Queste best practice sulla sicurezza riguardano gli amministratori di Google Workspace e Cloud Identity.
In qualità di amministratore, puoi contribuire a proteggere i dati di lavoro sui dispositivi personali degli utenti (BYOD, Bring your own device, Porta il tuo dispositivo) e sui dispositivi aziendali di proprietà della tua organizzazione utilizzando le funzionalità e le impostazioni di gestione degli endpoint di Google. Altre funzionalità di sicurezza offrono una maggiore protezione degli account, un controllo granulare degli accessi e la protezione dei dati. Rivedi l'elenco di controllo seguente per verificare che tutto sia pronto per soddisfare gli obiettivi di sicurezza dei dispositivi della tua organizzazione.
Tutti i dispositivi mobili
|
Richiedere password Per proteggere i dati sui dispositivi mobili gestiti, richiedi agli utenti di impostare un blocco schermo o una password per il proprio dispositivo. Per i dispositivi con gestione avanzata, puoi anche impostare il tipo, la sicurezza e il numero minimo di caratteri della password. Impostare requisiti relativi alle password per i dispositivi mobili gestiti |
|
|
Bloccare o cancellare i dati aziendali dai dispositivi mancanti Quando un dispositivo viene perso o un dipendente lascia l'organizzazione, i dati di lavoro presenti sul dispositivo sono a rischio. Puoi cancellare i dati dell'account di lavoro di un utente dal dispositivo, inclusi tutti i suoi dati di lavoro. Per i dispositivi con gestione avanzata, puoi cancellare l'intero dispositivo. Questa funzionalità non è disponibile con la versione senza costi di Cloud Identity. |
|
|
Gestire le app Android utilizzate per il lavoro Impedisci l'accesso non autorizzato alle app Android utilizzate per il lavoro aggiungendole all'elenco delle app web e per dispositivi mobili per renderle gestite. Puoi forzare l'installazione di app di sicurezza gestite e rimuovere le app gestite dai dispositivi smarriti o rubati. Quando un utente rimuove il proprio account di lavoro, le app gestite vengono automaticamente rimosse dal dispositivo. |
Dispositivi mobili con gestione avanzata
|
|
Richiedi crittografia dispositivo La crittografia memorizza i dati in un formato che può essere letto solo quando un dispositivo è sbloccato. Lo sblocco di un dispositivo comporta la decriptazione dei dati. La crittografia rafforza la protezione in caso di smarrimento o furto del dispositivo. |
|
|
Applicare limitazioni relative al dispositivo Puoi limitare il modo in cui gli utenti condividono i dati e creano copie di backup sui dispositivi Android e Apple iOS. Ad esempio, su Android puoi impedire i trasferimenti USB di file e sui dispositivi iOS puoi interrompere i backup nello spazio di archiviazione personale sul cloud. Puoi anche limitare l'accesso a determinate impostazioni dei dispositivi e della rete. Ad esempio, puoi disattivare la fotocamera del dispositivo e impedire agli utenti di Android di modificare le impostazioni Wi-Fi. |
|
|
Bloccare i dispositivi compromessi Interrompi la sincronizzazione dell'account di lavoro di un utente su dispositivi Android e Apple iOS che potrebbero essere compromessi. Un dispositivo è compromesso quando è sottoposto a jailbreak o rooting, ovvero a processi che rimuovono le limitazioni su un dispositivo. I dispositivi compromessi possono indicare una potenziale minaccia alla sicurezza. |
|
|
Bloccare automaticamente i dispositivi Android non conformi ai criteri dell'organizzazione Se un dispositivo non è conforme ai criteri della tua organizzazione, puoi bloccarne automaticamente l'accesso ai dati di lavoro e inviare una notifica all'utente. Ad esempio, se imposti su 6 caratteri la lunghezza minima della password e un utente cambia la password del proprio dispositivo utilizzando 5 caratteri, il dispositivo non è conforme perché non rispetta i criteri per le password. |
|
|
Attivare la cancellazione automatica dell'account per i dispositivi Android Rimuovi automaticamente i dati dell'account di lavoro e le app gestite da un dispositivo Android quando questo resta inattivo per un determinato numero di giorni. In questo modo ridurrai il rischio di fuga di dati. |
|
|
Gestire le app per iOS utilizzate per il lavoro Impedisci l'accesso non autorizzato alle app per iOS utilizzate per il lavoro aggiungendole all'elenco delle app web e per dispositivi mobili e rendendole gestite. Puoi rimuovere le app gestite dai dispositivi smarriti o rubati. Quando un utente rimuove il proprio account di lavoro, le app gestite vengono automaticamente rimosse dal dispositivo. |
|
|
