Queste best practice sulla sicurezza riguardano gli amministratori di Google Workspace e Cloud Identity.
In qualità di amministratore, puoi contribuire a proteggere i dati di lavoro sui dispositivi personali degli utenti (BYOD, Bring your own device, Porta il tuo dispositivo) e sui dispositivi aziendali di proprietà della tua organizzazione utilizzando le funzionalità e le impostazioni di gestione degli endpoint di Google. Altre funzionalità di sicurezza offrono una maggiore protezione degli account, un controllo granulare degli accessi e la protezione dei dati. Rivedi l'elenco di controllo seguente per verificare che tutto sia pronto per soddisfare gli obiettivi di sicurezza dei dispositivi della tua organizzazione.
Tutti i dispositivi mobili
|
|
Richiedere le password Per proteggere i dati sui dispositivi mobili gestiti, richiedi agli utenti di impostare un blocco schermo o una password per il proprio dispositivo. Per i dispositivi con gestione avanzata, puoi anche impostare il tipo, la sicurezza e il numero minimo di caratteri della password. Impostare requisiti relativi alle password per i dispositivi mobili gestiti |
|
|
Bloccare o cancellare i dati aziendali dai dispositivi mancanti Quando un dispositivo viene perso o un dipendente lascia l'organizzazione, i dati di lavoro presenti sul dispositivo sono a rischio. Puoi cancellare i dati dell'account di lavoro di un utente dal dispositivo, inclusi tutti i suoi dati di lavoro. Per i dispositivi con gestione avanzata, puoi cancellare l'intero dispositivo. Questa funzionalità non è disponibile con la versione gratuita di Cloud Identity. |
 |
Gestire le app Android utilizzate per il lavoro Impedisci l'accesso non autorizzato alle app Android che vengono utilizzate per il lavoro aggiungendole all'elenco delle app web e per dispositivi mobili in modo che vengano gestite. Puoi forzare l'installazione di app di sicurezza gestite e rimuovere quelle gestite dai dispositivi smarriti o rubati. Quando gli utenti rimuovono il proprio account di lavoro, le app gestite vengono automaticamente rimosse dai loro dispositivi. |
Dispositivi mobili con gestione avanzata
|
|
Richiedere la crittografia dei dispositivi La crittografia consente di memorizzare i dati in un formato che può essere letto solo se un dispositivo è sbloccato. Lo sblocco di un dispositivo comporta la decriptazione dei dati. La crittografia rafforza la protezione in caso di smarrimento o furto del dispositivo. |
|
|
Applicare limitazioni relative al dispositivo Puoi limitare il modo in cui gli utenti condividono i dati e creano copie di backup sui dispositivi Android e Apple® iOS. Ad esempio, su Android puoi impedire i trasferimenti USB di file e sui dispositivi iOS puoi interrompere i backup nello spazio di archiviazione personale sul cloud. Puoi anche limitare l'accesso a determinate impostazioni dei dispositivi e della rete. Ad esempio, puoi disattivare la fotocamera del dispositivo e impedire agli utenti di Android di modificare le impostazioni Wi-Fi. |
|
|
Bloccare i dispositivi compromessi Interrompi la sincronizzazione dell'account di lavoro di un utente su dispositivi Android a Apple iOS che potrebbero essere compromessi. Un dispositivo è compromesso quando è sottoposto a jailbreak o rooting, ovvero a processi che rimuovono le limitazioni su un dispositivo. I dispositivi compromessi possono indicare una potenziale minaccia alla sicurezza. |
|
|
Bloccare automaticamente i dispositivi Android non conformi ai criteri dell'organizzazione Se un dispositivo non è conforme ai criteri della tua organizzazione, puoi bloccarne automaticamente l'accesso ai dati di lavoro e inviare una notifica all'utente. Ad esempio, se imposti su 6 caratteri la lunghezza minima della password e un utente cambia la password del proprio dispositivo utilizzando 5 caratteri, il dispositivo non è conforme perché non rispetta i criteri per le password. |
|
Attivare la cancellazione automatica dell'account per i dispositivi Android Rimuovi automaticamente i dati dell'account di lavoro e le app gestite da un dispositivo Android quando non è attivo per un determinato numero di giorni. In questo modo ridurrai il rischio di fuga di dati. |
|
Gestire le app iOS utilizzate per il lavoro Impedisci l'accesso non autorizzato alle app per iOS utilizzate per il lavoro aggiungendole all'elenco delle app web e per dispositivi mobili in modo che vengano gestite. Puoi rimuovere le app gestite dai dispositivi smarriti o rubati. Quando gli utenti rimuovono il proprio account di lavoro, le app gestite vengono automaticamente rimosse dai loro dispositivi. |
|
Bloccare app Android potenzialmente pericolose Per impostazione predefinita, Google blocca le app non provenienti dal Play Store installate su dispositivi mobili Android da origini sconosciute. Vengono inoltre analizzate automaticamente e bloccate da Google Play Protect, se pericolose. Queste funzionalità riducono i rischi di fuga di dati, violazione di account, esfiltrazione di dati, eliminazione di dati e malware. Assicurati che l'opzione Blocca l'installazione di app da origini sconosciute sia attiva e che la funzionalità Consenti agli utenti di disattivare Google Play Protect sia disattivata per tutti gli utenti. |
Computer che accedono ai dati di lavoro
|
|
Attivare la verifica degli endpoint Quando i computer laptop e desktop vengono gestiti con la verifica degli endpoint, puoi utilizzare l'accesso sensibile al contesto per proteggere i dati dell'organizzazione e ottenere ulteriori informazioni sui dispositivi che accedono a tali dati. |
|
|
Limitare Google Drive per desktop ai dispositivi di proprietà dell'azienda Drive per desktop consente agli utenti di lavorare sui file di Drive sul proprio computer Mac o Windows al di fuori di un browser. Per limitare l'esposizione dei dati della tua organizzazione, puoi consentire l'esecuzione di Drive per desktop solo sui dispositivi di proprietà dell'azienda elencati nel tuo inventario. Limitare Drive per desktop ai dispositivi di proprietà dell'azienda |
|
|
Configurare Provider di credenziali Google per Windows (GCPW) Consenti agli utenti di accedere a computer Windows 10 con il proprio Account Google di lavoro. GCPW include la verifica in due passaggi e le verifiche di accesso. Gli utenti possono anche accedere ai servizi Google Workspace e ad altre app con Single Sign-On (SSO) senza dover reinserire il nome utente e la password di Google. |
|
|
Limitare i privilegi utente sui computer Windows di proprietà dell'azienda Con la gestione dei dispositivi Windows, puoi controllare quali operazioni possono eseguire gli utenti sui computer Windows 10 di proprietà dell'azienda. Puoi impostare il livello di autorizzazione amministrativa degli utenti per Windows. Puoi anche applicare le impostazioni di Windows relative a sicurezza, rete, hardware e software. |
Altre opzioni di sicurezza per tutti i dispositivi
|
|
Prevenire gli accessi non autorizzati agli account degli utenti Quando gli utenti accedono al proprio Account Google, richiedi un'ulteriore prova della loro identità con la verifica in due passaggi (V2P). Questa verifica potrebbe consistere in un token di sicurezza fisico, un token di sicurezza integrato nel dispositivo dell'utente, un codice di sicurezza fornito via SMS o chiamata telefonica e altro ancora. Se Google sospetta che una persona non autorizzata stia tentando di accedere all'account di un utente, le presenta un'ulteriore domanda o verifica di sicurezza. Se utilizzi la gestione degli endpoint di Google, potremmo chiedere agli utenti di verificare la propria identità con il loro dispositivo mobile gestito (il dispositivo con cui normalmente accedono al loro account di lavoro). L'uso di ulteriori verifiche riduce in modo significativo la possibilità che una persona non autorizzata violi gli account degli utenti. |
|
|
Utilizzare l'accesso sensibile al contesto per consentire in modo condizionale l'accesso alle app Google Puoi impostare diversi livelli di accesso in base all'identità di un utente e al contesto della richiesta (paese/area geografica, stato di sicurezza del dispositivo, indirizzo IP). Ad esempio, puoi bloccare l'accesso da dispositivo mobile a un'app Google (web o per dispositivi mobili) se il dispositivo si trova al di fuori di un determinato paese o di un'area geografica specifica o se non soddisfa i requisiti di crittografia e password. Come ulteriore esempio, puoi consentire ai contrattisti di accedere alle app web Google solo sui Chromebook gestiti dall'azienda. |
|
|
Controllare le app che possono accedere ai dati di Google Workspace Puoi stabilire quali app per dispositivi mobili devono essere gestite dalla tua organizzazione. Puoi anche specificare a quali servizi può accedere un'app con il controllo dell'accesso delle app. Questo impedisce alle app dannose di indurre con l'inganno gli utenti a concedere per errore l'accesso ai propri dati di lavoro. Il controllo di accesso delle app è indipendente dal dispositivo e blocca l'accesso da parte di app non autorizzate sui dispositivi di proprietà dell'azienda o BYOD. |
|
|
Identificare i dati sensibili su Google Drive, Documenti, Fogli, Presentazioni e Gmail Proteggi i dati sensibili, ad esempio documenti di identità ufficiali, impostando i criteri di Prevenzione della perdita di dati (DLP). Questi criteri possono rilevare molti tipi di dati comuni e puoi anche creare rilevatori di contenuti personalizzati per soddisfare esigenze aziendali specifiche. DLP protegge i dati a livello di origine e di applicazione e si applica a tutti i dispositivi e metodi di accesso. |
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.