Для получения дополнительной информации о программе расширенной защиты перейдите в раздел «Часто задаваемые вопросы о программе расширенной защиты».
Поведение аутентификации
Для основной аутентификации мы используем стороннего поставщика идентификационных данных (IdP), например Okta. Затем мы подключаемся к Google. Подойдет ли нам программа расширенной защиты (Advanced Protection Program)?
Да. Вы можете использовать программу расширенной защиты с учетными записями, которые федеративно связаны с поставщиком идентификации (IdP) с использованием SAML. Когда пользователи с такими учетными записями регистрируются в программе расширенной защиты, мы будем требовать использования ключа безопасности после входа пользователя в систему на IdP. Обратите внимание, что пользователи SAML могут выбрать опцию «Запомнить устройство» , чтобы избежать проверок безопасности в браузере или на устройстве.
Зачем нам два ключа?
При подключении к программе расширенной защиты необходимо выбрать резервный способ входа в систему. Это гарантирует безопасный доступ к вашей учетной записи в случае утери или повреждения пароля или ключа безопасности. В качестве резервного способа входа в систему можно использовать либо адрес электронной почты и номер телефона для восстановления , либо дополнительный пароль или ключ безопасности.
Нужно ли пользователям каждый раз вводить ключи безопасности или пароли при входе в систему?
Пользователи запоминают устройство или браузер, которые они используют для входа в Google Workspace, и при последующих входах в систему с того же браузера или устройства двухфакторная аутентификация (2SV) не запускается. Это аналогично поведению пользователей, не участвующих в программе расширенной защиты.
Как использовать клавиши безопасности и пароли на iPhone?
Вы можете добавить ключ безопасности к своей учетной записи на iPhone или iPad с iOS 13.3 или более поздней версии и браузером Safari. Подробности см. в разделе «Добавить ключ к своей учетной записи» .
Для создания пароля для iOS или macOS необходимо включить iCloud Keychain. Подробности см. в разделе «Что мне нужно для создания пароля?».
Если учетная запись Google ограничена использованием только ключей безопасности, как пользователи смогут войти в систему на устройстве, которое не поддерживает ключи безопасности?
Всё больше браузеров, приложений и сервисов поддерживают веб-аутентификацию и имеют встроенную поддержку ключей безопасности. Однако существует ряд сценариев использования, когда ключи безопасности использовать нельзя. К ним относятся такие платформы, как Internet Explorer, или нативные мобильные приложения, использующие встроенные WebView. Кроме того, если вы используете Chrome Remote Desktop на удалённой рабочей станции, вы можете не иметь возможности подключить ключ безопасности к удалённому USB-порту. В таких случаях есть 2 варианта:
Пароли — После добавления паршей ограничение « Только ключ безопасности» теперь поддерживает как ключи безопасности, так и пароли в качестве метода двухфакторной аутентификации. Пользователи могут создать пароль на отдельном устройстве (например, мобильном телефоне) и использовать его для входа в свою учетную запись на устройстве, которое не поддерживает ключи безопасности.
Коды безопасности — Пользователи могут генерировать одноразовые коды, используя ключ безопасности или пароль на платформе, которая их поддерживает. Устройство, используемое для генерации кода безопасности с помощью ключа безопасности или пароля, и устройство, используемое для входа в систему с помощью кода безопасности, должны находиться в одной сети. Коды действительны в течение 15 минут.
Использование кодов безопасности для пользователей программы расширенной защиты является необязательным. Параметры кодов безопасности находятся в том же разделе консоли администратора, что и настройки регистрации. Использование ключей безопасности или паролей напрямую более безопасно, чем использование кодов безопасности, поэтому мы рекомендуем администраторам проявлять осторожность при предоставлении пользователям возможности использовать коды безопасности.
доступ к приложениям
Почему доступ к приложениям контролируется?
По умолчанию приложения, требующие доступа к Gmail и Google Drive с высоким уровнем риска, блокируются. Исключение составляют все приложения Google, собственные приложения Apple для iOS и почтовый клиент Mozilla Thunderbird.
Разве пользователям не нужно явно авторизоваться для любого приложения? Какую пользу это приносит?
Пользователей могут обманом заставить предоставить приложениям доступ, представляющий высокий риск. Программа расширенной защиты предназначена для защиты пользователей с самым высоким уровнем риска, поэтому мы хотим контролировать эту угрозу фишинга приложений.
Некоторые приложения крайне важны для нашего бизнеса. Как я могу разрешить их использование?
Администраторы могут разрешать доступ определенным подключенным приложениям. Список разрешенных приложений, инициализированный администратором, учитывается, и любое приложение, считающееся высокорискованным (см. предыдущие ответы) и не включенное в список разрешенных администратором приложений, блокируется.
Мы используем GCDS и GSPS для синхронизации учетных данных и паролей с нашим локальным источником достоверной информации. Будут ли они заблокированы или им будет разрешен доступ?
Собственные приложения Google, включая GCDS и GSPS, получают доступ без каких-либо действий со стороны администратора.
сканирование Gmail
Какие дополнительные средства защиты Gmail доступны пользователям программы расширенной защиты?
Пользователи программы Advanced Protection Program с соответствующими лицензиями получают расширенные возможности сканирования перед внедрением, а также активируется функция Security Sandbox. Расширенные возможности сканирования перед внедрением доступны для всех редакций. Функция Security Sandbox доступна только пользователям корпоративной редакции.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.