אדמינים יכולים להגדיר את סוג הניהול של מכשירים ניידים ואת דרישות הסיסמה למכשירים ניידים בארגון. אפשר גם לאכוף מדיניות אבטחה, כמו שיטות גישה לנתונים, הצפנה, אישור מכשירים וסיסמאות חזקות.
הפעלה או השבתה של הגדרות אוניברסליות
לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.
-
במסוף Google Admin, נכנסים לתפריט
מכשירים
ניידים ונקודות קצה
הגדרות
אוניברסליות. כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.
- לוחצים על קטגוריית הגדרות ואז על הגדרה (לדוגמה, אבטחה ואז אישורי מכשירים). בהמשך הדף מוסבר על ההגדרות.
- (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
- מסמנים או מבטלים את הסימון של התיבה המתאימה כדי להפעיל או להשבית את ההגדרה. חלק מההגדרות כוללות יותר מאפשרות אחת שאפשר להפעיל או להשבית.
-
לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.
אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.
אינדקס של הגדרות אוניברסליות
כללי
ההגדרות האלה מאפשרות לכם לציין העדפות לניהול מכשירים ודרישות סיסמה למכשירים ניידים.
ניהול מכשירים ניידים
הגדרת סוג הניהול של מכשירים ניידים בארגון. אתם יכולים להגדיר סוגי ניהול שונים לפלטפורמות מכשירים ספציפיות וליחידות ארגוניות ספציפיות.
הניהול הבסיסי של מכשירים ניידים מופעל כברירת מחדל.
דרישות הסיסמה
נתמך רק במכשירים ניידים
דרישה לסיסמאות במכשירים ניידים מנוהלים.
פרטים נוספים מופיעים במאמר בנושא הגדרת דרישות לסיסמאות במכשירים ניידים מנוהלים.
Data Access
ההגדרות האלה מאפשרות לכם לציין העדפות לגבי שיתוף אותות Chrome, אימות נקודות קצה, הפעלת Google Assistant וסנכרון נתונים של משתמשים שקשורים לעבודה או ללימודים במכשירים ניידים.
שיתוף אותות ב-Chrome
איסוף אותות מהמכשיר מדפדפן Chrome, ישירות מהדפדפן, דרך התוסף Endpoint Verification או בשתי הדרכים. כשמסומנת התיבה איסוף אותות מהמכשיר מדפדפן Chrome, אפשר לקבל מידע על המכשיר כמו פרטי מערכת ההפעלה, סטטוס ההצפנה והסטטוס של מסך הנעילה.
כשהשיתוף של אותות Chrome מופעל, סנכרון הפרופיל ב-Chrome מדווח על אותות אבטחה של המכשיר, שמופיעים במסוף Admin כמכשירים בסיסיים. פרטים נוספים זמינים במאמר בנושא הפעלה או השבתה של שיתוף אותות מ-Chrome.
אימות של נקודות קצה
אם מסומנת התיבה איסוף אותות ממכשירים באמצעות בדיקה של נקודת קצה (endpoint), תוכלו לקבל פרטים על המכשירים האלה, כמו מערכת ההפעלה והמשתמש. בנוסף, צריך להשתמש ב-Endpoint Verification כדי להשתמש בכללים של בקרת גישה מבוססת-הקשר.
אם משביתים את אימות נקודות הקצה אבל יש כללי בקרת גישה מבוססת הקשר, יכול להיות שהמשתמשים לא יוכלו לגשת לחשבון המנוהל שלהם במכשיר.
Android Sync
מאפשרת סנכרון של נתוני עבודה או נתונים מבית הספר למכשירי Android מנוהלים.
כדי לחסום את הגישה לנתונים של מקום העבודה או מוסד הלימודים במכשירי Android, מבטלים את הסימון בתיבה מותר לסנכרן נתוני עבודה במכשירי Android. המשתמשים לא יוכלו להשתמש בנתונים שקשורים לעבודה או ללימודים באפליקציות של Google כמו Gmail, יומן Google או Drive. המשתמשים עדיין יכולים לגשת לנתונים שלהם בחשבון לצורכי עבודה או בחשבון בית ספרי דרך אפליקציות אינטרנט בדפדפן במכשיר שלהם.
iOS Sync
מאפשר לסנכרן נתונים של משתמשים לצורכי עבודה או נתונים בית ספריים עם מכשירי אייפון ואייפד מנוהלים.
