Данные рекомендации по обеспечению безопасности предназначены для администраторов Google Workspace и Cloud Identity .
Как администратор, вы можете помочь защитить рабочие данные на личных устройствах пользователей (BYOD) и на устройствах, принадлежащих вашей организации, используя функции и настройки управления конечными точками Google. Другие функции безопасности обеспечивают более надежную защиту учетных записей, детальный контроль доступа и защиту данных. Ознакомьтесь со следующим контрольным списком, чтобы убедиться, что вы готовы к достижению целей вашей организации в области безопасности устройств.
Все мобильные устройства
 | Требовать пароли Защитите данные на управляемых мобильных устройствах, потребовав от пользователей установить блокировку экрана или пароль для своих устройств. Для устройств с расширенными возможностями управления вы также можете установить тип пароля, уровень надежности и минимальное количество символов. Установите требования к паролям для управляемых мобильных устройств. |
| Заблокируйте или удалите корпоративные данные с пропавших устройств. Когда устройство пропадает или сотрудник покидает вашу организацию, рабочие данные на устройстве оказываются под угрозой. Вы можете удалить рабочую учетную запись пользователя с устройства, включая все его рабочие данные. Для устройств с расширенными возможностями управления вы можете удалить все данные с устройства. Эта функция недоступна в бесплатной версии Cloud Identity. |
| Управление приложениями Android, используемыми в работе. Предотвратите несанкционированный доступ к приложениям Android, используемым для работы, добавив их в список веб- и мобильных приложений, чтобы сделать их управляемыми. Вы можете принудительно установить управляемые приложения безопасности и удалить управляемые приложения с потерянных или украденных устройств. Управляемые приложения автоматически удаляются с устройства, когда пользователь удаляет свою рабочую учетную запись. |
Мобильные устройства под расширенным управлением
| Требуется шифрование устройства Шифрование хранит данные в форме, доступной для чтения только после разблокировки устройства. Разблокировка устройства расшифровывает данные. Шифрование также обеспечивает дополнительную защиту в случае утери или кражи устройства. |
| Применить ограничения для устройств На устройствах Android и Apple iOS можно ограничить способы обмена и резервного копирования данных пользователями. Например, на Android можно запретить передачу файлов через USB, а на устройствах iOS — резервное копирование в личное облачное хранилище. Также можно ограничить доступ к некоторым настройкам устройства и сети. Например, можно отключить камеру устройства и запретить пользователям Android изменять настройки Wi-Fi. |
| Блокировка скомпрометированных устройств Предотвратите синхронизацию рабочей учетной записи пользователя с устройствами Android и Apple iOS, которые могут быть скомпрометированы. Устройство считается скомпрометированным, когда оно взломано или рутировано — процессы, снимающие ограничения с устройства. Компрометированные устройства могут указывать на потенциальную угрозу безопасности. |
| Автоматически блокируйте устройства Android, не соответствующие вашим правилам. Если устройство перестаёт соответствовать политике вашей организации, вы можете автоматически заблокировать ему доступ к рабочим данным и уведомить пользователя. Например, если вы установили минимальную длину пароля в 6 символов, а пользователь изменил пароль на устройстве на 5 символов, устройство перестаёт соответствовать требованиям, поскольку не отвечает вашей политике паролей. |
| Включить автоматическое удаление данных учетной записи для устройств Android Автоматическое удаление данных рабочей учетной записи и управляемых приложений с устройства Android, когда оно неактивно в течение заданного количества дней. Это снижает риск утечки данных . |
| Управление приложениями iOS, используемыми для работы. Предотвратите несанкционированный доступ к рабочим приложениям iOS, добавив их в список веб- и мобильных приложений и сделав их управляемыми. Вы можете удалить управляемые приложения с потерянных или украденных устройств. Управляемые приложения автоматически удаляются с устройства, когда пользователь удаляет свою рабочую учетную запись. |
| Блокировка потенциально опасных приложений для Android По умолчанию Google блокирует приложения, не размещенные в Play Store, на мобильных устройствах Android из неизвестных источников. Приложения также автоматически сканируются и блокируются, если они опасны, с помощью Google Play Protect. Эти функции снижают риски утечки данных , взлома учетных записей , несанкционированного доступа к данным , удаления данных и вредоносного ПО . Убедитесь, что функция «Блокировать установку приложений из неизвестных источников» включена, а функция «Разрешить пользователям отключать Google Play Protect» отключена для всех ваших пользователей. |
Компьютеры, обеспечивающие доступ к рабочим данным.
