รายการตรวจสอบความปลอดภัยในการจัดการอุปกรณ์

แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดนี้มีไว้สำหรับผู้ดูแลระบบ G Suite และ Cloud Identity

ในฐานะผู้ดูแลระบบ คุณจะช่วยปกป้องข้อมูลงานในอุปกรณ์ส่วนตัวของผู้ใช้ (การนำอุปกรณ์มาใช้เอง) และอุปกรณ์บริษัทขององค์กรได้โดยใช้ฟีเจอร์และการตั้งค่าการจัดการปลายทางของ Google ส่วนฟีเจอร์การรักษาความปลอดภัยอื่นๆ จะมีการปกป้องบัญชีแบบเข้มงวดมากขึ้น มีการควบคุมการเข้าถึงแบบละเอียด และมีการปกป้องข้อมูล โปรดดูรายการตรวจสอบต่อไปนี้เพื่อยืนยันคุณพร้อมสำหรับการปฏิบัติตามเป้าหมายด้านการรักษาความปลอดภัยอุปกรณ์ขององค์กร

อุปกรณ์เคลื่อนที่ทั้งหมด

ต้องใช้รหัสผ่าน

ปกป้องข้อมูลในอุปกรณ์เคลื่อนที่ที่มีการจัดการโดยกำหนดให้ผู้ใช้ตั้งการล็อกหน้าจอหรือรหัสผ่านสำหรับอุปกรณ์ของตน สำหรับอุปกรณ์ที่มีการจัดการขั้นสูง คุณยังตั้งค่าประเภท ระดับความปลอดภัย และจำนวนอักขระขั้นต่ำของรหัสผ่านได้อีกด้วย

ตั้งค่าข้อกำหนดด้านรหัสผ่านสำหรับอุปกรณ์เคลื่อนที่ที่มีการจัดการ

ล็อกหรือล้างข้อมูลบริษัทออกจากอุปกรณ์ที่สูญหาย

เมื่ออุปกรณ์สูญหายหรือพนักงานลาออกจากองค์กร ข้อมูลงานในอุปกรณ์นั้นจะตกอยู่ในอันตราย คุณจะล้างข้อมูลบัญชีงานของผู้ใช้ออกจากอุปกรณ์ได้ ซึ่งรวมถึงข้อมูลงานทั้งหมด สำหรับอุปกรณ์ที่มีการจัดการขั้นสูง คุณจะล้างข้อมูลทั้งหมดในอุปกรณ์ได้ แต่ฟีเจอร์นี้จะไม่มีใน Cloud Identity เวอร์ชันใช้งานฟรี

อุปกรณ์เคลื่อนที่ภายใต้การจัดการขั้นสูง

ต้องมีการเข้ารหัสอุปกรณ์

การเข้ารหัสจะจัดเก็บข้อมูลในรูปแบบที่อ่านได้เฉพาะเมื่อปลดล็อกอุปกรณ์แล้วเท่านั้น โดยการปลดล็อกอุปกรณ์คือการถอดรหัสข้อมูล การเข้ารหัสจะเป็นการเพิ่มการป้องกันในกรณีที่อุปกรณ์สูญหายหรือถูกขโมย

ต้องมีการเข้ารหัสอุปกรณ์

บังคับใช้ข้อจำกัดในอุปกรณ์​

คุณจะจำกัดการแชร์และการสำรองข้อมูลของผู้ใช้ในอุปกรณ์ Android และ Apple iOS ได้ เช่น ป้องกันไม่ให้โอนไฟล์ทาง USB ใน Android และหยุดการสำรองข้อมูลไปยังพื้นที่เก็บข้อมูลส่วนตัวในระบบคลาวด์ในอุปกรณ์ iOS ได้ นอกจากนี้ ยังจำกัดการเข้าถึงการตั้งค่าอุปกรณ์และการตั้งค่าเครือข่ายบางอย่างได้อีกด้วย เช่น ปิดกล้องของอุปกรณ์และไม่ให้ผู้ใช้ Android เปลี่ยนการตั้งค่า Wi-Fi

บล็อกอุปกรณ์ถูกบุกรุก

หยุดไม่ให้บัญชีงานของผู้ใช้ซิงค์กับอุปกรณ์ Android และ Apple iOS ที่อาจถูกบุกรุก อุปกรณ์อาจถูกบุกรุกได้หากมีการเจลเบรคหรือถูกรูท ซึ่งถือว่าเป็นกระบวนการปลดล็อกข้อจำกัดต่างๆ ของอุปกรณ์ ซึ่งอุปกรณ์ดังกล่าวอาจส่งผลให้เกิดภัยคุกคามด้านความปลอดภัยได้

บล็อกอุปกรณ์ถูกบุกรุก

บล็อกอุปกรณ์ Android ที่ไม่ปฏิบัติตามนโยบายของคุณโดยอัตโนมัติ

เมื่ออุปกรณ์ไม่ปฏิบัติตามนโยบายขององค์กร คุณจะบล็อกอุปกรณ์ไม่ให้เข้าถึงข้อมูลงานและแจ้งให้ผู้ใช้ทราบได้โดยอัตโนมัติ เช่น หากคุณบังคับให้รหัสผ่านต้องยาวอย่างน้อย 6 อักขระ แต่ผู้ใช้เปลี่ยนรหัสผ่านในอุปกรณ์ให้ยาวเพียง 5 อักขระ อุปกรณ์เครื่องนั้นจะถือว่าไม่ปฏิบัติตามข้อกำหนดเพราะไม่ปฏิบัติตามนโยบายรหัสผ่านของคุณ

ตั้งกฎการจัดการอุปกรณ์

คอมพิวเตอร์ที่เข้าถึงข้อมูลงาน

เปิดการยืนยันปลายทาง

เมื่อคุณจัดการแล็ปท็อปและเดสก์ท็อปด้วยการยืนยันปลายทาง คุณจะใช้การเข้าถึงแบบ Context-Aware เพื่อปกป้องข้อมูลขององค์กรและดูข้อมูลเพิ่มเติมเกี่ยวกับอุปกรณ์ที่เข้าถึงข้อมูลนั้นได้

เปิดการยืนยันปลายทาง

จำกัดการซิงค์ Drive File Stream ให้เฉพาะอุปกรณ์ของบริษัท

Drive File Stream ช่วยให้ผู้ใช้ทำงานกับไฟล์ในไดรฟ์ในคอมพิวเตอร์ Apple Mac หรือ Microsoft Windows นอกเบราว์เซอร์ได้ หากต้องการจำกัดการแสดงข้อมูลขององค์กร โปรดอนุญาตให้ Drive File Stream ทำงานเฉพาะในอุปกรณ์ของบริษัทที่อยู่ในคลังของคุณ

จำกัด Drive File Stream ในอุปกรณ์ที่ได้รับอนุญาต

ตั้งค่าโปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows (GCPW)

อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้คอมพิวเตอร์ระบบ Windows 10 ได้ด้วยบัญชี Google ของที่ทำงาน โดยที่ GCPW จะมีการยืนยันแบบ 2 ขั้นตอนและคำถามในการลงชื่อเข้าใช้ ผู้ใช้ยังเข้าถึงบริการของ G Suite และแอปการลงชื่อเพียงครั้งเดียว (SSO) อื่นๆ ได้โดยไม่จําเป็นต้องป้อนชื่อผู้ใช้และรหัสผ่านของ Google อีกครั้ง

ภาพรวม: โปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows

จำกัดสิทธิ์ของผู้ใช้ในคอมพิวเตอร์ Windows ของบริษัท

คุณจะใช้การจัดการอุปกรณ์ Windows เพื่อควบคุมสิ่งที่ผู้ใช้ทําในคอมพิวเตอร์ Windows 10 ของบริษัทได้ โดยการกำหนดระดับสิทธิ์การดูแลระบบของผู้ใช้สำหรับ Windows นอกจากนี้คุณยังใช้การตั้งค่าการรักษาความปลอดภัย เครือข่าย ฮาร์ดแวร์ และซอฟต์แวร์ของ Windows ได้อีกด้วย

วิธีการรักษาความปลอดภัยเพิ่มเติมสําหรับอุปกรณ์ทั้งหมด

ป้องกันการเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาต​

ผู้ใช้ต้องมีหลักฐานยืนยันตัวตนเพิ่มเติมเมื่อลงชื่อเข้าใช้บัญชี Google ด้วยการยืนยันแบบ 2 ขั้นตอน (2SV) โดยหลักฐานที่ว่านี้อาจเป็นคีย์ความปลอดภัยแบบ USB, คีย์ความปลอดภัยในตัวอุปกรณ์ของผู้ใช้ และรหัสความปลอดภัยที่ส่งให้ทาง SMS หรือทางโทรศัพท์ เป็นต้น

