Ten artykuł zawiera informacje na temat sprawdzonych metod dotyczących bezpieczeństwa przeznaczone dla administratorów Google Workspace i Cloud Identity.
Jako administrator możesz zabezpieczyć dane służbowe na osobistych urządzeniach użytkowników oraz urządzeniach należących do organizacji, korzystając z funkcji i ustawień zarządzania punktami końcowymi Google. Inne funkcje zabezpieczeń zapewniają lepszą ochronę konta, szczegółową kontrolę dostępu i ochronę danych. Zapoznaj się z listą kontrolną poniżej, by upewnić się, że konfiguracja jest dopasowana do pożądanych zabezpieczeń urządzeń w organizacji.
Wszystkie urządzenia mobilne
|
Wymagaj haseł Wymagaj stosowania blokady ekranu lub hasła na zarządzanych urządzeniach użytkowników, by zwiększyć bezpieczeństwo zapisanych na nich danych. W przypadku urządzeń z zaawansowanymi funkcjami zarządzania możesz też ustawić typ, siłę i minimalną liczbę znaków hasła. Ustawianie wymagań dotyczących haseł dla zarządzanych urządzeń mobilnych |
|
|
Blokowanie zgubionych urządzeń lub czyszczenie ich z danych służbowych Jeśli urządzenie zostanie zgubione lub korzystający z niego pracownik opuści organizację, dane służbowe zapisane na urządzeniu będą zagrożone. W takiej sytuacji możesz usunąć z urządzenia konto użytkownika do pracy wraz ze wszystkimi danymi służbowymi. W przypadku urządzeń z zaawansowanymi funkcjami zarządzania możesz wyczyścić pamięć całego urządzenia. Ta funkcja nie jest dostępna w bezpłatnej wersji Cloud Identity. |
|
|
Zarządzanie aplikacjami na Androida używanymi do pracy Aby uniemożliwić nieautoryzowany dostęp do aplikacji na Androida używanych do pracy, dodaj je do listy aplikacji internetowych i mobilnych, aby stały się aplikacjami zarządzanymi. Możesz wymusić instalację zarządzanych aplikacji zabezpieczających i usunąć zarządzane aplikacje z zgubionych lub skradzionych urządzeń. Aplikacje zarządzane są automatycznie usuwane z urządzenia, gdy użytkownik usunie swoje konto służbowe. |
Urządzenia mobilne z zaawansowanymi funkcjami zarządzania
|
|
Wymagaj szyfrowania urządzenia Szyfrowanie powoduje zapisanie danych w taki sposób, że nie można uzyskać do nich dostępu na zablokowanym urządzeniu. Aby odszyfrować dane, konieczne jest odblokowanie urządzenia. Szyfrowanie zapewnia zabezpieczenie w przypadku zgubienia lub kradzieży urządzenia. |
|
|
Stosowanie ograniczeń na urządzeniach Możesz ograniczyć sposób, w jaki użytkownicy udostępniają i tworzą kopie zapasowe danych na urządzeniach z Androidem i Apple iOS. Na przykład na urządzeniach z Androidem możesz zapobiec przesyłaniu plików przez USB, a na urządzeniach z iOS możesz uniemożliwić tworzenie kopii zapasowych w osobistej chmurze. Możesz też ograniczyć dostęp do niektórych ustawień urządzenia i sieci. Na przykład możesz wyłączyć aparat urządzenia i zapobiec zmienianiu ustawień sieci Wi-Fi przez użytkowników Androida. |
|
|
Blokowanie przejętych urządzeń Wyłącz synchronizację służbowego konta użytkownika na urządzeniach z Androidem lub Apple iOS, które mogą zostać przejęte. Przejęte urządzenia to urządzenia zrootowane lub po jailbreaku – są to procesy usuwające ograniczenia na urządzeniu. Obecność przejętych urządzeń to potencjalne zagrożenie bezpieczeństwa. |
|
|
Automatyczne blokowanie urządzeń z Androidem, które nie są zgodne z zasadami organizacji Jeśli urządzenie przestanie spełniać wymogi dowolnej z zasad obowiązujących w organizacji, możesz je automatycznie zablokować, uniemożliwiając dostęp do służbowych danych. Użytkownik takiego urządzenia otrzyma odpowiednie powiadomienie. Jeśli na przykład według zasad hasło musi mieć co najmniej sześć znaków, a użytkownik ustawi na urządzeniu hasło składające się z pięciu znaków, to jego urządzenie przestanie spełniać wymogi zasad związanych z hasłami. |
|
|
Włączanie automatycznego czyszczenia konta na urządzeniach z Androidem Automatycznie usuwaj dane na koncie służbowym i zarządzane aplikacje z urządzenia z Androidem, gdy jest ono nieaktywne przez określoną liczbę dni. To pozwala zmniejszyć ryzyko wycieku danych. |
|
|
Zarządzanie aplikacjami na iOS używanymi do pracy Aby uniemożliwić nieautoryzowany dostęp do aplikacji na iOS używanych do pracy, dodaj je do listy aplikacji internetowych i mobilnych, aby stały się aplikacjami zarządzanymi. Możesz zdalnie usuwać takie aplikacje w przypadku zgubienia lub kradzieży urządzenia. Aplikacje zarządzane są automatycznie usuwane z urządzenia, gdy użytkownik usunie swoje konto służbowe. |
|
|
Blokowanie potencjalnie niebezpiecznych aplikacji na Androida Domyślnie Google blokuje na urządzeniach mobilnych z Androidem aplikacje spoza Sklepu Play (pochodzące z nieznanych źródeł). Aplikacje są też automatycznie skanowane i blokowane, jeśli są niebezpieczne, przez Google Play Protect. Te funkcje pozwalają zmniejszyć ryzyko wycieku danych, włamania na konto, wydobycia danych, usunięcia danych i zainfekowania złośliwym oprogramowaniem. Upewnij się, że u wszystkich użytkowników jest włączona opcja Blokuj instalację aplikacji z nieznanych źródeł i wyłączona opcja Zezwalaj użytkownikom na wyłączanie Google Play Protect. |
