הפעלת הרשמת משתמשים לתוכנית ההגנה המתקדמת

הפעלת האפשרות למשתמשים להירשם בעצמם לתוכנית ההגנה המתקדמת.

שלב 1: זיהוי משתמשים שפגיעים להתקפה ובחירתם להרשמה

עריכת סקר בארגון כדי לזהות משתמשים פגיעים

  1. מזהים משתמשים פגיעים שרוצים לכלול בתוכנית ההגנה המתקדמת.
    התקפות רבות מתחילות בפגיעה ביעדים שנחשבים לבעלי ערך נמוך בארגון, ומשם הן מתפשטות. מומלץ לתכנן לכלול עוד תפקידים ואנשים בהמשך. הרשימה הבאה מכילה כמה יעדים בעלי ערך גבוה שכדאי להגן עליהם. עם זאת, חשוב לזכור שהתקפות יכולות להתחיל עם יעדים אחרים ולהתפשט. יכול להיות שתרצו להרחיב את הרשימה הזו עם הזמן:
    • סופר-אדמינים הם לרוב מטרות לתקיפה בגלל ההרשאות הרחבות שלהם.
    • למשתמשים שעובדים בחיוב או בהפקה יכולות להיות הרשאות רבות, והם עלולים להיות בסיכון.
    • מנהלים בכירים ובעלי תפקידים בכירים אחרים בחברה יכולים להיות מטרה.
    • קבוצות של משתמשים שאולי טירגטו אותם בעבר, או שאפילו היו נתונים להתקפות שממומנות על ידי מדינה, יכולות להיות מטרות. יכול להיות שקיבלתם גם התראות לגבי משתמשים שעשויים להיות פגיעים להתקפות. צריך לקחת בחשבון את כל הארגון.
  2. לקבץ משתמשים ביחידות ארגוניות.

שלב 2: מזמינים מפתחות אבטחה או מגדירים מפתחות גישה

קבלת מפתחות לכל משתמש

המשתמשים שלכם צריכים מפתחות אבטחה או מפתחות גישה כדי להירשם לתוכנית ההגנה המתקדמת. כדי להבטיח גישה לחשבון, צריך גם להירשם עם אמצעי גיבוי לשחזור החשבון. המשתמשים צריכים להוסיף מספר טלפון לשחזור חשבון וכתובת אימייל, או מפתח גישה חלופי או מפתח אבטחה פיזי שישמרו במקום בטוח.

פרטים על מפתחות אבטחה זמינים במאמר הזמנת מפתחות אבטחה.

פרטים נוספים על מפתחות גישה זמינים במאמר איך נכנסים לחשבון באמצעות מפתח גישה במקום סיסמה.

שלב 3: קובעים אילו אפליקציות צד שלישי נחשבות אמינות לצורך תוכנית ההגנה המתקדמת

שליטה בגישה לאפליקציות מהימנות

אתם יכולים להגדיר רשימה של אפליקציות מהימנות כדי לציין באילו אפליקציות אתם בוטחים בנוגע לנתוני הארגון, כולל הנתונים של המשתמשים בתוכנית ההגנה המתקדמת. רשימת האפליקציות המהימנות חלה על כל הארגון. כברירת מחדל, אפליקציות מקוריות של Google, אפליקציות מקוריות של אפל ל-iOS ו-Mozilla Thunderbird נחשבות מהימנות למשתמשים עם הגנה מתקדמת. צריך להוסיף באופן מפורש לרשימת האפליקציות המהימנות את כל האפליקציות האחרות שנדרשות לעסק.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים and then אמצעי בקרה לממשקי API ואז ניהול הגישה של אפליקציות של צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. הוראות מפורטות לניהול הגישה של אפליקציות צד שלישי מופיעות במאמר קביעה לאילו אפליקציות של צד שלישי ואפליקציות פנימיות תהיה גישה לנתונים של Google Workspace.

שלב 4: הגדרת גישה לארגון ברמה העליונה לצורך אימות דו-שלבי

גישה לאימות דו-שלבי

בתוכנית ההגנה המתקדמת נעשה שימוש באימות דו-שלבי. צריך לבחור הגדרה במסוף Google Admin שמאפשרת למשתמשים להפעיל אימות דו-שלבי. ההגדרה הזו חלה על כל הארגון ברמה העליונה, שעשוי לכלול כמה דומיינים.

