裝置管理安全性檢查清單

以下是供 Google Workspace 和 Cloud Identity 管理員參考的安全性最佳做法。

管理員可以為使用者個人的裝置 (自攜裝置) 和機構自有裝置使用 Google 端點管理功能和設定，保護這些裝置上儲存的工作資料。除此之外，管理員還可以運用其他安全性功能提升帳戶防護力和資料安全，並且精細控管存取權。請查看下列檢查清單，確認您已完成相關設定，可滿足貴機構的裝置安全性目標。

所有行動裝置

要求使用密碼

為了保護受管理行動裝置中的資料，您可以要求使用者為自己的裝置設定螢幕鎖定或密碼。對於套用進階管理設定的裝置，您也可以設定密碼的類型、強度和字元數下限。

為受管理的行動裝置設定密碼規定

鎖定遺失裝置或抹除其中的公司資料

當裝置遺失或有員工離職時，相關的工作資料就會有外洩風險。您可以抹除使用者裝置上的公司帳戶，包含其中所有的工作資料。如果裝置已套用進階管理設定，您甚至可以抹除整部裝置的資料。請注意，Cloud Identity 免費版不支援這項功能。

管理工作用的 Android 應用程式

如要避免未經授權人士存取工作用的 Android 應用程式，請將這些應用程式加入網頁和行動應用程式清單，讓應用程式接受管理。您可以強制安裝受管理的安全性應用程式，並將受管理的應用程式從遺失或遭竊的裝置上移除。當使用者移除公司帳戶時，受管理的應用程式會自動從裝置上移除。

管理貴機構的行動應用程式

套用進階管理設定的行動裝置

	要求加密保護裝置加密指的是以特定形式儲存資料，讓使用者必須解鎖裝置才能夠閱讀其中的資料內容。換句話說，解鎖裝置才能將資料解密。萬一裝置不幸遺失或遭竊，加密功能可讓裝置資料多一重保護。要求加密保護裝置
	套用裝置限制您可以規範使用者在 Android 和 Apple iOS 裝置上共用及備份資料的方式。舉例來說，您可以禁止 Android 裝置進行 USB 檔案傳輸，也可以讓 iOS 裝置停止將資料備份至個人雲端儲存空間。您還可以限制使用者對部分裝置和網路設定的存取權，例如關閉裝置的相機，以及禁止 Android 使用者更改 Wi-Fi 設定。套用 Android 行動裝置設定套用 iOS 行動裝置設定套用進階設定
	封鎖遭駭裝置您可以讓使用者的公司帳戶停止將資料同步處理至疑似遭駭的 Android 和 Apple iOS 裝置。裝置遭越獄解鎖或啟用 Root 權限後，裝置上的限制會全部移除，這時系統就會認定裝置已遭駭。遭駭裝置可能會造成潛在的安全威脅。封鎖遭駭裝置
	自動封鎖違反政策規定的 Android 裝置您可以自動封鎖違反機構政策的裝置，讓該裝置無法存取工作資料，同時通知使用者。舉例來說，您強制設定密碼長度下限為 6 個字元，但使用者卻將裝置密碼改為 5 個字元，該裝置就違反了密碼政策。設定裝置管理規則
	啟用 Android 裝置的自動帳戶抹除功能當 Android 裝置閒置超過指定天數後，自動從該裝置移除公司帳戶資料和受管理應用程式。這種做法可降低資料外洩的風險。套用 Android 行動裝置設定
	管理工作用的 iOS 應用程式如要避免未經授權人士存取工作用的 iOS 應用程式，請將這些應用程式加入網頁和行動應用程式清單，讓應用程式接受管理。您可以將受管理的應用程式從遺失或遭竊的裝置上移除。當使用者移除公司帳戶時，受管理的應用程式會自動從裝置上移除。管理貴機構的行動應用程式
	封鎖有安全疑慮的 Android 應用程式根據預設，Google 會禁止 Android 行動裝置從不明來源安裝非 Play 商店的應用程式。此外，Google Play 安全防護也會自動掃描應用程式，並視需要封鎖危險的應用程式。這些功能可降低資料外洩、帳戶資料洩漏、資料竊取、資料刪除和惡意軟體的風險。務必為所有使用者勾選 [禁止安裝來源不明的應用程式] 方塊，並取消勾選 [允許使用者關閉 Google Play 安全防護] 方塊。套用 Android 行動裝置設定

