ต่อไปนี้คือแนวทางปฏิบัติแนะนำด้านความปลอดภัยสำหรับผู้ดูแลระบบ Google Workspace และ Cloud Identity
ในฐานะผู้ดูแลระบบ คุณสามารถช่วยปกป้องข้อมูลงานในอุปกรณ์ส่วนตัวของผู้ใช้ (การนำอุปกรณ์มาใช้เอง) และอุปกรณ์ขององค์กรได้โดยใช้ฟีเจอร์และการตั้งค่าการจัดการปลายทางของ Google ส่วนฟีเจอร์การรักษาความปลอดภัยอื่นๆ จะมีการปกป้องบัญชีแบบรัดกุมมากขึ้น มีการควบคุมการเข้าถึงแบบละเอียด และมีการปกป้องข้อมูล โปรดดูรายการตรวจสอบต่อไปนี้เพื่อยืนยันคุณพร้อมสำหรับการปฏิบัติตามเป้าหมายด้านการรักษาความปลอดภัยอุปกรณ์ขององค์กร
อุปกรณ์เคลื่อนที่ทั้งหมด
|
|
ต้องใช้รหัสผ่าน ปกป้องข้อมูลในอุปกรณ์เคลื่อนที่ที่มีการจัดการโดยกำหนดให้ผู้ใช้ตั้งการล็อกหน้าจอหรือรหัสผ่านสำหรับอุปกรณ์ของตน สำหรับอุปกรณ์ที่มีการจัดการขั้นสูง คุณยังตั้งค่าประเภท ระดับความปลอดภัย และจำนวนอักขระขั้นต่ำของรหัสผ่านได้อีกด้วย ตั้งค่าข้อกำหนดด้านรหัสผ่านสำหรับอุปกรณ์เคลื่อนที่ที่มีการจัดการ |
|
|
ล็อกหรือล้างข้อมูลบริษัทออกจากอุปกรณ์ที่สูญหาย เมื่ออุปกรณ์สูญหายหรือพนักงานลาออกจากองค์กร ข้อมูลงานในอุปกรณ์นั้นจะตกอยู่ในอันตราย คุณจะล้างข้อมูลบัญชีงานของผู้ใช้ออกจากอุปกรณ์ได้ ซึ่งรวมถึงข้อมูลงานทั้งหมด สำหรับอุปกรณ์ที่มีการจัดการขั้นสูง คุณจะล้างข้อมูลทั้งหมดในอุปกรณ์ได้ แต่ฟีเจอร์นี้จะไม่มีใน Cloud Identity เวอร์ชันใช้งานฟรี |
 |
จัดการแอป Android ที่ใช้ในการทำงาน ป้องกันการเข้าถึงแอป Android ที่ใช้ในการทำงานโดยไม่ได้รับอนุญาตด้วยการเพิ่มแอปลงในรายการแอปในเว็บและอุปกรณ์เคลื่อนที่เพื่อจัดการแอป คุณสามารถบังคับติดตั้งแอปความปลอดภัยที่มีการจัดการและนำแอปที่มีการจัดการออกจากอุปกรณ์ที่สูญหายหรือถูกขโมยได้ ระบบจะนำแอปที่มีการจัดการออกจากอุปกรณ์โดยอัตโนมัติ เมื่อผู้ใช้นำบัญชีงานออก |
อุปกรณ์เคลื่อนที่ภายใต้การจัดการขั้นสูง
|
|
ต้องมีการเข้ารหัสอุปกรณ์ การเข้ารหัสจะจัดเก็บข้อมูลในรูปแบบที่อ่านได้เฉพาะเมื่อปลดล็อกอุปกรณ์แล้วเท่านั้น โดยการปลดล็อกอุปกรณ์คือการถอดรหัสข้อมูล การเข้ารหัสจะเป็นการเพิ่มการป้องกันในกรณีที่อุปกรณ์สูญหายหรือถูกขโมย |
|
|
