適用於中大型企業 (超過 100 位使用者) 的安全性檢查清單

中型和大型企業的 IT 管理員應按照下方的安全性最佳做法,強化公司的資安和隱私權防護能力。在落實檢查清單所列的最佳做法時,您將用到 Google 管理控制台中的一或多項設定。

如果貴公司沒有 IT 管理員,請參閱適用於小型公司的安全性檢查清單 (1-100 位使用者),看看其中建議的做法是否更符合貴公司的需求。

注意:某些 G Suite 版本Cloud Identity 版本可能不支援本文所提及的部分設定。

安全性最佳做法

為保障貴公司的安全,Google 預設會按照這份檢查清單所列的安全性做法啟用許多建議設定。

管理員   |   帳戶   |   應用程式   |   日曆   |   Chrome 瀏覽器和 Chrome 作業系統   |   傳統版 Hangouts   
聯絡人   |   雲端硬碟   |   Gmail   |   Google +   |   網路論壇   |   行動服務   |   協作平台   |   保管箱
管理員

保護管理員帳戶

規定管理員帳戶必須使用兩步驟驗證
由於超級管理員可控管機構中所有業務資料和員工資料的存取權,因此他們的帳戶特別需要設置額外的驗證程序來加以保護。

使用兩步驟驗證功能保障企業資料安全 | 部署兩步驟驗證功能

使用安全金鑰進行兩步驟驗證
安全金鑰可協助您防範網路詐騙威脅,是最能防堵網路詐騙的兩步驟驗證機制。

使用兩步驟驗證功能保障企業資料安全

不要使用超級管理員帳戶從事日常活動
超級管理員平時應透過其他使用者帳戶從事日常活動,只有在需要執行超級管理員的特定工作時,才登入超級管理員帳戶。

管理員權限定義 | 適用於管理員帳戶的安全性最佳做法

超級管理員帳戶在工作結束後應立即登出
超級管理員登入帳戶的目的只能是處理本職工作,工作完成後就要立即登出。

適用於管理員帳戶的安全性最佳做法

控管超級管理員帳戶

設定多個超級管理員帳戶
一間公司應該要有多個超級管理員帳戶,並分別交由不同人士控管。這樣一來,萬一某位超級管理員失去了帳戶存取權或是帳戶被盜用,在等待該帳戶復原的期間,其他超級管理員還是能正常處理重要工作。

為使用者指派管理員角色

建立使用者專屬的超級管理員角色帳戶
每位超級管理員都應該有方便辨識身分的管理員帳戶,讓人可以輕易識別稽核記錄中活動的執行者是誰。

適用於管理員帳戶的安全性最佳做法

將日常管理工作委派給使用者帳戶
只在需要時使用超級管理員帳戶,將日常工作委派給使用者帳戶。使用最低權限模式,讓每位使用者只能取得執行自身工作所需的資源和工具。

為使用者指派管理員角色 | 適用於管理員帳戶的安全性最佳做法

控管管理員帳戶的活動

設定管理員電子郵件快訊
如要監控管理員活動及追蹤潛在安全性風險,您可以針對特定事件設定管理員電子郵件快訊,例如發生可疑的登入嘗試行為、行動裝置遭駭,或是其他管理員變更了設定。

管理員電子郵件快訊

檢閱管理員稽核記錄
使用管理員稽核記錄查看透過 Google 管理控制台執行的每一項工作、執行工作的管理員、工作執行日期,以及管理員登入時使用的 IP 位址等。

管理員稽核記錄

預先為管理員帳戶救援功能做好準備

新增管理員帳戶救援選項
為管理員帳戶新增備援電話號碼和電子郵件地址,讓 Google 可以透過手機、簡訊或電子郵件傳送新密碼。

為管理員帳戶新增帳戶救援資訊

備妥重設超級管理員密碼所需的資訊

超級管理員如果無法自行透過電子郵件或電話號碼等救援選項重設密碼,也找不到另一位超級管理員代為重設密碼,則可與 Google 支援團隊聯絡。

為了驗證身分,Google 會詢問機構帳戶的相關資訊。同時,管理員也需驗證網域的 DNS 擁有權。您應妥善保管帳戶資訊和 DNS 憑證,以備不時之需。

適用於管理員帳戶的安全性最佳做法

註冊備用的安全金鑰
管理員應為管理員帳戶註冊多個安全金鑰,並妥善存放在安全的地方。這麼一來,即使主要的安全金鑰遺失或遭竊,管理員仍可登入自己的帳戶。

為帳戶新增安全金鑰

事先儲存備用碼
如果管理員遺失自己的安全金鑰,或是遺失用來接收兩步驟驗證碼或 Google 提示的手機,還可以利用備用碼登入。

產生並列印備用碼

帳戶

強制使用多重驗證

要求使用者執行兩步驟驗證 (2SV)
兩步驟驗證功能可防止未經授權的人士存取使用者的帳戶,即使對方已獲得使用者的密碼也無法順利登入。

使用兩步驟驗證功能保障企業資料安全 | 部署兩步驟驗證功能

強制使用安全金鑰 (至少針對管理員和其他內含重要資訊的帳戶)
安全金鑰是登入時使用的小型硬體裝置,這種雙重驗證機制可防範網路詐騙。

部署兩步驟驗證功能

保護密碼

運用密碼防護警示避免密碼重複使用
運用密碼防護警示,防止使用者將公司憑證用在其他網站上。

禁止重複使用密碼

使用獨一無二的密碼
高強度密碼是保護使用者和管理員帳戶的第一道防線。使用獨一無二的密碼才能避免被他人輕易猜出。此外,我們不建議在不同帳戶 (例如電子郵件帳戶和網路銀行帳戶) 中重複使用相同的密碼。

設定高強度密碼並強化帳戶安全性

防止帳戶被盜及相關因應措施

定期檢閱活動報告與快訊
透過活動報告瞭解帳戶狀態、管理員狀態和兩步驟驗證註冊詳情。

帳戶活動報告

設定管理員電子郵件快訊
針對可能會帶來風險的事件設定電子郵件快訊,例如可疑的登入嘗試行為、行動裝置遭駭,或是其他管理員變更了設定。

管理員電子郵件快訊

新增使用者登入身分確認問題
針對可疑的登入嘗試行為設定登入身分確認問題。使用者必須輸入 Google 傳送至他們備援電話號碼或備援電子郵件地址的驗證碼,或是回答只有帳戶擁有者才能答出的驗證問題。

使用登入身分確認問題驗證使用者的身分 | 將員工 ID 新增為登入身分確認問題

找出遭盜用的帳戶並採取安全保護措施
如果您懷疑特定帳戶已遭盜用,請將該帳戶停權、調查是否有惡意活動並採取必要行動。

  • 檢查與該帳戶相關聯的行動裝置
  • 使用電子郵件記錄搜尋功能查看網域的郵件傳送記錄
  • 使用安全性報告評估網域的資料安全性風險。
  • 確認是否出現任何惡意設定

找出遭盜用的帳戶並採取安全保護措施

視情況禁止使用者下載資料
在帳戶遭盜用或使用者離職時,禁止任何人下載使用者帳戶資料。

為使用者開啟或關閉匯出功能

應用程式 (僅限 G Suite)

查看第三方應用程式的核心服務存取權
瞭解及核准哪些第三方應用程式可以存取 G Suite 核心服務 (例如 Gmail 和雲端硬碟)。

將連結的應用程式加入許可清單

為信任的應用程式建立許可清單
建立許可清單,指定哪些第三方應用程式可以存取 G Suite 核心服務。

將連結的應用程式加入許可清單

日曆 (僅限 G Suite)

限制日曆外部共用設定
對日曆的外部共用設定設限,只允許顯示有空/忙碌資訊。這種做法可降低資料外洩的風險。

設定日曆顯示設定和共用選項

Chrome 瀏覽器和 Chrome 作業系統

設定電腦版瀏覽器政策
如果貴機構想要採用 Chrome 瀏覽器,但使用者仍需透過 Internet Explorer 來存取舊型的網站和應用程式,這時即可運用 Chrome 舊版瀏覽器支援擴充功能,自動為使用者切換 Chrome 和其他瀏覽器。如有需要舊版瀏覽器的應用程式,可使用舊版瀏覽器支援。

Windows 舊版瀏覽器支援

設定 Chrome 作業系統和 Chrome 瀏覽器基本政策
透過管理控制台設定 Chrome 作業系統和 Chrome 瀏覽器基本政策:

  • 允許自動更新設定。
  • 允許密碼管理員政策。
  • 啟用安全瀏覽功能。
  • 禁止使用者造訪惡意網站。
  • 允許使用者在密碼管理員中顯示密碼。

為使用者設定 Chrome 政策

設定 Chrome 作業系統和 Chrome 瀏覽器進階政策
透過 Windows 群組原則編輯器設定 Chrome 作業系統和 Chrome 瀏覽器進階政策:

  • AbusiveExperienceInterventionEnforce
  • AdsSettingForIntrusiveAdsSites
  • AllowedDomainsForApps
  • DownloadRestrictions
  • SitePerProcess

為受管理的電腦設定 Chrome 瀏覽器政策

啟用 Chrome 的自動更新功能
啟用自動更新功能,確保 Chrome 收到最新的安全性更新。

管理 Chrome 更新設定

傳統版 Hangouts (僅限 G Suite)

當使用者與網域外的使用者進行即時通訊時顯示警告
在使用者與網域外的使用者進行即時通訊時顯示警告。啟用這項設定後,當第一位網域外使用者加入討論時,系統會分割群組即時通訊對話,不讓外部使用者看到先前的內部討論內容,藉此降低資料外洩風險。

傳統版 Hangouts 設定

設定即時通訊邀請政策
這項設定可讓您根據貴機構的協同合作政策設定即時通訊邀請政策。

傳統版 Hangouts 設定

聯絡人 (僅限 G Suite)

不要自動共用聯絡資訊
禁止使用者選擇自動共用聯絡資訊。

開啟或關閉全域目錄

雲端硬碟

限制與網域外使用者的共用和協作活動

為您的網域設定共用選項
關閉共用選項,將檔案共用範圍限制在您的網域內。這種做法可降低資料外洩資料竊取的風險。如因業務需求而必須與網域外部人員共用檔案,您可以決定機構單位的檔案共用方式,或是指定許可網域。

設定雲端硬碟使用者的共用權限

指定預設的連結共用設定
關閉新建檔案的連結共用設定。除非檔案擁有者另外指定共用對象,否則只有擁有者本人能存取檔案。

設定雲端硬碟使用者的共用權限

在使用者與網域外部人員共用檔案時發出警告
如果您允許使用者和網域外部人員共用檔案,系統會在使用者這麼做時發出警告。這可讓使用者確認操作是否正確,降低資料外洩的風險。

設定雲端硬碟使用者的共用權限

限制僅收件者能存取檔案
當使用者透過文件或雲端硬碟以外的 Google 產品共用檔案時 (例如在 Gmail 中貼上連結),存取權檢查工具可以檢查收件者是否擁有存取權。建議您僅針對收件者設定存取權檢查工具。這種做法可讓您控管使用者所共用連結的存取設定,降低資料外洩的風險。

設定雲端硬碟使用者的共用權限

禁止使用者在網路上發布檔案
停用在網路上發布檔案的功能。這種做法可降低資料外洩的風險。

設定雲端硬碟使用者的共用權限

要求外部協作者必須登入 Google 帳戶
要求外部協作者使用 Google 帳戶登入。如果對方沒有 Google 帳戶,可以免費建立帳戶。這種做法可降低資料外洩的風險。

設定雲端硬碟使用者的共用權限

控管儲存在共用雲端硬碟中的檔案
只有貴機構的使用者能將共用雲端硬碟中的檔案移至其他機構的雲端硬碟。

設定雲端硬碟使用者的共用權限

控管新共用雲端硬碟的內容共用設定
透過共用雲端硬碟建立設定,限制新共用雲端硬碟的共用權限。

控管共用雲端硬碟的共用設定

限制雲端硬碟資料保留本機副本

停用文件離線存取功能
為降低資料外洩的風險,建議您停用文件離線存取功能。允許離線存取文件時,文件副本會儲存在本機。如因業務需求而必須啟用離線文件存取權,請為相關機構單位個別啟用這項功能,將風險降到最低。

管理文件編輯器的離線使用功能

停用雲端硬碟的桌面存取權
如要啟用雲端硬碟的桌面存取權,您可以部署備份與同步處理用戶端或雲端硬碟檔案串流。備份與同步處理用戶端可讓使用者在電腦與 Google 雲端硬碟之間同步處理檔案。雲端硬碟檔案串流則是將雲端檔案同步處理至使用者的本機電腦上。

為降低資料外洩的風險,建議您停用雲端硬碟的桌面存取權。如果您決定要啟用桌面存取權,請僅針對有重大業務需求的使用者開啟。

部署備份與同步處理為貴機構啟用同步處理功能 |
「備份與同步處理」和「雲端硬碟檔案串流」的比較

控管第三方應用程式的資料存取權

不允許雲端硬碟外掛程式
為降低資料外洩的風險,建議您不要允許使用者從外掛程式商店安裝 Google 文件外掛程式。如要支援特定業務需求,您可以根據貴機構政策部署特定的 Google 文件外掛程式。

啟用 Google 文件編輯器中的外掛程式

Gmail (僅限 G Suite)

設定驗證和基礎架構

透過 SPF、DKIM 和 DMARC 驗證電子郵件

SPFDKIMDMARC 構成的電子郵件驗證系統可使用 DNS 設定驗證電子郵件並進行數位簽署,防止網域受到假冒的電子郵件危害。

攻擊者有時會假造電子郵件中的「寄件者」地址,讓人誤以為郵件是由您網域中的使用者所寄送。您可以為所有外送電子郵件串設定 SPF 和 DKIM,藉此防範假冒行為。
SPF 和 DKIM 設定完成後,您可以設定 DMARC 記錄,定義 Google 和其他接收端應如何處理疑似從您網域寄出但未經驗證的電子郵件。

強化外寄電子郵件的安全性 (DKIM) | 使用 SPF 對電子郵件寄件者進行授權 | 
針對假冒身分的垃圾郵件強化安全性 (DMARC)

配合 SPF 設定內送電子郵件閘道
如果您使用電子郵件閘道轉送外來電子郵件,請務必根據寄件者政策架構 (SPF) 妥善調整設定,避免垃圾郵件處理過程受到負面影響。

設定內送郵件閘道

要求合作夥伴網域使用傳輸層安全標準 (TLS)
規定郵件傳輸作業必須遵守傳輸層安全標準 (TLS),確保連線安全無虞。請配置 TLS 設定,要求使用者與合作夥伴網域之間的郵件通訊必須使用安全連線。

要求系統透過安全 (TLS) 連線傳送郵件

要求所有已核准的寄件者進行驗證程序
為垃圾郵件政策啟用「需要寄件者驗證」設定。「不需寄件者驗證」表示如果郵件來自未啟用驗證功能 (例如 SPF 或 DKIM) 的已核准寄件者,就不會進入垃圾郵件資料夾。停用這項設定可降低假冒網路詐騙/商業郵件詐騙的風險。進一步瞭解寄件者驗證功能

自訂垃圾郵件篩選器設定

設定 MX 記錄以確保郵件正常收發
將指向 Google 郵件伺服器的 MX 記錄設為優先順序最高的記錄,確保 G Suite 網域使用者能正確收發郵件。這種做法可降低資料刪除 (透過遺失的電子郵件) 和惡意軟體威脅的風險。

為 G Suite Gmail 設定 MX 記錄 | G Suite MX 記錄值

保護使用者和機構

停用 IMAP/POP 存取權
IMAP 和 POP 桌面用戶端可讓使用者透過第三方電子郵件用戶端存取 Gmail。請為所有非明確需要 POP 和 IMAP 存取權的使用者停用這項存取權。這種做法可降低資料外洩資料刪除資料竊取的風險,也能降低因為 IMAP 用戶端可能沒有和第一方用戶端同級的保護措施而受到攻擊的威脅。

為使用者開啟及關閉 IMAP 和 POP

停用自動轉寄
禁止使用者設定將內送郵件自動轉寄到其他地址。攻擊者常在電子郵件轉寄過程中竊取資訊,因此停用自動轉寄功能可降低轉寄過程中發生資料竊取的風險。

停用自動轉寄

啟用全方位郵件儲存空間
全方位郵件儲存空間設定可確保網域中所有已收發郵件 (包括透過非 Gmail 信箱收發的郵件) 的副本皆儲存在關聯使用者的 Gmail 信箱中。啟用這項設定後,凡是啟用 SMTP 轉發功能的使用者,收發的郵件都會儲存在 Google 保管箱中。

這種做法可確保網域中所有已收發的郵件副本 (包括透過非 Gmail 信箱收發的郵件) 皆儲存在關聯使用者的 Gmail 信箱中,降低資料刪除的風險。

設定全方位郵件儲存空間

不要讓內部寄件者略過垃圾郵件篩選器
請關閉「讓內部寄件者略過垃圾郵件篩選器」設定,因為系統會將所有加入群組的外部地址視為內部地址。關閉這項設定可確保使用者的所有電子郵件 (包括來自內部寄件者的郵件) 都經過篩選,將垃圾郵件排除在外。這種做法可降低假冒網路詐騙/商業郵件詐騙的風險。

自訂垃圾郵件篩選器設定

為所有預設轉送規則新增垃圾郵件標頭設定
只要為所有預設轉送規則新增垃圾郵件標頭設定,就能充分發揮下游電子郵件伺服器的篩選功能,降低假冒和網路詐騙/商業郵件詐騙的風險。雖然 Gmail 會自動篩選垃圾郵件和網路詐騙郵件,但如果勾選 [新增 X-Gm-Spam 和 X-Gm-Phishy 標頭] 方塊,系統就會新增這兩種標頭來指出郵件是否為垃圾郵件和網路詐騙郵件。

舉例來說,下游伺服器的管理員可以運用這項資訊來設定規則,以清除郵件之外的方式來處理垃圾郵件和網路詐騙郵件。

設定預設路徑

啟用加強型送達前掃描郵件功能
啟用這項設定後,如果 Gmail 發現某封電子郵件可能是網路詐騙郵件,就會對該郵件執行額外檢查。

使用加強型送達前掃描郵件功能

啟用外部收件者警告功能 
Gmail 會偵測使用者回覆電子郵件的外部收件者;您指定這項設定後,如系統發現外部收件者並非使用者經常互動的對象或是使用者的聯絡人,就會顯示警告並提供關閉選項。

設定外部收件者警告功能

啟用額外的附件防護措施
不論您是否啟用額外的惡意附件防護設定,Google 都會掃描收到的郵件來防止惡意軟體入侵。而啟用額外的附件防護措施後,還能找出先前偵測遺漏的惡意內容電子郵件。

加強網路詐騙和惡意軟體防護措施

啟用額外的連結與外部內容防護措施
不論您是否啟用額外的惡意連結和內容防護設定,Google 都會掃描收到的郵件以防止惡意軟體入侵,如果您啟用額外的連結與外部內容防護措施,系統就能進一步找出先前未偵測到的網路詐騙電子郵件。

加強網路詐騙和惡意軟體防護措施

啟用額外的假冒行為防護措施
不論您是否啟用額外的假冒行為防護設定,Google 都會掃描收到的郵件來防範假冒行為。而啟用額外的假冒行為防護措施和驗證措施可帶來諸多益處,包括降低攻擊者以相似網域名稱或員工名稱假冒他人身分進行詐騙的風險。

加強網路詐騙和惡意軟體防護措施

處理 Gmail 日常工作時應考量的安全事項

覆寫垃圾郵件篩選器時應謹慎行事

進階 Gmail 設定提供了詳細的郵件傳送及篩選控制功能。善用這些設定即可避免垃圾郵件數量增加,但覆寫 Gmail 的預設垃圾郵件篩選器時需格外注意。

  • 當您將特定網域或電子郵件地址加入核准的寄件者清單時,請謹慎使用「不需寄件者驗證」選項,以免未經驗證的寄件者略過 Gmail 的垃圾郵件篩選器。
  • 如要讓來自特定 IP 位址的郵件略過垃圾郵件篩選器,您可以將這些 IP 位址加入電子郵件許可清單。將 IP 位址加入許可清單時請格外注意,特別是透過 CIDR 標示法將大範圍 IP 位址加入許可清單的情況。
  • 如果您透過內送閘道將郵件轉寄到您的 G Suite 網域,請將內送閘道的 IP 位址新增至內送閘道設定,而不要新增至電子郵件許可清單
  • 監控並調整規範規則,防範垃圾郵件與網路詐騙郵件。

為機構調整 Gmail 設定

不要將網域加入核准的寄件者清單
您可以將網域加入核准的寄件者清單。如果您已設定核准的寄件者清單,並且勾選了 [如果收到的郵件來自這些核准的寄件者清單中的地址或網域,則略過垃圾郵件篩選程序],請從核准的寄件者清單中移除所有網域。將網域從核准的寄件者清單中移除,可降低假冒網路詐騙/商業郵件詐騙的風險。 

自訂垃圾郵件篩選器設定

不要將 IP 位址加入許可清單
系統通常不會將來自許可清單中 IP 位址的電子郵件標示為垃圾郵件。為了充分善用 Gmail 的垃圾郵件篩選服務,並適當地歸類垃圾郵件,建議您將用於轉寄電子郵件至 Gmail 的郵件伺服器 IP 位址 (包括您自家與合作夥伴的郵件伺服器) 新增至內送郵件閘道,而不要列於 IP 許可清單中。

在 Gmail 中將特定 IP 位址加入許可清單 | 設定內送郵件閘道

Google+ (僅限 G Suite)

自動建立 Google+ 個人資料
禁止系統為貴機構使用者自動建立公開的 Google+ 個人資料。

管理 Google+ 個人資料
(請參閱「為機構單位中所有使用者建立 Google+ 個人資料」一節)

控管使用者如何分享及瀏覽 Google+ 內容
控管貴機構的使用者可以如何分享及瀏覽 Google+ 內容。舉例來說,您可能會想禁止使用者建立對外內容或與外部內容互動。

管理 Google+ 內容分享設定

網路論壇

為您的群組設定私人存取權
選取「私人」設定,就能將可存取群組的對象限制為您網域中的成員 (群組成員仍然可以收到來自網域外的電子郵件)。這種做法可降低資料外洩的風險。

設定網路論壇企業版共用選項

限制只有管理員能建立群組
只有管理員可以建立群組。這種做法可降低資料外洩的風險。

設定網路論壇企業版共用選項

自訂您的群組存取權設定
建議做法:

  • 允許或禁止網域外成員和訊息。
  • 設定訊息審核功能。
  • 設定群組瀏覽權限。
  • 依據公司政策執行其他操作。

設定哪些人可以查看、張貼及審核留言

停用內部群組的部分存取權設定
下列設定可讓網際網路上的任何使用者加入群組、傳送訊息及查看討論封存內容。請為內部群組停用這些設定:

  • 公開存取權
  • 同時將此存取權授予網際網路上的所有使用者
  • 同時允許網際網路上的所有使用者張貼訊息

將存取權等級指派給群組

為您的群組啟用垃圾內容審核設定
您可以選擇將訊息排入審核佇列 (通知或不通知管理員皆可)、立即拒絕垃圾訊息,或是讓訊息略過審核直接發布。

核准或封鎖新訊息

行動服務

啟用基本行動裝置管理服務

啟用行動裝置管理服務來協助控管公司資料
請思考如何實作貴機構的行動裝置規範與行動裝置管理政策。

您至少應啟用基本行動管理服務,以便在 iOS 和 Android 裝置上取得公司資料的檢視及控制權限。這種做法可降低資料外洩惡意軟體惡意內部攻擊的風險。

開始使用 Google 行動管理服務

控管應用程式存取權

建立核准的企業應用程式許可清單
為了避免潛在安全威脅的應用程式濫用公司資源,應用程式必須通過審查且核准為業務用途,才能加入許可清單。

在 iOS 裝置上管理應用程式 | 在 Android 裝置上管理應用程式

封鎖來源不明的應用程式
保留預設設定,禁止 Android 行動裝置從不明來源安裝非 Play 商店的應用程式。這種做法可降低資料外洩帳戶資料洩漏資料竊取資料刪除惡意軟體的風險。

套用 Android 行動裝置設定

強制執行應用程式驗證
保留預設設定,規定使用者只能在 Android 行動裝置上安裝已知來源的應用程式。這種做法可降低惡意軟體資料外洩的風險。

套用 Android 行動裝置設定

規定 iOS 裝置只能安裝受管理的應用程式
當您將應用程式加入 iOS 應用程式許可清單,就表示將該應用程式納入管理。這樣一來,您就能進一步控管該應用程式和相關資料在個人 iOS 裝置上的狀態。受管理的應用程式不可與未受管理的應用程式共用檔案。

舉例來說,使用者無法將受管理企業應用程式的資料備份至外部實體 (例如 iCloud)。如果使用者在受管理的企業應用程式中建立了 PDF 檔案,他們將無法透過未受管理的個人應用程式開啟該檔案。

在 iOS 裝置上管理應用程式

保護帳戶和資料

強制執行行動裝置密碼要求
要求使用者為行動裝置設定密碼,另可配置密碼強度、密碼有效期限、密碼重複使用、密碼鎖定和裝置資料清除設定。這種做法可降低行動裝置遺失、遭竊或轉售時資料外洩的風險。

為行動裝置套用密碼設定

將行動裝置上的資料加密
在支援加密功能的 Android 行動裝置上加密資料,以降低行動裝置遺失、遭竊或轉賣時的資料外洩風險。Apple 會為所有 iOS 裝置加密。

套用進階設定

啟用帳戶自動抹除功能
當裝置處於閒置狀態超過指定的天數後,系統就會自動從 Android 行動裝置中移除公司帳戶資料。這種做法可降低資料外洩的風險。

套用 Android 行動裝置設定

強制使用 Android 工作資料夾
Android 工作資料夾可讓您分開存放個人資料和公司資料。只要透過整合式裝置管理服務強制啟用工作資料夾,即可將能存取公司資料的應用程式加入許可清單,並且禁止安裝來源不明的應用程式。

設定 Android 工作資料夾

管理裝置

封鎖遭駭的行動裝置
封鎖遭駭的 Android 行動裝置。遭駭跡象包括裝置上出現已解鎖的系統啟動載入程式、使用自訂唯讀記憶體 (ROM) 或出現超級使用者二進位檔等。

套用進階設定

啟用行動裝置非使用狀態報告
每月傳送報告給超級管理員,提供最近 30 天處於閒置狀態,並未同步處理任何工作資料的公司裝置資訊。停用閒置帳戶可降低資料外洩的風險。

取得公司閒置裝置相關報告

封鎖外部媒體儲存裝置
禁止使用者將資料和應用程式移出或移入 Android 行動裝置。這種做法可降低資料外洩的風險。這種做法可降低資料外洩的風險。

套用 Android 行動裝置設定

停用定位記錄
停用定位記錄服務,不讓系統儲存使用者的定位記錄。

開啟或關閉額外的 Google 服務

協作平台 (僅限 G Suite)

禁止與網域外的對象共用協作平台
禁止使用者與網域外的對象共用協作平台,藉此降低資料外洩的風險。如有重大業務需求,您也可以允許與網域外的對象共用協作平台,但系統會在使用者與網域外對象共用協作平台時顯示警告。

設定 Google 協作平台共用選項 | 設定共用選項:傳統版協作平台

保管箱 (僅限保管箱)

控管、稽核保管箱帳戶並確保安全
確認擁有保管箱存取權的帳戶受到審慎控管及稽核。

瞭解稽核

將擁有保管箱存取權的帳戶視為機密帳戶
保管箱帳戶應視為擁有特殊存取權的帳戶,與超級管理員帳戶類似。請審慎控管及稽核擁有保管箱存取權的帳戶,並強制執行兩步驟驗證。

使用兩步驟驗證功能保障企業資料安全 | 部署兩步驟驗證功能

這對您有幫助嗎?
我們應如何改進呢?

還有其他問題嗎?

登入即可獲得其他支援選項,快速解決您的問題