איך מגינים על חשבונות Google Workspace באמצעות אתגרי אבטחה

אתגרי אבטחה הם אמצעים נוספים לאימות הזהות של המשתמשים. יש שני סוגים של אתגרי אבטחה:

  • אימות זהות בכניסה – אם יש חשד שמשתמש לא מורשה מנסה להיכנס לחשבון Google Workspace, אנחנו מבקשים ממנו לעבור אימות זהות. אם המשתמש לא מספק את הפרטים הנדרשים, אנחנו לא מאפשרים לו להיכנס לחשבון.
  • אתגר מסוג "צריך לאמת את הזהות שלך" – אם משתמש מנסה לבצע פעולות שנחשבות לרגישות, מוצג לו אתגר לאימות הזהות. אם המשתמש לא מספק את הפרטים הנדרשים, אנחנו לא מאפשרים לו לבצע את הפעולה הרגישה (אבל הוא יכול להמשיך להשתמש בחשבון כרגיל).

חשוב: Google אוכפת אימות דו-שלבי (2SV) בחשבונות אדמין. פרטים נוספים מופיעים במאמר בנושא אכיפת אימות דו-שלבי (2SV) לאדמינים.

לפני שמשתמשים באתגרי אבטחה

אתם צריכים לוודא שבחשבונות Google Workspace שלכם מופיע המידע שאנחנו צריכים:

  • הזכירו לעובדים להוסיף מספר טלפון וכתובת אימייל לשחזור החשבון. אנחנו נבקש מהם מדי פעם להוסיף את הפרטים האלה כשהם נכנסים לחשבונות שלהם.
  • הוסיפו את מזהי העובדים לחשבונות המשתמשים. פרטים נוספים זמינים במאמר בנושא הוספת מזהה עובד כאמצעי לאימות זהות.

סוגים של אתגרי אימות זהות

המשתמש מאשר את הזהות שלו באמצעות הנייד

המשתמש בוחר איך לאמת את הזהות שלו

Google משתמשת באפליקציה שמותקנת בטלפון של המשתמש כדי לאמת את הזהות

‫Google שולחת הודעת טקסט עם קוד אימות

‫Google מתקשרת לטלפון של המשתמש ומספקת קוד אימות

המשתמש מקליד את מזהה העובד שלו

אם הוספתם את האפשרות להשתמש במזהה העובד כאמצעי לאימות הזהות, המשתמשים יכולים להשתמש במזהה הזה כדי לאשר את הזהות שלהם.

המשתמש מקליד את כתובת האימייל לשחזור החשבון

המשתמש יכול להקליד את כתובת האימייל לשחזור כאתגר אימות זהות לכניסה.

אתגרי אבטחה מסוג "צריך לאמת את הזהות שלך" לפעולות רגישות

אם משתמש ב-Google Workspace מנסה לבצע פעולה רגישה, לפעמים יוצג לו אתגר אבטחה מסוג "צריך לאמת את הזהות שלך". אם המשתמש לא מספק את הפרטים שנדרשים, Google לא תאפשר לו לבצע את הפעולה הרגישה.

'פעולה רגישה נחסמה'

לרוב המשתמשים שמוצג להם אתגר מסוג "צריך לאמת את הזהות שלך" כדי לבצע פעולה רגישה, מוצג חלון עם הכותרת פעולה רגישה נחסמה. המשתמש מקבל הנחיה לנסות שוב ממכשיר שהוא משתמש בו בתדירות גבוהה (למשל, מהטלפון או מהמחשב הנייד שלו) או מהמיקום שבו הוא נכנס לחשבון בדרך כלל.

'לא ניתן להשלים את הפעולה הזו כרגע'

יש משתמשים שיש להם מכשירים או מפתחות אבטחה שנוספו לאחרונה לחשבון שלהם, ולכן הם לא יכולים לאמת את הזהות שלהם באופן מיידי בתגובה לאתגר אבטחה. למשתמשים האלה מוצג חלון עם הכותרת אי אפשר להשלים את הפעולה הזו כרגע. המשתמשים האלה יכולים לאמת את הזהות שלהם אחרי שהמכשיר, מספר הטלפון או מפתח האבטחה שויכו לחשבון שלהם במשך 7 ימים לפחות.