Komputery mające dostęp do danych służbowych
|
|
Włączanie weryfikacji punktów końcowych Gdy laptopy i komputery są zarządzane z uwzględnieniem weryfikacji punktów końcowych, możesz zastosować dostęp zależny od kontekstu, by chronić dane organizacji i uzyskać więcej informacji o urządzeniach, które mają do nich dostęp. |
|
|
Ogranicz dostęp do Dysku Google na komputer wyłącznie do urządzeń należących do firmy Dysk na komputer umożliwia użytkownikom pracę z plikami na Dysku na komputerze Mac lub z systemem Windows poza przeglądarką. Aby ograniczyć ekspozycję danych organizacji, możesz zezwolić na korzystanie z Dysku na komputer tylko na urządzeniach należących do firmy wymienionych na liście zasobów. Ograniczanie dostępu do Dysku na komputer wyłącznie do urządzeń należących do firmy |
|
|
Konfigurowanie dostawcy danych uwierzytelniających Google do systemów Windows (GCPW) Możesz zezwolić użytkownikom na logowanie się w systemie Windows 10 za pomocą ich firmowych kont Google. GCPW obejmuje weryfikację dwuetapową i testy zabezpieczające logowanie. Użytkownicy mogą też korzystać z usług Google Workspace i innych aplikacji wymagających logowania jednokrotnego bez konieczności ponownego podawania nazwy użytkownika i hasła Google. Omówienie: Dostawca danych uwierzytelniających Google do systemów Windows |
|
|
Ograniczanie uprawnień użytkowników na komputerach z systemem Windows należących do firmy To ustawienie pozwala określić, jakie czynności użytkownicy mogą wykonywać na komputerach z systemem Windows 10 należących do firmy. Możesz ustawić poziom uprawnień administracyjnych użytkowników Windows oraz stosować ustawienia zabezpieczeń systemu Windows, sieci, sprzętu i oprogramowania. Włączanie funkcji zarządzania urządzeniami z systemem Windows |
Więcej opcji zabezpieczeń dla wszystkich urządzeń
|
|
Zapobieganie nieautoryzowanemu dostępowi do kont użytkowników Podczas logowania się na swoje konto Google przy użyciu weryfikacji dwuetapowej użytkownik będzie musiał dodatkowo potwierdzić swoją tożsamość. Za dowód może posłużyć między innymi: fizyczny klucz bezpieczeństwa, klucz bezpieczeństwa wbudowany w urządzenie użytkownika, kod zabezpieczający dostarczony SMS-em lub za pomocą połączenia telefonicznego. Gdy Google podejrzewa, że dostęp do konta użytkownika próbuje uzyskać nieupoważniona osoba, na jej ekranie wyświetla się dodatkowe pytanie lub test zabezpieczający logowanie. Gdy korzystasz z opcji zarządzania urządzeniami końcowymi Google, możemy poprosić użytkowników o zweryfikowanie tożsamości za pomocą zarządzanego urządzenia mobilnego (urządzenia, którego zwykle używają do logowania się na swoje firmowe konto). Dodatkowe testy zabezpieczające logowanie znacznie zmniejszają ryzyko włamania się na konto użytkownika przez nieupoważnioną osobę. |
|
|
Korzystanie z dostępu zależnego od kontekstu do warunkowania dostępu do aplikacji Google Możesz ustawić różne poziomy dostępu w zależności od tożsamości użytkownika i kontekstu żądania (kraj/region, stan zabezpieczeń urządzenia czy adres IP). Możesz na przykład zablokować dostęp urządzenia mobilnego do aplikacji Google (internetowej i mobilnej), jeśli urządzenie znajduje się poza określonym krajem lub regionem albo jeśli nie spełnia wymagań dotyczących szyfrowania i hasła. Możesz też zezwolić wykonawcy na dostęp do aplikacji internetowych Google tylko na Chromebookach zarządzanych przez firmę. |
|
|
Określanie, które aplikacje mają dostęp do danych Google Workspace Możesz określić, którymi aplikacjami mobilnymi zarządza Twoja organizacja. Dzięki kontroli nad dostępami aplikacji możesz też określić, do których usług mają one dostęp. W ten sposób złośliwe aplikacje nie będą w stanie podstępem zdobyć dostępu do służbowych danych użytkowników. Kontrola dostępu do aplikacji jest niezależna od urządzenia i blokuje dostęp nieautoryzowanym aplikacjom zarówno na prywatnych urządzeniach, jak i tych należących do firmy. |
|
|
Identyfikowanie danych wrażliwych na Dysku Google oraz w Dokumentach, Arkuszach, Prezentacjach i Gmailu Chroń dane wrażliwe, takie jak numery PESEL, ustawiając zasady zapobiegania utracie danych (DLP). Te zasady potrafią wykrywać wiele powszechnych typów danych. Możesz też tworzyć niestandardowe wzorce wykrywania treści, aby spełniać potrzeby biznesowe. DLP chroni dane u źródła i na poziomie aplikacji oraz działa na wielu urządzeniach i metodach dostępu. Ochrona poufnych informacji za pomocą funkcji zapobiegania utracie danych |
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.