允许用户注册加入高级保护计划

让用户能够通过自行注册来加入高级保护计划。

第 1 步:找出容易遭受攻击的用户,允许这些用户注册加入该计划

调查组织中容易遭受攻击的用户

  1. 找出容易遭受攻击的用户,根据需要将他们纳入高级保护计划的保护范围。
    您或许认为组织中的某些用户属于低价值目标,但许多攻击行动会率先入侵这类目标,以此作为突破口不断扩大攻击范围。我们建议您做好计划,逐步将更多角色和人员纳入保护范围。以下列表包含您可能想要保护的一些高价值目标。不过请注意,攻击行动可能会从其他目标开始,然后不断扩大攻击范围。您可能需要随着时间的推移不断扩充此列表:
    • 超级用户:由于他们拥有广泛的权限,所以通常是攻击目标。
    • 在结算或生产部门工作的用户:他们可能拥有许多权限,因而存在风险。
    • 执行高管及公司其他高管:他们都可能会成为目标。
    • 过去可能已被列为攻击对象的用户群体,甚至是遭受过国家支持的攻击的用户群体可能被列为攻击对象。另外,您可能已收到通知,指出哪些用户容易遭受攻击。请考虑您的整个组织。
  2. 组织部门中的群组用户。

第 2 步:订购安全密钥或设置通行密钥

为每位用户获取密钥

您的用户需要拥有安全密钥或通行密钥才能注册加入高级保护计划。为了确保账号访问权限,您还需要注册备用辅助身份验证因素。用户必须添加辅助电话号码和辅助邮箱地址,或者添加备用通行密钥或实体安全密钥,并将其放在安全的位置。

请参阅订购安全密钥,详细了解安全密钥。

如需详细了解通行密钥,请参阅使用通行密钥(而非密码)登录?

第 3 步:控制哪些第三方应用受高级保护计划信任

控制对受信任应用的访问权限

设置受信任应用的列表,在其中指定可访问贵组织数据(包括那些已加入高级保护计划的用户的数据)的受信任应用。受信任应用的列表会应用于整个组织。对于加入了高级保护计划的用户,系统在默认情况下会信任 Google 原生应用、Apple 原生 iOS 应用和 Mozilla Thunderbird。如果您的公司还需要使用其他任何应用,则必须明确将其添加至受信任应用的列表。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后访问权限和数据控件然后API 控件然后管理第三方应用的访问权限

    您必须以 超级用户 身份登录,才能执行此任务。

  2. 如需有关管理第三方应用访问权限的详细说明,请参阅控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

第 4 步:将顶级组织设置为使用两步验证

访问两步验证

高级保护计划使用两步验证。您必须在 Google 管理控制台中选择相应设置,以便允许用户启用两步验证。该设置会应用到您的整个顶级组织,而其中可能包含多个网域。

  1. 请参阅部署两步验证中的“第 2 步:设置基本两步验证(必需)”。
  2. 按照其中的步骤为整个组织(所有网域)启用两步验证。

第 5 步:允许用户注册

允许用户注册

默认情况下,用户可以自行注册加入高级保护计划。如有需要,您可以停用此用户功能。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性然后身份验证然后高级保护计划

    您必须以 超级用户 身份登录,才能执行此任务。

  2. 选择包含需要允许注册的用户所在的组织部门。
  3. 允许用户注册 是默认设置。如果未选中此选项,请选中它。
  4. 指定用户可以生成的安全代码类型。使用安全代码会降低安全性,所以务必仅在用户必须使用安全代码时才允许用户生成安全代码。请参阅使用高级保护计划保护用户,以了解该计划的安全政策。

    从以下安全代码选项中为用户选择一项:

    • 不允许用户生成安全代码—用户无法生成安全代码。此选项的安全性最高。如果所有用户都使用 Google Chrome 且拥有新式应用,请使用此选项。
    • 允许使用安全代码(远程访问除外)—用户可以生成安全代码并在同一设备或本地网络(NAT 或 LAN)中使用。这是默认设置。该选项的安全性低于“不允许用户生成安全代码”选项,但高于“允许使用安全代码(包含远程访问的情况)”选项(见下文)。此选项适用于:
      • iOS 应用
      • Mac
      • Internet Explorer
      • Safari
      • 使用 WebView 而不是 Chrome 进行身份验证的旧版桌面应用和移动应用
    • 允许使用安全代码(包含远程访问的情况) \- 用户可以生成安全代码并在其他设备或网络中使用(如当您访问远程服务器或使用虚拟机时)。

如需了解详情,请参阅 Google Workspace 最新动态博客

第 6 步:告知已确认的高风险用户可以注册加入高级保护计划

通知用户注册

启用高级保护计划注册功能后,用户就可以自行注册来加入该计划了。用户需要访问相关网页以设置安全密钥或通行密钥。他们还可以获取有关启用高级保护计划后发生的变化的信息。

向用户传达公司的计划,包括:

  • 介绍高级保护计划及其用途。
  • 指出高级保护计划是可由用户选择启用的还是必须启用的。
  • 如果必须启用,请规定用户必须在哪个日期之前自行注册来加入高级保护计划。
  • 提及用户注册后,系统会将其从所有设备和第三方应用中退出,用户必须重新登录。
  • 向用户分发安全密钥,或建议他们在设备上设置通行密钥。
  • 提供用于自行注册加入该计划的网页链接:高级保护计划