  1. עוברים אל פריסת אימות דו-שלבי, שלב 2: הגדרת אימות דו-שלבי בסיסי (נדרש).
  2. פועלים לפי השלבים להפעלת אימות דו-שלבי בכל הארגון (כל הדומיינים).

שלב 5: הפעלת רישום משתמשים

המשתמשים יכולים להירשם לתוכנית

כברירת מחדל, המשתמשים יכולים להירשם בעצמם לתוכנית ההגנה המתקדמת. אם צריך, אפשר להשבית את היכולת הזו של המשתמש.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז התוכנית להגנה מתקדמת.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בוחרים את היחידה הארגונית שמכילה את המשתמשים שרוצים להפעיל עבורם את ההרשמה.
  3. הגדרת ברירת המחדל היא המשתמשים יכולים להירשם לתוכנית. בוחרים אותו אם הוא לא נבחר.
  4. מציינים את סוג קוד האבטחה שהמשתמשים יכולים ליצור. השימוש בקודי אבטחה מפחית את רמת האבטחה, ולכן כדאי לאפשר למשתמשים ליצור קודי אבטחה רק אם הם חייבים להשתמש בהם. אפשר לעיין במדיניות האבטחה במאמר הגנה על משתמשים באמצעות תוכנית ההגנה המתקדמת.

    בוחרים אחת מהאפשרויות הבאות לקודי אבטחה עבור המשתמשים:

    • משתמשים לא יוכלו לייצר קודי אבטחה: המשתמשים לא יכולים ליצור קודי אבטחה. האפשרות הזו מספקת את האבטחה החזקה ביותר. משתמשים באפשרות הזו אם כל המשתמשים משתמשים ב-Google Chrome ויש להם אפליקציות מודרניות.
    • אפשר להשתמש בקודי אבטחה ללא גישה מרחוק: משתמשים יכולים ליצור קודי אבטחה ולהשתמש בהם באותו מכשיר או באותה רשת מקומית (NAT או LAN). זוהי ברירת המחדל. האפשרות הזו מספקת פחות אבטחה מאשר מצב שבו לא מוגדר קוד אבטחה, אבל יותר אבטחה מאשר קודי אבטחה עם גישה מרחוק, שמתואר בהמשך. האפשרות הזו מתאימה ל:
      • אפליקציות ל-iOS
      • מחשבי Mac
      • Internet Explorer
      • Safari
      • אפליקציות מדור קודם למחשב ואפליקציות לנייד שמשתמשות ב-WebViews לאימות במקום ב-Chrome
    • אפשר להשתמש בקודי אבטחה עם גישה מרחוק: משתמשים יכולים ליצור קודי אבטחה ולהשתמש בהם ברשתות או במכשירים אחרים, למשל כשניגשים לשרת מרוחק או למכונה וירטואלית.

פרטים נוספים מופיעים בבלוג של Google Workspace Updates.

שלב 6: מודיעים למשתמשים שזוהו כמשתמשים בסיכון גבוה שהם יכולים להירשם לתוכנית ההגנה המתקדמת

שליחת הודעה למשתמשים כדי שיירשמו

אחרי שמפעילים את ההרשמה לתוכנית ההגנה המתקדמת, המשתמשים יכולים להירשם בעצמם. המשתמשים נכנסים לדף אינטרנט כדי להגדיר מפתחות אבטחה או מפתחות גישה. הם מקבלים גם מידע על שינויים שמתרחשים כשהם מפעילים את ההגנה המתקדמת.

חשוב ליידע את המשתמשים בחברה על התוכניות שלכם, כולל הפרטים האלה:

  • תסביר מהי תוכנית ההגנה המתקדמת ולמה החברה שלך משתמשת בה.
  • מציינים אם ההגנה המתקדמת היא אופציונלית או חובה.
  • אם יש צורך, מציינים את התאריך שעד אליו המשתמשים צריכים להירשם בעצמם להגנה המתקדמת.
  • צריך לציין שאחרי ההרשמה, המשתמשים יוצאים מכל המכשירים ומאפליקציות של צד שלישי, והם צריכים להיכנס לחשבון.
  • אפשר לחלק מפתחות אבטחה למשתמשים או להמליץ להם להגדיר מפתחות גישה במכשירים שלהם.
  • מציינים את הקישור לדף האינטרנט להרשמה עצמית: תוכנית ההגנה המתקדמת.