Разрешить регистрацию пользователей в программе расширенной защиты.

Предоставьте пользователям возможность самостоятельно регистрироваться в программе расширенной защиты.

Шаг 1: Выявите пользователей, уязвимых для атак, и выберите их для регистрации.

Проведите опрос в вашей организации на предмет выявления уязвимых групп пользователей.

  1. Определите уязвимых пользователей, которых вы хотите включить в программу расширенной защиты.
    Многие атаки начинаются с компрометации, казалось бы, малоценных целей внутри организации и распространяются дальше. Мы рекомендуем со временем планировать включение в список более важных целей и людей. В следующем списке приведены некоторые высокоценные цели, которые вы захотите защитить. Однако имейте в виду, что атаки могут начинаться с других целей и распространяться дальше. Возможно, со временем вы захотите расширить этот список:
    • Супер-администраторы часто становятся мишенью из-за своих широких привилегий.
    • Пользователи, работающие в отделах выставления счетов или производства, могут обладать множеством привилегий и подвергаться риску.
    • Целями могут стать руководители и другие высокопоставленные должностные лица компании.
    • Группы пользователей, которые в прошлом могли быть объектом атак или даже подвергались атакам, спонсируемым государством, могут стать мишенью для кибератак. Кроме того, вы могли получать уведомления о пользователях, которые могут быть уязвимы для атак. Рассмотрите всю вашу организацию.
  2. Объедините пользователей в организационные подразделения.

Шаг 2: Закажите ключи безопасности или настройте пароли.

Получите ключи для каждого пользователя.

Для участия в программе расширенной защиты вашим пользователям необходимы ключи безопасности или пароли. Для обеспечения доступа к учетной записи также требуется резервный фактор восстановления. Пользователям необходимо либо добавить номер телефона и адрес электронной почты для восстановления , либо резервный пароль, либо физический ключ безопасности для хранения в безопасном месте.

Для получения подробной информации о ключах безопасности перейдите в раздел «Заказ ключей безопасности».

Подробную информацию о паролях можно найти в разделе «Вход с помощью ключа вместо пароля?».

Шаг 3: Настройте, каким сторонним приложениям доверять в рамках расширенной защиты.

Контролируйте доступ к доверенным приложениям

Создайте список доверенных приложений, чтобы указать, каким приложениям вы доверяете доступ к данным вашей организации, включая данные пользователей, участвующих в программе расширенной защиты. Список доверенных приложений применяется ко всей вашей организации. По умолчанию доверенными для пользователей расширенной защиты являются нативные приложения Google, нативные приложения Apple для iOS и Mozilla Thunderbird. Для обеспечения безопасности бизнеса необходимо явно добавить в список доверенных приложений любые другие приложения.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Управление API а потом Управление доступом сторонних приложений .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Подробные инструкции по управлению доступом сторонних приложений см. в разделе «Управление доступом сторонних и внутренних приложений к данным Google Workspace» .

Шаг 4: Настройте доступ верхнего уровня для организации для двухфакторной аутентификации.

Доступ к двухэтапной проверке

Программа расширенной защиты использует двухфакторную аутентификацию. Необходимо выбрать параметр в консоли администратора Google, который позволит пользователям включать двухфакторную аутентификацию. Этот параметр применяется ко всей вашей организации верхнего уровня, которая может состоять из нескольких доменов.

  1. Перейдите в раздел «Развертывание двухэтапной проверки» , Шаг 2: Настройка базовой двухэтапной проверки (обязательно).
  2. Выполните следующие шаги, чтобы включить двухфакторную аутентификацию для всей вашей организации (всех доменов).

Шаг 5: Включите регистрацию пользователей.

Предоставить пользователям возможность зарегистрироваться

По умолчанию пользователи могут самостоятельно подключиться к расширенной защите. При необходимости эту функцию можно отключить.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Расширенная программа защиты .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Выберите организационное подразделение, содержащее пользователей, которых необходимо включить для регистрации.
  3. Включение регистрации пользователей — это настройка по умолчанию. Выберите её, если она не выбрана.
  4. Укажите тип кода безопасности, который могут генерировать ваши пользователи. Использование кодов безопасности снижает уровень защиты, поэтому разрешайте пользователям генерировать коды безопасности только в том случае, если это необходимо. Для получения информации о политиках безопасности перейдите в раздел «Защита пользователей с помощью программы расширенной защиты» .

    Выберите один из следующих вариантов защитного кода для ваших пользователей:

    • Не разрешать пользователям генерировать коды безопасности — Пользователи не могут генерировать коды безопасности. Этот параметр обеспечивает максимально высокий уровень безопасности. Используйте этот параметр, если все пользователи используют Google Chrome и современные приложения.
    • Разрешить использование кодов безопасности без удаленного доступа — Пользователи могут генерировать коды безопасности и использовать их на том же устройстве или в локальной сети (NAT или LAN). Это значение по умолчанию. Этот параметр обеспечивает меньшую безопасность, чем отсутствие кода безопасности, но большую безопасность, чем использование кодов безопасности с удаленным доступом, описанное ниже. Этот параметр работает для:
      • приложения для iOS
      • Маки
      • Интернет-Проверка
      • Сафари
      • Устаревшие настольные и мобильные приложения, использующие WebViews для аутентификации вместо Chrome.
    • Разрешите использование кодов безопасности при удаленном доступе — пользователи могут генерировать коды безопасности и использовать их на других устройствах или в сетях, например, при доступе к удаленному серверу или виртуальной машине.

Подробности можно найти в блоге обновлений Google Workspace .

Шаг 6: Уведомите выявленных пользователей с высоким риском о возможности подключения к расширенной защите.

Уведомите пользователей о необходимости регистрации.

После включения расширенной защиты пользователи могут зарегистрироваться самостоятельно. Пользователи посещают веб-страницу для настройки ключей безопасности или паролей. Они также получают информацию об изменениях, которые происходят после включения расширенной защиты.

Сообщите пользователям о планах вашей компании, в том числе:

  • Опишите расширенную защиту и объясните, почему ваша компания её использует.
  • Укажите, является ли расширенная защита необязательной или обязательной.
  • При необходимости укажите дату, до которой пользователи должны самостоятельно зарегистрироваться в программе расширенной защиты.
  • Укажите, что после регистрации пользователи выходят из всех своих устройств и сторонних приложений и должны войти в систему заново.
  • Предоставьте пользователям ключи безопасности или посоветуйте им настроить пароли на своих устройствах.
  • Укажите ссылку на веб-страницу для самостоятельной регистрации: Программа расширенной защиты .