En tant qu'administrateur de votre organisation, vous pouvez être averti de certaines activités spécifiques de votre domaine, telles qu'une tentative de connexion suspecte, le piratage d'un appareil mobile ou la modification des paramètres par un autre administrateur, à l'aide de règles définies par le système.
Ce n'est pas vous qui créez ces règles : il s'agit de règles par défaut mises à disposition par Google. Sur la page "Règles", vous pouvez afficher et modifier des règles définies par le système, par exemple pour activer ou désactiver les alertes, envoyer des notifications par e-mail, envoyer les alertes au centre d'alerte ou modifier le niveau de gravité (Faible, Moyenne ou Élevée).
Chaque règle définie par le système inclut un ensemble par défaut de conditions, et vous devez spécifier les actions à effectuer lorsque ces conditions sont remplies. Une règle est simplement un moyen d'indiquer que si l'action X se produit, l'action Y doit automatiquement être effectuée.
Afficher et modifier les règles définies par le système et les alertes par e-mail
-
Dans la console d'administration Google, accédez à Menu
Règles.Vous devez disposer du droit d'administrateur Afficher les règles de confiance.
- Cliquez sur Ajouter un filtre, puis sélectionnez Type.
- Cochez l'option Défini par le système.
Cliquez sur Appliquer.
Une liste de règles définies par le système s'affiche.
Sélectionnez l'une des règles de la liste en cliquant sur la ligne du tableau correspondante (règle Appareil dont la sécurité est compromise, par exemple).
Sur la page d'informations de la règle, vous pouvez afficher les conditions et les actions correspondant à la règle (pour vérifier si les notifications par e-mail sont activées, ou pour vérifier les destinataires de ces notifications, par exemple).
Cliquez sur Modifier la règle.
Cliquez sur Suivant : Afficher les conditions.
Cliquez sur Suivant : Ajouter des actions.
Sur la page "Actions", vous pouvez définir la gravité de l'alerte comme étant "Faible", "Moyenne" ou "Élevée", envoyer une alerte au centre d'alerte si les conditions de la règle sont remplies, configurer les notifications par e-mail pour les administrateurs et spécifier les destinataires de ces notifications.
Cliquez sur Suivant : Relire.
Vérifiez les détails de la règle modifiée, puis cliquez sur Mettre à jour la règle.
Remarque :
- Sur la page "Règles", l'état d'une règle définie par le système s'affiche comme Inactif si vous avez désactivé les alertes pour cette règle.
- Lorsque vous activez une alerte pour une règle, vous recevez un e-mail chaque fois que les conditions de cette règle sont remplies, dans une limite de 25 e-mails toutes les deux heures.
- Certaines alertes sont limitées ou indisponibles si vous utilisez un fournisseur d'identité externe pour l'authentification unique.
- Les règles définies par le système ne peuvent être configurées que pour envoyer des e-mails aux utilisateurs internes du domaine. Toutefois, les administrateurs peuvent toujours configurer des alertes par e-mail externes via Google Groupes.
Types d'alertes d'administration basées sur des règles définies par le système
Alertes d'activité relatives aux utilisateurs
- Limite d'utilisation de Gemini bientôt atteinte : l'utilisateur va bientôt atteindre une limite d'utilisation dans Gemini pour Workspace.
- Alerte d'indisponibilité des applications : problème nouveau, modifié ou résolu dans le Tableau de bord d'état (Google Workspace uniquement).
- Spoofing potentiel des collaborateurs dans Gmail : réception de messages dont le nom d'expéditeur figure dans votre annuaire Google Workspace, mais ne provenant pas de domaines ou alias de domaine appartenant à votre entreprise.
- Mot de passe volé : Google a détecté des identifiants dont la sécurité est compromise, ce qui nécessite la réinitialisation du mot de passe d'un utilisateur.
- Nouveau compte utilisateur ajouté : un nouvel utilisateur a été ajouté au domaine.
- Compte utilisateur suspendu réactivé : un administrateur a restauré un utilisateur suspendu.
- Connexion suspecte : Google a détecté une tentative de connexion qui ne correspond pas au comportement normal d'un utilisateur (connexion depuis un lieu inhabituel, par exemple).
- Message suspect signalé : des utilisateurs de votre domaine ont reçu des messages qu'ils ont classés comme spam.
- Connexion programmatique suspecte : Google a détecté des tentatives de connexion suspectes à partir d'applications ou de programmes informatiques.
- Compte utilisateur supprimé : un utilisateur a été supprimé du domaine.
- Droit d'administrateur accordé à l'utilisateur : un droit d'administrateur a été attribué à un utilisateur.
