เปิดการลงทะเบียนผู้ใช้ในโปรแกรมการปกป้องขั้นสูง

อนุญาตให้ผู้ใช้ลงทะเบียนเข้าร่วมโปรแกรมการปกป้องขั้นสูงเองได้

ขั้นตอนที่ 1: ระบุผู้ใช้ที่เสี่ยงต่อการถูกโจมตีแล้วเลือกผู้ใช้เพื่อลงทะเบียน

สำรวจองค์กรเพื่อหาผู้ใช้ที่มีความเสี่ยง

  1. ระบุผู้ใช้ที่มีความเสี่ยงซึ่งคุณต้องการให้อยู่ในขอบเขตของโปรแกรมการปกป้องขั้นสูง
    การโจมตีส่วนมากมักเริ่มต้นด้วยการบุกรุกเป้าหมายภายในองค์กรที่อาจถือว่ามีมูลค่าต่ำก่อน แล้วจึงขยายวงโจมตีจากเป้าหมายดังกล่าว เราจึงขอแนะนำให้คุณวางแผนเพิ่มบทบาทและบุคคลอยู่เสมอ รายการต่อไปนี้คือเป้าหมายมูลค่าสูงที่คุณควรปกป้อง แต่โปรดทราบว่าการโจมตีก็อาจเริ่มจากเป้าหมายอื่นแล้วจึงขยายขอบเขตการโจมตีได้เช่นกัน คุณจึงควรเพิ่มบุคคลนอกเหนือจากรายการนี้อยู่เสมอ
    • ผู้ดูแลระบบขั้นสูงมักตกเป็นเป้าเนื่องจากมีสิทธิ์ครอบคลุม
    • ผู้ใช้ที่ทำงานด้านการเรียกเก็บเงินหรือการผลิตอาจมีสิทธิ์หลายอย่างและมีความเสี่ยง
    • ผู้บริหารและเจ้าหน้าที่อาวุโสของบริษัทอาจตกเป็นเป้าได้
    • กลุ่มผู้ใช้ที่อาจเคยตกเป็นเป้า หรือแม้กระทั่งผู้ใช้ที่ถูกโจมตีด้วยการสนับสนุนจากรัฐอาจเป็นเป้าหมายได้ นอกจากนี้คุณยังอาจได้รับการแจ้งเตือนเกี่ยวกับผู้ใช้ที่อาจเสี่ยงต่อการถูกโจมตีอีกด้วย โปรดพิจารณาทั้งองค์กร
  2. จัดกลุ่มผู้ใช้เป็นหน่วยขององค์กร

ขั้นตอนที่ 2: สั่งซื้อคีย์ความปลอดภัยหรือตั้งค่าพาสคีย์

รับคีย์สำหรับผู้ใช้แต่ละราย

ผู้ใช้ต้องใช้คีย์ความปลอดภัยหรือพาสคีย์เพื่อการลงทะเบียนในโปรแกรมการปกป้องขั้นสูง คุณต้องลงทะเบียนปัจจัยการกู้คืนสำรองด้วยเพื่อให้มั่นใจว่าคุณจะเข้าถึงบัญชีได้ ผู้ใช้ต้องเพิ่มหมายเลขโทรศัพท์และอีเมลสำหรับการกู้คืน หรือพาสคีย์สำรองหรืออุปกรณ์คีย์ความปลอดภัย แล้วจัดเก็บไว้ในที่ปลอดภัย

โปรดดูรายละเอียดเกี่ยวกับคีย์ความปลอดภัยในหัวข้อสั่งซื้อคีย์ความปลอดภัย

โปรดดูรายละเอียดเกี่ยวกับพาสคีย์ที่หัวข้อลงชื่อเข้าใช้ด้วยพาสคีย์แทนการใช้รหัสผ่าน

