Ces bonnes pratiques de sécurité sont destinées aux administrateurs Google Workspace et Cloud Identity.
En tant qu'administrateur, vous pouvez contribuer à la protection des données professionnelles stockées sur les appareils personnels des utilisateurs (BYOD) et sur ceux appartenant à l'entreprise, en utilisant les paramètres et fonctionnalités de gestion des points de terminaison Google. D'autres fonctionnalités de sécurité offrent une meilleure protection du compte, un contrôle d'accès précis et la protection des données. Consultez la checklist suivante pour vous assurer que vous respectez les objectifs de votre organisation concernant la sécurité des appareils.
Tous les mobiles
Exiger des mots de passe Protégez les données stockées sur les appareils mobiles gérés en demandant aux utilisateurs de définir le verrouillage de l'écran ou un mot de passe pour leur appareil. Pour les appareils sur lesquels la gestion avancée est activée, vous pouvez également définir le type, le niveau de sécurité et le nombre minimal de caractères du mot de passe. Définir le niveau de sécurité du mot de passe pour les appareils mobiles gérés |
|
Verrouiller ou effacer les données d'entreprise stockées sur des appareils perdus En cas de perte d'un appareil ou de départ d'un employé, la sécurité des données professionnelles de l'appareil n'est plus garantie. Vous pouvez supprimer le compte professionnel d'un utilisateur sur un appareil, y compris toutes ses données professionnelles. Si la gestion avancée est activée pour certains appareils, vous pouvez en effacer toutes les données. Cette fonctionnalité n'est pas disponible dans la version gratuite de Cloud Identity. |
|
Gérer les applications Android utilisées dans le cadre professionnel Empêchez l'accès non autorisé aux applications Android utilisées dans le cadre professionnel en les ajoutant à la liste des applications Web et mobiles pour gérer les applications. Vous pouvez installer d'office les applications de sécurité gérées et supprimer les applications gérées des appareils perdus ou volés. Les applications gérées sont automatiquement supprimées d'un appareil lorsqu'un utilisateur supprime son compte professionnel. |
Appareils mobiles pour lesquels la gestion avancée est activée
Exiger le chiffrement de l'appareil Les données stockées sous forme chiffrée ne sont lisibles que lorsque l'appareil est déverrouillé. Le fait de déverrouiller l'appareil entraîne le déchiffrement des données. Le chiffrement offre une protection supplémentaire en cas de perte ou de vol de l'appareil. |
|
Appliquer des restrictions aux appareils Vous pouvez restreindre les possibilités des utilisateurs d'appareils Android et Apple iOS en termes de partage et de sauvegarde de données. Vous pouvez par exemple interdire les transferts de fichiers via USB sur les appareils Android et les sauvegardes dans le cloud personnel sur les appareils iOS. Vous pouvez également restreindre l'accès à certains paramètres relatifs à l'appareil et au réseau. Vous pouvez par exemple désactiver la caméra de l'appareil et empêcher les utilisateurs d'appareils Android de modifier leurs paramètres Wi-Fi. |
|
Bloquer les appareils dont la sécurité est compromise Interrompez la synchronisation d'un compte utilisateur professionnel avec les appareils Android dont la sécurité pourrait être compromise. La sécurité d'un appareil est compromise lorsqu'il est passé en mode root ou qu'il est jailbreaké, des processus qui éliminent les restrictions appliquées à un appareil. Un appareil dont la sécurité est compromise peut constituer une menace de sécurité potentielle. |
|
Bloquer automatiquement les appareils Android qui ne respectent pas vos règles Lorsqu'un appareil n'est plus conforme aux règles en vigueur dans votre organisation, vous pouvez automatiquement bloquer son accès aux données professionnelles et lui envoyer une notification. Si, par exemple, un utilisateur définit sur son appareil un mot de passe de 5 caractères alors que vous exigez des mots de passe d'au moins 6 caractères, l'appareil est considéré comme non conforme, car il ne respecte pas votre règle relative aux mots de passe. |
|
Activez l'effacement automatique du compte pour les appareils Android Supprimez automatiquement les données de compte professionnel et les applications gérées d'un appareil Android lorsqu'il est inactif pendant un nombre de jours spécifié. Vous limiterez ainsi les risques de fuite de données. Appliquer les paramètres concernant les appareils mobiles Android |
|
Gérez les applications iOS utilisées dans le cadre professionnel Empêchez l'accès non autorisé aux applications iOS utilisées dans le cadre professionnel en les ajoutant à la liste des applications Web et mobiles pour gérer les applications. Vous pouvez supprimer les applications gérées des appareils perdus ou volés. Les applications gérées sont automatiquement supprimées d'un appareil lorsqu'un utilisateur supprime son compte professionnel. |
|
Bloquez les applications Android potentiellement dangereuses Par défaut, Google bloque les applications non issues du Play Store et provenant de sources inconnues sur les appareils mobiles Android. De plus, Google Play Protect analyse les applications et les bloque automatiquement si elles sont dangereuses. Ces fonctionnalités réduisent les risques de fuite de données, de violation de compte, d'l'exfiltration de données, de suppression de données et de logiciels malveillants. Assurez-vous que l'option Bloquer l'installation d'applications issues de sources inconnues est activée et que l'option Autoriser les utilisateurs à désactiver Google Play Protect est désactivée pour tous vos utilisateurs. Appliquer les paramètres concernant les appareils mobiles Android |
Ordinateurs qui accèdent aux données professionnelles
Activer la validation des points de terminaison Lorsque des ordinateurs portables et de bureau sont gérés via la validation des points de terminaison, l'accès contextuel vous permet de protéger les données de votre organisation et d'obtenir plus d'informations sur les appareils qui accèdent à ces données. |
|
Restreignez la synchronisation de Google Drive pour ordinateur aux appareils détenus par l'entreprise Drive pour ordinateur permet aux utilisateurs de travailler sur des fichiers Drive à partir de leur ordinateur Mac ou Windows sans utiliser de navigateur. Pour limiter l'exposition des données de votre organisation, vous pouvez autoriser Drive pour ordinateur à s'exécuter uniquement sur les appareils appartenant à l'entreprise et répertoriés dans votre inventaire. Restreindre la synchronisation de Drive pour ordinateur aux appareils détenus par l'entreprise |
|
Configurez le fournisseur d'informations d'identification Google pour Windows Autorisez les utilisateurs à se connecter à des ordinateurs Windows 10 avec leur compte Google professionnel. Le fournisseur d'informations d'identification Google pour Windows inclut la validation en deux étapes et des questions d'authentification à la connexion. Les utilisateurs peuvent également accéder aux services Google Workspace et à d'autres applications à authentification unique (SSO) sans avoir à saisir à nouveau leur nom d'utilisateur et leur mot de passe Google. Présentation : Fournisseur d'informations d'identification Google pour Windows |
|
Restreindre les droits d'utilisateur sur les ordinateurs Windows détenus par l'entreprise Grâce à la gestion des appareils Windows, vous pouvez contrôler les actions que les utilisateurs peuvent effectuer sur leurs ordinateurs Windows 10 détenus par l'entreprise. Vous pouvez définir le niveau d'autorisation d'administration des utilisateurs pour Windows. Vous pouvez également appliquer des paramètres Windows de sécurité, de réseau, de matériel et de logiciel. |
Autres options de sécurité pour tous les appareils
Empêchez les accès non autorisés au compte d'un utilisateur Exigez une preuve d'identité supplémentaire lorsque les utilisateurs se connectent à leur compte Google avec la validation en deux étapes. Cette preuve peut être une clé de sécurité physique, une clé de sécurité intégrée à l'appareil de l'utilisateur, un code de sécurité envoyé par SMS ou appel téléphonique, etc. Lorsque Google soupçonne une tentative de connexion au compte de l'un de vos utilisateurs par une personne non autorisée, cette dernière est invitée à répondre à une question d'authentification à la connexion supplémentaire. Si votre organisation utilise le service de gestion des points de terminaison Google, nous pouvons demander aux utilisateurs de valider leur identité sur leur appareil mobile géré (celui à l'aide duquel ils accèdent habituellement à leur compte professionnel). Des questions d'authentification supplémentaires permettent de réduire considérablement le risque d'accès à un compte utilisateur par une personne non autorisée. |
|
Autoriser de façon conditionnelle l'accès aux applications Google à l'aide de l'accès contextuel Vous pouvez configurer différents niveaux d'accès en fonction de l'identité d'un utilisateur et du contexte de sa demande (pays/région, état de sécurité de l'appareil, adresse IP). Par exemple, vous pouvez bloquer l'accès des appareils mobiles à une application Google (Web et mobile) si l'appareil se trouve en dehors d'un pays ou d'une région spécifique, ou s'il ne répond pas à vos exigences de chiffrement et de mots de passe. Vous pouvez également autoriser l'utilisateur à accéder aux applications Web Google uniquement sur les Chromebooks gérés par l'entreprise. |
|
Contrôler les applications autorisées à accéder aux données Google Workspace Définissez les applications mobiles devant être gérées par votre organisation. Vous pouvez également spécifier les services auxquels une application peut accéder avec le contrôle d'accès des applications. Cela empêche les applications malveillantes de duper les utilisateurs pour les inciter à accorder accidentellement l'accès à leurs données professionnelles. Le contrôle d'accès des applications est indépendant de l'appareil et bloque l'accès aux applications non autorisées sur les appareils personnels comme sur ceux détenus par l'entreprise. |
|
Identifier les données sensibles dans Google Drive, Docs, Sheets, Slides et Gmail Protégez les données sensibles, telles que les identifiants personnels délivrés par une autorité administrative, en définissant des règles de protection contre la perte de données. Ces règles peuvent détecter de nombreux types de données, et vous pouvez également créer des détecteurs de contenu personnalisés pour répondre aux besoins spécifiques de l'entreprise. La protection contre la perte de données protège les données au niveau de la source et de l'application. Elle s'applique à plusieurs appareils et méthodes d'accès. Protéger les informations sensibles à l'aide de la protection contre la perte de données |
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.