- Hameçonnage signalé par l'utilisateur : les utilisateurs de votre domaine ont reçu des messages qu'ils ont classés comme hameçonnage.
- Compte utilisateur suspendu (par l'administrateur) : un administrateur a suspendu un utilisateur.
- Compte utilisateur suspendu en raison d'une activité suspecte : Google a suspendu le compte d'un utilisateur parce qu'un piratage potentiel a été détecté.
- Compte utilisateur suspendu pour envoi de spam : Google a détecté une activité suspecte, comme un envoi de spam, et a suspendu le compte.
- Compte utilisateur suspendu pour envoi de spam via un relais : Google a détecté une activité suspecte, comme un envoi de spam via un service de relais SMTP, et a suspendu le compte.
- Compte utilisateur suspendu (alerte Google Identity) : Google a détecté une activité suspecte et a suspendu le compte.
- Droit d'administrateur de l'utilisateur révoqué : le droit d'administrateur attribué à un utilisateur a été révoqué.
- Mot de passe de l'utilisateur modifié : un administrateur a modifié le mot de passe d'un utilisateur.
Remarque : Un délai maximal de 24 heures peut être nécessaire pour que les modifications apportées aux règles suivantes soient prises en compte : "Nouvel utilisateur ajouté", "Compte utilisateur suspendu activé", "Utilisateur supprimé", "Droit d'administrateur accordé à l'utilisateur", "Utilisateur suspendu (par l'administrateur)", "Droit d'administrateur de l'utilisateur révoqué" et "Mot de passe de l'utilisateur modifié".
Alertes d'activité relatives aux appareils mobiles
- Appareil dont la sécurité est compromise : fournit des détails sur les appareils de votre domaine dont l'état de sécurité est compromis
- Activité suspecte sur un appareil : fournit des détails en cas de modification des propriétés d'un appareil (ID, numéro de série, type ou fabricant, par exemple)
Alertes d'activité concernant la messagerie (Google Workspace uniquement)
- Échec de la journalisation Exchange : échecs de la journalisation Exchange garantissant que le trafic de messagerie généré par les utilisateurs du serveur Microsoft Exchange est bien archivé dans Google Vault
- Message contenant des logiciels malveillants détecté après distribution : messages identifiés comme contenant des logiciels malveillants après leur distribution ayant été automatiquement définis comme tels
- Présence d'e-mails d'hameçonnage dans les boîtes de réception en raison d'une liste blanche mal configurée : messages classés comme spam par les filtres Gmail ayant été envoyés vers les boîtes de réception, car les filtres antispam ont été ignorés en raison des paramètres de liste d'autorisation dans la console d'administration Google
- Message d'hameçonnage détecté après distribution : messages identifiés comme des tentatives d'hameçonnage après leur distribution ayant été automatiquement définis comme tels
- Destinataire avec débit limité : taux élevé d'e-mails entrants pouvant indiquer une attaque malveillante ou la configuration incorrecte d'un paramètre
- Échec de l'hôte actif : si vous configurez un hôte actif pour les messages entrants ou sortants, cette alerte vous indique si un grand nombre de messages ne peut pas être distribué à l'un des serveurs de votre hôte actif.
- Pic dans le nombre de messages signalés comme du spam par les utilisateurs : un volume anormalement élevé de messages provenant d'un expéditeur a été marqué comme spam.
- Échec TLS : les messages nécessitant TLS (Transport Layer Security) ne peuvent pas être distribués.
Alertes relatives à la modification de paramètres par d'autres administrateurs
- Paramètres Agenda modifiés (Google Workspace uniquement) : un administrateur a modifié les paramètres Agenda de Google Workspace.
- Exportation des données du domaine demandée : un super-administrateur de votre compte Google a lancé une exportation de données depuis votre domaine.
- Paramètres Drive modifiés (Google Workspace uniquement) : un administrateur a modifié les paramètres Drive de Google Workspace.
- Paramètres de messagerie modifiés (Google Workspace uniquement) : un administrateur a modifié les paramètres Gmail de Google Workspace.
- Paramètres mobiles modifiés : un administrateur a modifié les paramètres de gestion des appareils mobiles.
Remarque : Un délai maximal de 24 heures peut être nécessaire pour que les modifications apportées aux règles ci-dessous soient prises en compte (Paramètres Agenda modifiés, Paramètres Drive modifiés, Paramètres de messagerie modifiés et Paramètres mobiles modifiés).
Alertes - Générales
- Access Approvals : un membre du personnel Google a demandé à accéder aux données Google Workspace de votre organisation.
