Sicherheits-Checkliste für die Geräteverwaltung
Diese Best Practices für die Sicherheit richten sich an Administratoren von Google Workspace und Cloud Identity .
Als Administrator können Sie dabei helfen, Arbeitsdaten auf den privaten Geräten der Nutzer (BYOD) und auf den unternehmenseigenen Geräten Ihrer Organisation zu schützen, indem Sie die Funktionen und Einstellungen der Google-Endpunktverwaltung verwenden. Andere Sicherheitsfunktionen bieten stärkeren Kontoschutz, granulare Zugriffskontrolle und Datenschutz. Überprüfen Sie die folgende Checkliste, um sicherzustellen, dass Sie so eingerichtet sind, dass Sie die Gerätesicherheitsziele Ihrer Organisation erfüllen.
Alle Mobilgeräte
Passwörter verlangen Schützen Sie Daten auf verwalteten Mobilgeräten, indem Sie verlangen, dass Benutzer eine Bildschirmsperre oder ein Kennwort für ihr Gerät festlegen. Bei Geräten mit erweiterter Verwaltung können Sie auch den Kennworttyp, die Stärke und die Mindestanzahl von Zeichen festlegen. Legen Sie Kennwortanforderungen für verwaltete Mobilgeräte fest | |
Sperren oder löschen Sie Unternehmensdaten von fehlenden Geräten Wenn ein Gerät verloren geht oder ein Mitarbeiter Ihr Unternehmen verlässt, sind die Arbeitsdaten auf dem Gerät gefährdet. Sie können das Arbeitskonto eines Benutzers vom Gerät löschen, einschließlich aller seiner Arbeitsdaten. Bei Geräten mit erweiterter Verwaltung können Sie das gesamte Gerät löschen. Diese Funktion ist in der kostenlosen Version von Cloud Identity nicht verfügbar. | |
 | Verwalten Sie beruflich genutzte Android-Apps Verhindern Sie unbefugten Zugriff auf beruflich verwendete Android-Apps, indem Sie sie zur Liste der Web- und mobilen Apps hinzufügen, damit die Apps verwaltet werden. Sie können die Installation verwalteter Sicherheits-Apps erzwingen und verwaltete Apps von verlorenen oder gestohlenen Geräten entfernen. Verwaltete Apps werden automatisch von einem Gerät entfernt, wenn ein Benutzer sein Arbeitskonto entfernt. |
Mobilgeräte unter erweiterter Verwaltung
Geräteverschlüsselung erforderlich Die Verschlüsselung speichert Daten in einer Form, die nur gelesen werden kann, wenn ein Gerät entsperrt ist. Beim Entsperren des Geräts werden die Daten entschlüsselt. Die Verschlüsselung bietet zusätzlichen Schutz, wenn ein Gerät verloren geht oder gestohlen wird. | |
Wenden Sie Gerätebeschränkungen an Sie können einschränken, wie Benutzer Daten auf Android- und Apple iOS-Geräten freigeben und sichern. Unter Android können Sie beispielsweise USB-Dateiübertragungen verhindern und auf iOS-Geräten können Sie Sicherungen auf den persönlichen Cloud-Speicher stoppen. Sie können auch den Zugriff auf einige Geräte- und Netzwerkeinstellungen einschränken. Sie können beispielsweise die Kamera des Geräts ausschalten und verhindern, dass Android-Benutzer ihre WLAN-Einstellungen ändern. | |
Kompromittierte Geräte blockieren Verhindern Sie, dass das Arbeitskonto eines Benutzers mit Android- und Apple iOS-Geräten synchronisiert wird, die möglicherweise kompromittiert sind. Ein Gerät wird kompromittiert, wenn es gejailbreakt oder gerootet wird – Prozesse, die Einschränkungen auf einem Gerät aufheben. Kompromittierte Geräte können auf eine potenzielle Sicherheitsbedrohung hinweisen. | |
Blockieren Sie automatisch Android-Geräte, die Ihre Richtlinien nicht einhalten Wenn ein Gerät die Richtlinien Ihrer Organisation nicht einhält, können Sie es automatisch für den Zugriff auf geschäftliche Daten sperren und den Benutzer benachrichtigen. Wenn Sie beispielsweise eine Mindestkennwortlänge von 6 Zeichen erzwingen und ein Benutzer sein Gerätekennwort auf 5 Zeichen ändert, ist das Gerät nicht konform, da es Ihre Kennwortrichtlinie nicht einhält. | |
| Aktivieren Sie die automatische Kontolöschung für Android-Geräte Arbeitskontodaten und verwaltete Apps automatisch von einem Android-Gerät entfernen, wenn es für eine bestimmte Anzahl von Tagen inaktiv ist. Dadurch wird das Risiko von Datenlecks verringert. |
| Verwalten Sie für die Arbeit verwendete iOS-Apps Verhindern Sie unbefugten Zugriff auf iOS-Apps, die für die Arbeit verwendet werden, indem Sie sie zur Liste der Web- und mobilen Apps hinzufügen und die Apps verwalten lassen. Sie können verwaltete Apps von verlorenen oder gestohlenen Geräten entfernen. Verwaltete Apps werden automatisch von einem Gerät entfernt, wenn ein Benutzer sein Arbeitskonto entfernt. |