דוגמאות לפעולות רגישות

אלו כמה דוגמאות לפעולות רגישות:

  • השבתת האימות הדו-שלבי
  • מתן אישור לאפליקציה לגשת לנתונים בחשבון Google
  • שינוי כתובת האימייל או מספר הטלפון לשחזור החשבון
  • הורדת נתוני החשבון
  • שינוי השם בחשבון

הפעלת אתגרי אימות זהות בכניסה לחשבון באמצעות SSO

אם בארגון שלכם משתמשים בספקי זהויות (IdP) של צד שלישי כדי לאמת משתמשים בכניסה יחידה (SSO) באמצעות SAML, אתם יכולים להציג למשתמשים האלה אתגרי אימות זהות נוספים לכניסה שמבוססים על סיכון, ולהחיל עליהם אימות דו-שלבי (אם הוא מוגדר), אחרי שספק הזהויות מאמת את המשתמש במהלך הכניסה.

הגדרת האימות שמוגדרת כברירת מחדל אחרי כניסה יחידה (SSO) משתנה לפי סוג המשתמש ב-SSO:

  • למשתמשים שנכנסים באמצעות פרופיל ה-SSO מדור קודם של הארגון, הגדרת ברירת המחדל היא לדלג על אתגרי אימות זהות נוספים בכניסה ועל אימות דו-שלבי.
  • למשתמשים שנכנסים באמצעות פרופילי SSO אחרים, הגדרת ברירת המחדל היא הפעלת אתגרי אימות זהות נוספים בכניסה ואימות דו-שלבי.

כדי לשנות את הגדרות ברירת המחדל של אחד מסוגי המשתמשים, פועלים לפי השלבים שמפורטים בקטע הגדרת אימות לאחר כניסה יחידה (SSO) שבהמשך.

תרחישים לדוגמה לשימוש באתגרי אימות זהות נוספים בכניסה כשמוגדרת כניסה יחידה (SSO)

  • אתם רוצים להשתמש במפתחות אבטחה כדי להגן על הגישה למשאבים רגישים שמתארחים ב-Google ולהגדיר את רמת האבטחה הגבוהה ביותר, אבל ספק הזהויות הנוכחי שלכם לא תומך במפתחות אבטחה.
  • אתם רוצים לחסוך בעלויות של שימוש בספק זהויות מצד שלישי, כי ברוב המקרים המשתמשים ניגשים למשאבים של Google.
  • אתם לא רוצים להשתמש באימות של Google (Google כספק זהויות), אבל אתם רוצים להשתמש בכל אתגרי אימות הזהות של Google לכניסה שמבוססים על רמת הסיכון.
  • אתם רוצים ש-Google תגן על פעולות רגישות בתוך הסביבה העסקית של Google.

מה קורה כשמפעילים אתגרי אימות זהות נוספים לכניסה לחשבון

כדי שההטמעה תתבצע בצורה חלקה, חשוב לעדכן את המשתמשים לגבי המדיניות החדשה ולציין מתי אתם מתכננים להפעיל אותה. זה מה שקורה כשמפעילים אתגרי אימות זהות נוספים לכניסה לחשבון:

  • אם בארגון כבר קיימים כללי מדיניות בנושא אימות דו-שלבי, כמו אכיפת אימות דו-שלבי, כללי המדיניות האלה יחולו באופן מיידי.
  • משתמשים שמושפעים מהמדיניות החדשה ורשומים לאימות דו-שלבי, מקבלים אתגר לאימות זהות דו-שלבי בכניסה לחשבון.
  • על סמך ניתוח רמת הסיכון של הכניסה לחשבון Google, יכול להיות שיוצגו למשתמשים אתגרי אימות זהות לכניסה לחשבון שמבוססים על רמת הסיכון.

הגדרת אימות אחרי כניסה יחידה (SSO)

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenאימותואזאימותי זהות.

    כדי לעשות את זה צריך הרשאת אדמין לניהול אבטחת המשתמשים.

  2. בצד ימין, בוחרים את היחידה הארגונית שרוצים להגדיר בה את המדיניות.

    אם רוצים להגדיר לכל המשתמשים, בוחרים את היחידה הארגונית שברמה העליונה. בשלב הראשוני, היחידות הארגוניות יורשות את ההגדרות של היחידה הארגונית הראשית.

  3. לוחצים על אימות אחרי כניסה יחידה (SSO).
  4. בוחרים הגדרות בהתאם לאופן השימוש הרצוי בפרופילי SSO קודמים בארגון. אתם יכולים להחיל הגדרה על משתמשים שמשתמשים בפרופיל ה-SSO מדור קודם בארגון ועל משתמשים שנכנסים באמצעות פרופילי SSO אחרים.
  5. בפינה השמאלית התחתונה, לוחצים על שמירה.

