無法登入,該怎麼辦? 有無申覆機制?
如果平常有在演練,真正發生狀況的時候就可以避免更多的損失。