Więcej odpowiedzi znajdziesz w artykule Częste pytania dotyczące Programu ochrony zaawansowanej.
Sposób uwierzytelniania
W ramach naszego podstawowego sposobu uwierzytelniania korzystamy z usług zewnętrznego dostawcy tożsamości, takiego jak Okta. Następnie federujemy do Google. Czy program ochrony zaawansowanej będzie dla nas przydatny?
Tak. Programu ochrony zaawansowanej można używać na kontach federujących z dostawcy tożsamości przy użyciu protokołu SAML. Gdy użytkownicy z tymi kontami zarejestrują się w programie Ochrony zaawansowanej, będziemy wymagać użycia klucza bezpieczeństwa po zalogowaniu się użytkownika w systemie dostawcy tożsamości. Pamiętaj, że użytkownicy SAML mogą wybrać opcję Zapamiętaj urządzenie, aby uniknąć dodatkowych weryfikacji w przeglądarce lub na urządzeniu.
Dlaczego potrzebne są dwa klucze?
Podczas rejestracji w programie ochrony zaawansowanej musisz wybrać zapasową metodę logowania. Dzięki temu będziesz mieć pewność, że w razie utraty bądź uszkodzenia klucza dostępu lub klucza bezpieczeństwa będziesz mieć bezpieczny dostęp do konta. Jako zapasową metodę logowania możesz użyć pomocniczego adresu e-mail i numeru telefonu albo dodatkowego klucza dostępu lub klucza bezpieczeństwa.
Czy użytkownicy muszą używać kluczy bezpieczeństwa lub kluczy dostępu przy każdym logowaniu?
Po zalogowaniu się w Google Workspace użytkownicy są zapamiętywani, a testy weryfikacji dwuetapowej nie pojawiają się już na urządzeniu lub w przeglądarce, które zostały użyte podczas logowania. Sposób działania jest taki sam jak w przypadku użytkowników niezarejestrowanych w programie ochrony zaawansowanej.
Jak używać kluczy bezpieczeństwa i kluczy dostępu na iPhonie?
Klucz bezpieczeństwa możesz dodać do swojego konta na iPhonie lub iPadzie z systemem iOS 13.3 lub nowszym i przeglądarką Safari. Szczegółowe informacje znajdziesz w sekcji poświęconej dodawaniu klucza do konta artykułu na temat weryfikacji dwuetapowej z użyciem klucza bezpieczeństwa.
Aby utworzyć klucz dostępu na urządzeniu z iOS lub macOS, musisz włączyć pęk kluczy iCloud. Szczegółowe informacje znajdziesz w sekcji Czego potrzebuję do utworzenia klucza dostępu? artykułu na temat logowania się za pomocą klucza dostępu zamiast hasła.
Jeśli konto Google pozwala na korzystanie jedynie z kluczy bezpieczeństwa, jak użytkownicy mogą logować się na urządzeniu, które nie obsługuje kluczy bezpieczeństwa?
Coraz więcej przeglądarek, aplikacji i usług obsługuje uwierzytelnianie online i oferuje natywną obsługę kluczy bezpieczeństwa. Istnieją jednak przypadki, w których nie można używać kluczy bezpieczeństwa. Dotyczy to platform takich jak Internet Explorer lub natywnych aplikacji mobilnych, które korzystają z osadzonych komponentów WebView. Jeśli używasz Pulpitu zdalnego Chrome na zdalnej stacji roboczej, możesz nie być w stanie podłączyć klucza bezpieczeństwa do portu USB. W takich przypadkach masz 2 opcje:
Klucze dostępu – od momentu dodania kluczy dostępu ograniczenie Tylko klucz bezpieczeństwa obsługuje teraz zarówno klucze bezpieczeństwa, jak i klucze dostępu jako metodę weryfikacji dwuetapowej. Użytkownicy mogą utworzyć klucz dostępu na osobnym urządzeniu (np. telefonie komórkowym) i używać go do logowania się na konto na urządzeniu, które nie obsługuje kluczy bezpieczeństwa.
Kody zabezpieczające – użytkownicy mogą generować jednorazowe kody za pomocą klucza bezpieczeństwa lub klucza dostępu na platformie, która je obsługuje. Urządzenie używane z kluczem bezpieczeństwa lub kluczem dostępu do wygenerowania kodu zabezpieczającego oraz urządzenie używane do logowania się za pomocą kodu zabezpieczającego muszą znajdować się w tej samej sieci. Kody są ważne przez 15 minut.
Kody zabezpieczające są opcjonalne dla użytkowników programu ochrony zaawansowanej. Opcje kodów zabezpieczających znajdują się w tym samym miejscu w konsoli administracyjnej co ustawienia rejestracji. Używanie kluczy bezpieczeństwa lub kluczy dostępu jest bezpieczniejsze niż korzystanie z kodów zabezpieczających. Zalecamy, aby administratorzy zachowali ostrożność w przypadku zezwalania użytkownikom na używanie kodów zabezpieczających.
Dostęp do aplikacji
Dlaczego dostęp do aplikacji jest kontrolowany?
Domyślnie aplikacje wymagające dostępu wysokiego ryzyka do Gmaila i Dysku Google są blokowane. Wyjątek stanowią wszystkie aplikacje Google, natywne aplikacje Apple na iOS oraz klient pocztowy Mozilla Thunderbird.
Czy użytkownicy nie muszą samodzielnie autoryzować poszczególnych aplikacji? W czym to pomaga?
Użytkownicy mogą zostać podstępnie nakłonieni do przyznania aplikacji dostępu wysokiego ryzyka. Program ochrony zaawansowanej ma na celu ochronę najbardziej narażonych użytkowników, dlatego chcemy mieć kontrolę nad zagrożeniami związanymi z wyłudzaniem informacji w tej aplikacji.
Niektóre aplikacje mają kluczowe znaczenie dla naszej działalności. Jak mogę zezwolić na ich używanie?
Administratorzy mogą zatwierdzać uprawnienia dostępu niektórych połączonych aplikacji. Utworzona przez administratora lista zatwierdzonych aplikacji jest uwzględniana, a każda aplikacja uznana za aplikację wysokiego ryzyka (patrz poprzednie odpowiedzi), która nie znajduje się na tej liście, jest blokowana.
Do synchronizowania tożsamości i haseł z lokalnym źródłem używamy narzędzi GCDS i GSPS. Zostaną one zablokowane czy będą miały dostęp?
Aplikacje Google, w tym GCDS i GSPS, mają przyznany dostęp bez konieczności wykonywania żadnych czynności administracyjnych.
Skanowanie w Gmailu
Z jakich dodatkowych zabezpieczeń w Gmailu mogą korzystać członkowie programu Ochrony zaawansowanej?
Użytkownicy w programie ochrony zaawansowanej, którzy mają odpowiednie licencje, uzyskują dostęp do rozszerzonego skanowania przed dostarczeniem oraz bezpiecznej piaskownicy. Rozszerzone skanowanie przed dostarczeniem jest dostępne we wszystkich wersjach. Bezpieczna piaskownica jest dostępna tylko dla użytkowników wersji Enterprise.
Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.