כדי לחסום את הגישה לנתוני עבודה או לנתונים של מוסד לימודים באייפונים ובאייפדים, מבטלים את הסימון בתיבה אפשר לסנכרן נתוני עבודה במכשירי iOS. המשתמשים לא יוכלו להשתמש בנתונים שקשורים לעבודה או ללימודים באפליקציות של Google כמו Gmail, יומן Google או Drive. המשתמשים עדיין יכולים לגשת לנתונים שלהם מהעבודה או מבית הספר בדרכים הבאות:
- באמצעות אפליקציות אינטרנט בדפדפן במכשיר שלהם
- אם מפעילים IMAP, דרך אפליקציות של צד שלישי כמו אפליקציות מובנות של Apple iOS או Microsoft Outlook
- אם מפעילים את Google Sync (ההגדרה הבאה) דרך אפליקציות מובנות של Apple iOS
Google Sync (רק ב-Google Workspace)
נתמך באייפון ובאייפד, ב-Windows Phone, ב-Windows Mobile ובמכשירי BlackBerry 10
מאפשר למשתמשים לסנכרן את האימיילים, אנשי הקשר והיומנים שלהם בחשבון לצורכי עבודה או בחשבון בית ספרי עם המכשירים הניידים שלהם באמצעות Microsoft Exchange ActiveSync.
הערה: Google Sync לא תומך באימות OAuth, באימות דו-גורמי או במפתחות אבטחה. כדי לשפר את אבטחת הנתונים של הארגון, מומלץ להוציא את הארגון שלכם מ-Google Sync.
כשמפעילים את Google Sync, אפשר גם להגדיר את האפשרויות הבאות:
- הגבלת כתובות ה-IP שדרכן המשתמשים יכולים לגשת אל Google Sync.
המשתמשים יכולים לגשת רק לאימייל, ליומנים ולאנשי הקשר ב-Google Workspace במכשירים ניידים דרך כתובות ה-IP שאתם מציינים.
בתיבה Google Sync IP Whitelist (רשימת היתרים של Google Sync לכתובות IP), מוסיפים את כתובות ה-IP (מסכות) שדרכן המשתמשים יכולים לגשת לאימייל, ליומן ולאנשי הקשר שלהם ב-Google Workspace. כדי להוסיף יותר מכתובת IP אחת, מזינים טווח כתובות IP בסימון CIDR. אפשר גם להפריד בין כתובות ה-IP באמצעות פסיק.
ההגדרה הזו מושבתת כברירת מחדל. הפעילו את ההגדרה רק אם הארגון שלכם צריך אותה. ההגדרה הזו נדרשת בדרך כלל בארגונים שצריכים להשתמש בשרת proxy של Microsoft Exchange ActiveSync כדי להגביל את הגישה של המשתמשים לנתוני העבודה במכשירים ניידים. יכול להיות שארגונים כאלה יצטרכו לנתב את החיבורים שלהם ל-ActiveSync דרך שרתים נפרדים לניהול מכשירים (שרתי proxy).
- הפעלה אוטומטית של ההגדרה 'מחיקת אימייל כאשפה' במכשירי Google Sync. כשההגדרה הזו מושבתת במכשירים, Gmail מעביר את האימייל לארכיון במקום למחוק אותו. מידע נוסף
-
אפשר למכשירי Android ו-iOS לבצע סנכרון אוטומטי במהלך נדידה. סנכרון אוטומטי עלול להגדיל את העלויות של חבילת הגלישה.
גם אם מבטלים את הסימון של התיבה הפעלת סנכרון אוטומטי בנדידה, המשתמשים עדיין יכולים לסנכרן את המכשירים שלהם באופן ידני בזמן נדידה.
Google Assistant
האפשרות נתמכת באייפונים, באייפדים ובמכשירים עם Android 4.1 Jelly Bean ומעלה.