ขั้นตอนที่ 3: กำหนดว่าแอปของบุคคลที่สามรายการใดเชื่อถือได้สำหรับการปกป้องขั้นสูง

ควบคุมการเข้าถึงแอปที่เชื่อถือได้

ตั้งค่ารายการแอปที่เชื่อถือได้เพื่อระบุแอปที่คุณเชื่อถือให้เข้าถึงข้อมูลขององค์กร รวมถึงข้อมูลของผู้ใช้ของคุณในโปรแกรมการปกป้องขั้นสูง รายการแอปที่เชื่อถือได้จะมีผลกับทั้งองค์กร โดยค่าเริ่มต้นของผู้ใช้ในโปรแกรมการปกป้องขั้นสูง ระบบจะเชื่อถือแอปของ Google ที่มาพร้อมเครื่อง, แอป iOS ที่มาพร้อมเครื่องของ Apple และ Mozilla Thunderbird คุณต้องเพิ่มแอปอื่นๆ ลงในรายการแอปที่เชื่อถือได้ที่จำเป็นสำหรับธุรกิจเอง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการเข้าถึงและการควบคุมข้อมูลจากนั้นการควบคุม APIจากนั้นจัดการการเข้าถึงแอปของบุคคลที่สาม

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. โปรดดูวิธีการโดยละเอียดเกี่ยวกับการจัดการการเข้าถึงแอปของบุคคลที่สามที่หัวข้อควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง

ขั้นตอนที่ 4: ตั้งค่าการเข้าถึงระดับบนสุดขององค์กรสำหรับการยืนยันแบบ 2 ขั้นตอน

เข้าถึงการยืนยันแบบ 2 ขั้นตอน

โปรแกรมการปกป้องขั้นสูงจะใช้การยืนยันแบบ 2 ขั้นตอน คุณต้องเลือกการตั้งค่าในคอนโซลผู้ดูแลระบบของ Google ที่อนุญาตให้ผู้ใช้เปิดการยืนยันแบบ 2 ขั้นตอนได้ การตั้งค่านี้จะมีผลกับองค์กรระดับบนสุดทั้งหมดซึ่งอาจประกอบโดเมนหลายโดเมน

  1. โปรดไปที่หัวข้อใช้การยืนยันแบบ 2 ขั้นตอน แล้วดูขั้นตอนที่ 2: ตั้งค่าการยืนยันแบบ 2 ขั้นตอนเบื้องต้น (บังคับ)
  2. ทำตามขั้นตอนเพื่อเปิดใช้การยืนยันแบบ 2 ขั้นตอนสำหรับทั้งองค์กร (ทุกโดเมน)

ขั้นตอนที่ 5: เปิดการลงทะเบียนผู้ใช้

เปิดให้ผู้ใช้ลงทะเบียนได้

โดยค่าเริ่มต้น ผู้ใช้จะลงทะเบียนใช้งานการปกป้องขั้นสูงเองได้ และคุณจะปิดใช้สิทธิ์นี้ได้ หากจำเป็น

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัยจากนั้นการตรวจสอบสิทธิ์จากนั้นโปรแกรมการปกป้องขั้นสูง

    คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้

  2. เลือกหน่วยขององค์กรที่มีผู้ใช้ที่คุณต้องการอนุญาตให้ลงทะเบียน
  3. การตั้งค่าเริ่มต้นจะเป็นเปิดการลงทะเบียนผู้ใช้ ให้เลือกตัวเลือกนี้ หากไม่ได้เลือกไว้
  4. ระบุประเภทของรหัสความปลอดภัยที่ผู้ใช้สร้างได้ การใช้รหัสความปลอดภัยอาจลดความปลอดภัย ดังนั้นจึงควรอนุญาตให้ผู้ใช้สร้างรหัสความปลอดภัยได้ก็ต่อเมื่อจำเป็นเท่านั้น โปรดไปที่หัวข้อปกป้องผู้ใช้ด้วยโปรแกรมการปกป้องขั้นสูงเพื่อดูนโยบายความปลอดภัย

    เลือกตัวเลือกรหัสความปลอดภัยแบบใดแบบหนึ่งต่อไปนี้ให้กับผู้ใช้

    • ไม่อนุญาตให้ผู้ใช้สร้างรหัสความปลอดภัย - ผู้ใช้จะสร้างรหัสความปลอดภัยไม่ได้ ตัวเลือกนี้มีความปลอดภัยสูงสุด ใช้ตัวเลือกนี้หากผู้ใช้ทุกรายใช้ Google Chrome และมีแอปพลิเคชันที่ทันสมัย
    • อนุญาตรหัสความปลอดภัยโดยไม่ต้องเข้าถึงจากระยะไกล - ผู้ใช้จะสร้างรหัสความปลอดภัยและใช้รหัสดังกล่าวในอุปกรณ์หรือเครือข่ายในระบบเดียวกัน (NAT หรือ LAN) ได้ โดยตัวเลือกนี้คือค่าเริ่มต้น ตัวเลือกนี้จะให้ความปลอดภัยน้อยกว่าการไม่มีรหัสความปลอดภัย แต่มีความปลอดภัยมากกว่ารหัสความปลอดภัยที่มีการเข้าถึงระยะไกลซึ่งจะอธิบายไว้ด้านล่าง ตัวเลือกนี้ใช้ได้กับ
      • แอป iOS
      • Mac
      • Internet Explorer
      • Safari
      • แอปพลิเคชันบนเดสก์ท็อปและแอปพลิเคชันบนมือถือระบบเดิมที่ใช้ WebView ในการตรวจสอบสิทธิ์แทนการใช้ Chrome
    • อนุญาตรหัสความปลอดภัยที่มีการเข้าถึงระยะไกล - ผู้ใช้จะสร้างรหัสความปลอดภัยและใช้รหัสผ่านในอุปกรณ์หรือเครือข่ายอื่นๆ ได้ เช่น เมื่อเข้าถึงเซิร์ฟเวอร์ระยะไกลหรือเครื่องเสมือน

โปรดดูรายละเอียดที่บล็อกการอัปเดตของ Google Workspace

ขั้นตอนที่ 6: แจ้งผู้ใช้ที่มีความเสี่ยงสูงให้ลงทะเบียนเข้าร่วมการปกป้องขั้นสูง

แจ้งผู้ใช้ให้ลงทะเบียน

หลังจากเปิดการลงทะเบียนการปกป้องขั้นสูง ผู้ใช้จะลงทะเบียนเองได้ ผู้ใช้จะเข้าชมหน้าเว็บเพื่อตั้งค่าคีย์ความปลอดภัยหรือพาสคีย์ นอกจากนี้ยังจะได้รับข้อมูลเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นเมื่อเปิดใช้การปกป้องขั้นสูงอีกด้วย

แจ้งแผนของบริษัทให้ผู้ใช้ทราบ ซึ่งประกอบด้วย

  • อธิบายการปกป้องขั้นสูงและสาเหตุที่บริษัทใช้การป้องกันขั้นสูง
  • ระบุว่าบริษัทบังคับให้ใช้การปกป้องขั้นสูงหรือไม่
  • หากบังคับ ให้แจ้งวันที่ที่ผู้ใช้จะต้องลงทะเบียนการปกป้องขั้นสูงด้วยตนเอง
  • อธิบายว่าหลังลงทะเบียนแล้ว ระบบจะนำผู้ใช้ออกจากระบบในอุปกรณ์ทุกเครื่องและแอปของบุคคลที่สามทุกแอป แล้วต้องลงชื่อเข้าใช้
  • แจกจ่ายคีย์ความปลอดภัยให้กับผู้ใช้หรือแนะนำให้ตั้งค่าพาสคีย์ในอุปกรณ์
  • ระบุลิงก์ไปยังหน้าเว็บสำหรับการลงทะเบียนด้วยตนเอง: โปรแกรมการปกป้องขั้นสูง