Diese Best Practices für Sicherheit richten sich an Administratoren von Google Workspace und Cloud Identity.
Als Administrator können Sie mit den Funktionen und Einstellungen der Google-Endpunktverwaltung dafür sorgen, dass Unternehmensdaten auf privaten (Bring your own device, BYOD) und unternehmenseigenen Mobilgeräten geschützt werden. Andere Sicherheitsfunktionen bieten einen höheren Kontoschutz, eine präzisere Zugriffssteuerung und Datenschutz. Anhand der folgenden Checkliste können Sie prüfen, ob Sie den Gerätesicherheitszielen Ihrer Organisation gerecht werden.
Alle Mobilgeräte
|
|
Passwörter erforderlich Um Daten auf verwalteten Mobilgeräten zu schützen, können Sie festlegen, dass Nutzer eine Displaysperre oder ein Passwort für ihr Gerät einrichten müssen. Bei Geräten mit erweiterter Verwaltung haben Sie außerdem die Möglichkeit, die Art des Passworts, die Stärke und die Mindestanzahl der Zeichen festzulegen. |
|
|
Unternehmensdaten auf verlorenen Geräten sperren oder löschen Wenn ein Gerät verloren geht oder ein Mitarbeiter Ihre Organisation verlässt, sind die Unternehmensdaten auf dem Gerät gefährdet. Sie können das Arbeitskonto eines Nutzers von einem Gerät löschen – einschließlich aller Unternehmensdaten. Bei Geräten mit erweiterter Verwaltung können Sie alle auf dem Gerät vorhandenen Daten löschen. Diese Funktion ist in der kostenlosen Version von Cloud Identity nicht verfügbar. |
 |
Für geschäftliche Zwecke genutzte Android-Apps verwalten Verhindern Sie unbefugten Zugriff auf Android-Apps, die für die geschäftliche Zwecke genutzt werden. Nehmen Sie sie dazu in die Liste der Web- und mobilen Apps auf, damit die Apps verwaltet werden. Sie können die Installation verwalteter Sicherheits-Apps erzwingen und verwaltete Apps von verlorenen oder gestohlenen Geräten entfernen. Verwaltete Apps werden automatisch von einem Gerät entfernt, wenn ein Nutzer sein Arbeitskonto entfernt. |
Mobilgeräte mit erweiterter Verwaltung
|
|
Geräteverschlüsselung erforderlich Bei der Verschlüsselung werden Daten so gespeichert, dass sie nur gelesen werden können, wenn das Gerät entsperrt ist. Die Daten werden also beim Entsperren des Geräts entschlüsselt. Die Verschlüsselung erhöht den Schutz bei Verlust oder Diebstahl des Gerätes. |
|
|
Gerätebeschränkungen anwenden Sie können festlegen, wie Nutzer Daten auf Android- und Apple iOS-Geräten freigeben und sichern. Auf Android-Geräten können Sie z. B. USB-Dateiübertragungen und auf iOS-Geräten Sicherungen im persönlichen Cloud-Speicher verhindern. Außerdem lässt sich der Zugriff auf einige Geräte- und Netzwerkeinstellungen beschränken. So haben Sie beispielsweise die Möglichkeit, die Kamera des Geräts auszuschalten und zu verhindern, dass Android-Nutzer ihre WLAN-Einstellungen ändern. |
|
|
Gehackte Geräte sperren Sie können verhindern, dass das Arbeitskonto eines Nutzers mit Android- und Apple iOS-Geräten synchronisiert wird, die möglicherweise gehackt sind. Ein Gerät gilt als gehackt, wenn es gerootet oder ein Jailbreak darauf ausgeführt wurde. Bei diesen Vorgängen werden alle Einschränkungen auf dem Gerät entfernt. Gehackte Geräte können eine Sicherheitsbedrohung darstellen. |
|
|
Android-Geräte, die Ihren Richtlinien nicht entsprechen, automatisch blockieren Wenn ein Gerät den Richtlinien Ihrer Organisation nicht mehr entspricht, können Sie den Zugriff auf Unternehmensdaten automatisch sperren und den Nutzer benachrichtigen lassen. Wenn Sie zum Beispiel eine Mindestpasswortlänge von sechs Zeichen festlegen und ein Nutzer sein Gerätepasswort auf eines mit fünf Zeichen ändert, ist das Gerät nicht mehr konform, da es Ihren Passwortrichtlinien nicht entspricht. |
|
Automatische Kontolöschung für Android-Geräte aktivieren Arbeitskontodaten und verwaltete Apps werden automatisch von einem Android-Gerät entfernt, wenn es eine bestimmte Anzahl von Tagen inaktiv ist. So verringern Sie das Risiko von Datenlecks. |
|
Für geschäftliche Zwecke genutzte iOS-Apps verwalten Verhindern Sie unbefugten Zugriff auf iOS-Apps, die für die geschäftliche Zwecke genutzt werden. Nehmen Sie sie dazu in die Liste der Web- und mobilen Apps auf, damit die Apps verwaltet werden. Sie können verwaltete Apps von verlorenen oder gestohlenen Geräten entfernen. Verwaltete Apps werden automatisch von einem Gerät entfernt, wenn ein Nutzer sein Arbeitskonto entfernt. |
|
Potenziell gefährliche Android-Apps blockieren Standardmäßig blockiert Google Apps, die nicht aus dem Play Store stammen, auf Android-Mobilgeräten aus unbekannten Quellen. Apps werden auch automatisch von Google Play Protect gescannt und bei Gefahr blockiert. Mit diesen Funktionen verringert sich das Risiko von Datenlecks, gehackten Konten, Daten-Exfiltration, Datenlöschungen und einer Bedrohung durch Malware. Die Option Die Installation von Apps aus unbekannten Quellen blockieren muss aktiviert und Nutzern erlauben, Google Play Protect zu deaktivieren für alle Ihre Nutzer deaktiviert sein. |
Computer, die auf Unternehmensdaten zugreifen
|
|
Endpunktprüfung aktivieren Wenn Laptops und Computer mit Endpunktprüfung verwaltet werden, können Sie den kontextsensitiven Zugriff verwenden, um die Daten Ihrer Organisation zu schützen und mehr Informationen über die Geräte zu erhalten, die auf diese Daten zugreifen. |
|
|
Drive für den Desktop auf unternehmenseigene Geräte beschränken Mit Drive für Desktop können Nutzer Drive-Dateien auf ihrem Mac- oder Windows-Computer außerhalb eines Browsers an Drive-Dateien bearbeiten. Um die Offenlegung Ihrer Organisationsdaten einzuschränken, können Sie festlegen, dass Drive File Stream nur auf unternehmenseigenen, in der Bestandsliste aufgeführten Geräten ausgeführt werden kann. Drive für den Desktop auf unternehmenseigene Geräte beschränken |
|
|
Google-Anmeldeinformationsanbieter für Windows einrichten Damit erlauben Sie Nutzern, sich mit ihrem geschäftlichen Google-Konto auf Windows 10-Computern anzumelden. Dies umfasst die Bestätigung in zwei Schritten und die Identitätsbestätigung. Nutzer können auch auf Google Workspace-Dienste und andere Apps für die Einmalanmeldung (SSO) zugreifen, ohne ihren Google-Nutzernamen und das Passwort noch einmal eingeben zu müssen. |
|
|
Nutzerberechtigungen auf unternehmenseigenen Windows-Computern einschränken Mit der Windows-Geräteverwaltung steuern Sie, was Nutzer auf ihren unternehmenseigenen Windows 10-Computern tun können. Sie haben die Möglichkeit, Ebenen für Administratorberechtigungen der Nutzer für Windows festzulegen. Sie können auch Sicherheits-, Netzwerk-, Hardware- und Softwareeinstellungen aus Windows übernehmen. |
Weitere Sicherheitsoptionen für alle Geräte
|
|
Unbefugten Zugriff auf Nutzerkonten verhindern Mit der Bestätigung in zwei Schritten können Sie einen zusätzlichen Identitätsnachweis erzwingen, wenn sich Nutzer in ihrem Google-Konto anmelden. Das kann ein physischer oder ein in das Gerät des Nutzers integrierter Sicherheitsschlüssel oder auch ein Sicherheitscode sein, der per SMS oder Telefonanruf übermittelt wird. Wenn wir vermuten, dass eine nicht autorisierte Person versucht, auf das Konto eines Nutzers zuzugreifen, stellen wir eine zusätzliche Sicherheitsfrage oder fordern eine Identitätsbestätigung. Falls Sie die Google-Endpunktverwaltung verwenden, bitten wir Nutzer möglicherweise, ihre Identität über ein verwaltetes Mobilgerät zu bestätigen, also über das Gerät, mit dem sie normalerweise auf ihr Arbeitskonto zugreifen. Zusätzliche Sicherheitsmaßnahmen verringern deutlich das Risiko, dass sich eine unbefugte Person Zugang zu Nutzerkonten verschafft. |
|
|
Mit der Einstellung „Kontextsensitiver Zugriff“ Bedingungen für den Zugriff auf Google-Apps festlegen Sie können je nach Nutzeridentität und Kontext der Anfrage verschiedene Zugriffsebenen einrichten (Land/Region, Sicherheitsstatus des Geräts, IP-Adresse). So lässt sich zum Beispiel der Zugriff von Mobilgeräten auf mobile Google-Apps und -Webanwendungen blockieren, wenn sich das Gerät außerhalb eines bestimmten Landes oder einer bestimmten Region befindet oder wenn es nicht Ihren Anforderungen an Verschlüsselung und Passwörter entspricht. Sie können z. B. auch festlegen, dass Auftragnehmer nur auf vom Unternehmen verwalteten Chromebooks auf Google-Webanwendungen zugreifen können. |
|
|
Zugriff von Apps auf Google Workspace-Daten verwalten Sie können festlegen, welche mobilen Apps von Ihrer Organisation verwaltet werden. Mit der App-Zugriffssteuerung lässt sich außerdem festlegen, auf welche Dienste eine App zugreifen kann. So wird verhindert, dass Nutzer schädlichen Apps ungewollt Zugriff auf ihre Arbeitsdaten gewähren. Die App-Zugriffssteuerung ist geräteunabhängig und blockiert den Zugriff nicht autorisierter Apps auf privaten und unternehmenseigenen Geräten. |
|
|
Sensible Daten in Google Drive, Google Docs, Google Tabellen, Google Präsentationen und Gmail identifizieren Mit Richtlinien zum Schutz vor Datenverlust (Data Loss Protection, DLP) schützen Sie sensible Daten, beispielsweise von Behörden ausgestellte persönliche IDs. Mit diesen Richtlinien lassen sich viele gängige Datentypen ermitteln. Darüber hinaus können Sie auch benutzerdefinierte Inhaltsdetektoren erstellen, um die jeweiligen Anforderungen Ihres Unternehmens zu erfüllen. DLP schützt Daten auf Quell- und Anwendungsebene und gilt für alle Geräte und Zugriffsmethoden. |
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.