מאפשר למשתמשים להשתמש ב-Discover עם החשבון המנוהל שלהם במכשיר. מידע נוסף על Discover
הערה: אדמינים בארגונים של Google Workspace for Education צריכים לקבל את הסכמת ההורים כדי להפעיל את התכונות Voice Match ו-Face Match למשתמשים מתחת לגיל 18. פרטים נוספים זמינים במאמר בנושא ניהול של Face Match ו-Voice Match.
אבטחה
ההגדרות האלה מאפשרות לכם לציין העדפות לאישור מכשירים ולאמצעי אבטחה למכשירים. כדי להחיל את ההגדרות האלה על מכשירים ניידים, צריך לעבור אל הגדרת ניהול מתקדם של מכשירים ניידים.
אישורי מכשירים
נתמך במכשירים ניידים במסגרת ניהול מתקדם של מכשירים ניידים, במכשירים עם Google Sync ובנקודות קצה במסגרת אימות בנקודת קצה
האדמין צריך לאשר את המכשיר לפני שהמשתמש יוכל לגשת לנתונים של חשבון העבודה או בית הספר.
פרטים נוספים מופיעים במאמר בנושא דרישת אישור אדמין לגישה למכשיר.
מצלמה
האפשרות נתמכת באייפונים ובאייפדים, במכשירים עם Android 4.0 Ice Cream Sandwich ומעלה וב-Microsoft Windows Phone
המשתמשים יכולים להשתמש במצלמה במכשיר שלהם.
כדי לחסום את השימוש בכל המצלמות, מבטלים את הסימון בתיבה התרת שימוש במצלמה. עם זאת, במכשירי Android עם פרופילים של עבודה, המשתמשים עדיין יכולים להשתמש במצלמה עם אפליקציות לשימוש אישי.
הצפנה
האפשרות נתמכת במכשירים עם Android מגרסה 3.0 Honeycomb ואילך באמצעות Android Sync, ובמכשירי iOS באמצעות iOS Sync או Google Sync. במכשירים אחרים ובאפליקציות של צד שלישי, צריך ליצור קשר עם יצרן המכשיר או עם מפתח האפליקציה.
ההגדרה מחייבת הצפנת נתונים במכשירים, כדי שאפשר יהיה לקרוא את הנתונים רק כשהמכשיר לא נעול. הצפנה משפרת את ההגנה במקרה של אובדן או גניבת המכשיר. כשפותחים את הנעילה של המכשיר, ההצפנה מתבטלת.
מכשירים בבעלות החברה שנמצאים במצב 'לא פעיל' (Android בלבד)
תמיכה במכשירי Android בבעלות החברה
אם מסמנים את התיבה הזו, נשלח דוח חודשי על מכשירי Android בבעלות החברה שלא סונכרנו בהם נתוני עבודה במשך 30 יום לפחות. הדוחות נשלחים אוטומטית לכל הסופר-אדמינים בארגון. כדי לשלוח את הדוחות לאנשים אחרים, מזינים את כתובות האימייל שלהם בתיבת הטקסט.
פרטים נוספים מופיעים במאמר בנושא קבלת דוח על מכשירים בבעלות החברה שאינם פעילים.
מכשירים שנפרצו
נתמך במכשירי Android ובמכשירי אייפון ואייפד שמסנכרנים נתונים עם iOS Sync
חסימת מכשיר Android או iOS מסנכרון נתונים של העבודה או של בית הספר, אם יש אינדיקציות לכך שהמכשיר נפרץ או שהוא נמצא בסיכון.
- מסמנים את התיבה חסימה של מכשירי Android שנפרצו כדי לחסום מכשיר Android אם יש אינדיקציות לכך שהוא עלול להיות בסיכון. לדוגמה, מכשיר נפרץ אם הוא עבר תהליך רוט (Root) – תהליך שמסיר הגבלות במכשיר.
- מסמנים את התיבה חסימת מכשירי iOS פרוצים כדי לחסום מכשיר iOS אם יש אינדיקציות לכך שהוא פרוץ – תהליך שמסיר הגבלות במכשיר. כשמסמנים את התיבה הזו, משתמשי iOS מקבלים הנחיה להתקין את אפליקציית Google Device Policy אם היא עדיין לא מותקנת במכשיר.
נושאים קשורים
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.