Рекомендации по безопасности для средних и крупных компаний (более 100 пользователей)

Для повышения уровня безопасности и защиты конфиденциальных данных компании системным администраторам необходимо следовать приведенным ниже рекомендациям. Каждой рекомендации соответствует один или несколько параметров в консоли администратора Google.

Если в организации нет системного администратора, возможно, для нее больше подходят эти рекомендации для небольших компаний (от 1 до 100 пользователей).

Примечание. Некоторые из упомянутых в этой статье настроек доступны не во всех версиях Google Workspace и Cloud Identity.

Рекомендации по безопасности

Чтобы защитить вашу компанию, в сервисах Google по умолчанию включены многие из упомянутых ниже настроек.

Развернуть все | Свернуть все

Администратор

Защита аккаунтов администраторов

Сделайте двухэтапную аутентификацию обязательной для аккаунтов администраторов
Поскольку суперадминистраторы контролируют доступ ко всем данным организации и сотрудников, их аккаунты особенно важно защитить с помощью дополнительной проверки.

Как защитить компанию с помощью двухэтапной аутентификации | Развертывание двухэтапной аутентификации

Используйте для двухэтапной аутентификации электронные ключи
Электронные ключи помогают обезопасить аккаунты от фишинга и являются наиболее защищенным фактором двухэтапной аутентификации.

Как защитить компанию с помощью двухэтапной аутентификации

Не используйте аккаунт суперадминистратора для выполнения повседневных задач
Для повседневной работы суперадминистраторам следует использовать отдельный аккаунт пользователя, а в аккаунт суперадминистратора рекомендуется входить только для выполнения определенных задач, недоступных другим ролям.

Права администратора | Как обеспечить безопасность аккаунтов администраторов

Выходите из аккаунта суперадминистратора после каждого сеанса работы
Суперадминистраторам рекомендуется выполнять вход в аккаунт только для выполнения определенных задач, а затем выходить из него.

Как обеспечить безопасность аккаунтов администраторов

Управление аккаунтами суперадминистраторов

Создайте несколько аккаунтов суперадминистраторов
В организации должно быть несколько аккаунтов суперадминистраторов, принадлежащих разным сотрудникам. Если один из них взломают или к нему будет потерян доступ, до его восстановления критически важные задачи сможет выполнять другой суперадминистратор.

Как назначить пользователю роль администратора

Не используйте один аккаунт суперадминистратора для нескольких сотрудников
Для каждого суперадминистратора необходимо создать отдельный легко идентифицируемый аккаунт, чтобы отслеживать, кто из них несет ответственность за те или иные действия, зарегистрированные в журнале аудита.

Как обеспечить безопасность аккаунтов администраторов

Делегируйте повседневные административные задачи аккаунтам пользователей
Используйте аккаунты суперадминистраторов только в случае необходимости и делегируйте повседневные административные задачи аккаунтам пользователей. Руководствуйтесь принципом "минимума привилегий": пользователю предоставляются только ресурсы и инструменты, необходимые для выполнения его обычных задач.

Как назначить пользователю роль администратора | Как обеспечить безопасность аккаунтов администраторов

Управление действиями в аккаунтах администраторов

Настройте оповещения по электронной почте для администраторов
Для отслеживания действий администраторов и потенциальных угроз безопасности настройте оповещения по электронной почте об определенных событиях. Так администраторы смогут узнавать, например, о подозрительных попытках входа, взломе мобильных устройств и изменениях, внесенных другими администраторами.

Оповещения по электронной почте для администраторов

Просматривайте журнал аудита администрирования
В журнале аудита администрирования хранится информация обо всех действиях, выполненных в консоли администратора Google, а также о том, кто и когда их выполнил и с какого IP-адреса вошел в аккаунт.

Журнал аудита администрирования

Подготовка к восстановлению аккаунта администратора

Добавьте данные для восстановления аккаунтов администраторов
Добавьте резервный номер телефона и адрес электронной почты в аккаунты администраторов, чтобы они смогли получить от Google новый пароль по телефону, электронной почте или в SMS. 

Как добавить данные для восстановления пароля

Сохраните сведения для изменения пароля суперадминистратора

Если суперадминистратору не удастся сбросить пароль с помощью резервного номера телефона или электронной почты и другой суперадминистратор не сможет ему помочь, потребуется обратиться в Службу поддержки Google.

Администратор должен будет сообщить специалисту Google определенные сведения об аккаунте организации, а также подтвердить право собственности на домен. Сохраните сведения об аккаунте и учетные данные DNS в безопасном месте на случай необходимости.

Как обеспечить безопасность аккаунтов администраторов

Зарегистрируйте запасной электронный ключ
Администраторам следует зарегистрировать несколько электронных ключей для своего аккаунта и хранить их в безопасном месте. Таким образом, если основной электронный ключ будет утерян или украден, они все равно смогут войти в аккаунт.

Как добавить электронный ключ в аккаунт

Заранее сохраните резервные коды
Если администратор потеряет электронный ключ или телефон, на который приходят коды подтверждения двухэтапной аутентификации или уведомления от Google, вход можно будет выполнить с помощью резервного кода.

Как войти в аккаунт с помощью резервных кодов

Аккаунты

Принудительная многофакторная аутентификация

Включите принудительную двухэтапную аутентификацию для пользователей
Двухэтапная аутентификация обеспечивает более надежную защиту аккаунтов от несанкционированного доступа.

Как защитить компанию с помощью двухэтапной аутентификации | Развертывание двухэтапной аутентификации

Настройте принудительное использование электронных ключей для аккаунтов администраторов и других важных аккаунтов
Электронный ключ – это небольшое аппаратное устройство, которое используется при входе в аккаунт для обеспечения двухфакторной аутентификации с целью защиты от фишинга.

Развертывание двухэтапной аутентификации

Храните пароли в тайне

Используйте Защитник пароля
Защитник пароля предотвращает использование корпоративных учетных данных на сторонних сайтах пользователями организации.

Как запретить повторное использование пароля

Используйте уникальные пароли
Надежный пароль поможет защитить аккаунты пользователей и администраторов. Создайте уникальный пароль, который сложно угадать. Не используйте один и тот же пароль для разных аккаунтов, например аккаунта электронной почты и интернет-банкинга.

Как создать надежный пароль и защитить аккаунт

Предотвращение взлома аккаунтов

Регулярно просматривайте отчеты и оповещения о действиях
Просматривайте отчеты о действиях, в частности сведения о статусе пользовательских и административных аккаунтов, а также о применении двухэтапной аутентификации.

Отчеты о статистике аккаунта

Настройте оповещения по электронной почте для администраторов
Настройте оповещения о потенциальных угрозах, например о подозрительных попытках входа, взломе мобильных устройств или изменениях в настройках, внесенных другим администратором.

Оповещения по электронной почте для администраторов

Включите для пользователей дополнительную аутентификацию
На случай подозрительной попытки входа можно настроить для пользователей дополнительную аутентификацию. Сотрудник должен будет ввести код подтверждения Google, который он получит на резервный номер телефона или адрес электронной почты, или пройти дополнительную проверку, которую может пройти только владелец аккаунта.

Как проверяется личность пользователя с помощью дополнительных мер безопасности | Как включить для сотрудников дополнительную аутентификацию по идентификатору

Выявляйте и восстанавливайте взломанные аккаунты
Если вы подозреваете, что аккаунт взломан, заблокируйте и проверьте его и при необходимости примите соответствующие меры.

  • Просмотрите мобильные устройства, связанные с этим аккаунтом.
  • С помощью поиска по журналу электронной почты найдите записи о доставке для своих доменов.
  • Воспользуйтесь отчетом о безопасности, чтобы оценить, насколько уязвимы данные в домене.
  • Проверьте, не сохранились ли вредоносные настройки.

Как выявлять и защищать взломанные аккаунты

Отключайте функцию скачивания данных в определенных ситуациях
Запретите скачивать данные аккаунта пользователя, если аккаунт взломан или пользователь покидает компанию.

Как включить или отключить Google Архиватор для пользователей

Приложения (только в Google Workspace)

Проверяйте сторонний доступ к основным сервисам
Отслеживайте и одобряйте доступ сторонних приложений к основным сервисам Google Workspace, например к Gmail и Диску. 

Как управлять доступом сторонних и внутренних приложений к данным Google Workspace

Создайте белый список доверенных приложений
Создайте белый список сторонних приложений, которым предоставлен доступ к основным сервисам Google Workspace.

Как управлять доступом сторонних и внутренних приложений к данным Google Workspace

Календарь (только в Google Workspace)

Ограничьте совместный доступ к календарям для пользователей за пределами организации
Настройте доступ к календарям таким образом, чтобы пользователи за пределами организации могли просматривать только статус занятости. Это сократит риск утечки данных.

Как настроить доступ к календарю

Браузер Chrome и Chrome OS

Настройте браузер на компьютере
Если ваша организация использует браузер Chrome, но пользователям необходим доступ к устаревшим сайтам и приложениям, для которых требуется Internet Explorer, расширение "Поддержка альтернативного браузера" позволит им автоматически переключаться между браузерами. Включите это расширение для поддержки приложений, работающих в устаревших браузерах.

Поддержка альтернативного браузерав ОС Windows

Настройте основные правила Chrome OS и браузера Chrome
Настройте основные правила Chrome OS и браузера Chrome с помощью консоли администратора:

  • включите автообновление;
  • настройте правило для диспетчера паролей;
  • включите безопасный просмотр;
  • запретите пользователям переходить на вредоносные сайты;
  • разрешите пользователям просматривать пароли в диспетчере паролей.

Настройка правил Chrome для пользователей

Настройте расширенные правила Chrome OS и браузера Chrome
Настройте расширенные правила Chrome OS и браузера Chrome с помощью редактора групповых политик Windows:

  • AbusiveExperienceInterventionEnforce
  • AdsSettingForIntrusiveAdsSites
  • AllowedDomainsForApps
  • DownloadRestrictions
  • SitePerProcess

Как настроить правила для браузера Chrome на корпоративных компьютерах

Включите автоматическое обновление Chrome
Включите автоматическое обновление Chrome для установки последних модификаций системы безопасности.

Как управлять обновлениями Chrome

Классическая версия Hangouts (только в Google Workspace)

Включите предупреждение пользователей при общении в чате вне домена
Информируйте пользователей о том, что они общаются в чате с пользователями из другого домена. Если эта функция включена, цепочки сообщений группового чата разделяются при добавлении в чат первого пользователя из другого домена, поэтому внешние пользователи не могут видеть предыдущие беседы между пользователями домена. Это помогает минимизировать риск утечки данных.

Настройки классической версии Hangouts

Настройте правила приглашения в чат
Вы можете настроить правило приглашения пользователей в чат в соответствии с политикой совместной работы вашей организации.

Настройки классической версии Hangouts

Контакты (только в Google Workspace)

Запретите автоматическое предоставление контактной информации
Отключите эту возможность, чтобы не предоставлять доступ к контактной информации автоматически.

Как включить или отключить каталог

Диск

Настройте ограничения общего доступа и совместной работы с пользователями вне домена

Настройте ограничения общего доступа для домена
Запретите предоставлять общий доступ к файлам пользователям не из вашего домена, отключив соответствующие настройки. Это сокращает риск утечки и кражи данных. Если вам необходимо предоставить общий доступ к файлам пользователям за пределами домена, вы можете установить правила общего доступа для отдельных организационных подразделений или же создать список разрешенных доменов.

Как настроить разрешения совместного доступа для пользователей Диска

Настройте параметры по умолчанию для доступа по ссылке
Отключите доступ по ссылке для новых файлов. Убедитесь, что открыть файл может только его владелец, если он не предоставил к нему доступ.

Как настроить разрешения совместного доступа для пользователей Диска

Настройте предупреждения о предоставлении доступа к файлам внешним пользователям
Если пользователям разрешено делиться данными с людьми не из вашего домена, включите для них соответствующее предупреждение. Это позволит пользователям подтвердить действие, если оно является намеренным, и минимизировать риск утечки данных.

Как настроить разрешения совместного доступа для пользователей Диска

Разрешите доступ к файлам только получателям
Если пользователь публикует файл в продукте Google, но не в Документах или на Диске (например, вставляет ссылку в Gmail), функция "Проверка доступа" может проверить, есть ли доступ к файлу у получателей. Настройте проверку доступа, включив параметр Только для получателей. Это позволит управлять доступом к ссылкам, которыми делятся пользователи, и сократит риск утечки данных.

Как настроить разрешения совместного доступа для пользователей Диска

Запретите пользователям публиковать файлы в Интернете
Отключите публикацию файлов в Интернете. Это сократит риск утечки данных.

Как настроить разрешения совместного доступа для пользователей Диска

Включите обязательный вход в аккаунт Google для внешних пользователей
Настройте обязательный вход в аккаунт Google для внешних пользователей. Если у них нет аккаунта Google, его можно бесплатно создать. Это сократит риск утечки данных.

Как настроить разрешения совместного доступа для пользователей Диска

Обеспечьте управление файлами на общих дисках
Разрешите только пользователям организации перемещать хранящиеся на общих дисках файлы за пределы организации.

Как настроить разрешения совместного доступа для пользователей Диска

Управляйте предоставлением доступа к файлам на новых общих дисках
Ограничьте предоставление доступа к файлам на новых общих дисках, задав соответствующие настройки их создания.

Как управлять доступом к файлам на общих дисках

Ограничения на создание локальных копий данных на Диске

Запретите доступ к документам в офлайн-режиме
Чтобы минимизировать риск утечки данных, запретите доступ к документам в офлайн-режиме. Когда документы доступны офлайн, их копии хранятся локально на устройствах пользователей. Если вам нужно разрешить доступ офлайн, настройте параметры для отдельных организационных подразделений.

Как контролировать офлайн-использование редакторов Документов

Отключите доступ к Диску через приложение для компьютеров
Вы можете включить возможность доступа к Диску через приложение для компьютеров, развернув клиент "Автозагрузка и синхронизация" или Google Диск для компьютеров. "Автозагрузка и синхронизация" позволяет пользователям синхронизировать файлы между компьютером и Google Диском. Диск для компьютеров синхронизирует файлы в облаке с локальным компьютером пользователя.

Чтобы сократить риск утечки данных, запретите доступ к Диску через приложение для компьютеров. В случае необходимости разрешите его только определенным пользователям.

Развертывание приложения "Автозагрузка и синхронизация" | Включение приложений для синхронизации в организации |
Сравнение приложений "Автозагрузка и синхронизация" и "Диск для компьютеров"

Контроль доступа сторонних приложений к данным организации

Запретите дополнения для Google Документов
Чтобы уменьшить риск утечки данных, не разрешайте пользователям устанавливать дополнения для Google Документов из магазина дополнений. При необходимости можно развертывать определенные дополнения для Google Документов с учетом внутренних правил организации.

Как включить дополнения в редакторах Google Документов

Gmail (только в Google Workspace)

Настройка аутентификации и инфраструктуры

Проверяйте почту с помощью SPF, DKIM и DMARC

SPF, DKIM и DMARC образуют систему проверки электронной почты, которая использует настройки DNS для аутентификации, применения цифровой подписи и защиты домена от спуфинга.

Злоумышленники могут подделывать адреса отправителей, чтобы получателю казалось, что письмо пришло от пользователя из вашего домена. Чтобы не допустить этого, настройте SPF и DKIM для всех исходящих сообщений. 
После этого можно настроить запись DMARC, чтобы указать, как Google и другие получатели должны обрабатывать не прошедшие аутентификацию электронные письма, которые были предположительно отправлены из вашего домена.

Как настроить аутентификацию электронной почты с помощью DKIM | Как настроить авторизацию отправителей с помощью записей SPF | 
Как защитить почту от спама (DMARC)

Настройте шлюзы входящей почты для работы с записями SPF
Если для маршрутизации входящих сообщений используются шлюзы электронной почты, их необходимо правильно настроить для использования SPF. Это поможет повысить эффективность обработки спама.

Настройка шлюза входящей почты

Настройте принудительное применение протокола TLS для партнерских доменов
Настройте принудительное использование защищенного соединения (TLS) для передачи почты. Настройте TLS таким образом, чтобы обмен почтой с партнерскими доменами выполнялся только через безопасное соединение.

Как использовать защищенное соединение (TLS) для передачи почты

Включите принудительную аутентификацию для всех одобренных отправителей
Включите параметр Требуется аутентификация отправителя для правил в отношении спама. При использовании этого параметра сообщения от одобренных отправителей, для которых не включена аутентификация (например, с помощью SPF или DKIM), не будут попадать в папку "Спам". Однако включение этого параметра поможет снизить риск спуфинга, а также фишинга и уэйлинга. Подробнее об аутентификации отправителей

Настройка спам-фильтров

Настройте записи MX для безопасной доставки почты
Настройте записи MX таким образом, чтобы запись с наивысшим приоритетом указывала на почтовые серверы Google. Это гарантирует безопасную доставку всех писем пользователям домена Google Workspace, а также снизит риск удаления данных (из-за потери сообщений) и установки вредоносного ПО.

Как настроить записи MX для электронной почты в Google Workspace | Значения записей MX для Google Workspace

Защита пользователей и организаций

Отключите доступ по протоколам IMAP или POP
Локальные клиенты IMAP и POP позволяют пользователям работать с Gmail через сторонние почтовые клиенты. Отключите доступ по протоколам POP и IMAP для пользователей, которым он не нужен. Это сокращает риск утечки, удаления и кражи данных, а также снизит риск атак, поскольку клиенты IMAP могут не иметь подобных средств защиты для собственных клиентов.

Как включить или отключить доступ по протоколам IMAP и POP для пользователей

Отключите автоматическую пересылку
Запретите пользователям настраивать автоматическую пересылку входящей почты на другой адрес. Это сокращает риск кражи данных через электронную почту (это один из распространенных способов хищения информации, используемых злоумышленниками).

Отключите автоматическую пересылку

Включите комплексное хранение почты
Эта настройка позволяет сохранять копии всех сообщений, отправленных и полученных в домене с использованием Gmail и сторонних клиентов, в почтовых ящиках Gmail соответствующих пользователей. Активируйте ее, если вам нужно сохранять в Google Сейфе сообщения пользователей, которые включили ретрансляцию SMTP.

Это сокращает риск удаления данных, так как копии всех сообщений, отправленных и полученных пользователями домена с помощью Gmail и сторонних клиентов, сохраняются в их почтовых ящиках Gmail.

Как настроить комплексное хранение почты

Запретите обход спам-фильтров для внутренних отправителей
Отключите параметр Не применять спам-фильтры к сообщениям, полученным от внутренних отправителей, так как добавленные в группы внешние адреса считаются внутренними. После этого спам будет фильтроваться во всей почте пользователей (включая внутреннюю переписку). Это снижает риск спуфинга, фишинга и уэйлинга.

Настройка спам-фильтров

Добавьте параметр, позволяющий включать в письма специальные заголовки, во все правила маршрутизации по умолчанию
Добавив параметр, позволяющий включать в письма специальные заголовки, во все правила маршрутизации по умолчанию, вы повысите эффективность фильтрации на серверах электронной почты для снижения риска спуфинга, фишинга и уэйлинга. Сообщения Gmail автоматически фильтруются на наличие спама, но если установить флажок Добавить заголовки X-Gm-Spam и X-Gm-Phishy, в письма будут включаться специальные заголовки, которые указывают, являются ли эти сообщения спамом или попыткой фишинга.

Администратор следующего на маршруте сервера может использовать эту информацию, чтобы по-разному обрабатывать обычную почту, спам и фишинговые письма.

Как настроить маршрутизацию по умолчанию

Включите усовершенствованное сканирование писем перед доставкой
Если сервис Gmail определяет, что полученное письмо является фишинговым, этот параметр позволяет ему выполнить дополнительные проверки сообщения.

Усовершенствованное сканирование писем перед доставкой

Включите предупреждение об отправке ответа получателям за пределами домена
Если адрес получателя находится за пределами домена и отсутствует в списке контактов пользователя или пользователь не переписывается с получателем регулярно, появится предупреждение. Приняв во внимание изложенные в нем сведения, пользователь сможет отменить отправку.

Настройка предупреждения об отправке ответа получателям за пределами домена

Включите дополнительную защиту при получении прикрепленных файлов
Системы Google сканируют все входящие сообщения на наличие вредоносного ПО вне зависимости от того, включены ли дополнительные настройки безопасности прикрепленных файлов. Если включить дополнительную защиту при получении прикрепленных файлов, это поможет обнаружить вредоносные письма, которые были пропущены другими проверками.

Расширенные настройки для защиты от фишинга и вредоносного ПО

Включите дополнительную защиту при получении ссылок и внешнего контента
Системы Google сканируют все входящие сообщения на наличие вредоносного ПО вне зависимости от того, включены ли дополнительные настройки безопасности ссылок и контента. Если включить дополнительную защиту при получении ссылок и внешних изображений, это поможет определить фишинговые сообщения, которые были пропущены другими проверками.

Расширенные настройки для защиты от фишинга и вредоносного ПО

Включите дополнительную защиту от спуфинга
Системы Google сканируют входящие сообщения на предмет спуфинга вне зависимости от того, включены ли соответствующие дополнительные настройки безопасности. Включите дополнительные настройки безопасности для спуфинга и аутентификации, чтобы, например, минимизировать риск спуфинга путем подмены доменных имен или имен сотрудников.

Расширенные настройки для защиты от фишинга и вредоносного ПО

Обеспечение безопасности при выполнении повседневных задач Gmail

Соблюдайте осторожность при переопределении спам-фильтров

Расширенные настройки Gmail дают широкие возможности для управления доставкой и фильтрацией почты. Чтобы не допустить увеличения количества спама, с осторожностью применяйте эти настройки при переопределении спам-фильтров Gmail по умолчанию.

  • Если вы добавляете домен или адрес электронной почты в список одобренных отправителей, используйте параметр "Не проводить аутентификацию отправителя" с осторожностью, так как его применение может привести к тому, что сообщения от отправителей без аутентификации будут обходить спам-фильтры Gmail.
  • Вы можете не применять спам-фильтры к сообщениям, полученным с определенных IP-адресов, добавив эти адреса в белый список адресов электронной почты. Делайте это с осторожностью, особенно если добавляете в белый список широкие диапазоны IP-адресов в формате CIDR.
  • Если ваша организация перенаправляет сообщения в домен Google Workspace через шлюз входящей почты, его IP-адреса нужно добавлять в настройки шлюза входящей почты, а не в белый список адресов электронной почты.
  • Отслеживайте и настраивайте правила соответствия содержания, чтобы предотвратить спам и фишинг.

Как настроить Gmail для вашей организации

Не добавляйте домены в список одобренных отправителей
В список одобренных отправителей можно добавлять домены. Если вы создали список одобренных отправителей и у вас установлен флажок Не применять спам-фильтры к сообщениям, полученным с адресов или доменов, которые перечислены в списках разрешенных отправителей, удалите из этого списка все домены. Это поможет снизить риск спуфинга, а также фишинга и уэйлинга.  

Как настроить спам-фильтр

Не добавляйте в белый список IP-адреса
Как правило, сообщения, отправленные с IP-адресов из белого списка, не помечаются как спам. Чтобы в полной мере использовать преимущества службы фильтрации спама и классифицировать его наиболее эффективным образом, IP-адреса ваших и партнерских серверов электронной почты, с которых в Gmail должны приходить письма, следует добавлять не в белый список IP-адресов, а в настройки шлюза входящей почты.

Как добавить в белый список IP-адреса отправителей в Gmail | Настройка шлюза входящей почты

Google+ (только в Google Workspace)

Отключите автоматическое создание профилей Google+
Отключите автоматическое создание общедоступных профилей Google+ для пользователей в организации.

Обеспечьте управление профилями Google+
Ознакомьтесь с разделом Как создать профили Google+ для всех пользователей в организационном подразделении или группе.

Контролируйте доступ пользователей к контенту Google+
Установите контроль над доступом пользователей в организации к контенту Google+. Например, можно запретить пользователям создавать внешний контент или взаимодействовать с ним.

Как управлять доступом к контенту в Google+

Группы

Ограничьте доступ к группам
Выберите параметр "Ограниченный доступ", чтобы разрешить доступ к группам только пользователям своего домена (при этом участники групп по-прежнему смогут получать письма от пользователей за его пределами). Это сократит риск утечки данных.

Как настроить совместный доступ в Группах для бизнеса

Разрешите создание групп только администраторам
Разрешите создавать группы только администраторам. Это сократит риск утечки данных.

Как настроить совместный доступ в Группах для бизнеса

Настройте доступ к группам
Рекомендации по настройке:

  • Разрешите или запретите добавление внешних участников и сообщения от пользователей за пределами домена.
  • Настройте модерацию сообщений.
  • Задайте настройки доступа к группам.
  • Выполните другие действия в соответствии с правилами организации.

Права на просмотр, публикацию и модерацию

Отключите некоторые настройки доступа к внутренним группам
Приведенные ниже параметры позволяют всем в Интернете присоединяться к группе, отправлять ей сообщения и просматривать архив обсуждений. Отключите их для внутренних групп.

  • Открытый доступ
  • Этот уровень доступа также предоставляется всем пользователям Интернета
  • Отправлять сообщения также разрешается всем пользователям Интернета

Настройка доступа для группы

Включите модерацию спама для групп
Вы можете отправлять сообщения в очередь на модерацию с уведомлением модераторов или без него, немедленно отклонять спам и разрешить публикацию сообщений без модерации.

Как утверждать и блокировать новые записи

Мобильные устройства

Как использовать систему управления конечными точками Google

Используйте управление конечными точками Google для обеспечения контроля над корпоративными данными
Решите, как вы будете применять требования к мобильным устройствам вашей организации и правила управления мобильными устройствами.

Как минимум, необходимо включить базовый режим управления мобильными устройствами для управления корпоративными данными на устройствах Android и iOS. Это снижает риск утечки данных, установки вредоносного ПО, а также предотвращает внутренние угрозы безопасности.

Контролируйте устройства пользователей с помощью управления конечными точками Google

Управление доступом к приложениям

Создайте белые списки одобренных корпоративных приложений
Защитите корпоративные ресурсы от потенциально опасных приложений, добавляя проверенные и одобренные приложения в белый список для использования в организации.

Как управлять приложениями на устройствах iOS | Как управлять приложениями на устройствах Android

Блокируйте приложения из неизвестных источников
Запретите установку приложений из неизвестных источников (не из Play Маркета) на мобильных устройствах Android (это параметр по умолчанию). Это сокращает риск утечки данных, взлома аккаунта, а также кражи, удаления данных и установки вредоносного ПО.

Как применить настройки на мобильных устройствах Android

Настройте принудительную проверку приложений
Разрешите установку приложений на мобильных устройствах Android только из известных источников (это параметр по умолчанию). Это снижает риск установки вредоносного ПО и утечки данных.

Как применить настройки на мобильных устройствах Android

Разрешите только управляемые приложения на устройствах iOS
При добавлении приложения iOS в белый список его можно сделать управляемым. Это поможет контролировать приложение и его данные на личных устройствах iOS, поскольку обмен файлами между управляемыми приложениями и приложениями без управления запрещен.

Например, пользователи не смогут сохранить резервную копию данных управляемого корпоративного приложения во внешнем сервисе, таком как iCloud. Если пользователь создаст в управляемом приложении файл PDF, он не сможет открыть его в личном приложении без управления.

Как управлять приложениями на устройствах iOS

Защита аккаунтов и данных

Установите обязательные требования к паролям мобильных устройств
Сделайте защиту паролем обязательной настройкой на мобильных устройствах и задайте параметры надежности, срока действия и повторного использования пароля, а также правила блокировки устройств и удаления данных. Это сократит риск утечки данных в случае потери, кражи или продажи устройства.

Применение настроек паролей на мобильных устройствах

Шифруйте данные на мобильных устройствах
Чтобы сократить риск утечки данных в случае потери, кражи или продажи устройства, шифруйте данные на поддерживаемых мобильных устройствах Android. Все данные на устройствах iOS шифруются компанией Apple.

Применение расширенных настроек

Включите автоматическое удаление данных из аккаунта
Включите функцию автоматического удаления данных из корпоративного аккаунта, чтобы они автоматически удалялись с мобильного устройства, если оно неактивно в течение определенного времени. Это сократит риск утечки данных.

Как применить настройки на мобильных устройствах Android

Настройте обязательное использование рабочих профилей Android
Рабочий профиль Android позволяет хранить личные данные и приложения отдельно от корпоративных. Используя интегрированную систему управления мобильными устройствами для принудительного применения рабочих профилей, можно добавлять в белый список приложения, которым предоставлен доступ к корпоративным данным, и блокировать установку приложений из неизвестных источников.

Настройка рабочих профилей Android

Управление устройствами

Блокируйте взломанные мобильные устройства
Блокируйте взломанные устройства Android. К признакам взлома относятся, в частности, наличие разблокированного загрузчика ОС или пользовательской прошивки (ROM), а также появление на устройстве исполняемого файла администратора.

Применение расширенных настроек

Включите отправку отчетов о неактивных мобильных устройствах
Включите отправку суперадминистраторам ежемесячных отчетов о неактивных корпоративных устройствах, рабочие данные на которых не синхронизировались в течение последних 30 дней. Отключение неактивных аккаунтов снижает риск утечки данных.

Получение отчета о неиспользуемых устройствах компании

Блокируйте внешние накопители
Запретите пользователям переносить данные и приложения с мобильных устройств Android и на них. Это сократит риск утечки данных.

Как применить настройки на мобильных устройствах Android

Отключите историю местоположений
Отключите этот сервис, чтобы не сохранять историю местоположений пользователей.

Как включать и отключать дополнительные сервисы Google

Сайты (только в Google Workspace)

Запретите предоставление доступа к сайтам пользователям за пределами домена
Запретите сотрудникам предоставлять доступ к сайтам пользователям за пределами домена, чтобы снизить риск утечки данных. При необходимости вы можете разрешить предоставлять доступ, включив соответствующее предупреждение.

Как настроить параметры совместного доступа к Google Сайтам | Как настроить параметры совместного доступа для классических Сайтов

Сейф (только в G Suite)

Контролируйте аккаунты с доступом к Сейфу
Обеспечьте тщательную проверку и контроль аккаунтов, у которых есть доступ к Сейфу.

Сведения об аудите

Работайте с аккаунтами с доступом к Сейфу как с конфиденциальными
Аккаунты с доступом к Сейфу должны считаться конфиденциальными, как и аккаунты суперадминистраторов. Необходимо тщательно контролировать и проверять их, а также включить для них двухэтапную аутентификацию.

Как защитить компанию с помощью двухэтапной аутентификации | Развертывание двухэтапной аутентификации

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.