บังคับใช้ข้อจำกัดในอุปกรณ์ คุณจะจำกัดการแชร์และการสำรองข้อมูลของผู้ใช้ในอุปกรณ์ Android และ Apple iOS ได้ เช่น ป้องกันไม่ให้โอนไฟล์ทาง USB ใน Android และหยุดการสำรองข้อมูลไปยังพื้นที่เก็บข้อมูลส่วนตัวในระบบคลาวด์ในอุปกรณ์ iOS ได้ นอกจากนี้ ยังจำกัดการเข้าถึงการตั้งค่าอุปกรณ์และการตั้งค่าเครือข่ายบางอย่างได้อีกด้วย เช่น ปิดกล้องของอุปกรณ์และไม่ให้ผู้ใช้ Android เปลี่ยนการตั้งค่า Wi-Fi |
|
|
บล็อกอุปกรณ์ถูกบุกรุก หยุดไม่ให้บัญชีงานของผู้ใช้ซิงค์กับอุปกรณ์ Android และ Apple iOS ที่อาจถูกบุกรุก อุปกรณ์อาจถูกบุกรุกได้หากมีการเจลเบรคหรือถูกรูท ซึ่งถือว่าเป็นกระบวนการปลดล็อกข้อจำกัดต่างๆ ของอุปกรณ์ ซึ่งอุปกรณ์ดังกล่าวอาจส่งผลให้เกิดภัยคุกคามด้านความปลอดภัยได้ |
|
|
บล็อกอุปกรณ์ Android ที่ไม่ปฏิบัติตามนโยบายของคุณโดยอัตโนมัติ เมื่ออุปกรณ์ไม่ปฏิบัติตามนโยบายขององค์กร คุณจะบล็อกอุปกรณ์ไม่ให้เข้าถึงข้อมูลงานและแจ้งให้ผู้ใช้ทราบได้โดยอัตโนมัติ เช่น หากคุณบังคับให้รหัสผ่านต้องยาวอย่างน้อย 6 อักขระ แต่ผู้ใช้เปลี่ยนรหัสผ่านในอุปกรณ์ให้ยาวเพียง 5 อักขระ อุปกรณ์เครื่องนั้นจะถือว่าไม่ปฏิบัติตามข้อกำหนดเพราะไม่ปฏิบัติตามนโยบายรหัสผ่านของคุณ |
|
เปิดใช้การล้างข้อมูลบัญชีอัตโนมัติในอุปกรณ์ Android นำข้อมูลบัญชีงานและแอปที่มีการจัดการออกจากอุปกรณ์ Android โดยอัตโนมัติเมื่อไม่มีการใช้งานตามจำนวนวันที่กำหนด การดำเนินการนี้จะช่วยลดความเสี่ยงในการเกิดข้อมูลรั่วไหลได้ |
|
จัดการแอป iOS ที่ใช้ในการทำงาน ป้องกันการเข้าถึงแอป iOS ที่ใช้ในการทำงานโดยไม่ได้รับอนุญาตด้วยการเพิ่มแอปลงในรายการแอปในเว็บและอุปกรณ์เคลื่อนที่เพื่อจัดการแอป คุณสามารถนำแอปที่มีการจัดการออกจากอุปกรณ์ที่สูญหายหรือถูกขโมยได้ ระบบจะนำแอปที่มีการจัดการออกจากอุปกรณ์โดยอัตโนมัติ เมื่อผู้ใช้นำบัญชีงานออก |
|
บล็อกแอป Android ที่อาจเป็นอันตราย โดยค่าเริ่มต้น Google จะบล็อกแอปที่มาจากแหล่งที่มาที่ไม่รู้จักและไม่ใช่แอปจาก Play Store ในอุปกรณ์เคลื่อนที่ Android นอกจากนี้ Google Play Protect ยังจะสแกนแอปและบล็อกโดยอัตโนมัติหากเป็นอันตราย ฟีเจอร์นี้จะช่วยลดความเสี่ยงจากข้อมูลรั่วไหล การเจาะระบบบัญชี การขโมยข้อมูล การลบข้อมูล และมัลแวร์ได้ ตรวจสอบว่าเปิดใช้บล็อกการติดตั้งแอปจากแหล่งที่มาที่ไม่รู้จักและปิดใช้อนุญาตให้ผู้ใช้ปิด Google Play Protect สำหรับผู้ใช้ทั้งหมด |
