อนุญาตให้ผู้ใช้ลงทะเบียนเข้าร่วมโปรแกรมการปกป้องขั้นสูงเองได้
ขั้นตอนที่ 1: ระบุผู้ใช้ที่เสี่ยงต่อการถูกโจมตีแล้วเลือกผู้ใช้เพื่อลงทะเบียน
- ระบุผู้ใช้ที่มีความเสี่ยงซึ่งคุณต้องการให้อยู่ในขอบเขตของโปรแกรมการปกป้องขั้นสูง
การโจมตีส่วนมากมักเริ่มต้นด้วยการบุกรุกเป้าหมายภายในองค์กรที่อาจถือว่ามีมูลค่าต่ำก่อน แล้วจึงขยายวงโจมตีจากเป้าหมายดังกล่าว เราจึงขอแนะนำให้คุณวางแผนเพิ่มบทบาทและบุคคลอยู่เสมอ โดยรายการด้านล่างนี้คือเป้าหมายมูลค่าสูงที่คุณควรปกป้อง แต่โปรดทราบว่าการโจมตีก็อาจเริ่มจากเป้าหมายอื่นแล้วจึงขยายขอบเขตการโจมตีได้เช่นกัน คุณจึงควรเพิ่มบุคคลนอกเหนือจากรายการนี้อยู่เสมอ- ผู้ดูแลระบบขั้นสูงมักตกเป็นเป้าเนื่องจากมีสิทธิ์ครอบคลุม
- ผู้ใช้ที่ทำงานด้านการเรียกเก็บเงินหรือการผลิตอาจมีสิทธิ์หลายอย่างและมีความเสี่ยง
- ผู้บริหารและเจ้าหน้าที่อาวุโสของบริษัทอาจตกเป็นเป้าได้
- กลุ่มผู้ใช้ที่อาจเคยตกเป็นเป้า หรือแม้กระทั่งผู้ใช้ที่ถูกโจมตีด้วยการสนับสนุนจากรัฐ นอกจากนี้คุณยังอาจได้รับการแจ้งเตือนเกี่ยวกับผู้ใช้ที่อาจเสี่ยงต่อการถูกโจมตีอีกด้วย โปรดพิจารณาผู้ใช้ทั้งองค์กร
- จัดกลุ่มผู้ใช้เป็นหน่วยขององค์กร
ขั้นตอนที่ 2: สั่งซื้อคีย์ความปลอดภัย
ผู้ใช้ต้องใช้คีย์ความปลอดภัยเพื่อการลงทะเบียนในโปรแกรมการปกป้องขั้นสูง โดยอาจใช้คีย์ความปลอดภัยในโทรศัพท์ควบคู่กับคีย์จริงเป็นคีย์สำรอง หรืออาจใช้คีย์ความปลอดภัยจริง 2 อันก็ได้ในกรณีที่โทรศัพท์ของผู้ใช้ไม่มีคีย์ความปลอดภัยในตัว
โปรดดูรายละเอียดเกี่ยวกับคีย์ความปลอดภัยในหัวข้อสั่งซื้อคีย์ความปลอดภัย
ขั้นตอนที่ 3: กำหนดว่าแอปของบุคคลที่สามรายการใดเชื่อถือได้สำหรับการปกป้องขั้นสูง
ตั้งค่ารายการแอปที่เชื่อถือได้เพื่อระบุแอปที่คุณเชื่อถือให้เข้าถึงข้อมูลขององค์กร รวมถึงข้อมูลของผู้ใช้ของคุณในโปรแกรมการปกป้องขั้นสูง รายการแอปที่เชื่อถือได้จะมีผลกับทั้งองค์กร โดยค่าเริ่มต้นของผู้ใช้ในโปรแกรมการปกป้องขั้นสูง ระบบจะเชื่อถือแอปของ Google ที่มาพร้อมเครื่อง, แอป iOS ที่มาพร้อมเครื่องของ Apple และ Mozilla Thunderbird คุณต้องเพิ่มแอปอื่นๆ ลงในรายการแอปที่เชื่อถือได้ที่จำเป็นสำหรับธุรกิจเอง
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
จากคอนโซลผู้ดูแลระบบ ให้ไปที่เมนู
ความปลอดภัย
การเข้าถึงและการควบคุมข้อมูล
คุณต้องลงชื่อเข้าใช้ในฐานะผู้ดูแลระบบขั้นสูงสำหรับงานนี้ - โปรดดูวิธีการโดยละเอียดเกี่ยวกับการจัดการการเข้าถึงแอปของบุคคลที่สามที่หัวข้อควบคุมว่าจะให้แอปของบุคคลที่สามและแอปภายในรายการใดเข้าถึงข้อมูล Google Workspace ได้บ้าง
ขั้นตอนที่ 4: ตั้งการเข้าถึงระดับบนสุดขององค์กรสำหรับการยืนยันแบบ 2 ขั้นตอน
โปรแกรมการปกป้องขั้นสูงจะใช้การยืนยันแบบ 2 ขั้นตอน คุณต้องเลือกการตั้งค่าในคอนโซลผู้ดูแลระบบของ Google ที่อนุญาตให้ผู้ใช้เปิดการยืนยันแบบ 2 ขั้นตอนได้ การตั้งค่านี้จะมีผลกับองค์กรระดับบนสุดทั้งหมดซึ่งอาจประกอบโดเมนหลายโดเมน