    ‫Google יוצרת רשומה ביומן הביקורת של האדמין כדי לציין שינוי במדיניות.

הערה: במקרים נדירים, יכול להיות שלא בכל האירועים יהיו נתוני אירועים ביומן. אנו פועלים לפתרון בעיה זו.

שאלות נפוצות

שאלות אבטחה ואתגרי אימות זהות בכניסה נוספים | אימות טלפוני | השבתה של אתגרי אימות זהות בכניסה ואתגרי אבטחה | אדמינים

שאלות אבטחה ואתגרי אימות זהות בכניסה נוספים

מתי המשתמשים רואים את אתגר האבטחה?

למשתמש מוצג אתגר אימות זהות בכניסה כשמזוהה כניסה חשודה לחשבון, למשל אם המשתמש לא פועל לפי דפוסי הכניסה שבהם הוא השתמש בעבר. אם למשתמש יש פעילות ברמת סיכון והוא מנסה לבצע פעולה רגישה, יוצג לו אתגר מסוג "צריך לאמת את הזהות שלך".

חשוב: Google מחליטה איזה סוג של אתגר אבטחה מתאים להצגה למשתמש על סמך מספר גורמים שקשורים לאבטחה ולנוחות השימוש. לדוגמה, יכול להיות שאתגר אימות הזהות בכניסה באמצעות מזהה העובד לא יוצג תמיד למשתמש ספציפי, גם אם הפעלתם אותו.

אדמינים יכולים לבחור איזה סוג של אתגר אימות זהות בכניסה יוצג למשתמשים?

אימות דו-שלבי (2SV) הוא סוג של אתגר אימות זהות בכניסה. אדמינים יכולים לקבוע שהמשתמשים שלהם צריכים לעבור אתגר אימות זהות דו-שלבי כדי להיכנס לחשבון. כך, המשתמשים לא יקבלו אתגר אימות זהות אחר שמבוסס על רמת הסיכון.

אם לא הגדרתם אימות דו-שלבי למשתמשים שלכם, או אם משתמש מסוים לא הפעיל אימות דו-שלבי, Google תחליט איזה סוג של אתגר אימות זהות בכניסה יתאים למשתמש הזה. סוג האתגר המתאים מבוסס על גורמים רבים שקשורים לאבטחה ולנוחות השימוש. לדוגמה, יכול להיות שאתגר אימות הזהות בכניסה באמצעות מזהה העובד לא יוצג תמיד למשתמש ספציפי, גם אם הפעלתם אותו.

המשתמשים יכולים לעדכן את הפרטים שלהם לשחזור החשבון?

כן. פרטים נוספים זמינים במאמר בנושא הגדרה של מספר טלפון או כתובת אימייל לשחזור החשבון.

אנחנו משתמשים באימות דו-שלבי. למה צריך אתגרים לאימות הזהות בכניסה?

אימות דו-שלבי (2SV) הוא סוג של אתגר אימות זהות בכניסה. אם המשתמשים הפעילו אותו, לא יוצג להם אתגר אחר לאימות הזהות כדי להיכנס לחשבון. מאותה סיבה, כל אימות דו-שלבי מוצג בדוחות האדמין כאתגר אימות זהות בכניסה.

איך פועלים אתגרים לאימות הזיהות בכניסה כשמוגדר שימוש בכניסה יחידה (SSO)?

זה תלוי באופן שבו הגדרתם את ה-SSO בארגון:

  • אם הגדרתם פרופיל SSO מדור קודם בארגון – כברירת מחדל, אתגרי אימות הזהות בכניסה לא מופעלים. עם זאת, אפשר להגדיר אימות אחרי כניסה יחידה כדי להפעיל אתגרי אימות זהות נוספים שמבוססים על רמת הסיכון ואימות דו-שלבי (2SV), אם הוא מוגדר.
  • אם אתם משתמשים בפרופיל SSO אחר – כל אתגרי אימות הזהות הנוספים (כולל אימות דו-שלבי, אם הוא מוגדר) מופעלים באופן אוטומטי.

האם התכונה הזו זמינה במהדורות Education?

כן, כל המהדורות של Google Workspace כוללות שאלות אבטחה ואתגרי אימות זהות נוספים.

מתי Google מחשיבה ניסיון כניסה כחשוד?

אנחנו קובעים אם הכניסה חשודה כשהמערכת שלנו לניתוח סיכונים מזהה ניסיון כניסה שחורג מהדפוס הרגיל של התנהגות המשתמש. לדוגמה, משתמש יכול לנסות להיכנס לחשבון ממיקום חריג או באופן שקשור להתנהלות פוגעת.

אימות טלפוני

אם למשתמשים שלי אין טלפון של החברה, יש דרך אחרת לאמת את החשבונות שלהם?

כן, יש סוגים שונים של אתגרי אימות זהות בכניסה. בהתאם למידע שזמין בחשבון של המשתמש, המערכת תציג לו את אחד מסוגי האתגרים, כמו בקשה להקליד את מזהה העובד או את כתובת האימייל לשחזור החשבון. אם למשתמש אין גישה לטלפון שלו, הוא יכול להשתמש בקודי גיבוי כדי להיכנס לחשבון. פרטים נוספים זמינים במאמר בנושא כניסה באמצעות קודי גיבוי.

איך אפשר לעדכן את מספר הטלפון או כתובת האימייל לשחזור החשבון שמשויכים לחשבון?

המשתמש יכול לעדכן את פרטי השחזור דרך הגדרות החשבון.

המשתמש יכול לבחור לאמת קריטריונים אחרים במקום מספר הטלפון לשחזור החשבון?

אם המשתמש לא מקליד מספר טלפון לשחזור החשבון, המערכת תציג סוגים אחרים של אתגרי אימות זהות כדי להיכנס לחשבון, כמו הזנת כתובת האימייל לשחזור החשבון או שימוש במזהה העובד.

השבתה של האתגר מסוג "אימות זהות בכניסה" או מסוג "צריך לאמת את הזהות שלך"

אם המשתמש לא מצליח לאמת את הזהות שלו, אפשר להשבית את אתגרי האבטחה מסוג "אימות זהות בכניסה" או מסוג "צריך לאמת את הזהות שלך"?

כן, אדמינים יכולים להשבית את אתגרי האבטחה מסוג "אימות זהות" או מסוג "צריך לאמת את הזהות שלך" למשך 10 דקות.

יש מצבים שבהם משתמש מורשה לא יכול לאמת את הזהות שלו. לדוגמה, אין קליטה בטלפון שלו ולכן אין לו אפשרות לקבל את קוד האימות. או, שהמשתמש לא זוכר או לא מוצא את מספר העובד שלו. במקרים כאלה, סופר-אדמינים יכולים להשבית את אתגרי האבטחה מסוג "אימות זהות" או מסוג "צריך לאמת את הזהות שלך" למשך 10 דקות כדי לאפשר למשתמש להיכנס לחשבון או להשלים את הפעולה הרגישה. חשוב להפעיל שיקול דעת כשמשביתים את אתגרי האבטחה, כי במהלך חלון הזמן של 10 דקות החשבון פחות מאובטח מפני פריצות.

יש לי אפשרות להשבית בארגון שלי את אתגרי האבטחה מסוג "אימות זהות בכניסה" או מסוג "צריך לאמת את הזהות שלך"?

לא, אי אפשר להשבית את התכונה הזו לכל הארגון. אפשר להשבית את אתגרי האבטחה באופן זמני רק ברמת המשתמש.

האם המשתמש יכול להשבית את אתגרי האבטחה בעצמו בהגדרות החשבון שלו?

לא, רק אדמין יכול להשבית זמנית את אתגר אימות הזהות בכניסה או אתגרי האבטחה.

אתגרי אימות זהות לאדמינים בכניסה לחשבון

איך אדמין שלא הצליח לאמת את הזהות שלו יכול להיכנס מחדש לחשבון?

אדמינים יכולים לקבל שוב גישה לחשבון שלהם על ידי ביצוע ההוראות בדף הכניסה לאיפוס הסיסמה.

אתם אדמינים ב-Google Workspace ונתקלתם בבעיה בכניסה לחשבון האדמין? כך משחזרים גישה של אדמין לחשבון.

מה קורה אם סופר-אדמין לא מצליח לאמת את הזהות שלו?

אם משתמש עם הרשאת סופר-אדמין לא מצליח לאמת את הזהות שלו, סופר-אדמין אחר (אם יש כזה) יכול להשבית באופן זמני את אתגר אימות הזהות בכניסה עבורו, כמו שמתואר בשלבים שלמעלה.

לחלופין, סופר-אדמינים יכולים לעקוף את אתגר אימות הזהות בכניסה על ידי איפוס הסיסמה שלהם.

הערה: האפשרות לאיפוס סיסמה אוטומטי לא זמינה לכל הסופר-אדמינים. מידע נוסף על שחזור חשבון אדמין זמין במאמר הוספת אפשרויות שחזור לחשבון האדמין.