Контрольный список по обеспечению безопасности на управляемых устройствах

Требуйте использования паролей

Чтобы защитить данные на управляемых мобильных устройствах, установите для них обязательную блокировку экрана или запрос пароля. Если для устройства настроены расширенные функции управления, вы также можете задать тип, надежность пароля и минимальное число символов в нем.

Как задать требования к паролю для управляемых мобильных устройств

Блокируйте утерянные устройства или стирайте с них корпоративные данные

Если пользователь покинет организацию или потеряет устройство, рабочие данные на нем будут подвержены риску. Вы можете удалить рабочий аккаунт пользователя, а также все рабочие данные с устройства. Если для устройства настроены расширенные функции управления, вы можете стереть все его данные. Эта функция недоступна в бесплатной версии Cloud Identity.

• Как удалить корпоративные данные с устройства
• Как заблокировать устройство Android и сбросить его пароль

Управляйте приложениями Android, которые используются для работы

Чтобы предотвратить несанкционированный доступ к веб- и мобильным приложениям Android, которые используются для работы, добавьте их в список управляемых приложений. Это позволит вам принудительно устанавливать приложения для безопасности и удалять управляемые приложения с украденных или утерянных устройств. Если пользователь удалит свой рабочий аккаунт, управляемые приложения будут удалены с устройства автоматически.

Как настраивать мобильные приложения в организации

Используйте обязательное шифрование данных на устройстве

Работать с зашифрованными данными на заблокированном устройстве нельзя. Данные расшифровываются после разблокировки устройства. Шифрование позволит дополнительно защитить сведения организации, если устройство будет потеряно или украдено.

Обязательное шифрование данных на устройстве

Установите ограничения для устройств​

Вы можете ограничить возможность делиться данными и создавать их резервные копии на устройствах Android и Apple iOS. Например, на устройствах Android можно запретить передачу файлов через USB, а на устройствах iOS – прекратить резервное копирование данных в личное облачное хранилище. Вы также можете заблокировать доступ к некоторым настройкам устройства и сети. Например, можно отключить камеру устройства и запретить пользователям устройств Android изменять настройки Wi-Fi.

• Как применить настройки на мобильных устройствах Android
• Как применить настройки на мобильных устройствах iOS
• Применение расширенных настроек

Блокируйте взломанные устройства

Блокируйте синхронизацию рабочих аккаунтов с устройствами Android и iOS, которые могут быть взломаны. Устройство считается взломанным, если оно было незаконно разблокировано или на нем настроили root-доступ, то есть отключили установленные ограничения. Взлом устройства создает потенциальную угрозу безопасности.

Как заблокировать взломанные устройства

Автоматически блокируйте устройства Android, которые не соответствуют правилам

Если устройство больше не соответствует правилам организации, можно автоматически закрыть ему доступ к рабочим данным и уведомить об этом пользователя. Предположим, у вас установлена минимальная длина пароля 6 символов, а пользователь задал пароль длиной 5 знаков. Устройство перестанет соответствовать установленным правилам в отношении паролей.

Как автоматизировать управление мобильными устройствами с помощью правил

Включите автоматическое удаление данных из аккаунта для устройств Android

Данные рабочего аккаунта и управляемые приложения будут автоматически удаляться с устройства Android, если оно неактивно в течение определенного количества дней. Это минимизирует риск утечки данных.

Как применить настройки на мобильных устройствах Android

Управляйте приложениями iOS, которые используются для работы

Чтобы предотвратить несанкционированный доступ к веб- и мобильным приложениям iOS, которые используются для работы, добавьте их в список управляемых приложений. Такие приложения можно удалять с утерянных и украденных устройств. Если пользователь удалит свой рабочий аккаунт, управляемые приложения будут удалены с устройства автоматически.

Как настраивать мобильные приложения в организации

Блокируйте потенциально опасные приложения Android

По умолчанию Google блокирует установку приложений из неизвестных источников (не из Google Play) на мобильные устройства Android. Кроме того, Google Play Защита автоматически сканирует и при необходимости блокирует приложения. Применение этих функций минимизирует риск утечки, кражи и удаления данных, а также взлома аккаунта и установки вредоносного ПО. Убедитесь, что для всех пользователей параметр Блокировать установку приложений из неизвестных источников включен, а параметр Разрешить пользователям отключать Google Play Защиту – отключен.

Как применить настройки на мобильных устройствах Android

Включите проверку конечных точек

Если для ноутбуков и компьютеров включена проверка конечных точек, вы можете защищать данные своей организации и получать дополнительные сведения об устройствах с доступом к таким данным с помощью контекстно-зависимого доступа.

Как включить или отключить проверку конечных точек

Ограничьте синхронизацию Google Диска для компьютеров только корпоративными устройствами

Приложение "Диск для компьютеров" позволяет получать доступ к файлам на Диске без помощи браузера на компьютерах Mac и Windows. Чтобы не допустить утечки данных организации, вы можете разрешить запуск Диска для компьютеров только на корпоративных устройствах.

Как ограничить синхронизацию Диска для компьютеров только корпоративными устройствами

Настройте поставщик учетных данных Google для Windows (GCPW)

Пользователи компьютеров с ОС Windows 10 могут входить в систему с помощью своего рабочего аккаунта Google. В GCPW доступны функции двухэтапной и дополнительной аутентификации. Пользователи могут получать доступ к сервисам Google Workspace и другим приложениям с поддержкой единого входа без необходимости повторно вводить имя пользователя и пароль Google.

Общие сведения о расширенных настройках безопасности для компьютеров Windows

Ограничьте права пользователей на корпоративных компьютерах Windows

Вы можете контролировать действия пользователей на корпоративных компьютерах с ОС Windows 10 с помощью службы управления устройствами Windows. Вы можете задавать для пользователей уровни разрешений администратора, а также настраивать параметры безопасности, сети, оборудования и программного обеспечения для Windows.

Как включить службу управления устройствами Windows

Как применить настройки Windows

Исключите возможность несанкционированного доступа к аккаунту пользователя

Включите двухэтапную аутентификацию, чтобы при входе в аккаунт Google пользователи дополнительно подтверждали свою личность. Для этого можно использовать отдельный или встроенный в устройство пользователя электронный ключ, защитный код, который можно получить в SMS или по телефону, или другие способы.

Когда в Google фиксируется подозрительная попытка доступа к аккаунту пользователя, система требует ответить на секретный вопрос или пройти дополнительную аутентификацию. Если в вашей организации включена функция управления конечными точками Google, пользователям может потребоваться подтвердить личность с помощью управляемого мобильного устройства (которое они обычно используют для входа в рабочий аккаунт). Дополнительная аутентификация помогает существенно снизить риск несанкционированного доступа к аккаунтам.

• Как защитить компанию с помощью двухэтапной аутентификации
• Как проверяется личность пользователя с помощью дополнительных мер безопасности

Используйте правила контекстно-зависимого доступа, чтобы контролировать доступ к приложениям Google

Вы можете настроить разные уровни доступа на основе личности пользователя и контекста запроса (страны или региона, статуса безопасности устройства, IP-адреса). Например, вы можете заблокировать доступ мобильного устройства к мобильному или веб-приложению Google, если устройство находится вне определенной страны (региона) или не соответствует заданным вами требованиям к шифрованию и паролю. Вы также можете разрешить подрядчику доступ к веб-приложениям Google только на корпоративных устройствах Chromebook.

Обзор функции контекстно-зависимого доступа

Управляйте приложениями, имеющими доступ к данным Google Workspace

Выбирайте, какими мобильными приложениями будет управлять ваша организация. Вы также можете предоставить приложению доступ только к определенным сервисам, воспользовавшись функцией управления доступом приложений. Это обеспечит защиту от вредоносных программ, которым пользователи могут случайно разрешить доступ к рабочим данным. Функция управления доступом приложений не зависит от устройства и блокирует доступ для несанкционированных приложений как на личных, так и на корпоративных устройствах.

• Как настраивать управляемые приложения для устройств Android
• Как управлять приложениями на устройствах iOS и рекомендовать их пользователям
• Как управлять доступом сторонних и внутренних приложений к данным Google Workspace

Выявляйте конфиденциальные данные на Google Диске, в Документах, Таблицах, Презентациях и Gmail

Защитите конфиденциальные данные, такие как номера удостоверений личности, настроив правила защиты от потери данных (DLP). Функция DLP способна обнаруживать различные конфиденциальные сведения стандартных типов, а также позволяет создать настраиваемые детекторы содержания в зависимости от потребностей организации. Она защищает данные на уровне источника и приложений, работая независимо от используемого устройства и метода доступа.

Как защитить конфиденциальную информацию с помощью DLP