设备管理方面的安全核对清单

下文中的安全防护最佳做法供 Google Workspace 和 Cloud Identity 的管理员参考。

作为管理员，您可以借助 Google 端点管理功能和设置来保护用户个人设备（自带设备）和贵单位的公司自有设备中的工作数据。您还可以使用其他安全功能，更有效地保护帐号和数据，以及更精准地控制访问权限。请查看以下核对清单，确保您目前所使用的设置达到了贵单位的设备安全目标。

所有移动设备

要求设置密码

要求用户为自己的设备设置屏幕锁定功能或密码，以此保护受管理移动设备上的数据。如果设备启用了高级管理服务，您还可以设置密码类型、强度和最少字符数。

为受管理的移动设备设置密码要求

锁定丢失的设备或擦除此类设备上的公司数据

如果设备丢失或员工从贵单位离职，则设备上的工作数据会存在风险。您可以擦除用户设备上的工作帐号，包括设备中的所有工作数据。如果设备启用了高级管理服务，您可以擦除整台设备。Cloud Identity 免费版不提供此功能。

管理用于工作的 Android 应用

通过将用于工作的 Android 应用添加到 Web 和移动应用列表来管理这些应用，防止它们遭到未经授权的访问。您可以强制安装受管理的安全应用，也可以从丢失或被盗的设备中删除受管理的应用。用户移除单位帐号后，系统会自动从设备上移除受管理的应用。

管理贵单位的移动应用

使用高级管理模式进行管理的移动设备

	要求加密设备如果某台设备已加密，那么只有在该设备解锁的情况下，其中存储的数据才可供读取。解锁设备可解密数据。加密可在万一设备丢失或被盗的情况下增加一重保护。要求加密设备
	应用设备限制您可以限制用户共享和备份 Android 和 Apple iOS 设备上数据的方式。例如，在 Android 设备上，您可以禁止通过 USB 传输文件；在 iOS 设备上，您可以禁止将数据备份到个人云端存储空间。您还可以限制对某些设备设置和网络设置的访问权限。例如，您可以停用设备摄像头，并禁止 Android 用户更改自己的 Wi-Fi 设置。为 Android 移动设备应用设置为 iOS 移动设备应用设置应用高级设置
	屏蔽已破解的设备您可以禁止用户的工作帐号与可能已遭到破解的 Android 和 Apple iOS 设备同步。设备越狱或启用 root 权限（均会移除设备限制）后，则处于已破解状态。已破解的设备可能面临潜在的安全威胁。屏蔽已破解的设备
	自动屏蔽不符合政策的 Android 设备如果某台设备不再符合贵单位的政策，您可以自动禁止其访问工作数据并通知相关用户。例如，如果您将密码长度下限强制设置为 6 个字符，而用户将设备密码更改为 5 个字符，那么该设备就不符合政策规定，因为其密码不符合您设置的密码政策。设置设备管理规则
	为 Android 设备启用自动擦除帐号功能当 Android 设备在指定天数内处于非活动状态时，自动从该设备中删除工作帐号数据和受管理的应用。这样可以降低数据泄露的风险。为 Android 移动设备应用设置
	管理用于工作的 iOS 应用通过将用于工作的 iOS 应用添加到 Web 和移动应用列表来管理这些应用，防止它们遭到未经授权的访问。您可以从丢失或被盗的设备中删除受管理的应用。用户移除单位帐号后，系统会自动从设备上移除受管理的应用。管理贵单位的移动应用
	阻止有潜在危险的 Android 应用默认情况下，Google 会阻止在 Android 移动设备上安装来自未知来源的的非 Play 商店应用。Google Play 保护机制还会自动扫描应用，并在存在危险时将其阻止。这样可以降低数据泄露、帐号遭到入侵、数据渗漏、数据遭到删除以及遭到恶意软件攻击的风险。确保为所有用户开启禁止安装未知来源的应用，并关闭允许用户停用 Google Play 保护机制。为 Android 移动设备应用设置

访问工作数据的计算机

	启用端点验证如果您使用端点验证功能来管理笔记本电脑和桌面设备，则可以利用情境感知访问权限来确保单位数据的安全，并可获取访问这些数据的具体设备的详细信息。启用端点验证
	仅限在公司自有设备上使用桌面版 Google 云端硬盘通过桌面版云端硬盘，用户可以直接在自己的 Mac 或 Windows 计算机上处理云端硬盘文件，而不需要借助浏览器。为了防止单位数据泄露，您可以只允许在资产清单列出的公司自有设备上运行桌面版云端硬盘。仅限在公司自有设备上使用桌面版云端硬盘
	设置 Windows 版 Google 凭据提供程序 (GCPW) 这样，用户就能够使用自己单位的 Google 帐号登录 Windows 10 计算机。GCPW 包含两步验证和登录验证机制。用户还可以在不重新输入 Google 用户名和密码的情况下，使用 Google Workspace 服务和其他单点登录 (SSO) 应用。概览：Windows 版 Google 凭据提供程序
	限制公司自有 Windows 计算机上的用户权限借助 Windows 设备管理服务，您可以控制用户能在公司自有的 Windows 10 计算机上执行哪些操作。您可以设置用户在 Windows 设备上的管理员权限级别。还可以应用 Windows 安全性、网络、硬件和软件设置。启用 Windows 设备管理应用 Windows 设置

适用于所有设备的更多安全选项

	禁止未经授权访问用户帐号要求用户在通过两步验证 (2SV) 机制登录自己的 Google 帐号时，提供额外的身份证明。这类身份证明可以是实物安全密钥、用户设备内置的安全密钥、通过短信或电话提供的安全码等。当 Google 怀疑有未经授权的人员企图访问用户的帐号时，就会要求其回答额外的安全问题或让其进行额外的登录验证。如果您使用 Google 端点管理服务，Google 可能会要求用户通过其受管理的移动设备（用户平常用来访问工作帐号的设备）验证其身份。设置额外的验证方式可显著降低未经授权的人员入侵用户帐号的风险。设置两步验证通过登录验证功能对用户进行身份验证
	使用情境感知访问权限，有条件地允许访问 Google 应用您可以根据用户的身份及其请求访问时所处的具体情境（国家/地区、设备安全状态、IP 地址）来设置不同的访问权限级别。举例来说，如果某台移动设备位于某个国家/地区以外，或者不符合您的加密和密码要求，那么您可以禁止该设备访问相关 Google 应用（Web 应用和移动应用）。再举一例，您可以规定合同工只能通过公司管理的 Chromebook 访问 Google Web 应用。情境感知访问权限概览
	控制哪些应用可以访问 Google Workspace 数据设置哪些移动应用受贵单位管理。利用应用访问权限控制功能，还可以指定应用能访问哪些服务。这样可以防止恶意应用诱导用户不小心向其授予工作数据的访问权限。应用访问权限控制功能对各种设备一视同仁，在自带设备和公司自有设备上都能禁止未经授权的应用进行访问。为 Android 设备设置受管理的应用推荐和管理 iOS 应用控制哪些第三方应用和内部应用可以访问 Google Workspace 数据
	识别 Google 云端硬盘、文档、表格、幻灯片和 Gmail 中的敏感数据通过设置数据泄露防护 (DLP) 政策来保护敏感数据，例如政府签发的个人身份证件的信息。DLP 政策可以检测很多常见的数据类型，您还可以创建自定义内容检测器来满足公司特有的一些需求。DLP 可以在来源和用途层面保护数据，并且适用于各种设备和访问方式。使用数据泄露防护 (DLP) 来保护敏感信息

_{“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。}

该内容对您有帮助吗？

您有什么改进建议？

	要求加密设备如果某台设备已加密，那么只有在该设备解锁的情况下，其中存储的数据才可供读取。解锁设备可解密数据。加密可在万一设备丢失或被盗的情况下增加一重保护。要求加密设备
	应用设备限制您可以限制用户共享和备份 Android 和 Apple iOS 设备上数据的方式。例如，在 Android 设备上，您可以禁止通过 USB 传输文件；在 iOS 设备上，您可以禁止将数据备份到个人云端存储空间。您还可以限制对某些设备设置和网络设置的访问权限。例如，您可以停用设备摄像头，并禁止 Android 用户更改自己的 Wi-Fi 设置。为 Android 移动设备应用设置为 iOS 移动设备应用设置应用高级设置
	屏蔽已破解的设备您可以禁止用户的工作帐号与可能已遭到破解的 Android 和 Apple iOS 设备同步。设备越狱或启用 root 权限（均会移除设备限制）后，则处于已破解状态。已破解的设备可能面临潜在的安全威胁。屏蔽已破解的设备
	自动屏蔽不符合政策的 Android 设备如果某台设备不再符合贵单位的政策，您可以自动禁止其访问工作数据并通知相关用户。例如，如果您将密码长度下限强制设置为 6 个字符，而用户将设备密码更改为 5 个字符，那么该设备就不符合政策规定，因为其密码不符合您设置的密码政策。设置设备管理规则
	为 Android 设备启用自动擦除帐号功能当 Android 设备在指定天数内处于非活动状态时，自动从该设备中删除工作帐号数据和受管理的应用。这样可以降低数据泄露的风险。为 Android 移动设备应用设置
	管理用于工作的 iOS 应用通过将用于工作的 iOS 应用添加到 Web 和移动应用列表来管理这些应用，防止它们遭到未经授权的访问。您可以从丢失或被盗的设备中删除受管理的应用。用户移除单位帐号后，系统会自动从设备上移除受管理的应用。管理贵单位的移动应用
	阻止有潜在危险的 Android 应用默认情况下，Google 会阻止在 Android 移动设备上安装来自未知来源的的非 Play 商店应用。Google Play 保护机制还会自动扫描应用，并在存在危险时将其阻止。这样可以降低数据泄露、帐号遭到入侵、数据渗漏、数据遭到删除以及遭到恶意软件攻击的风险。确保为所有用户开启禁止安装未知来源的应用，并关闭允许用户停用 Google Play 保护机制。为 Android 移动设备应用设置

	启用端点验证如果您使用端点验证功能来管理笔记本电脑和桌面设备，则可以利用情境感知访问权限来确保单位数据的安全，并可获取访问这些数据的具体设备的详细信息。启用端点验证
	仅限在公司自有设备上使用桌面版 Google 云端硬盘通过桌面版云端硬盘，用户可以直接在自己的 Mac 或 Windows 计算机上处理云端硬盘文件，而不需要借助浏览器。为了防止单位数据泄露，您可以只允许在资产清单列出的公司自有设备上运行桌面版云端硬盘。仅限在公司自有设备上使用桌面版云端硬盘
	设置 Windows 版 Google 凭据提供程序 (GCPW) 这样，用户就能够使用自己单位的 Google 帐号登录 Windows 10 计算机。GCPW 包含两步验证和登录验证机制。用户还可以在不重新输入 Google 用户名和密码的情况下，使用 Google Workspace 服务和其他单点登录 (SSO) 应用。概览：Windows 版 Google 凭据提供程序
	限制公司自有 Windows 计算机上的用户权限借助 Windows 设备管理服务，您可以控制用户能在公司自有的 Windows 10 计算机上执行哪些操作。您可以设置用户在 Windows 设备上的管理员权限级别。还可以应用 Windows 安全性、网络、硬件和软件设置。启用 Windows 设备管理应用 Windows 设置

	禁止未经授权访问用户帐号要求用户在通过两步验证 (2SV) 机制登录自己的 Google 帐号时，提供额外的身份证明。这类身份证明可以是实物安全密钥、用户设备内置的安全密钥、通过短信或电话提供的安全码等。当 Google 怀疑有未经授权的人员企图访问用户的帐号时，就会要求其回答额外的安全问题或让其进行额外的登录验证。如果您使用 Google 端点管理服务，Google 可能会要求用户通过其受管理的移动设备（用户平常用来访问工作帐号的设备）验证其身份。设置额外的验证方式可显著降低未经授权的人员入侵用户帐号的风险。设置两步验证通过登录验证功能对用户进行身份验证
	使用情境感知访问权限，有条件地允许访问 Google 应用您可以根据用户的身份及其请求访问时所处的具体情境（国家/地区、设备安全状态、IP 地址）来设置不同的访问权限级别。举例来说，如果某台移动设备位于某个国家/地区以外，或者不符合您的加密和密码要求，那么您可以禁止该设备访问相关 Google 应用（Web 应用和移动应用）。再举一例，您可以规定合同工只能通过公司管理的 Chromebook 访问 Google Web 应用。情境感知访问权限概览
	控制哪些应用可以访问 Google Workspace 数据设置哪些移动应用受贵单位管理。利用应用访问权限控制功能，还可以指定应用能访问哪些服务。这样可以防止恶意应用诱导用户不小心向其授予工作数据的访问权限。应用访问权限控制功能对各种设备一视同仁，在自带设备和公司自有设备上都能禁止未经授权的应用进行访问。为 Android 设备设置受管理的应用推荐和管理 iOS 应用控制哪些第三方应用和内部应用可以访问 Google Workspace 数据
	识别 Google 云端硬盘、文档、表格、幻灯片和 Gmail 中的敏感数据通过设置数据泄露防护 (DLP) 政策来保护敏感数据，例如政府签发的个人身份证件的信息。DLP 政策可以检测很多常见的数据类型，您还可以创建自定义内容检测器来满足公司特有的一些需求。DLP 可以在来源和用途层面保护数据，并且适用于各种设备和访问方式。使用数据泄露防护 (DLP) 来保护敏感信息