محافظت از حساب‌های Google Workspace با چالش‌های امنیتی

چالش‌های امنیتی، اقدامات امنیتی اضافی برای تأیید هویت کاربر هستند. دو نوع چالش امنیتی وجود دارد:

  • چالش ورود — اگر مشکوک شویم که یک کاربر غیرمجاز سعی در ورود به حساب Google Workspace دارد، او را با یک چالش ورود به سیستم مواجه می‌کنیم. اگر کاربر نتواند اطلاعات درخواستی را وارد کند، به او اجازه ورود به حساب را نمی‌دهیم.
  • چالش «تأیید شما» — اگر کاربری اقداماتی را انجام دهد که حساس تلقی می‌شوند، ما آنها را با چالش «تأیید شما» مواجه می‌کنیم. اگر کاربر نتواند اطلاعات درخواستی را وارد کند، ما اقدام حساس را مجاز نمی‌دانیم (آنها می‌توانند به استفاده عادی از حساب خود ادامه دهند).

مهم : گوگل در حال اجرای 2SV برای حساب‌های کاربری مدیر است. برای جزئیات بیشتر، به «درباره‌ی اجرای 2SV برای مدیران» مراجعه کنید.

قبل از اینکه بتوانید از چالش‌های امنیتی استفاده کنید

مطمئن شوید که حساب‌های Google Workspace شما اطلاعات مورد نیاز ما را دارند:

  • به کارمندان یادآوری کنید که شماره تلفن و آدرس ایمیل بازیابی خود را به حساب کاربری خود اضافه کنند. ما به صورت دوره‌ای از آنها می‌خواهیم که هنگام ورود به حساب‌های کاربری خود، این اطلاعات را اضافه کنند.
  • شناسه‌های کارمندی را به حساب‌های کاربری خود اضافه کنید. برای جزئیات بیشتر، به «افزودن شناسه کارمندی به عنوان چالش ورود» بروید.

انواع چالش‌های ورود به سیستم

کاربر هویت خود را با دستگاه تلفن همراه خود تأیید می‌کند

کاربر نحوه تأیید هویت خود را انتخاب می‌کند

گوگل از یک برنامه نصب شده روی گوشی کاربر برای تأیید هویت او استفاده می‌کند

گوگل یک پیامک حاوی کد تأیید ارسال می‌کند

گوگل با تلفن کاربر تماس می‌گیرد و کد تأیید را ارائه می‌دهد.

کاربر شناسه کارمندی خود را وارد می‌کند

اگر شناسه کارمند را به عنوان چالش ورود اضافه کرده باشید، کاربران می‌توانند از این شناسه برای تأیید هویت خود استفاده کنند.

کاربر ایمیل بازیابی خود را وارد می‌کند

کاربر می‌تواند آدرس ایمیل بازیابی را به عنوان چالش ورود وارد کند.

چالش‌های «تایید هویت شما» برای اقدامات حساس

اگر یک کاربر Google Workspace اقدام به انجام یک اقدام حساس کند، گاهی اوقات با چالش «تأیید شما هستید» مواجه می‌شود. اگر کاربر نتواند اطلاعات درخواستی را وارد کند، گوگل آن اقدام حساس را رد می‌کند.

«اقدام حساس مسدود شد»

برای اکثر کاربرانی که با چالش «تایید هویت شما» برای یک اقدام حساس مواجه می‌شوند، پنجره‌ای با عنوان « اقدام حساس مسدود شد» نمایش داده می‌شود. به کاربر دستور داده می‌شود که دوباره از دستگاهی که معمولاً از آن استفاده می‌کند (مانند تلفن یا لپ‌تاپ) یا از مکانی که معمولاً از آن وارد سیستم می‌شود، امتحان کند.

«الان نمی‌توانم این اقدام را تکمیل کنم»

از آنجا که برخی از کاربران دستگاه‌ها یا کلیدهای امنیتی دارند که اخیراً به حسابشان اضافه شده است، نمی‌توانند بلافاصله در پاسخ به یک چالش امنیتی هویت خود را تأیید کنند. برای این کاربران، پنجره‌ای با عنوان « اکنون نمی‌توانم این اقدام را انجام دهم» نمایش داده می‌شود. این کاربران می‌توانند هویت خود را پس از حداقل ۷ روز مرتبط شدن دستگاه، شماره تلفن یا کلید امنیتی با حسابشان تأیید کنند.

نمونه‌هایی از اقدامات حساس

در اینجا چند نمونه از اقدامات حساس آورده شده است:

  • غیرفعال کردن تایید هویت دو مرحله‌ای
  • اجازه دادن به یک برنامه برای دسترسی به داده‌های گوگل
  • تغییر آدرس ایمیل یا شماره تلفن بازیابی حساب
  • دانلود اطلاعات حساب کاربری
  • تغییر نام در حساب کاربری

چالش‌های ورود به سیستم را با SSO فعال کنید

اگر سازمان شما از ارائه‌دهندگان هویت شخص ثالث (IdP) برای تأیید هویت کاربران ورود یکپارچه (SSO) از طریق SAML استفاده می‌کند، می‌توانید پس از تأیید هویت کاربر توسط IdP در هنگام ورود، چالش‌های ورود مبتنی بر ریسک بیشتری را برای این کاربران SSO ارائه دهید و تأیید هویت دو مرحله‌ای (در صورت پیکربندی) را اعمال کنید.

تنظیمات پیش‌فرض تأیید پس از SSO به نوع کاربر SSO بستگی دارد:

  • برای کاربرانی که با استفاده از پروفایل SSO قدیمی سازمان شما وارد سیستم می‌شوند، تنظیمات پیش‌فرض این است که از چالش‌های ورود اضافی و 2SV عبور کنند .
  • برای کاربرانی که با استفاده از سایر پروفایل‌های SSO وارد سیستم می‌شوند، تنظیمات پیش‌فرض اعمال چالش‌های ورود اضافی و 2SV است.

برای تغییر تنظیمات پیش‌فرض برای هر نوع کاربر، مراحل موجود در «تنظیم پس از تأیید SSO» را در زیر دنبال کنید.

موارد استفاده برای چالش‌های ورود بیشتر با SSO

  • شما می‌خواهید از کلیدهای امنیتی برای محافظت از دسترسی به منابع حساس میزبانی‌شده توسط گوگل برای حداکثر اطمینان استفاده کنید، و IdP فعلی شما از کلیدهای امنیتی پشتیبانی نمی‌کند.
  • شما می‌خواهید در هزینه استفاده از ارائه‌دهنده هویت شخص ثالث صرفه‌جویی کنید، زیرا در بیشتر موارد کاربران به منابع گوگل دسترسی دارند.
  • شما احراز هویت گوگل (گوگل به عنوان ارائه دهنده هویت) را نمی‌خواهید، اما می‌خواهید از تمام چالش‌های ورود مبتنی بر ریسک گوگل استفاده کنید.
  • شما می‌خواهید گوگل از اقدامات حساس درون اکوسیستم گوگل محافظت کند.

چه اتفاقی می‌افتد وقتی چالش‌های ورود اضافی اعمال می‌کنید

برای اجرای روان، به کاربران خود در مورد سیاست جدید و زمان اعمال آن اطلاع دهید. در اینجا اتفاقاتی که هنگام اعمال چالش‌های ورود اضافی در هنگام ورود به سیستم رخ می‌دهد، آورده شده است:

  • اگر سیاست‌های 2SV موجود، مانند اجرای 2SV را دارید، آن سیاست‌ها بلافاصله اعمال می‌شوند.
  • کاربرانی که تحت تأثیر این سیاست جدید قرار می‌گیرند و در 2SV ثبت‌نام کرده‌اند، هنگام ورود به سیستم، با چالش ورود به سیستم 2SV مواجه می‌شوند.
  • بر اساس تحلیل ریسک ورود به سیستم گوگل، کاربران ممکن است هنگام ورود به سیستم با چالش‌های ورود مبتنی بر ریسک مواجه شوند.

تأیید پس از SSO را تنظیم کنید

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس احراز هویت و سپس چالش‌های ورود به سیستم

    نیاز به داشتن امتیاز مدیر مدیریت امنیت کاربر دارد.

  2. در سمت چپ، واحد سازمانی که می‌خواهید سیاست را در آن تنظیم کنید، انتخاب کنید.

    برای همه کاربران، واحد سازمانی سطح بالا را انتخاب کنید. در ابتدا، واحدهای سازمانی تنظیمات والد خود را به ارث می‌برند.

  3. روی تأیید پس از SSO کلیک کنید.
  4. تنظیمات را بر اساس نحوه استفاده از پروفایل‌های SSO قدیمی در سازمان خود انتخاب کنید. می‌توانید تنظیماتی را برای کاربرانی که از پروفایل SSO قدیمی برای سازمان شما استفاده می‌کنند و برای کاربرانی که با استفاده از سایر پروفایل‌های SSO وارد سیستم می‌شوند، اعمال کنید.
  5. در پایین سمت راست، روی ذخیره کلیک کنید.

    گوگل یک ورودی در گزارش حسابرسی مدیریت ایجاد می‌کند تا هرگونه تغییر در خط‌مشی را نشان دهد.

توجه: در موارد نادر، ممکن است داده‌های رویداد ثبت‌شده برای همه رویدادها موجود نباشد. ما در حال تلاش برای حل این مشکل هستیم.

سوالات متداول

سوالات امنیتی اضافی و چالش‌های ورود به سیستم | تأیید تلفن | غیرفعال کردن ورود به سیستم یا چالش امنیتی | مدیران

سوالات امنیتی اضافی و چالش‌های ورود به سیستم

چه زمانی کاربر با یک چالش امنیتی مواجه می‌شود؟

وقتی یک ورود مشکوک شناسایی شود، مثلاً کاربری که از الگوهای ورود قبلی خود پیروی نکرده باشد، با چالش ورود به سیستم مواجه می‌شود. اگر کاربر هنگام تلاش برای انجام یک اقدام حساس، یک جلسه پرخطر داشته باشد، با چالش «تأیید هویت شما مهم است» مواجه می‌شود.

مهم: گوگل بر اساس عوامل امنیتی و کاربردی متعدد، تصمیم می‌گیرد که کدام نوع چالش امنیتی برای ارائه به کاربر مناسب است. برای مثال، چالش ورود با شناسه کارمند ممکن است همیشه برای یک کاربر خاص ارائه نشود، حتی اگر آن را فعال کرده باشید.

به عنوان مدیر، آیا می‌توانم انتخاب کنم که چه نوع چالش ورود به سیستمی را به کاربرانم نشان دهم؟

تأیید هویت دو مرحله‌ای (2SV) نوعی چالش ورود به سیستم است. به عنوان مدیر، می‌توانید چالش ورود به سیستم 2SV را برای کاربران خود اعمال کنید. با انجام این کار، آنها نوع دیگری از چالش ورود مبتنی بر ریسک را دریافت نخواهند کرد.

اگر 2SV را برای کاربران خود اجباری نکنید، یا اگر کاربری آن را فعال نکرده باشد، گوگل تصمیم می‌گیرد که چه نوع چالش ورود به سیستمی برای ارائه به آن کاربر مناسب است. نوع چالش ورود به سیستم مناسب بر اساس عوامل امنیتی و قابلیت استفاده چندگانه تعیین می‌شود. به عنوان مثال، چالش ورود به سیستم با شناسه کارمند ممکن است همیشه برای یک کاربر خاص ارائه نشود، حتی اگر آن را فعال کرده باشید.

آیا کاربران می‌توانند اطلاعات بازیابی خود را به‌روزرسانی کنند؟

ما از تأیید هویت دو مرحله‌ای استفاده می‌کنیم. چرا به چالش‌های ورود نیاز داریم؟

تأیید دو مرحله‌ای (2SV) نوعی چالش ورود به سیستم است. وقتی کاربران شما آن را فعال کنند، دیگر با چالش ورود به سیستم مواجه نخواهند شد. به همین دلیل، گزارش‌های مدیریتی هر تأیید دو مرحله‌ای را به عنوان یک چالش ورود به سیستم نمایش می‌دهند.

وقتی SSO را فعال کرده‌ام، چالش‌های ورود به سیستم چگونه کار می‌کنند؟

بستگی به این دارد که چگونه SSO را در سازمان خود پیکربندی کرده‌اید:

  • اگر یک پروفایل SSO قدیمی برای سازمان خود پیکربندی کرده‌اید - به طور پیش‌فرض، چالش‌های ورود به سیستم فعال نیستند. با این حال، می‌توانید تأیید پس از SSO را تنظیم کنید تا چالش‌های احراز هویت مبتنی بر ریسک اضافی و تأیید هویت دو مرحله‌ای (2SV) در صورت پیکربندی، مجاز باشند.
  • اگر از پروفایل SSO دیگری استفاده می‌کنید — هرگونه چالش ورود اضافی (از جمله 2SV، در صورت پیکربندی) به طور خودکار اعمال می‌شود.

آیا این ویژگی در نسخه‌های آموزشی موجود است؟

بله، همه نسخه‌های Google Workspace شامل سوالات امنیتی اضافی و چالش‌های ورود به سیستم هستند.

چه زمانی گوگل تلاش برای ورود به سیستم را مشکوک می‌داند؟

ما زمانی که سیستم تحلیل ریسک ما تلاشی را خارج از الگوی معمول رفتار کاربر شناسایی کند، تعیین می‌کنیم که آیا ورود به سیستم مشکوک است یا خیر. به عنوان مثال، ممکن است کاربری سعی کند از مکانی غیرمعمول یا به روشی مرتبط با سوءاستفاده وارد سیستم شود.

تأیید تلفن

اگر کاربران من تلفن شرکتی نداشته باشند، آیا راه دیگری برای تأیید حساب‌هایشان وجود دارد؟

بله، انواع مختلفی از چالش‌های ورود به سیستم وجود دارد. بسته به اطلاعات موجود برای حساب کاربری، کاربران با انواع مختلفی از چالش‌های ورود به سیستم، مانند وارد کردن شناسه کارمندی یا آدرس ایمیل بازیابی خود، مواجه می‌شوند. اگر کاربری به تلفن خود دسترسی ندارد، می‌تواند از کدهای پشتیبان برای ورود به سیستم استفاده کند. برای جزئیات بیشتر، به بخش «ورود با استفاده از کدهای پشتیبان» مراجعه کنید.

چگونه یک کاربر می‌تواند شماره تلفن یا ایمیل بازیابی مرتبط با حساب کاربری خود را به‌روزرسانی کند؟

کاربر می‌تواند اطلاعات بازیابی را از طریق تنظیمات حساب کاربری به‌روزرسانی کند.

آیا کاربر می‌تواند معیارهای دیگری غیر از شماره تلفن بازیابی خود را تأیید کند؟

اگر کاربر شماره تلفن بازیابی را وارد نکند، انواع دیگری از چالش‌های ورود به سیستم اعمال می‌شود، مانند وارد کردن آدرس ایمیل بازیابی یا استفاده از شناسه کارمندی خود.

غیرفعال کردن چالش ورود به سیستم یا چالش تأیید هویت

اگر کاربر نتواند هویت خود را تأیید کند، آیا می‌توانم ورود به سیستم را غیرفعال کنم یا چالش «شما تأیید می‌کنید» را فعال کنم؟

بله، یک مدیر می‌تواند ورود به سیستم را غیرفعال کند یا چالش «شما خودتان هستید» را به مدت ۱۰ دقیقه تأیید کند .

در برخی شرایط، یک کاربر مجاز نمی‌تواند هویت خود را تأیید کند. به عنوان مثال، ممکن است سیگنال تلفن نداشته باشد و نتواند کد تأیید را دریافت کند. یا نمی‌تواند شناسه کارمندی خود را به خاطر بیاورد یا پیدا کند. در این صورت، به عنوان یک مدیر ارشد، می‌توانید چالش ورود یا تأیید هویت را به مدت 10 دقیقه غیرفعال کنید تا به آنها اجازه ورود یا انجام اقدام حساس را بدهید. هنگام غیرفعال کردن چالش‌های ورود یا تأیید هویت، احتیاط کنید، زیرا حساب در طول این بازه 10 دقیقه‌ای از امنیت کمتری در برابر ربایندگان حساب برخوردار است.

آیا می‌توانم چالش‌های ورود یا تأیید هویت را برای سازمانم غیرفعال کنم؟

نه، شما نمی‌توانید این ویژگی را برای کل سازمان خود غیرفعال کنید. فقط می‌توانید آن را به طور موقت و برای هر کاربر غیرفعال کنید.

آیا کاربر می‌تواند این را از تنظیمات حساب خود غیرفعال کند؟

خیر، فقط یک مدیر می‌تواند ورود یا چالش‌های امنیتی را موقتاً غیرفعال کند.

چالش‌های ورود به سیستم مدیر

چگونه مدیری که نمی‌تواند هویت خود را تأیید کند، می‌تواند دوباره وارد حساب کاربری خود شود؟

به عنوان مدیر، می‌توانید با دنبال کردن دستورالعمل‌های صفحه ورود به سیستم برای بازنشانی رمز عبور، دوباره به حساب کاربری خود دسترسی پیدا کنید.

اگر مدیر Google Workspace هستید و در ورود به حساب کاربری خود مشکل دارید، برای دریافت دستورالعمل‌ها به بازیابی دسترسی مدیر به حساب کاربری خود بروید.

اگر یک مدیر ارشد نتواند هویت خود را تأیید کند، چه می‌شود؟

اگر یک کاربر با دسترسی مدیر ارشد نتواند هویت خود را تأیید کند، یک مدیر ارشد دیگر (در صورت وجود) می‌تواند به طور موقت، همانطور که در مراحل بالا توضیح داده شده است، چالش ورود به سیستم را برای او غیرفعال کند.

از طرف دیگر، مدیر ارشد می‌تواند با تنظیم مجدد رمز عبور خود، چالش ورود به سیستم را دور بزند.

توجه: گزینه تنظیم مجدد خودکار رمز عبور برای همه مدیران ارشد در دسترس نیست. برای اطلاعات بیشتر در مورد بازیابی حساب کاربری مدیر، به بخش «افزودن گزینه‌های بازیابی به حساب کاربری مدیر» مراجعه کنید.