讓使用者可以自行註冊進階保護計畫。
步驟 1:辨識易受攻擊的使用者並將他們納入註冊對象
審視貴機構有哪些使用者容易遭受攻擊
- 找出容易遭受攻擊而應該列入進階保護計畫的使用者。
機構中的低價值目標通常容易遭受攻擊,接著就會擴大影響範圍。因此,建議您逐步將更多機構角色和使用者列入保護計畫。以下列出一些重要的高價值目標。不過請注意,攻擊行動可能會從其他目標著手再擴大範圍,所以日後最好能將更多使用者納入保護:- 超級管理員因擁有廣泛權限而經常成為攻擊目標。
- 負責帳務或生產業務的使用者因為擁有多項權限,而容易成為攻擊目標。
- 管理人員和其他公司高階主管也可能是攻擊目標。
- 使用者遭受過攻擊,或甚至曾遭到政府資助的入侵者攻擊。您也可能曾收到通知,內容關乎較易遭受攻擊的使用者。請逐一檢視全機構每位使用者。
- 將使用者依機構單位分組。
步驟 2:取得安全金鑰
為每位使用者取得兩組安全金鑰
使用者必須擁有兩組安全金鑰才能註冊進階保護計畫;這兩組安全金鑰可以是手機內建的安全金鑰搭配備份用實體金鑰,如果手機沒有內建安全金鑰,也可以使用兩組實體安全金鑰。
如需安全金鑰的詳細資訊,請參閱訂購安全金鑰一文。
步驟 3:控管進階保護措施能信任哪些第三方應用程式
控管可信任應用程式的存取權
設定可信任的應用程式清單,指出您信任哪些應用程式存取貴機構的資料 (包括進階保護計畫參加者的資料)。這份清單會套用到整個機構。根據預設,Google 原生應用程式、Apple iOS 原生應用程式和 Mozilla Thunderbird 會自動獲得進階保護計畫使用者的信任。如果貴公司還需要使用其他應用程式,請明確地將這些應用程式加入可信任的應用程式清單。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「存取權與資料控管」
您必須以超級管理員的身分登入才能執行這項工作。 - 如需管理第三方應用程式存取權的詳細操作說明,請參閱「控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料」。
步驟 4:為頂層機構存取權設定兩步驟驗證機制
存取兩步驟驗證設定
進階保護計畫會使用兩步驟驗證功能,所以您必須在 Google 管理控制台中選取允許使用者開啟兩步驟驗證的設定。這項設定會套用到整個頂層機構,其中可能包含多個網域。
- 參閱部署兩步驟驗證功能一文的步驟 2:設定基本兩步驟驗證 (必要)。
- 按說明步驟為整個機構 (所有網域) 啟用兩步驟驗證。
步驟 5:允許使用者註冊
允許使用者註冊
根據預設,使用者可以自行註冊進階保護計畫。您可以視需要停用這項使用者功能。
-
-
在管理控制台中,依序點選「選單」圖示
- 選取您要允許哪些機構單位的使用者註冊。
- 預設設定是「啟用使用者註冊作業」。如果尚未勾選這個選項,請予以勾選。
- 指定使用者可產生的安全碼類型。使用安全碼會降低安全性,建議只在必要情況下允許使用者產生安全碼。如要瞭解安全性政策,請參閱透過進階保護計畫為使用者提供保障。
為使用者選擇下列其中一個安全碼選項:
- 禁止使用者產生安全碼:使用者無法產生安全碼。這個選項的安全性最高。如果所有使用者都在使用 Google Chrome 和新型應用程式,請使用這個選項。
- 允許使用沒有遠端存取權的安全碼:使用者可產生適用於同一部裝置或區域網路 (NAT 或 LAN) 的安全碼。這是預設選項。這個選項的安全性低於「禁止使用者產生安全碼」,但是高於下方介紹的「允許使用具備遠端存取權的安全碼」。這個選項適用於:
- iOS 應用程式
- Mac
- Internet Explorer
- Safari
- 舊版電腦應用程式和使用 WebView (而非 Chrome) 進行驗證的行動應用程式
- 允許使用具備遠端存取權的安全碼:使用者可產生適用於各種裝置或網路 (例如存取遠端伺服器或虛擬機器時) 的安全碼。
如要瞭解詳情,請造訪 Google Workspace 更新資訊網誌。
步驟 6:找出高風險使用者並通知對方註冊進階保護計畫
通知使用者註冊
使用者可以在您開放註冊進階保護計畫後自行註冊。他們必須到一個網頁設定安全金鑰,系統也會告知他們啟用進階保護會產生的影響。
請將貴公司的計畫告訴使用者,包括:
- 介紹進階保護計畫,並解釋貴公司為何要加入這個計畫。
- 說明進階保護計畫是否為強制參加。
- 如有必要,請明確告知使用者必須在哪一天前自行註冊進階保護計畫。
- 提及使用者會在註冊後自動登出所有裝置和第三方應用程式,他們必須重新登入。
- 將安全金鑰分派給使用者。
- 提供自助式註冊網頁的連結:進階保護計畫。
