Câu hỏi thường gặp về Chương trình Bảo vệ nâng cao

Hãy xem Câu hỏi thường gặp về Chương trình Bảo vệ nâng cao để biết thêm các câu hỏi thường gặp về Chương trình Bảo vệ nâng cao.

Hành vi xác thực

Chúng tôi sử dụng một nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba, chẳng hạn như Okta, cho quy trình xác thực chính. Sau đó, chúng tôi liên kết với Google. Chương trình Bảo vệ nâng cao có phù hợp với chúng tôi không?

Có. Bạn có thể sử dụng Chương trình Bảo vệ nâng cao với các tài khoản liên kết từ một IdP bằng SAML. Khi người dùng có các tài khoản này đăng ký Chương trình Bảo vệ nâng cao, chúng tôi sẽ yêu cầu họ sử dụng khoá bảo mật sau khi đăng nhập vào IdP. Xin lưu ý rằng người dùng SAML có thể chọn Ghi nhớ thiết bị để tránh các thử thách bảo mật trên trình trình duyệt hoặc thiết bị.

Tại sao chúng tôi cần 2 khoá?

Khi đăng ký Chương trình Bảo vệ nâng cao, bạn phải chọn một phương thức đăng nhập dự phòng. Điều này đảm bảo bạn có thể truy cập an toàn vào tài khoản của mình nếu bị mất hoặc làm hỏng khoá truy cập hoặc khoá bảo mật. Bạn có thể sử dụng địa chỉ email và số điện thoại khôi phục hoặc một khoá truy cập hoặc khoá bảo mật khác làm phương thức đăng nhập dự phòng.

Người dùng có cần sử dụng khoá bảo mật hoặc khoá truy cập mỗi khi đăng nhập không?

Hệ thống sẽ ghi nhớ người dùng trên thiết bị hoặc trình duyệt mà họ dùng để đăng nhập vào Google Workspace. Các thử thách Xác minh 2 bước (2SV) sẽ không xuất hiện trong những lần đăng nhập sau này trên cùng một trình duyệt hoặc thiết bị. Hành vi này giống như đối với những người dùng không đăng ký Chương trình Bảo vệ nâng cao.

Làm cách nào để sử dụng khoá bảo mật và khoá truy cập trên iPhone?

Bạn có thể thêm khoá bảo mật vào tài khoản của mình trên iPhone hoặc iPad chạy iOS 13.3 trở lên và Safari. Để biết thông tin chi tiết, hãy chuyển đến phần Thêm khoá vào tài khoản.

Để tạo khoá truy cập cho iOS hoặc macOS, bạn phải bật iCloud Keychain. Để biết thông tin chi tiết, hãy chuyển đến phần Tôi cần có những thứ gì để tạo khoá truy cập?

Nếu Tài khoản Google chỉ dùng khoá bảo mật, thì làm cách nào để người dùng đăng nhập vào một thiết bị không hỗ trợ khoá bảo mật?

Ngày càng có nhiều trình duyệt, ứng dụng và dịch vụ hỗ trợ tính năng xác thực dựa trên web và hỗ trợ gốc cho khoá bảo mật. Tuy nhiên, có một số trường hợp sử dụng mà bạn không thể dùng khoá bảo mật. Đây là các nền tảng như Internet Explorer hoặc các ứng dụng gốc dành cho thiết bị di động sử dụng WebView nhúng. Ngoài ra, nếu đang sử dụng Chrome Remote Desktop trên một máy trạm từ xa, thì bạn có thể không cắm được khoá bảo mật vào cổng USB từ xa đó. Đối với những trường hợp này, có 2 lựa chọn:

Khoá truy cập–Kể từ khi thêm khoá truy cập, giới hạn Chỉ khoá bảo mật hiện hỗ trợ cả khoá bảo mật và khoá truy cập làm phương thức 2SV. Người dùng có thể tạo khoá truy cập trên một thiết bị riêng biệt (ví dụ: điện thoại di động) và sử dụng khoá đó để đăng nhập vào tài khoản của họ trên thiết bị không hỗ trợ khoá bảo mật.

Mã bảo mật– Người dùng có thể tạo mã dùng một lần bằng khoá bảo mật hoặc khoá truy cập trên một nền tảng hỗ trợ các mã này. Cả thiết bị dùng với khoá bảo mật hoặc khoá truy cập để tạo mã bảo mật và thiết bị dùng để đăng nhập bằng mã bảo mật đều cần phải nằm trên cùng một mạng. Các mã này có hiệu lực trong 15 phút.

Người dùng trong Chương trình Bảo vệ nâng cao có thể sử dụng mã bảo mật. Các lựa chọn mã bảo mật nằm ở cùng một vị trí trong Bảng điều khiển dành cho quản trị viên như các chế độ cài đặt đăng ký. Việc sử dụng trực tiếp khoá bảo mật hoặc khoá truy cập sẽ an toàn hơn so với việc sử dụng cả mã bảo mật. Do đó, quản trị viên nên thận trọng khi cho phép người dùng sử dụng mã bảo mật.

Quyền truy cập vào ứng dụng

Tại sao quyền truy cập vào ứng dụng lại bị kiểm soát?

Theo mặc định, các ứng dụng yêu cầu quyền truy cập rủi ro cao vào Gmail và Google Drive sẽ bị chặn. Các trường hợp ngoại lệ là tất cả ứng dụng của Google, ứng dụng iOS gốc của Apple và ứng dụng email Mozilla Thunderbird.

Người dùng không phải uỷ quyền rõ ràng cho bất kỳ ứng dụng nào sao? Việc này mang lại lợi ích gì?

Người dùng có thể bị lừa để cấp quyền truy cập rủi ro cao cho các ứng dụng. Chương trình Bảo vệ nâng cao được thiết kế để bảo vệ những người dùng có nguy cơ gặp rủi ro cao nhất. Vì vậy, chúng tôi muốn kiểm soát mối đe doạ lừa đảo ứng dụng này.

Một số ứng dụng rất quan trọng đối với doanh nghiệp của chúng tôi. Làm cách nào để cho phép sử dụng các ứng dụng đó?

Quản trị viên có thể phê duyệt quyền truy cập của một số ứng dụng được kết nối. Danh sách các ứng dụng được phê duyệt do quản trị viên khởi tạo sẽ được tuân thủ. Mọi ứng dụng được coi là có rủi ro cao (xem câu trả lời trước) và không có trong danh sách được quản trị viên phê duyệt đều sẽ bị chặn.

Chúng tôi sử dụng GCDS và GSPS để đồng bộ hoá danh tính và mật khẩu với nguồn thông tin đáng tin cậy tại chỗ. Các ứng dụng này sẽ bị chặn hay được phép truy cập?

Các ứng dụng của Google bên thứ nhất, bao gồm cả GCDS và GSPS, được phép truy cập mà không cần bất kỳ hành động nào của quản trị viên.

Quét Gmail

Người dùng Chương trình Bảo vệ nâng cao nhận được những biện pháp bảo vệ bổ sung nào cho Gmail?

Người dùng Chương trình Bảo vệ nâng cao có giấy phép phù hợp sẽ được quét nâng cao trước khi gửi và được bật Hộp cát bảo mật. Tính năng quét nâng cao trước khi gửi có sẵn cho tất cả các phiên bản. Hộp cát bảo mật chỉ có sẵn cho người dùng phiên bản Enterprise.


Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.