Bloccare app Android potenzialmente pericolose Per impostazione predefinita, Google blocca le app non provenienti dal Play Store, ma da origini sconosciute, sui dispositivi mobili Android. Le app vengono anche scansionate automaticamente e bloccate, se pericolose, da Google Play Protect. Queste funzionalità riducono i rischi di fuga di dati, violazioni degli account, esfiltrazione di dati, eliminazione di dati e attacchi di malware. Assicurati che l'opzione Blocca l'installazione di app da origini sconosciute sia attiva e che l'opzione Consenti agli utenti di disattivare Google Play Protect sia disattivata per tutti gli utenti. |
Computer che accedono ai dati di lavoro
|
|
Attivare la verifica degli endpoint Quando i computer laptop e desktop vengono gestiti con la verifica degli endpoint, puoi utilizzare l'accesso sensibile al contesto per proteggere i dati dell'organizzazione e ottenere ulteriori informazioni sui dispositivi che accedono a tali dati. |
|
|
Limitare Google Drive per computer ai dispositivi di proprietà dell'azienda Drive per computer consente agli utenti di lavorare sui file di Drive sul proprio computer Mac o Windows all'esterno di un browser. Per limitare l'esposizione dei dati della tua organizzazione, puoi consentire l'esecuzione di Drive per computer solo sui dispositivi di proprietà dell'azienda elencati nel tuo inventario. Limitare Drive per desktop ai dispositivi di proprietà dell'azienda |
|
|
Configurare Provider di credenziali Google per Windows (GCPW) Consenti agli utenti di accedere a computer Windows 10 con il proprio Account Google di lavoro. GCPW include la verifica in due passaggi e le verifiche di accesso. Gli utenti possono anche accedere ai servizi Google Workspace e ad altre app con Single Sign-On (SSO) senza dover reinserire il nome utente e la password di Google. |
|
|
Limitare i privilegi utente sui computer Windows di proprietà dell'azienda Con la gestione dei dispositivi Windows, puoi controllare quali operazioni possono eseguire gli utenti sui computer Windows 10 di proprietà dell'azienda. Puoi impostare il livello di autorizzazione amministrativa degli utenti per Windows. Puoi anche applicare le impostazioni di Windows relative a sicurezza, rete, hardware e software. |
Altre opzioni di sicurezza per tutti i dispositivi
|
|
Prevenire gli accessi non autorizzati all'account di un utente Quando gli utenti accedono al proprio Account Google, richiedi un'ulteriore prova della loro identità con la verifica in due passaggi (V2P). Questa verifica potrebbe consistere in un token di sicurezza fisico, un token di sicurezza integrato nel dispositivo dell'utente, un codice di sicurezza fornito via SMS o chiamata telefonica e altro ancora. Se Google sospetta che una persona non autorizzata stia tentando di accedere all'account di un utente, le presenta un'ulteriore domanda o verifica di sicurezza. Se utilizzi la gestione degli endpoint di Google, potremmo chiedere agli utenti di verificare la propria identità con il loro dispositivo mobile gestito (il dispositivo con cui normalmente accedono al loro account di lavoro). L'uso di ulteriori verifiche riduce in modo significativo la possibilità che una persona non autorizzata violi gli account degli utenti. |
|
|
Utilizzare l'accesso sensibile al contesto per consentire in modo condizionale l'accesso alle app Google Puoi impostare diversi livelli di accesso in base all'identità di un utente e al contesto della richiesta (paese/regione, stato di sicurezza del dispositivo, indirizzo IP). Ad esempio, puoi bloccare l'accesso da dispositivo mobile a un'app Google (web o per dispositivi mobili) se il dispositivo si trova al di fuori di un determinato paese o di un'area geografica specifica o se non soddisfa i requisiti di crittografia e password. Come ulteriore esempio, puoi consentire ai contrattisti di accedere alle app web Google solo sui Chromebook gestiti dall'azienda. |
|
|
Controllare le app che possono accedere ai dati di Google Workspace Puoi stabilire quali app per dispositivi mobili devono essere gestite dalla tua organizzazione. Puoi anche specificare a quali servizi può accedere un'app con il controllo dell'accesso delle app. Questo impedisce alle app dannose di indurre con l'inganno gli utenti a concedere per errore l'accesso ai propri dati di lavoro. Il controllo di accesso delle app è indipendente dal dispositivo e blocca l'accesso da parte di app non autorizzate sui dispositivi di proprietà dell'azienda o BYOD. |
|
|
Identificare i dati sensibili su Google Drive, Documenti, Fogli, Presentazioni e Gmail Proteggi i dati sensibili, ad esempio documenti di identità personali rilasciati dal governo, impostando i criteri di Prevenzione della perdita di dati (DLP). Questi criteri possono rilevare molti tipi di dati comuni e puoi anche creare rilevatori di contenuti personalizzati per soddisfare esigenze aziendali specifiche. DLP protegge i dati a livello di origine e di applicazione e si applica a tutti i dispositivi e metodi di accesso. Proteggere le informazioni sensibili utilizzando la funzionalità DLP |
Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.