| Включите проверку конечной точки При управлении ноутбуками и настольными компьютерами с помощью проверки конечных точек вы можете использовать контекстно-зависимый доступ для защиты данных вашей организации и получения дополнительной информации об устройствах, которые получают доступ к этим данным. |
| Ограничьте доступ к Google Drive для настольных компьютеров только для корпоративных устройств. Приложение Drive для настольных компьютеров позволяет пользователям работать с файлами Drive на своих компьютерах Mac или Windows вне браузера. Чтобы ограничить доступ к данным вашей организации, вы можете разрешить запуск Drive для настольных компьютеров только на устройствах, принадлежащих компании и внесенных в ваш реестр. Ограничьте доступ к Drive для настольных компьютеров только для устройств, принадлежащих компании. |
| Настройка поставщика учетных данных Google для Windows (GCPW) Предоставьте пользователям возможность входить в систему на компьютерах с Windows 10, используя свою рабочую учетную запись Google. GCPW включает двухфакторную аутентификацию и запросы на подтверждение входа. Пользователи также могут получить доступ к сервисам Google Workspace и другим приложениям с единым входом (SSO) без необходимости повторного ввода имени пользователя и пароля Google. |
| Ограничьте права доступа пользователей к принадлежащим компании компьютерам под управлением Windows. С помощью управления устройствами Windows вы можете контролировать действия пользователей на принадлежащих компании компьютерах с Windows 10. Вы можете установить уровень административных прав пользователей для Windows. Вы также можете применять параметры безопасности, сети, оборудования и программного обеспечения Windows. |
Больше возможностей обеспечения безопасности для всех устройств
| Предотвратить несанкционированный доступ к учетной записи пользователя. При входе в учетную запись Google с использованием двухфакторной аутентификации (2SV) необходимо требовать дополнительное подтверждение личности. В качестве подтверждения может выступать физический ключ безопасности, ключ безопасности, встроенный в устройство пользователя, код безопасности, отправленный по SMS или телефону, и многое другое. Когда Google подозревает, что кто-то посторонний пытается получить доступ к учетной записи пользователя, мы задаем ему дополнительный контрольный вопрос или запрос на подтверждение личности. При использовании системы управления конечными точками Google мы можем попросить пользователей подтвердить свою личность с помощью управляемого мобильного устройства (устройства, которое они обычно используют для доступа к своей рабочей учетной записи). Дополнительные запросы значительно снижают вероятность взлома учетных записей пользователей посторонними лицами. |
| Используйте контекстно-зависимый доступ, чтобы условно разрешать доступ к приложениям Google. Вы можете установить различные уровни доступа в зависимости от личности пользователя и контекста запроса (страна/регион, статус безопасности устройства, IP-адрес). Например, вы можете заблокировать доступ мобильного устройства к приложению Google (веб-версии и мобильному приложению), если устройство находится за пределами определенной страны/региона или если устройство не соответствует вашим требованиям к шифрованию и паролям. В качестве другого примера, вы можете разрешить подрядчику доступ к веб-приложениям Google только на Chromebook, находящихся в ведении компании. |
| Настройте доступ приложений к данным Google Workspace. Настройте, какие мобильные приложения будут управляться вашей организацией. Вы также можете указать, к каким сервисам приложение может получить доступ с помощью контроля доступа к приложениям. Это предотвращает попытки вредоносных приложений обманом заставить пользователей случайно предоставить доступ к их рабочим данным. Контроль доступа к приложениям не зависит от устройства и блокирует доступ неавторизованных приложений как на устройствах, используемых сотрудниками на рабочем месте (BYOD), так и на устройствах, принадлежащих компании. |
| Выявление конфиденциальных данных в Google Drive, Docs, Sheets, Slides и Gmail. Защитите конфиденциальные данные, такие как удостоверения личности, выданные государственными органами, настроив политики предотвращения потери данных (DLP). Эти политики могут обнаруживать множество распространенных типов данных , а также вы можете создавать собственные детекторы контента в соответствии со специфическими потребностями бизнеса. DLP защищает данные на уровне источника и приложения и применяется ко всем устройствам и методам доступа. |
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.