เมื่อ Google สงสัยว่ามีบุคคลที่ไม่ได้รับอนุญาตพยายามเข้าถึงบัญชีของผู้ใช้ เราจะแสดงคำถามเพื่อความปลอดภัยหรือให้ผู้ใช้ยืนยันตัวตนเพิ่มเติม เมื่อใช้การจัดการปลายทางของ Google เราอาจขอให้ผู้ใช้ยืนยันตัวตนด้วยอุปกรณ์เคลื่อนที่ที่มีการจัดการ (ซึ่งเป็นอุปกรณ์ที่ผู้ใช้ใช้เข้าถึงบัญชีงานเป็นประจำ) การยืนยันตัวตนเพิ่มเติมจะช่วยลดโอกาสการบุกรุกบัญชีผู้ใช้จากบุคคลที่ไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ

ใช้การเข้าถึงแบบ Context-Aware เพื่อกำหนดเงื่อนไขในการอนุญาตการเข้าถึงจากภายนอก VPN ของคุณ

คุณจะกําหนดระดับการเข้าถึงที่แตกต่างกันได้โดยอิงตามข้อมูลประจําตัวของผู้ใช้และบริบทของคําขอ (ประเทศ/ภูมิภาค, สถานะความปลอดภัยของอุปกรณ์, ที่อยู่ IP) เช่น คุณจะบล็อกไม่ให้อุปกรณ์เคลื่อนที่เข้าถึงข้อมูล G Suite ได้หากอุปกรณ์นั้นอยู่ในประเทศ/ภูมิภาคที่ระบุ หรือหากอุปกรณ์ไม่เป็นไปตามข้อกําหนดของการเข้ารหัสและรหัสผ่าน หรือคุณจะอนุญาตให้พนักงานเข้าถึงข้อมูล G Suite ใน Chromebook ที่บริษัทจัดการเท่านั้นก็ได้เช่นกัน

ภาพรวมเกี่ยวกับการเข้าถึงแบบ Context-Aware

ควบคุมแอปที่เข้าถึงข้อมูล G Suite

จํากัดสิทธิ์ของแอปในการเข้าถึงข้อมูลของผู้ใช้โดยการเพิ่มแอปบนอุปกรณ์เคลื่อนที่และเว็บแอปลงในรายการที่อนุญาต และใช้การควบคุมการเข้าถึงแอปเพื่อกำหนดได้ด้วยว่าบริการใดที่แอปจะเข้าถึงได้ วิธีนี้จะช่วยป้องกันไม่ให้แอปที่เป็นอันตรายหลอกล่อให้ผู้ใช้ให้สิทธิ์เข้าถึงข้อมูลงานโดยไม่ได้ตั้งใจ คุณจะใช้การควบคุมการเข้าถึงแอปกับอุปกรณ์เครื่องใดก็ได้ โดยใช้บล็อกไม่ให้แอปที่ไม่ได้รับอนุญาตเข้าถึงได้ทั้งในอุปกรณ์ที่นำมาใช้เองและอุปกรณ์ของบริษัท

ตรวจหาข้อมูลที่ละเอียดอ่อนใน Google ไดรฟ์, เอกสาร, ชีต, สไลด์ และ Gmail

ปกป้องข้อมูลที่ละเอียดอ่อน เช่น บัตรประจำตัวประชาชนที่ออกโดยหน่วยงานราชการ โดยการกําหนดนโยบายป้องกันข้อมูลรั่วไหล (DLP) นโยบายเหล่านี้จะช่วยตรวจจับประเภทข้อมูลทั่วไปได้มากมาย และคุณยังสร้างตัวตรวจจับเนื้อหาที่กําหนดเองให้สอดคล้องกับเกณฑ์ที่ธุรกิจกำหนดไว้โดยเฉพาะก็ได้ โดย DLP จะปกป้องข้อมูลในระดับแหล่งที่มาและระดับแอปพลิเคชัน และจะมีผลกับอุปกรณ์และวิธีการเข้าถึงทั้งหมด

ปกป้องข้อมูลที่ละเอียดอ่อนโดยใช้ DLP

 

Google, G Suite และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร