Weitere Informationen finden Sie im Hilfeartikel Häufige Fragen zum erweiterten Sicherheitsprogramm.
Authentifizierungsverhalten
Ja. Sie können das erweiterte Sicherheitsprogramm für Konten verwenden, bei denen die Anmeldung über SAML von einem IdP abgewickelt wird. In diesem Fall benötigen Nutzer, die sich für das Programm registrieren, nach der Anmeldung beim IdP einen Sicherheitsschlüssel. Hinweis: SAML-Nutzer können das Gerät speichern, um Anmeldeaufforderungen in einem Browser oder auf einem Gerät zu vermeiden.
Für eine erhöhte Sicherheit sind zwei Sicherheitsschlüssel erforderlich. Wenn ein Schlüssel verloren geht oder beschädigt wird, können die Nutzer den Kontozugriff mit dem zweiten Schlüssel wiederherstellen.
Hier gilt dasselbe wie für Personen, die nicht für das erweiterte Sicherheitsprogramm registriert sind. Grundsätzlich werden Nutzer auf dem Gerät oder in dem Browser wiedererkannt, mit dem sie sich in Google Workspace anmelden, sodass die Bestätigung in zwei Schritten bei zukünftigen Anmeldungen nicht mehr nötig ist. Außerdem kann der Administrator festlegen, dass Nutzer keine Sicherheitsschlüssel verwenden müssen.
Für die Kommunikation mit Mobilgeräten und die Authentifizierung von Google-Konten können Sie BLE-Sicherheitsschlüssel (Bluetooth Low Energy) verwenden. Beim Anmelden werden Sie aufgefordert, die App „Google SmartLock“ aus dem Apple App Store herunterzuladen und zu verwenden. SmartLock brauchen Sie für die Kommunikation mit dem BLE-Sicherheitsschlüssel.
Auch andere Browser, Anwendungen und Dienste unterstützen die webbasierte Authentifizierung und bieten systemeigene Unterstützung für Sicherheitsschlüssel. Es gibt jedoch ein paar Anwendungsfälle, bei denen Sicherheitsschlüssel nicht verwendet werden können. Das betrifft z. B. alte Plattformen wie Internet Explorer oder alte native mobile Apps, die eingebettete WebViews nutzen. Wenn Sie Chrome Remote Desktop auf einer Remote-Workstation verwenden, kann es sein, dass Sie keinen Sicherheitsschlüssel an den Remote-USB-Port anschließen können.
In diesen Fällen können Sie einen Sicherheitscode nutzen. Sicherheitscodes können nur einmal verwendet werden. Sie werden von den Nutzern mit einem Sicherheitsschlüssel auf einer Plattform generiert, die diese Schlüssel unterstützt.
Für Nutzer des erweiterten Sicherheitsprogramms können Sicherheitscodes an derselben Stelle wie die Registrierung aktiviert bzw. deaktiviert werden. Hinweis: Sicherheitsschlüssel direkt zu verwenden ist sicherer, als auf Sicherheitscodes zurückzugreifen. Daher sollten sich Administratoren gut überlegen, ob sie Sicherheitscodes für Nutzer zulassen oder nicht.
App-Zugriff
Per Standardeinstellung werden Apps, deren Zugriff auf Gmail und Google Drive besonders riskant ist, automatisch blockiert. Ausnahmen sind alle Google-Apps, systemeigene Apple iOS-Apps und der Mozilla Thunderbird-E-Mail-Client.
Nutzer können dazu verleitet werden, Apps Zugriff zu gewähren, die eine besondere Gefährdung darstellen. Mit dem erweiterten Sicherheitsprogramm wollen wir die Nutzer mit dem höchsten Risiko schützen. Daher möchten wir diese Phishinggefahr über Apps unter Kontrolle behalten.
Administratoren können den Zugriff bestimmter verbundener Apps genehmigen. Die vom Administrator erstellte Liste genehmigter Apps wird berücksichtigt und alle Apps, die als hoch risikoreich (siehe oben) eingestuft werden und nicht in dieser Liste aufgeführt sind, werden blockiert.
Von Google erstellte Apps, einschließlich GCDS und GSPS, erhalten automatisch Zugriff, ohne dass der Administrator eingreifen muss.
Gmail-Scans
Nutzer des erweiterten Sicherheitsprogramms mit entsprechenden Lizenzen profitieren von optimierten Scans vor der Zustellung. Außerdem wird bei ihnen die Sicherheits-Sandbox aktiviert. Solche Scans sind für alle Versionen verfügbar. Die Sicherheits-Sandbox steht nur Nutzern von Enterprise zur Verfügung.