存取工作資料的電腦

	開啟端點驗證功能對於受到端點驗證功能管理的筆電和電腦，您可以運用情境感知存取權來保護機構資料，並針對存取這些資料的裝置取得詳細資訊。開啟端點驗證功能
	限制僅能透過公司擁有的裝置使用 Google 雲端硬碟電腦版只要使用雲端硬碟電腦版，使用者就能在 Mac 或 Windows 電腦上使用雲端硬碟檔案，不必透過瀏覽器。為了降低機構資料外洩風險，您可以限制只有機構裝置清單中列出的機構自有裝置能夠執行雲端硬碟電腦版。限制僅能透過公司擁有的裝置使用雲端硬碟電腦版
	設定 Google 憑證提供者 Windows 版 (GCPW) 允許使用者透過工作用的 Google 帳戶登入 Windows 10 電腦。GCPW 提供兩步驟驗證以及登入身分確認問題這兩道安全機制。使用者也可以直接存取 Google Workspace 服務和其他單一登入 (SSO) 應用程式，不必重新輸入 Google 使用者名稱和密碼。總覽：Google 憑證提供者 Windows 版
	限制使用者在機構自有 Windows 電腦上的權限您可以使用 Windows 裝置管理服務，控管使用者在機構自有的 Windows 10 電腦上可執行哪些操作。無論是設定 Windows 的使用者管理權限層級，還是套用 Windows 的安全性、網路和軟硬體設定，都不成問題。啟用 Windows 裝置管理服務套用 Windows 設定

更多安全性選項 (適用所有裝置)

	防止他人未經授權存取使用者的帳戶您可以要求使用者在透過兩步驟驗證 (2SV) 登入 Google 帳戶時提供額外的身分識別資訊，例如實體安全金鑰、使用者裝置內建的安全金鑰、透過簡訊或電話通知的安全碼等等。當 Google 懷疑有人未經授權便企圖存取使用者的帳戶時，會另外要求對方回答安全性問題或身分確認問題。如果貴機構使用了 Google 端點管理服務，系統可能會請使用者利用受管理的行動裝置 (亦即他們平時用來存取公司帳戶的裝置) 來驗證身分。使用額外的驗證機制可以大幅降低未經授權人士盜用使用者帳戶的風險。設定兩步驟驗證使用登入身分確認問題驗證使用者的身分
	使用情境感知存取權功能，讓唯有符合特定條件的人士才能存取 Google 應用程式您可以根據使用者身分和提出存取要求的背景資訊 (國家/地區、裝置安全性狀態和 IP 位址) 設定不同的存取層級。舉例來說，如果某部行動裝置並非位於特定國家/地區，或是不符合您的加密和密碼使用規定，您就可以禁止該裝置存取 Google 應用程式 (網頁版和行動版)。另一個例子是，您可以限定承包商僅能透過受公司管理的 Chromebook 存取 Google 網頁應用程式。情境感知存取權總覽
	控管可存取 Google Workspace 資料的應用程式設定要讓哪些行動應用程式受到貴機構管理。您也可以透過應用程式存取權控管功能，指定要讓應用程式存取哪些服務。這種做法可以防範使用者受到惡意應用程式誘騙，而不慎授予工作資料的存取權。應用程式存取權控管功能適用於各種裝置，且能防止自攜裝置和機構自有裝置上未經授權的應用程式擅自存取資料。為 Android 裝置設定受管理的應用程式推薦及管理 iOS 應用程式控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料
	辨識 Google 雲端硬碟、文件、試算表、簡報和 Gmail 中的機密資料您可以設定資料遺失防護 (DLP) 政策，保護政府核發的個人身分證件等機密資料。這類政策可以針對許多常見的資料類型進行偵測；您也可以視業務需求建立自訂內容偵測工具。資料遺失防護功能可以保護來源和應用程式層級的資料，並且適用於各種裝置和存取方法。使用資料遺失防護功能保護機密資訊

_{Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。}

這對您有幫助嗎？

我們應如何改進呢？

	要求加密保護裝置加密指的是以特定形式儲存資料，讓使用者必須解鎖裝置才能夠閱讀其中的資料內容。換句話說，解鎖裝置才能將資料解密。萬一裝置不幸遺失或遭竊，加密功能可讓裝置資料多一重保護。要求加密保護裝置
	套用裝置限制您可以規範使用者在 Android 和 Apple iOS 裝置上共用及備份資料的方式。舉例來說，您可以禁止 Android 裝置進行 USB 檔案傳輸，也可以讓 iOS 裝置停止將資料備份至個人雲端儲存空間。您還可以限制使用者對部分裝置和網路設定的存取權，例如關閉裝置的相機，以及禁止 Android 使用者更改 Wi-Fi 設定。套用 Android 行動裝置設定套用 iOS 行動裝置設定套用進階設定
	封鎖遭駭裝置您可以讓使用者的公司帳戶停止將資料同步處理至疑似遭駭的 Android 和 Apple iOS 裝置。裝置遭越獄解鎖或啟用 Root 權限後，裝置上的限制會全部移除，這時系統就會認定裝置已遭駭。遭駭裝置可能會造成潛在的安全威脅。封鎖遭駭裝置
	自動封鎖違反政策規定的 Android 裝置您可以自動封鎖違反機構政策的裝置，讓該裝置無法存取工作資料，同時通知使用者。舉例來說，您強制設定密碼長度下限為 6 個字元，但使用者卻將裝置密碼改為 5 個字元，該裝置就違反了密碼政策。設定裝置管理規則
	啟用 Android 裝置的自動帳戶抹除功能當 Android 裝置閒置超過指定天數後，自動從該裝置移除公司帳戶資料和受管理應用程式。這種做法可降低資料外洩的風險。套用 Android 行動裝置設定
	管理工作用的 iOS 應用程式如要避免未經授權人士存取工作用的 iOS 應用程式，請將這些應用程式加入網頁和行動應用程式清單，讓應用程式接受管理。您可以將受管理的應用程式從遺失或遭竊的裝置上移除。當使用者移除公司帳戶時，受管理的應用程式會自動從裝置上移除。管理貴機構的行動應用程式
	封鎖有安全疑慮的 Android 應用程式根據預設，Google 會禁止 Android 行動裝置從不明來源安裝非 Play 商店的應用程式。此外，Google Play 安全防護也會自動掃描應用程式，並視需要封鎖危險的應用程式。這些功能可降低資料外洩、帳戶資料洩漏、資料竊取、資料刪除和惡意軟體的風險。務必為所有使用者勾選 [禁止安裝來源不明的應用程式] 方塊，並取消勾選 [允許使用者關閉 Google Play 安全防護] 方塊。套用 Android 行動裝置設定

	開啟端點驗證功能對於受到端點驗證功能管理的筆電和電腦，您可以運用情境感知存取權來保護機構資料，並針對存取這些資料的裝置取得詳細資訊。開啟端點驗證功能
	限制僅能透過公司擁有的裝置使用 Google 雲端硬碟電腦版只要使用雲端硬碟電腦版，使用者就能在 Mac 或 Windows 電腦上使用雲端硬碟檔案，不必透過瀏覽器。為了降低機構資料外洩風險，您可以限制只有機構裝置清單中列出的機構自有裝置能夠執行雲端硬碟電腦版。限制僅能透過公司擁有的裝置使用雲端硬碟電腦版
	設定 Google 憑證提供者 Windows 版 (GCPW) 允許使用者透過工作用的 Google 帳戶登入 Windows 10 電腦。GCPW 提供兩步驟驗證以及登入身分確認問題這兩道安全機制。使用者也可以直接存取 Google Workspace 服務和其他單一登入 (SSO) 應用程式，不必重新輸入 Google 使用者名稱和密碼。總覽：Google 憑證提供者 Windows 版
	限制使用者在機構自有 Windows 電腦上的權限您可以使用 Windows 裝置管理服務，控管使用者在機構自有的 Windows 10 電腦上可執行哪些操作。無論是設定 Windows 的使用者管理權限層級，還是套用 Windows 的安全性、網路和軟硬體設定，都不成問題。啟用 Windows 裝置管理服務套用 Windows 設定

	防止他人未經授權存取使用者的帳戶您可以要求使用者在透過兩步驟驗證 (2SV) 登入 Google 帳戶時提供額外的身分識別資訊，例如實體安全金鑰、使用者裝置內建的安全金鑰、透過簡訊或電話通知的安全碼等等。當 Google 懷疑有人未經授權便企圖存取使用者的帳戶時，會另外要求對方回答安全性問題或身分確認問題。如果貴機構使用了 Google 端點管理服務，系統可能會請使用者利用受管理的行動裝置 (亦即他們平時用來存取公司帳戶的裝置) 來驗證身分。使用額外的驗證機制可以大幅降低未經授權人士盜用使用者帳戶的風險。設定兩步驟驗證使用登入身分確認問題驗證使用者的身分
	使用情境感知存取權功能，讓唯有符合特定條件的人士才能存取 Google 應用程式您可以根據使用者身分和提出存取要求的背景資訊 (國家/地區、裝置安全性狀態和 IP 位址) 設定不同的存取層級。舉例來說，如果某部行動裝置並非位於特定國家/地區，或是不符合您的加密和密碼使用規定，您就可以禁止該裝置存取 Google 應用程式 (網頁版和行動版)。另一個例子是，您可以限定承包商僅能透過受公司管理的 Chromebook 存取 Google 網頁應用程式。情境感知存取權總覽
	控管可存取 Google Workspace 資料的應用程式設定要讓哪些行動應用程式受到貴機構管理。您也可以透過應用程式存取權控管功能，指定要讓應用程式存取哪些服務。這種做法可以防範使用者受到惡意應用程式誘騙，而不慎授予工作資料的存取權。應用程式存取權控管功能適用於各種裝置，且能防止自攜裝置和機構自有裝置上未經授權的應用程式擅自存取資料。為 Android 裝置設定受管理的應用程式推薦及管理 iOS 應用程式控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料
	辨識 Google 雲端硬碟、文件、試算表、簡報和 Gmail 中的機密資料您可以設定資料遺失防護 (DLP) 政策，保護政府核發的個人身分證件等機密資料。這類政策可以針對許多常見的資料類型進行偵測；您也可以視業務需求建立自訂內容偵測工具。資料遺失防護功能可以保護來源和應用程式層級的資料，並且適用於各種裝置和存取方法。使用資料遺失防護功能保護機密資訊