แนวทางปฏิบัติแนะนำด้านความปลอดภัยสำหรับบัญชีผู้ดูแลระบบ

ทำตามแนวทางปฏิบัติแนะนำเหล่านี้เพื่อเพิ่มความปลอดภัยของบัญชีผู้ดูแลระบบและรวมถึงธุรกิจของคุณในภาพรวม

โปรดดูแนวทางปฏิบัติแนะนําด้านความปลอดภัยเพิ่มเติมที่หัวข้อรายการตรวจสอบความปลอดภัย

ปกป้องบัญชีผู้ดูแลระบบ   |   จัดการบัญชีผู้ดูแลระบบขั้นสูง   |   ตรวจสอบกิจกรรม   |   เตรียมพร้อมสำหรับการกู้คืน

ปกป้องบัญชีผู้ดูแลระบบ

กำหนดให้มีการยืนยันแบบ 2 ขั้นตอนสำหรับบัญชีผู้ดูแลระบบ

หากมีผู้อื่นรู้รหัสผ่านของผู้ดูแลระบบ การยืนยันแบบ 2 ขั้นตอน (2SV) จะช่วยปกป้องบัญชีจากการเข้าถึงโดยไม่ได้รับอนุญาต สิ่งสำคัญอย่างยิ่งสำหรับผู้ดูแลระบบขั้นสูงคือการใช้ 2SV เนื่องจากบัญชีของตนสามารถควบคุมการเข้าถึงข้อมูลทางธุรกิจและพนักงานทั้งหมดในองค์กรได้

ปกป้องธุรกิจของคุณด้วยการยืนยันแบบ 2 ขั้นตอน

ใช้คีย์ความปลอดภัยสำหรับการยืนยันแบบ 2 ขั้นตอน

มีวิธีการใช้ 2SV หลายวิธีซึ่งประกอบด้วยคีย์ความปลอดภัย, Google Prompt, Google Authenticator และรหัสสำรอง โดยคีย์ความปลอดภัยเป็นอุปกรณ์ฮาร์ดแวร์ขนาดเล็กที่ใช้สำหรับการตรวจสอบสิทธิ์จากปัจจัยที่ 2 ซึ่งช่วยป้องกันภัยคุกคามแบบฟิชชิงและเป็นการยืนยันแบบ 2 ขั้นตอนชนิดที่ปลอดภัยที่สุด

คีย์ความปลอดภัย

อย่าแชร์บัญชีผู้ดูแลระบบกับผู้ใช้

มอบบัญชีที่ระบุตัวตนได้ให้ผู้ดูแลระบบแต่ละคน เพราะหากมีหลายคนลงชื่อเข้าใช้คอนโซลผู้ดูแลระบบโดยใช้บัญชีเดียวกัน เช่น admin@example.com คุณจะไม่สามารถระบุได้ว่าผู้ดูแลระบบรายใดเป็นคนทำกิจกรรมนั้นๆ ในบันทึกการตรวจสอบ

ป้องกันการโจมตีแบบเจาะจงเป้าหมาย

คุณสามารถใช้คําแนะนําทั้งหลายในบทความนี้พร้อมๆ กันได้โดยการลงทะเบียนบัญชีผู้ดูแลระบบขั้นสูงและบัญชีที่ละเอียดอ่อนอื่นๆ ในโปรแกรมการปกป้องขั้นสูง

ปกป้องผู้ใช้ด้วยโปรแกรมการปกป้องขั้นสูง

จัดการบัญชีผู้ดูแลระบบขั้นสูง

ตั้งค่าบัญชีผู้ดูแลระบบขั้นสูงหลายบัญชี

องค์กรของคุณควรมีบัญชีผู้ดูแลระบบขั้นสูงมากกว่า 1 บัญชี โดยแต่ละบัญชีจะจัดการโดยบุคคลที่ไม่ใช่คนเดียวกัน (หลีกเลี่ยงการแชร์บัญชีผู้ดูแลระบบ) หากบัญชีใดสูญหายหรือถูกบุกรุก ผู้ดูแลระบบขั้นสูงอีกคนจะทำงานสำคัญแทนได้ในระหว่างที่กู้คืนบัญชี

อย่าใช้บัญชีผู้ดูแลระบบขั้นสูงสำหรับกิจกรรมประจำวัน

มอบบัญชี 2 บัญชีให้ผู้ดูแลระบบขั้นสูงแต่ละคน โดยบัญชีแรกคือบัญชีผู้ดูแลระบบขั้นสูง ส่วนอีกบัญชีมีไว้สำหรับกิจกรรมประจำวัน ผู้ใช้ควรลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงเพื่อทำงานของผู้ดูแลระบบขั้นสูงเท่านั้น เช่น การตั้งค่าการยืนยันแบบ 2 ขั้นตอน (2SV), จัดการการเรียกเก็บเงินและใบอนุญาตผู้ใช้ หรือช่วยผู้ดูแลระบบรายอื่นกู้คืนบัญชี

ส่วนกิจกรรมประจำวัน ควรใช้บัญชีแยกอีกอันที่ไม่ใช่บัญชีผู้ดูแลระบบ

เช่น หากมาเรียและเจมส์เป็นผู้ดูแลระบบขั้นสูง ทั้งคู่ควรมีบัญชีผู้ดูแลระบบที่ระบุได้ว่าเป็นของใคร 1 บัญชีและบัญชีผู้ใช้ 1 บัญชี ดังนี้

  • admin-maria@example.com, maria@example.com
  • admin-james@example.com, james@example.com

ตรวจสอบว่าคุณได้รับการแจ้งเตือนที่สําคัญของผู้ดูแลระบบ

หากคุณไม่ค่อยลงชื่อเข้าใช้ด้วยบัญชีผู้ดูแลระบบหลักบ่อยนัก คุณอาจพลาดประกาศสำคัญเกี่ยวกับการให้บริการที่จําเป็นจาก Google ได้ โปรดตั้งค่าอีเมลรองเพื่อส่งประกาศไปยังบัญชีที่คุณใช้เป็นประจําเพื่อให้มั่นใจว่าคุณจะได้รับประกาศเหล่านี้

ส่งการแจ้งเตือนเรื่องการเรียกเก็บเงินและบัญชีให้กับผู้ดูแลระบบรายอื่น

อย่าลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้

การลงชื่อเข้าใช้บัญชีผู้ดูแลระบบขั้นสูงค้างไว้เมื่อคุณไม่ได้ดำเนินการด้านการดูแลระบบที่เฉพาะเจาะจงอาจเป็นการเพิ่มความเสี่ยงต่อการโจมตีโดยฟิชชิง ผู้ดูแลระบบขั้นสูงควรลงชื่อเข้าใช้เมื่อจำเป็นต้องทำงานบางอย่าง จากนั้นให้ออกจากระบบ

ใช้บัญชีผู้ดูแลระบบที่ไม่ใช่ขั้นสูงสําหรับงานของผู้ดูแลระบบประจําวัน

โปรดใช้บัญชีผู้ดูแลระบบขั้นสูงเมื่อจําเป็นเท่านั้น มอบสิทธิ์ผู้ดูแลระบบให้กับบัญชีผู้ใช้ที่มีบทบาทผู้ดูแลระบบแบบจํากัด ใช้แนวทางการให้สิทธิ์ขั้นต่ำที่สุด โดยผู้ใช้แต่ละรายจะมีสิทธิ์เข้าถึงทรัพยากรและเครื่องมือที่จําเป็นสําหรับการทํางานทั่วไป เช่น ให้สิทธิ์ผู้ดูแลระบบในการสร้างบัญชีผู้ใช้และรีเซ็ตรหัสผ่าน แต่ไม่ให้สิทธิ์ลบบัญชี

เกี่ยวกับบทบาทผู้ดูแลระบบ

เลือกวิธีที่ผู้ดูแลระบบขั้นสูงจะใช้เพื่อกลับเข้าสู่บัญชีของตน

ควบคุมวิธีที่ผู้ดูแลระบบขั้นสูงเข้าถึงบัญชีได้หากลืมรหัสผ่านโดยเปิดหรือปิดการกู้คืนบัญชีด้วยตนเอง สำหรับลูกค้าปัจจุบันรายล่าสุดและลูกค้าใหม่ทั้งหมด การกู้คืนบัญชีผู้ดูแลระบบขั้นสูงจะปิดอยู่โดยค่าเริ่มต้น หากคุณเป็นลูกค้าเดิมที่มีผู้ดูแลระบบขั้นสูงน้อยกว่า 3 คนหรือมีผู้ใช้น้อยกว่า 500 คน การตั้งค่าจะเปิดอยู่โดยค่าเริ่มต้น เพื่อให้ตรงตามลักษณะการทำงานก่อนหน้านี้

อนุญาตให้ผู้ดูแลระบบขั้นสูงกู้คืนรหัสผ่านของตนเองได้

ตรวจสอบกิจกรรมในบัญชีผู้ดูแลระบบ

ตั้งค่าการแจ้งเตือนทางอีเมลของผู้ดูแลระบบ

ตรวจสอบกิจกรรมของผู้ดูแลระบบและติดตามความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นโดยตั้งการแจ้งเตือนทางอีเมลของผู้ดูแลระบบเมื่อเกิดเหตุการณ์บางอย่าง เช่น มีการลงชื่อเข้าใช้ที่น่าสงสัย อุปกรณ์เคลื่อนที่ถูกบุกรุก หรือเมื่อผู้ดูแลระบบรายอื่นทำการเปลี่ยนแปลงใดๆ

เมื่อคุณเปิดการแจ้งเตือนสำหรับกิจกรรม คุณจะได้รับอีเมลทุกครั้งที่กิจกรรมเกิดขึ้น

การแจ้งเตือนผู้ดูแลระบบทางอีเมลและกฎที่ระบบกำหนด

ตรวจสอบเหตุการณ์ในบันทึกของผู้ดูแลระบบ

ใช้ข้อมูลเหตุการณ์ในบันทึกเพื่อดูประวัติของงานทั้งหมดที่ดำเนินการในคอนโซลผู้ดูแลระบบของ Google, ผู้ดูแลระบบที่ดำเนินงาน, วันที่ และที่อยู่ IP ที่ผู้ดูแลระบบลงชื่อเข้าใช้

กิจกรรมที่ผู้ดูแลระบบขั้นสูงทำจะปรากฏในคอลัมน์คำอธิบายเหตุการณ์เป็น _SEED_ADMIN_ROLE ตามด้วยชื่อผู้ใช้

เหตุการณ์ในบันทึกของผู้ดูแลระบบ

เตรียมการกู้คืนบัญชีผู้ดูแลระบบ

เพิ่มตัวเลือกการกู้คืนสำหรับบัญชีผู้ดูแลระบบ

ผู้ดูแลระบบควรเพิ่มตัวเลือกการกู้คืนในบัญชีผู้ดูแลระบบของตน

ผู้ดูแลระบบสามารถคลิกลิงก์หากต้องการความช่วยเหลือในหน้าลงชื่อเข้าใช้เพื่อให้ Google ส่งรหัสผ่านใหม่ให้ทางโทรศัพท์ ข้อความ หรืออีเมลได้หากตนเองลืมรหัสผ่าน Google จึงจำเป็นต้องมีหมายเลขโทรศัพท์และอีเมลผู้ดูแลระบบของบัญชีนี้

เพิ่มข้อมูลการกู้คืนบัญชีลงในบัญชีผู้ดูแลระบบ

เก็บข้อมูลบัญชีไว้ให้พร้อมสำหรับการรีเซ็ตรหัสผ่าน

หากเปิดการกู้คืนบัญชีผู้ดูแลระบบขั้นสูงด้วยตนเองไว้ ผู้ดูแลระบบขั้นสูงที่เพิ่มตัวเลือกการกู้คืนลงในบัญชีจะรีเซ็ตรหัสผ่านได้โดยใช้ตัวเลือกการกู้คืนทางอีเมลหรือโทรศัพท์ 

หากการกู้คืนบัญชีผู้ดูแลระบบขั้นสูงด้วยตนเองปิดอยู่ และผู้ดูแลระบบขั้นสูงรายอื่นไม่พร้อมที่จะรีเซ็ตรหัสผ่าน ผู้ดูแลระบบขั้นสูงที่ต้องการรีเซ็ตรหัสผ่านสามารถใช้วิซาร์ดการกู้คืนได้

Google จะถามคำถามเกี่ยวกับบัญชีขององค์กรดังนี้เพื่อยืนยันตัวตน

  • วันที่สร้างบัญชี
  • ที่อยู่อีเมลสำรองเดิมที่เชื่อมโยงกับบัญชี (อีเมลที่ใช้ลงชื่อสมัครใช้)
  • หมายเลขคำสั่งซื้อของ Google ที่เชื่อมโยงกับบัญชี (หากมี)
  • จำนวนบัญชีผู้ใช้ที่สร้างขึ้น
  • ที่อยู่สำหรับการเรียกเก็บเงินที่เชื่อมโยงกับบัญชี
  • ประเภทบัตรเครดิตที่ใช้และตัวเลข 4 ตัวสุดท้าย

นอกจากนี้ Google ยังขอให้ผู้ดูแลระบบยืนยันความเป็นเจ้าของ DNS ของโดเมนด้วย ดังนั้นผู้ดูแลระบบจึงต้องมีข้อมูลเข้าสู่ระบบเพื่อแก้ไขการตั้งค่า DNS ของโดเมนกับผู้รับจดทะเบียนของตน

รีเซ็ตรหัสผ่านของผู้ดูแลระบบ - หากไม่มีตัวเลือกอีเมลและโทรศัพท์

ลงทะเบียนคีย์ความปลอดภัยสำรอง

ผู้ดูแลระบบควรลงทะเบียนคีย์ความปลอดภัยมากกว่า 1 คีย์เพื่อใช้สำหรับบัญชีผู้ดูแลระบบและควรเก็บไว้ในที่ที่ปลอดภัย หากคีย์ความปลอดภัยหลักสูญหายหรือถูกขโมย พวกเขาจะยังคงลงชื่อเข้าใช้บัญชีได้

เพิ่มคีย์ความปลอดภัยให้กับบัญชีของคุณ

บันทึกรหัสสำรองล่วงหน้า

หากผู้ดูแลระบบลืมรหัสรักษาความปลอดภัยหรือโทรศัพท์ (ที่พวกเขาได้รับรหัสยืนยัน 2SV หรือ Google Prompt) ผู้ดูแลระบบจะใช้รหัสสำรองในการลงชื่อเข้าใช้ได้

ผู้ดูแลระบบควรสร้างและพิมพ์รหัสสำรองเผื่อไว้ใช้ในกรณีที่จำเป็น และเก็บรหัสสำรองไว้ในที่ปลอดภัย

สร้างและพิมพ์รหัสสำรอง

หัวข้อที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร

หากต้องการความช่วยเหลือเพิ่มเติม

ลองทำตามขั้นตอนต่อไปนี้

โพสต์ในชุมชนความช่วยเหลือ ดูคําตอบจากสมาชิกในชุมชน
ติดต่อเรา บอกเราเพิ่มเติมและเราจะช่วยเหลือคุณ
true
เริ่มต้นการทดลองใช้งานฟรี 14 วันได้เลย

อีเมลระดับมืออาชีพ พื้นที่เก็บข้อมูลออนไลน์ การแชร์ปฏิทิน การประชุมวิดีโอ และอื่นๆ เริ่มต้นการทดลองใช้งาน G Suite ฟรีวันนี้

10829199136283349927
true
ค้นหาศูนย์ช่วยเหลือ
true
true
true
true
true
73010
false
false
false
false
ค้นหา
ล้างการค้นหา
ปิดการค้นหา
เมนูหลัก