Włączanie rejestracji użytkowników w programie Ochrony zaawansowanej

Pozwól użytkownikom samodzielnie rejestrować się w programie Ochrony zaawansowanej.

Krok 1. Zidentyfikuj użytkowników, którzy są narażeni na ataki, i wyznacz ich do rejestracji

Wyszukiwanie w organizacji użytkowników narażonych na ataki

  1. Zidentyfikuj użytkowników, którzy są narażeni na ataki i powinni być objęci programem Ochrony zaawansowanej.
    Wiele ataków rozpoczyna się od przejęcia kontroli nad zasobami w organizacji, które są uznawane za mało wartościowe. Następnie są one używane jako narzędzie dalszego rozprzestrzeniania się ataku. Zalecamy stopniowe dodawanie ról i kont użytkowników. Poniżej znajdziesz listę celów o dużej wartości, które warto zabezpieczyć w organizacji. Pamiętaj jednak, że ataki mogą rozpoczynać się od innych celów i dopiero potem się rozprzestrzeniać. Warto stopniowo rozszerzać tę listę:
    • Superadministratorzy są często celem ataków ze względu na szerokie uprawnienia.
    • Narażeni mogą też być użytkownicy, którzy zajmują się rozliczeniami i produkcją, ponieważ często mają wysoki poziom dostępu.
    • Celem mogą też być kierownicy i inni pracownicy wyższego szczebla.
    • Celem mogą być grupy użytkowników, którzy byli celem ataków w przeszłości lub którzy byli na celowniku hakerów wspieranych przez rząd. Być może masz też powiadomienia o użytkownikach, którzy mogą być narażeni na ataki. Weź pod uwagę całą organizację.
  2. Pogrupuj użytkowników w jednostki organizacyjne.

Krok 2. Zamów klucze bezpieczeństwa lub skonfiguruj klucze dostępu

Przydzielanie kluczy użytkownikom

Użytkownicy potrzebują kluczy bezpieczeństwa lub kluczy dostępu, aby się zarejestrować w programie ochrony zaawansowanej. Aby uzyskać dostęp do konta, koniecznie jest również zapasowe rozwiązanie do przywracania konta. Użytkownicy muszą dodać pomocniczy numer telefonu i adres e-mail albo zapasowy klucz dostępu lub fizyczny klucz bezpieczeństwa, które należy przechowywać w bezpiecznym miejscu.

Szczegółowe informacje o kluczach bezpieczeństwa znajdziesz w artykule Zamawianie kluczy bezpieczeństwa.

Więcej informacji o kluczach dostępu znajdziesz w artykule Logowanie się za pomocą klucza dostępu zamiast hasła.

Krok 3. Określ, które aplikacje innych firm są zaufane w programie Ochrony zaawansowanej

Kontrolowanie dostępu do zaufanych aplikacji

Skonfiguruj listę zaufanych aplikacji, które mogą korzystać z danych organizacji (w tym danych użytkowników) w programie Ochrony zaawansowanej. Lista zaufanych aplikacji obowiązuje w całej organizacji. Domyślnie na liście dla użytkowników Ochrony zaawansowanej znajdują się aplikacje natywne Google, aplikacje natywne Apple na iOS i Mozilla Thunderbird. Inne aplikacje wymagane w Twojej firmie musisz samodzielnie dodać do listy zaufanych.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp do interfejsów APIa potemZarządzanie dostępem aplikacji innych firm.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. Szczegółowe instrukcje zarządzania dostępem aplikacji innych firm znajdziesz w artykule Określanie, które aplikacje innych firm i wewnętrzne mają dostęp do danych Google Workspace.

Krok 4. Skonfiguruj dostęp organizacji najwyższego poziomu do weryfikacji dwuetapowej

Dostęp do weryfikacji dwuetapowej

Program ochrony zaawansowanej korzysta z weryfikacji dwuetapowej. W konsoli administracyjnej Google musisz wybrać ustawienie, które umożliwia użytkownikom włączenie weryfikacji dwuetapowej. Ustawienie to odnosi się do całej organizacji najwyższego poziomu, na którą może składać się wiele domen.

  1. Otwórz artykuł Wdrażanie weryfikacji dwuetapowej i przejdź do sekcji „Krok 2. Skonfiguruj podstawową weryfikację dwuetapową (obowiązkowy)”.
  2. Postępuj zgodnie z instrukcjami, aby włączyć weryfikację dwuetapową w całej organizacji (we wszystkich domenach).

Krok 5. Włącz rejestrację użytkowników

Umożliwianie użytkownikom rejestrowania się w programie

Domyślnie użytkownicy mogą zarejestrować się w Programie ochrony zaawansowanej. W razie potrzeby możesz wyłączyć tę funkcję.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemUwierzytelnianiea potemProgram ochrony zaawansowanej.

    Aby wykonać te czynności, musisz zalogować się na konto superadministratora.

  2. Wybierz jednostkę organizacyjną zawierającą konta użytkowników, którym chcesz umożliwić rejestrowanie się w programie.
  3. Domyślne ustawienie to Włącz rejestrację użytkowników. Zaznacz je, jeśli nie jest zaznaczone.
  4. Określ typ kodu zabezpieczającego, który użytkownicy mogą wygenerować. Używanie kodów zabezpieczających zmniejsza bezpieczeństwo, więc zezwalaj użytkownikom na ich generowanie tylko wtedy, gdy jest to konieczne. Zasady zabezpieczeń znajdziesz w artykule Zabezpieczanie użytkowników za pomocą programu Ochrony zaawansowanej.

    Wybierz jedną z tych opcji kodów zabezpieczających dla użytkowników:

    • Nie zezwalaj użytkownikom na generowanie kodów zabezpieczających – użytkownicy nie mogą generować kodów zabezpieczających. Ta opcja zapewnia najsilniejszą ochronę. Wybierz ją, jeśli wszyscy użytkownicy korzystają z Google Chrome i nowoczesnych aplikacji.
    • Zezwalaj na kody zabezpieczające bez dostępu zdalnego – użytkownicy mogą generować kody zabezpieczające i używać ich na tym samym urządzeniu albo w sieci lokalnej (NAT lub LAN). Jest to ustawienie domyślne. Ta opcja zapewnia mniejszą ochronę niż brak kodów zabezpieczających, ale większą ochronę niż kody zabezpieczające z dostępem zdalnym, które opisano poniżej. Ta opcja jest odpowiednia w przypadku:
      • Aplikacje na iOS
      • komputerów Mac,
      • Internet Explorer
      • Safari
      • starszych aplikacji komputerowych i aplikacji mobilnych przeprowadzających uwierzytelnianie przy użyciu komponentów WebView zamiast Chrome.
    • Zezwalaj na kody zabezpieczające z dostępem zdalnym – użytkownicy mogą generować kody zabezpieczające i używać ich na innych urządzeniach lub w innych sieciach, na przykład przy uzyskiwaniu dostępu do serwera zdalnego lub maszyny wirtualnej.

Szczegółowe informacje znajdziesz na blogu o aktualizacjach Google Workspace.

Krok 6. Powiadom użytkowników narażonych na ataki, że mogą zarejestrować się w programie Ochrony zaawansowanej

Powiadamianie użytkowników o możliwości rejestracji

Gdy włączysz rejestrację w programie Ochrony zaawansowanej, użytkownicy będą mogli rejestrować się samodzielnie. Aby skonfigurować klucze bezpieczeństwa lub klucze dostępu, użytkownicy muszą wejść na odpowiednią stronę. Otrzymają też informacje o tym, co się zmieni po włączeniu Ochrony zaawansowanej.

Poinformuj użytkowników o planach swojej firmy, między innymi:

  • Opisz Ochronę zaawansowaną i powód jej używania.
  • Określ, czy Ochrona zaawansowana jest opcjonalna czy wymagana.
  • W razie potrzeby podaj datę, do której użytkownicy muszą samodzielnie zarejestrować się w programie Ochrony zaawansowanej.
  • Poinformuj użytkowników, że po zarejestrowaniu się zostaną wylogowani ze wszystkich urządzeń oraz aplikacji innych firm i będą musieli zalogować się ponownie.
  • Przekaż użytkownikom klucze bezpieczeństwa lub poproś ich o skonfigurowanie kluczy dostępu na swoich urządzeniach.
  • Udostępnij link do strony internetowej, na której użytkownicy mogą się samodzielnie zarejestrować: program ochrony zaawansowanej.