Sprawdzone metody zabezpieczania kont administratorów

Postępuj zgodnie z opisanymi poniżej sprawdzonymi metodami, by poprawić bezpieczeństwo kont administratorów, a co za tym idzie – całej swojej firmy.

Ochrona kont administratorów

Wymaganie stosowania drugiego etapu uwierzytelniania na kontach administratorów

Weryfikacja dwuetapowa pozwala zabezpieczyć konto administratora przed nieautoryzowanym dostępem. Nawet jeśli ktoś zdobędzie hasło do takiego konta, to nie będzie w stanie się zalogować bez podania dodatkowych informacji. Stosowanie weryfikacji dwuetapowej jest szczególnie ważne na kontach superadministratorów, bo zapewniają one kontrolę nad wszystkimi danymi firmy i pracowników w organizacji.

Używanie kluczy bezpieczeństwa podczas weryfikacji dwuetapowej

Dostępnych jest kilka rodzajów weryfikacji dwuetapowej, na przykład stosowanie kluczy bezpieczeństwa, potwierdzeń od Google, aplikacji Google Authenticator lub kodów zapasowych. Klucze bezpieczeństwa to małe urządzenia, które zapewniają drugi składnik uwierzytelniania. Stanowią one najbezpieczniejszą formę weryfikacji dwuetapowej i chronią przed zagrożeniami związanymi z phishingiem.

Unikanie używania konta superadministratora podczas codziennych obowiązków

Superadministratorzy mogą zarządzać wszystkimi aspektami konta firmowego oraz resetować hasła innych użytkowników.

Jednak podczas codziennej pracy superadministratorzy powinni korzystać z oddzielnego konta. Na konto z uprawnieniami superadministratora powinni logować się tylko wtedy, gdy muszą wykonać czynność wymagające tej roli, na przykład skonfigurować weryfikację dwuetapową albo pomóc innemu administratorowi odzyskać dostęp do konta.

Wylogowywanie się z konta superadministratora

Pozostawanie zalogowanym na konto superadministratora, gdy nie jest to potrzebne, zwiększa ryzyko ataków phishingowych. Superadministratorzy powinni logować się na swoje konta tylko w celu wykonania konkretnej czynności, po czym powinni się wylogować.

Zarządzanie kontami superadministratorów

Konfigurowanie kilku kont superadministratorów

Każda firma powinna mieć więcej niż jedno konto superadministratora, a każde z nich musi należeć do innej osoby. Jeśli jedno z takich kont zostanie przejęte lub dostęp do niego będzie niemożliwy, inny superadministrator może wykonywać niezbędne czynności w czasie, gdy pierwsze konto jest odzyskiwane.

Tworzenie oddzielnych kont superadministratorów dla poszczególnych użytkowników

Jeśli kilku superadministratorów korzysta z tego samego konta (np. admin@example.com), nie możesz sprawdzić w dzienniku kontrolnym, która z tych osób wykonała poszczególne czynności administracyjne. Każdy superadministrator powinien mieć konto, które umożliwia jego identyfikację.

Jeśli na przykład Maria i Jakub są superadministratorami, powinni mieć oddzielne konta użytkownika i konta z rolą superadministratora:

  • admin-maria@example.com, maria@example.com
  • admin-jakub@example.com, jakub@example.com
Konfigurowanie uprawnień administratorów, by chronić prywatność użytkowników

Domyślnie konta administratorów w organizacji mają dostęp do treści użytkowników i danych o ich aktywności w usługach Google Workspace, np. zapisów aktywności w Gmailu i Google Chat w dziennikach kontrolnych. Jako superadministrator możesz chronić bezpieczeństwo i prywatność użytkowników, ograniczając uprawnienia administratorów tylko do tych, które są wymagane do codziennych zadań.

Możesz na przykład ograniczyć liczbę administratorów w organizacji, którzy mają dostęp do raportów i dzienników kontrolnych, narzędzia do analizy zagrożeń, panelu bezpieczeństwa i narzędzia jakości w Meet. Instrukcje włączania i wyłączania uprawnień do korzystania z tych usług znajdziesz w artykule Konfigurowanie uprawnień administratorów, by chronić prywatność użytkowników.

Przypisywanie codziennych czynności administracyjnych do kont użytkowników

Aby zachęcić do korzystania z kont superadministratorów tylko wtedy, gdy jest to niezbędne, przypisz codzienne operacje administracyjne do kont użytkowników. Na przykład możesz przekazać obowiązek resetowania haseł do kont użytkowników określonym osobom i jednocześnie zezwolić tylko superadministratorom na usuwanie kont.

Podczas przypisywania uprawnień administracyjnych kieruj się zasadą jak najmniejszych uprawnień. Oznacza to, że każdy administrator powinien mieć dostęp tylko do tych zasobów i narzędzi, które są mu niezbędne podczas wykonywanych na co dzień czynności.

Monitorowanie aktywności na kontach administratorów

Konfigurowanie administracyjnych alertów e-mail

Aby monitorować aktywność na kontach administratorów, możesz skonfigurować alerty e-mail dla określonych zdarzeń, takich jak podejrzane próby logowania, przejęcie urządzenia mobilnego czy zmiana ustawień przez innego administratora.

Jeśli włączysz alert dla danej aktywności, będziesz otrzymywać e-maila za każdym razem, gdy ona wystąpi.

Przeglądanie dziennika kontrolnego administratora

Dziennik kontrolny administratora to kolejne narzędzie umożliwiające monitorowanie aktywności administratorów. Zawiera on historię wszystkich zadań wykonanych w konsoli administracyjnej Google wraz z informacjami o tym, który administrator je wykonał, kiedy to nastąpiło oraz pod jakim adresem IP konto danego administratora było zalogowane.

Aktywność superadministratorów jest wymieniana w kolumnie „Opis zdarzenia” z tekstem _SEED_ADMIN_ROLE, po którym następuje nazwa użytkownika.

Przygotowywanie opcji odzyskiwania kont administratorów

Dodawanie opcji odzyskiwania do kont administratorów

Administratorzy powinni dodać opcje odzyskiwania do swoich kont.

Jeśli administrator zapomni hasła do swojego konta, może kliknąć link Nie pamiętasz hasła? na stronie logowania, a otrzyma od Google nowe hasło telefonicznie, e-mailem lub SMS-em. Wymaga to jednak wcześniejszego dodania do konta pomocniczego numeru telefonu i adresu e-mail.

Zbieranie informacji na potrzeby resetowania haseł

Jeśli superadministrator nie jest w stanie zresetować swojego hasła przy użyciu opcji odzyskiwania przez e-mail lub telefon i nie jest dostępny inny superadministrator, który może w tym pomóc, to pozostaje opcja skontaktowania się z zespołem pomocy Google.

Aby zweryfikować tożsamość superadministratora, Google zadaje pytania o informacje związane z kontem organizacji, takie jak:

  • data utworzenia konta,
  • oryginalny pomocniczy adres e-mail powiązany z kontem (adres użyty podczas rejestracji),
  • numer zamówienia Google powiązany z kontem (jeśli został udostępniony),
  • liczba utworzonych kont użytkowników,
  • adres rozliczeniowy podany na koncie,
  • typ używanej karty kredytowej i cztery ostatnie cyfry jej numeru.

Google może też poprosić administratora o zweryfikowanie własności domeny przez zmianę rekordów DNS. Administrator powinien znać dane logowania umożliwiające edytowanie ustawień DNS domeny w systemie jej rejestratora.

Rejestrowanie zapasowego klucza bezpieczeństwa

Administratorzy powinni zarejestrować więcej niż jeden klucz bezpieczeństwa na swoim koncie i schować zapasowy klucz w bezpiecznym miejscu. Jeśli pierwszy klucz zostanie zgubiony lub skradziony, administrator nadal będzie mógł uzyskać dostęp do swojego konta.

Wcześniejsze zapisywanie kodów zapasowych

Jeśli administrator utraci klucz bezpieczeństwa lub telefon (używany do otrzymywania kodu weryfikacji dwuetapowej lub powiadomienia od Google), może skorzystać z kodu zapasowego, aby się zalogować.

Administratorzy powinni wygenerować i wydrukować kody zapasowe, które umożliwiają odzyskanie dostępu do konta. Takie kody należy przechowywać w bezpiecznym miejscu.

Wyznaczanie więcej niż jednego administratora z własnym kontem

Jeśli administrator nie może się zalogować na swoje konto, inny użytkownik z uprawnieniami administratora może wygenerować dla niego zapasowy kod umożliwiający zalogowanie się za pomocą weryfikacji dwuetapowej.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem