Câu hỏi thường gặp về Chương trình Bảo vệ nâng cao

Truy cập phần Câu hỏi thường gặp về Chương trình Bảo vệ nâng cao để xem thêm các câu hỏi thường gặp về Chương trình Bảo vệ nâng cao.

Hành vi xác thực

Chúng tôi sử dụng một nhà cung cấp dịch vụ danh tính (IdP) bên thứ ba, chẳng hạn như Okta, cho quy trình xác thực chính. Sau đó, chúng tôi liên kết với Google. Chương trình Bảo vệ nâng cao có phù hợp với chúng tôi không?

Có. Bạn có thể sử dụng Chương trình Bảo vệ nâng cao với những tài khoản liên kết từ một nhà cung cấp danh tính (IdP) bằng SAML. Khi người dùng có những tài khoản này đăng ký tham gia Chương trình Bảo vệ nâng cao, chúng tôi sẽ yêu cầu họ sử dụng khoá bảo mật sau khi đăng nhập trên IdP. Xin lưu ý rằng người dùng SAML có thể chọn Ghi nhớ thiết bị để tránh các yêu cầu bảo mật trên trình duyệt hoặc thiết bị.

Tại sao chúng ta cần 2 khoá?

Khi đăng ký tham gia Chương trình Bảo vệ nâng cao, bạn phải chọn một phương thức đăng nhập dự phòng. Việc này giúp đảm bảo bạn có thể truy cập vào tài khoản của mình một cách an toàn nếu khoá truy cập hoặc khoá bảo mật của bạn bị mất hoặc hư hỏng. Bạn có thể sử dụng địa chỉ email và số điện thoại khôi phục hoặc khoá truy cập hoặc khoá bảo mật bổ sung làm phương thức đăng nhập dự phòng.

Người dùng có cần sử dụng khoá bảo mật hoặc khoá truy cập mỗi khi đăng nhập không?

Người dùng được ghi nhớ trên thiết bị hoặc trình duyệt mà họ dùng để đăng nhập vào Google Workspace, và các biện pháp xác thực trong quy trình Xác minh 2 bước (2SV) sẽ không xuất hiện trong những lần đăng nhập sau trên cùng một trình duyệt hoặc thiết bị đó. Hành vi này giống như đối với những người dùng không đăng ký Chương trình Bảo vệ nâng cao.

Làm cách nào để sử dụng khoá bảo mật và khoá truy cập trên iPhone?

Bạn có thể thêm khoá bảo mật vào tài khoản của mình trên iPhone hoặc iPad chạy iOS 13.3 trở lên và Safari. Để biết thông tin chi tiết, hãy chuyển đến phần Thêm khoá vào tài khoản.

Để tạo khoá truy cập cho iOS hoặc macOS, bạn phải bật iCloud Keychain. Để biết thông tin chi tiết, hãy xem bài viết Tôi cần có những thứ gì để tạo khoá truy cập?

Nếu Tài khoản Google chỉ dùng khoá bảo mật, thì làm cách nào để người dùng đăng nhập vào một thiết bị không hỗ trợ khoá bảo mật?

Nhiều trình duyệt, ứng dụng và dịch vụ hỗ trợ phương thức xác thực dựa trên web và có hỗ trợ gốc cho khoá bảo mật. Tuy nhiên, có một số trường hợp sử dụng mà bạn không thể dùng khoá bảo mật. Đây là những nền tảng như Internet Explorer hoặc các ứng dụng di động gốc sử dụng WebView được nhúng. Ngoài ra, nếu đang sử dụng Chrome Remote Desktop trên một máy trạm từ xa, thì có thể bạn sẽ không cắm được khoá bảo mật vào cổng USB từ xa đó. Đối với những trường hợp này, bạn có 2 lựa chọn:

Khoá truy cập – Kể từ khi thêm khoá truy cập, chế độ Chỉ khoá bảo mật hiện hỗ trợ cả khoá bảo mật và khoá truy cập làm phương thức 2SV. Người dùng có thể tạo khoá truy cập trên một thiết bị riêng biệt (ví dụ: điện thoại di động) và sử dụng khoá đó để đăng nhập vào tài khoản của họ trên thiết bị không hỗ trợ khoá bảo mật.

Mã bảo mật – Người dùng có thể tạo mã dùng một lần bằng khoá bảo mật hoặc khoá truy cập trên một nền tảng hỗ trợ các khoá này. Cả thiết bị dùng với khoá bảo mật hoặc khoá truy cập để tạo mã bảo mật và thiết bị dùng để đăng nhập bằng mã bảo mật đều cần kết nối vào cùng một mạng. Mã này có hiệu lực trong 15 phút.

Mã bảo mật là không bắt buộc đối với người dùng tham gia Chương trình Bảo vệ nâng cao. Các lựa chọn về mã bảo mật nằm ở cùng vị trí với chế độ cài đặt đăng ký trong Bảng điều khiển dành cho quản trị viên. Việc sử dụng trực tiếp khoá bảo mật hoặc khoá truy cập sẽ an toàn hơn so với việc sử dụng cả mã bảo mật. Quản trị viên nên thận trọng khi cho phép người dùng sử dụng mã bảo mật.

Quyền truy cập của ứng dụng

Tại sao quyền truy cập vào ứng dụng lại được kiểm soát?

Theo mặc định, những ứng dụng yêu cầu quyền truy cập vào Gmail và Google Drive ở mức độ rủi ro cao sẽ bị chặn. Các trường hợp ngoại lệ là tất cả ứng dụng của Google, ứng dụng gốc của Apple trên iOS và ứng dụng email Mozilla Thunderbird.

Người dùng không phải uỷ quyền một cách rõ ràng cho bất kỳ ứng dụng nào sao? Điều này mang lại giá trị gì?

Người dùng có thể bị lừa cấp quyền truy cập có độ rủi ro cao cho các ứng dụng. Chương trình Bảo vệ nâng cao được thiết kế để bảo vệ những người dùng có nguy cơ gặp rủi ro cao nhất, vì vậy, chúng tôi muốn kiểm soát mối đe doạ lừa đảo qua ứng dụng này.

Một số ứng dụng là thiết yếu đối với doanh nghiệp của chúng tôi. Làm cách nào để cho phép sử dụng các tính năng này?

Quản trị viên có thể phê duyệt quyền truy cập của một số ứng dụng được kết nối. Danh sách ứng dụng được phê duyệt do quản trị viên khởi tạo sẽ được tuân thủ và mọi ứng dụng được coi là có rủi ro cao (xem các câu trả lời trước) và không có trong danh sách được quản trị viên phê duyệt sẽ bị chặn.

Chúng tôi sử dụng GCDS và GSPS để đồng bộ hoá danh tính và mật khẩu với nguồn dữ liệu đáng tin cậy tại chỗ. Họ sẽ bị chặn hay được phép truy cập?

Các ứng dụng bên thứ nhất của Google (bao gồm cả GCDS và GSPS) được phép truy cập mà không cần có hành động nào của quản trị viên.

Quét Gmail

Người dùng Chương trình Bảo vệ nâng cao sẽ được hưởng những biện pháp bảo vệ bổ sung nào trong Gmail?

Người dùng Chương trình Bảo vệ nâng cao có giấy phép phù hợp sẽ được quét nâng cao trước khi gửi và Hộp cát bảo mật sẽ được bật. Tất cả các phiên bản đều có thể sử dụng tính năng quét nâng cao trước khi gửi thư. Hộp cát bảo mật chỉ dành cho người dùng phiên bản Enterprise.


Google, Google Workspace cũng như những nhãn hiệu và biểu trưng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.