- โปรดไปที่หัวข้อใช้การยืนยันแบบ 2 ขั้นตอน แล้วดูขั้นตอนที่ 2: ตั้งค่าการยืนยันแบบ 2 ขั้นตอนเบื้องต้น (บังคับ)
- ทำตามขั้นตอนเพื่อเปิดใช้การยืนยันแบบ 2 ขั้นตอนสำหรับทั้งองค์กร (ทุกโดเมน)
ขั้นตอนที่ 5: เปิดการลงทะเบียนผู้ใช้
โดยค่าเริ่มต้น ผู้ใช้จะลงทะเบียนใช้งานการปกป้องขั้นสูงเองได้ และคุณจะปิดใช้สิทธิ์นี้ได้ หากจำเป็น
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้ด้วยบัญชีที่มีสิทธิ์ของผู้ดูแลระบบ (ไม่ใช่บัญชีที่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู
- เลือกหน่วยขององค์กรที่มีผู้ใช้ที่คุณต้องการอนุญาตให้ลงทะเบียน
- การตั้งค่าเริ่มต้นจะเป็นเปิดการลงทะเบียนผู้ใช้ ให้เลือกตัวเลือกนี้ หากไม่ได้เลือกไว้
- ระบุประเภทของรหัสความปลอดภัยที่ผู้ใช้สร้างได้ การใช้รหัสความปลอดภัยอาจลดความปลอดภัย ดังนั้นจึงควรอนุญาตให้ผู้ใช้สร้างรหัสความปลอดภัยได้ก็ต่อเมื่อจำเป็นเท่านั้น โปรดไปที่หัวข้อปกป้องผู้ใช้ด้วยโปรแกรมการปกป้องขั้นสูงเพื่อดูนโยบายความปลอดภัย
เลือกตัวเลือกรหัสความปลอดภัยแบบใดแบบหนึ่งต่อไปนี้ให้กับผู้ใช้
- ไม่อนุญาตให้ผู้ใช้สร้างรหัสความปลอดภัย - ผู้ใช้จะสร้างรหัสความปลอดภัยเองไม่ได้ ตัวเลือกนี้มีความปลอดภัยสูงสุด ใช้ตัวเลือกนี้หากผู้ใช้ทุกรายใช้ Google Chrome และมีแอปพลิเคชันที่ทันสมัย
- อนุญาตรหัสความปลอดภัยโดยไม่ต้องเข้าถึงจากระยะไกล - ผู้ใช้จะสร้างรหัสความปลอดภัยและใช้รหัสดังกล่าวในอุปกรณ์หรือเครือข่ายในระบบเดียวกัน (NAT หรือ LAN) ได้ โดยตัวเลือกนี้คือค่าเริ่มต้น ตัวเลือกนี้จะให้ความปลอดภัยน้อยกว่าการไม่มีรหัสความปลอดภัย แต่มีความปลอดภัยมากกว่ารหัสความปลอดภัยที่มีการเข้าถึงระยะไกลซึ่งจะอธิบายไว้ด้านล่าง ตัวเลือกนี้ใช้ได้กับ
- แอป iOS
- Macs
- Internet Explorer
- Safari
- แอปพลิเคชันบนเดสก์ท็อปและแอปพลิเคชันบนมือถือระบบเดิมที่ใช้ WebView ในการตรวจสอบสิทธิ์แทนการใช้ Chrome
- อนุญาตรหัสความปลอดภัยที่มีการเข้าถึงระยะไกล - ผู้ใช้จะสร้างรหัสความปลอดภัยและใช้รหัสผ่านในอุปกรณ์หรือเครือข่ายอื่นๆ ได้ เช่น เมื่อเข้าถึงเซิร์ฟเวอร์ระยะไกลหรือเครื่องเสมือน
โปรดดูรายละเอียดที่บล็อกการอัปเดต Google Workspace
ขั้นตอนที่ 6: แจ้งผู้ใช้ที่มีความเสี่ยงสูงให้ลงทะเบียนเข้าร่วมการปกป้องขั้นสูง
หลังจากเปิดการลงทะเบียนการปกป้องขั้นสูง ผู้ใช้จะลงทะเบียนเองได้ ผู้ใช้จะเข้าชมหน้าเว็บเพื่อตั้งค่าคีย์ความปลอดภัย นอกจากนี้ยังจะได้รับข้อมูลเกี่ยวกับการเปลี่ยนแปลงที่เกิดขึ้นเมื่อเปิดใช้การปกป้องขั้นสูงอีกด้วย
แจ้งแผนของบริษัทให้ผู้ใช้ทราบ ซึ่งประกอบด้วย
- อธิบายการปกป้องขั้นสูงและสาเหตุที่บริษัทใช้การป้องกันขั้นสูง
- ระบุว่าบริษัทบังคับให้ใช้การปกป้องขั้นสูงหรือไม่
- หากบังคับ ให้แจ้งวันที่ที่ผู้ใช้จะต้องลงทะเบียนการปกป้องขั้นสูงด้วยตนเอง
- อธิบายว่าหลังลงทะเบียนแล้ว ระบบจะนำผู้ใช้ออกจากระบบในอุปกรณ์ทุกเครื่องและแอปของบุคคลที่สามทุกแอป แล้วต้องลงชื่อเข้าใช้
- แจกจ่ายคีย์ความปลอดภัยให้กับผู้ใช้
- ระบุลิงก์ไปยังหน้าเว็บสำหรับการลงทะเบียนด้วยตนเอง: โปรแกรมการปกป้องขั้นสูง