คอมพิวเตอร์ที่เข้าถึงข้อมูลงาน
|
|
เปิดการยืนยันปลายทาง เมื่อคุณจัดการแล็ปท็อปและเดสก์ท็อปด้วยการยืนยันปลายทาง คุณจะใช้การเข้าถึงแบบ Context-Aware เพื่อปกป้องข้อมูลขององค์กรและดูข้อมูลเพิ่มเติมเกี่ยวกับอุปกรณ์ที่เข้าถึงข้อมูลนั้นได้ |
|
|
จำกัด Google ไดรฟ์สำหรับเดสก์ท็อปไว้สำหรับอุปกรณ์ของบริษัท ไดรฟ์สำหรับเดสก์ท็อปช่วยให้ผู้ใช้ทำงานกับไฟล์ในไดรฟ์บนคอมพิวเตอร์ Mac หรือ Windows นอกเบราว์เซอร์ได้ หากต้องการจำกัดการแสดงข้อมูลขององค์กร โปรดอนุญาตให้ไดรฟ์สำหรับเดสก์ท็อปทำงานเฉพาะในอุปกรณ์ของบริษัทที่อยู่ในคลังของคุณ |
|
|
ตั้งค่าโปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows (GCPW) อนุญาตให้ผู้ใช้ลงชื่อเข้าใช้คอมพิวเตอร์ระบบ Windows 10 ได้ด้วยบัญชี Google ของที่ทำงาน โดยที่ GCPW จะมีการยืนยันแบบ 2 ขั้นตอนและคำถามในการลงชื่อเข้าใช้ นอกจากนี้ ผู้ใช้ยังเข้าถึงบริการของ Google Workspace และแอปการลงชื่อเพียงครั้งเดียว (SSO) อื่นๆ ได้โดยไม่ต้องป้อนชื่อผู้ใช้และรหัสผ่าน Google อีกครั้ง ภาพรวม: โปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows |
|
|
จำกัดสิทธิ์ของผู้ใช้ในคอมพิวเตอร์ Windows ของบริษัท คุณจะใช้การจัดการอุปกรณ์ Windows เพื่อควบคุมสิ่งที่ผู้ใช้ทําในคอมพิวเตอร์ Windows 10 ของบริษัทได้ โดยการกำหนดระดับสิทธิ์การดูแลระบบของผู้ใช้สำหรับ Windows นอกจากนี้คุณยังใช้การตั้งค่าการรักษาความปลอดภัย เครือข่าย ฮาร์ดแวร์ และซอฟต์แวร์ของ Windows ได้อีกด้วย |
วิธีการรักษาความปลอดภัยเพิ่มเติมสำหรับอุปกรณ์ทั้งหมด
|
|
ป้องกันการเข้าถึงบัญชีของผู้ใช้โดยไม่ได้รับอนุญาต ผู้ใช้ต้องมีหลักฐานยืนยันตัวตนเพิ่มเติมเมื่อลงชื่อเข้าใช้บัญชี Google ด้วยการยืนยันแบบ 2 ขั้นตอน (2SV) โดยหลักฐานที่ว่านี้อาจเป็นคีย์ความปลอดภัยแบบ USB, คีย์ความปลอดภัยในตัวอุปกรณ์ของผู้ใช้ และรหัสความปลอดภัยที่ส่งให้ทาง SMS หรือทางโทรศัพท์ เป็นต้น เมื่อ Google สงสัยว่ามีบุคคลที่ไม่ได้รับอนุญาตพยายามเข้าถึงบัญชีของผู้ใช้ เราจะแสดงคำถามเพื่อความปลอดภัยหรือให้ผู้ใช้ยืนยันตัวตนเพิ่มเติม เมื่อใช้การจัดการปลายทางของ Google เราอาจขอให้ผู้ใช้ยืนยันตัวตนด้วยอุปกรณ์เคลื่อนที่ที่มีการจัดการ (ซึ่งเป็นอุปกรณ์ที่ผู้ใช้ใช้เข้าถึงบัญชีงานเป็นประจำ) การยืนยันตัวตนเพิ่มเติมจะช่วยลดโอกาสการบุกรุกบัญชีผู้ใช้จากบุคคลที่ไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ |
|
|
ใช้การเข้าถึงแบบ Context-Aware เพื่ออนุญาตการเข้าถึงไปยังแอป Google ตามเงื่อนไข คุณจะกำหนดระดับการเข้าถึงที่แตกต่างกันได้โดยอิงตามข้อมูลประจำตัวของผู้ใช้และบริบทของคำขอ (ประเทศ/ภูมิภาค, สถานะความปลอดภัยของอุปกรณ์, ที่อยู่ IP) เช่น บล็อกไม่ให้อุปกรณ์เคลื่อนที่เข้าถึงแอป Google (เว็บไซต์และอุปกรณ์มือถือ) หากอุปกรณ์นั้นอยู่นอกประเทศ/ภูมิภาคที่ระบุ หรือหากอุปกรณ์ไม่เป็นไปตามข้อกำหนดด้านการเข้ารหัสและรหัสผ่าน หรือคุณจะอนุญาตให้พนักงานเข้าถึงแอปเว็บไซต์ของ Google ใน Chromebook ที่บริษัทจัดการเท่านั้นก็ได้เช่นกัน |
|
|
กำหนดแอปที่มีสิทธิ์เข้าถึงข้อมูล Google Workspace กำหนดว่าองค์กรของคุณจะจัดการแอปบนอุปกรณ์เคลื่อนที่แอปใดบ้าง และกำหนดด้วยว่าแอปนั้นๆ จะเข้าถึงบริการใดได้บ้างด้วยการควบคุมการเข้าถึงของแอป วิธีนี้จะช่วยป้องกันไม่ให้แอปที่เป็นอันตรายหลอกล่อให้ผู้ใช้ให้สิทธิ์เข้าถึงข้อมูลงานโดยไม่ได้ตั้งใจ คุณจะใช้การควบคุมการเข้าถึงแอปกับอุปกรณ์เครื่องใดก็ได้ โดยใช้บล็อกไม่ให้แอปที่ไม่ได้รับอนุญาตเข้าถึงได้ทั้งในอุปกรณ์ที่นำมาใช้เองและอุปกรณ์ของบริษัท |
|
|
ตรวจหาข้อมูลที่ละเอียดอ่อนใน Google ไดรฟ์, เอกสาร, ชีต, สไลด์ และ Gmail ปกป้องข้อมูลที่ละเอียดอ่อน เช่น บัตรประจำตัวประชาชนที่ออกโดยหน่วยงานราชการ โดยการกําหนดนโยบายป้องกันข้อมูลรั่วไหล (DLP) นโยบายเหล่านี้จะช่วยตรวจจับประเภทข้อมูลทั่วไปได้มากมาย และคุณยังสร้างตัวตรวจจับเนื้อหาที่กําหนดเองให้สอดคล้องกับเกณฑ์ที่ธุรกิจกำหนดไว้โดยเฉพาะก็ได้ โดย DLP จะปกป้องข้อมูลในระดับแหล่งที่มาและระดับแอปพลิเคชัน และจะมีผลกับอุปกรณ์และวิธีการเข้าถึงทั้งหมด |
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง
