管理員可以運用裝置繫結工作階段憑證 (DBSC),進一步保障使用者線上工作階段的安全。DBSC 旨在防範工作階段駭客攻擊 (也稱為 Cookie 盜用)。
這類網路攻擊發生時,未經授權的對象會盜用使用者在登入期間由網站發出的工作階段 Cookie (內含不重複工作階段 ID 的小型資料檔案),進而取得使用者目前網頁工作階段的控制權。攻擊者只要出示遭盜用的 Cookie,就能冒用合法使用者的身分,並繼續已通過驗證的工作階段。
DBSC 會將使用者的工作階段繫結至特定裝置,讓攻擊者難以在其他裝置上使用遭盜用的 Cookie。如此一來,便能降低使用者帳戶遭未經授權存取的風險,確保機密使用者資料安全無虞。
DBSC 的使用規定
- 目前 DBSC 僅適用於 Windows 裝置的 Chrome 瀏覽器。
- 使用者的裝置必須具備信任平台模組 (TPM)。多數搭載 Windows 11 的裝置均已配備這個標準硬體元件,可以安全儲存及處理密碼資料。使用者通常可在裝置的系統設定或製造商說明文件中,找到 TPM 可用性相關資訊。
- 使用者的 Chrome 瀏覽器需為 136 以上版本。詳情請參閱「更新 Google Chrome」。
啟用 DBSC
事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。
-
請使用「管理員」帳戶登入 Google 管理控制台。
非管理員帳戶無法存取管理控制台。
-
- 在「裝置繫結工作階段憑證」部分,選取「啟用 DBSC」。
-
按一下 [儲存]。 如果是 機構單位,您也可以按一下「覆寫」。
如要日後還原沿用的值,請按一下「沿用」(如果是群組,請點選「取消設定」)。
啟用 DBSC 的可能影響
啟用 DBSC 後,使用者可能會遇到下列情況:
- 工作階段中斷:如果使用者的工作階段有效,但繫結程序發生錯誤,系統會要求使用者重新登入。這是為了保護使用者的帳戶和資料。
- 重複發生問題:如果使用者重複遇到 DBSC 問題,可能會經常遭到登出。如果發生這種情況,使用者應請管理員協助排解問題,例如停用帳戶的 DBSC 功能。管理員可以建立不啟用 DBSC 的群組,然後將使用者加入該群組。
透過情境感知存取權強制執行 DBSC
僅限電腦版網頁應用程式,不適用於行動應用程式或 API
您可以規定使用者必須啟用 DBSC,才能存取特定 Google Workspace 應用程式,進一步加強安全防護。如果使用者的工作階段未完成 DBSC 繫結,便嘗試存取受保護的應用程式,系統便會拒絕存取。這項安全措施需透過情境感知存取權設定。
如何設定強制執行 DBSC:
- 幫要保護的使用者啟用 DBSC。如需詳細步驟,請參閱「啟用 DBSC」。
- 請按照「僅允許透過 DBSC 繫結工作階段存取應用程式」的說明,建立自訂存取層級。
- 在「監控模式」中,將存取層級指派給您希望只允許 DBSC 繫結工作階段存取的應用程式,即可模擬強制執行的效果,而不必實際封鎖使用者存取權。
- 評估影響後,請在「正常模式」中指派存取層級,強制要求只有 DBSC 繫結工作階段才能存取。詳情請參閱「部署情境感知存取權」。
系統不會立即強制執行 DBSC。也就是說,使用者登入後會有一段寬限期,之後這項機制才會強制執行。這項設計是為了應對繫結時可能暫時出現的問題。繫結完成後,系統會定期檢查使用者存取指定應用程式時,所用工作階段是否已完成 DBSC 繫結。只要重新驗證,寬限期就會重新計算,期間不會強制執行 DBSC。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。
