Weitere Informationen finden Sie im Hilfeartikel Häufige Fragen zum erweiterten Sicherheitsprogramm.
Authentifizierungsverhalten
Als primäre Authentifizierungsmethode verwenden wir einen externen Identitätsanbieter (Identity Provider, IdP) wie Okta. Alles Weitere läuft dann über Google. Ist das erweiterte Sicherheitsprogramm für uns geeignet?
Ja. Sie können das erweiterte Sicherheitsprogramm für Konten verwenden, bei denen die Anmeldung über SAML von einem IdP abgewickelt wird. In diesem Fall benötigen Nutzer, die sich für das Programm registrieren, nach der Anmeldung beim IdP einen Sicherheitsschlüssel. Hinweis: SAML-Nutzer können das Gerät speichern, um Sicherheitsmaßnahmen in einem Browser oder auf einem Gerät zu vermeiden.
Warum benötigen wir zwei Schlüssel?
Wenn Sie sich für das erweiterte Sicherheitsprogramm anmelden, müssen Sie eine alternative Anmeldemethode auswählen. So können Sie sicher auf Ihr Konto zugreifen, wenn Ihr Passkey oder Sicherheitsschlüssel verloren geht oder beschädigt wird. Sie können entweder eine E‑Mail-Adresse und Telefonnummer zur Kontowiederherstellung oder einen zusätzlichen Passkey oder Sicherheitsschlüssel als alternative Anmeldemethode verwenden.
Müssen Nutzer bei jeder Anmeldung Sicherheitsschlüssel oder Passkeys verwenden?
Wenn Nutzer sich über ein Gerät oder einen Browser bei Google Workspace anmelden, werden deren Daten dort gespeichert. Bei zukünftigen Anmeldungen im selben Browser oder auf demselben Gerät ist keine 2-Faktor-Authentifizierung mehr nötig. Hier gilt dasselbe wie für Personen, die nicht für das erweiterte Sicherheitsprogramm registriert sind.
Wie können Sie Sicherheitsschlüssel und Passkeys auf iPhones nutzen?
Sie können Ihrem Konto auf einem iPhone oder iPad mit iOS 13.3 oder höher und Safari Sicherheitsschlüssel hinzufügen. Weitere Informationen finden Sie unter Schlüssel Ihrem Konto hinzufügen.
Wenn Sie einen Passkey für iOS oder macOS erstellen möchten, müssen Sie den iCloud-Schlüsselbund aktivieren. Weitere Informationen finden Sie unter Was benötige ich, um einen Passkey zu erstellen?
Wenn ein Google-Konto auf Sicherheitsschlüssel beschränkt ist, wie können sich Nutzer dann auf einem Gerät anmelden, das Sicherheitsschlüssel nicht unterstützt?
Auch andere Browser, Anwendungen und Dienste unterstützen die webbasierte Authentifizierung und bieten systemeigene Unterstützung für Sicherheitsschlüssel. Es gibt jedoch eine Reihe von Anwendungsfällen, in denen Sie keine Sicherheitsschlüssel verwenden können. Das betrifft z. B. Plattformen wie Internet Explorer oder native mobile Apps, die eingebettete WebViews nutzen. Wenn Sie Chrome Remote Desktop auf einer Remote-Workstation verwenden, kann es sein, dass Sie keinen Sicherheitsschlüssel an den Remote-USB-Port anschließen können. In diesen Fällen gibt es zwei Möglichkeiten:
Passkeys: Seit der Einführung von Passkeys unterstützt die Einschränkung Nur Sicherheitsschlüssel sowohl Sicherheitsschlüssel als auch Passkeys zur 2‑Faktor-Authentifizierung. Nutzer können einen Passkey auf einem anderen Gerät erstellen, z. B. auf einem Smartphone, und sich damit auf dem Gerät anmelden, das Sicherheitsschlüssel nicht unterstützt.
Sicherheitscodes: Nutzer können mit einem Sicherheitsschlüssel oder Passkey auf Plattformen, die diese Elemente unterstützen, nur einmal verwendbare Codes generieren. Das Gerät, auf dem der Sicherheitscode mit dem Sicherheitsschlüssel oder Passkey generiert wird, und das Gerät, auf dem Sie sich mit dem Sicherheitscode anmelden, müssen sich im selben Netzwerk befinden. Die Codes sind 15 Minuten lang gültig.
Für Nutzer des erweiterten Sicherheitsprogramms können Sicherheitscodes aktiviert bzw. deaktiviert werden. Die Sicherheitscodeoptionen befinden sich in der Admin-Konsole an derselben Stelle wie die Registrierungseinstellungen. Sicherheitsschlüssel oder Passkeys direkt zu verwenden ist sicherer, als auf Sicherheitscodes zurückzugreifen. Daher sollten sich Administratoren gut überlegen, ob sie Sicherheitscodes für Nutzer zulassen oder nicht.
App-Zugriff
Warum wird der Zugriff auf Apps kontrolliert?
Per Standardeinstellung werden Apps, deren Zugriff auf Gmail und Google Drive besonders riskant ist, blockiert. Ausnahmen sind alle Google-Apps, systemeigene Apple iOS-Apps und der Mozilla Thunderbird-E-Mail-Client.
Müssen Nutzer nicht für jede App eine explizite Autorisierung vornehmen? Inwiefern ist das ein Mehrwert?
Nutzer können dazu verleitet werden, Apps Zugriff zu gewähren, die eine besondere Gefährdung darstellen. Mit dem erweiterten Sicherheitsprogramm wollen wir die Nutzer mit dem höchsten Risiko schützen. Daher möchten wir diese Phishinggefahr über Apps unter Kontrolle behalten.
Einige Apps sind für unser Unternehmen von entscheidender Bedeutung. Wie kann ich ihre Verwendung zulassen?
Administratoren können den Zugriff bestimmter verbundener Apps genehmigen. Die vom Administrator erstellte Liste genehmigter Apps wird berücksichtigt und alle als hochriskant (siehe die vorhergehenden Antworten) eingestuften Apps, die nicht in dieser Liste aufgeführt sind, werden blockiert.
Wir nutzen GCDS und GSPS, um Identitäten und Passwörter mit unserer lokalen Source of Truth zu synchronisieren. Werden diese Apps blockiert oder wird ihnen der Zugriff gewährt?
Von Google erstellte Apps, einschließlich GCDS und GSPS, erhalten Zugriff, ohne dass der Administrator eingreifen muss.
Gmail-Scans
Von welchen zusätzlichen Gmail-Schutzmaßnahmen profitieren die Nutzer des erweiterten Sicherheitsprogramms?
Nutzer des erweiterten Sicherheitsprogramms mit den entsprechenden Lizenzen profitieren von optimierten Scans vor der Zustellung. Außerdem wird bei ihnen die Sicherheits-Sandbox aktiviert. Solche Scans sind für alle Versionen verfügbar. Die Sicherheits-Sandbox ist nur für Nutzer von Enterprise-Versionen verfügbar.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.