- Annonce obligatoire sur le service de Google : communication par e-mail aux administrateurs principaux qui est nécessaire pour continuer à utiliser un produit ou service, ou qui est considérée comme une mise à jour légale nécessaire.
- Google Operations : fournit des informations sur les problèmes de sécurité et de confidentialité qui affectent vos services Google Workspace.
- Attaques soutenues par un gouvernement : avertissements concernant de potentielles attaques soutenues par un gouvernement
Remarque : Lorsque vous modifiez la règle Google Operations, vous ne pouvez pas supprimer le super-administrateur principal de la liste des destinataires des notifications par e-mail.
États par défaut des règles définies par le système
| Numéro | Règle définie par le système | État par défaut |
|---|---|---|
| 1 | Demande Approbations des accès | Actif |
| 2 | Avertissement de suspension de compte | Actif |
| 3 | Le certificat APNS a expiré | Actif |
| 4 | Le certificat APNS expire bientôt | Actif |
| 5 | Configuration d'App Maker Cloud SQL | Actif |
| 6 | Alerte d'indisponibilité des applications | Inactif |
| 7 | Paramètres Agenda modifiés | Inactif |
| 8 | Service de chiffrement côté client indisponible | Actif |
| 9 | Utilisation abusive par le client détectée | Actif |
| 10 | Appareil dont la sécurité est compromise | Actif |
| 11 | Synchronisation de l'annuaire annulée en raison du dépassement du seuil de sauvegarde | Actif |
| 12 | Exportation des données du domaine demandée | Actif |
| 13 | Paramètres Drive modifiés | Inactif |
| 14 | Paramètres de messagerie modifiés | Inactif |
| 15 | Échec de la journalisation Exchange | Inactif |
| 16 | Spoofing potentiel des collaborateurs dans Gmail | Actif |
| 17 | Annonce Google obligatoire sur le service : Facturation | Actif |
| 18 | Annonce Google obligatoire sur le service : Conditions légales | Actif |
| 19 | Annonce Google obligatoire sur le service : Produit | Actif |
| 20 | Annonce Google obligatoire sur le service : Sécurité | Actif |
| 21 | Opérations Google | Actif |
| 22 | Problème de configuration Google Voice | Actif |
| 23 | Attaques soutenues par un gouvernement | Actif |
| 24 | Mot de passe volé | Actif |
| 25 | Message contenant un logiciel malveillant détecté après distribution | Actif |
| 26 | Paramètres mobiles modifiés | Inactif |
| 27 | Nouveau compte utilisateur ajouté | Inactif |
| 28 | Hameçonnage dans les boîtes de réception (liste blanche mal configurée) | Actif |
| 29 | Message d'hameçonnage détecté après distribution | Actif |
| 30 | Administrateur principal modifié | Actif |
| 31 | Destinataire avec débit limité | Inactif |
| 32 | Échec de l'hôte actif | Inactif |
| 33 | Augmentation du spam signalé par les utilisateurs | Actif |
| 34 | Profil SSO ajouté | Actif |
| 35 | Profil SSO supprimé | Actif |
| 36 | Profil SSO mis à jour | Actif |
| 37 | Mot de passe de super-administrateur réinitialisé | Actif |
| 38 | Compte utilisateur suspendu réactivé | Inactif |
| 39 | Activité suspecte sur un appareil | Actif |
| 40 | Connexion suspecte | Actif |
| 41 | Message suspect signalé | Actif |
| 42 | Connexion programmatique suspecte | Actif |
| 43 | Échec TLS | Inactif |
| 44 | Compte utilisateur supprimé | Inactif |
| 45 | Droit d'administrateur accordé à l'utilisateur | Inactif |
| 46 | Compte utilisateur suspendu (alerte par e-mail destinée à l'administrateur) | Inactif |
| 47 | Compte utilisateur suspendu (alerte Google Identity) | Actif |
| 48 | Compte utilisateur suspendu en raison d'une activité suspecte | Actif |
| 49 | Compte utilisateur suspendu pour envoi de spam | Actif |
| 50 | Compte utilisateur suspendu pour envoi de spam via un relais | Actif |
| 51 | Hameçonnage signalé par l'utilisateur | Actif |
| 52 | Droit d'administrateur de l'utilisateur révoqué | Inactif |
| 53 | Mot de passe de l'utilisateur modifié | Inactif |
| 54 | Demande de suppression accélérée Vault envoyée | Actif |
Articles associés
- Créer et gérer des règles depuis la page "Règles"
- Créer et gérer des règles d'activité
- Accès des administrateurs aux règles de reporting et aux activités
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.