| Blockieren Sie potenziell gefährliche Android-Apps Standardmäßig blockiert Google Nicht-Play-Store-Apps auf Android-Mobilgeräten aus unbekannten Quellen. Apps werden auch automatisch von Google Play Protect gescannt und bei Gefahr blockiert. Diese Funktionen reduzieren Datenlecks , Kontoverletzungen , Datenexfiltrationen , Datenlöschungen und Malware- Risiken. Stellen Sie sicher , dass App-Installation aus unbekannten Quellen blockieren aktiviert ist und Benutzern das Deaktivieren von Google Play Protect erlauben für alle Ihre Benutzer deaktiviert ist. |
Computer, die auf Arbeitsdaten zugreifen
Aktivieren Sie die Endpunktüberprüfung Wenn Laptops und Desktops mit Endpunktüberprüfung verwaltet werden, können Sie den kontextsensitiven Zugriff verwenden, um die Daten Ihrer Organisation zu schützen und mehr Informationen über die Geräte zu erhalten, die auf diese Daten zugreifen. | |
Beschränken Sie Google Drive für den Desktop auf unternehmenseigene Geräte Mit Drive for Desktop können Benutzer auf ihrem Mac oder Windows-Computer außerhalb eines Browsers an Drive-Dateien arbeiten. Um die Offenlegung der Daten Ihrer Organisation zu begrenzen, können Sie zulassen, dass Drive für den Desktop nur auf unternehmenseigenen Geräten ausgeführt wird, die in Ihrem Inventar aufgeführt sind. Beschränken Sie Drive für den Desktop auf unternehmenseigene Geräte | |
Google-Anmeldeinformationsanbieter für Windows (GCPW) einrichten Lassen Sie Nutzer sich mit ihrem geschäftlichen Google-Konto auf Windows 10-Computern anmelden. GCPW umfasst die Bestätigung in zwei Schritten und Anmeldeaufforderungen. Nutzer können auch auf Google Workspace-Dienste und andere Apps mit einmaligem Anmelden (SSO) zugreifen, ohne ihren Google-Nutzernamen und ihr Passwort erneut eingeben zu müssen. | |
Beschränken Sie Benutzerrechte auf unternehmenseigenen Windows-Computern Mit der Windows-Geräteverwaltung können Sie steuern, was Benutzer auf ihren unternehmenseigenen Windows 10-Computern tun können. Sie können die administrative Berechtigungsstufe der Benutzer für Windows festlegen. Sie können auch Windows-Sicherheits-, Netzwerk-, Hardware- und Softwareeinstellungen anwenden. |
Mehr Sicherheitsoptionen für alle Geräte
Verhindern Sie unbefugten Zugriff auf das Konto eines Benutzers Fordern Sie einen zusätzlichen Identitätsnachweis, wenn sich Nutzer mit der Bestätigung in zwei Schritten (2SV) in ihrem Google-Konto anmelden. Dieser Nachweis kann ein physischer Sicherheitsschlüssel, ein in das Gerät des Benutzers integrierter Sicherheitsschlüssel, ein per SMS oder Telefonanruf übermittelter Sicherheitscode und mehr sein. Wenn Google den Verdacht hat, dass eine nicht autorisierte Person versucht, auf das Konto eines Nutzers zuzugreifen, stellen wir ihm eine zusätzliche Sicherheitsfrage oder Sicherheitsabfrage. Wenn Sie die Google-Endpunktverwaltung verwenden, bitten wir die Nutzer möglicherweise, ihre Identität mit ihrem verwalteten Mobilgerät (dem Gerät, das sie normalerweise für den Zugriff auf ihr Arbeitskonto verwenden) zu bestätigen. Zusätzliche Herausforderungen verringern die Wahrscheinlichkeit, dass eine nicht autorisierte Person in Benutzerkonten eindringt, erheblich. | |
Verwenden Sie den kontextsensitiven Zugriff, um den Zugriff auf Google-Apps bedingt zuzulassen Sie können verschiedene Zugriffsebenen basierend auf der Identität eines Benutzers und dem Kontext der Anfrage (Land/Region, Gerätesicherheitsstatus, IP-Adresse) einrichten. Sie können beispielsweise den Zugriff von Mobilgeräten auf eine Google-App (Web und Mobilgerät) blockieren, wenn sich das Gerät außerhalb eines bestimmten Landes/einer bestimmten Region befindet oder wenn das Gerät Ihre Verschlüsselungs- und Passwortanforderungen nicht erfüllt. Als weiteres Beispiel können Sie Auftragnehmern den Zugriff auf Google-Web-Apps nur auf unternehmensverwalteten Chromebooks gestatten. | |
Steuern Sie die Apps, die auf Google Workspace-Daten zugreifen können Legen Sie fest, welche mobilen Apps von Ihrer Organisation verwaltet werden. Sie können auch angeben, auf welche Dienste eine App mit der App-Zugriffssteuerung zugreifen kann. Dadurch wird verhindert, dass bösartige Apps Benutzer dazu verleiten, versehentlich Zugriff auf ihre Arbeitsdaten zu gewähren. Die App-Zugriffskontrolle ist geräteunabhängig und blockiert den Zugriff durch nicht autorisierte Apps sowohl auf BYOD- als auch auf unternehmenseigenen Geräten. | |
Identifizieren Sie vertrauliche Daten in Google Drive, Docs, Sheets, Slides und Gmail Schützen Sie vertrauliche Daten, wie z. B. von der Regierung ausgestellte persönliche IDs, indem Sie Richtlinien zur Verhinderung von Datenverlust (DLP) festlegen. Diese Richtlinien können viele gängige Datentypen erkennen, und Sie können auch benutzerdefinierte Inhaltsdetektoren erstellen, um unternehmensspezifischen Anforderungen gerecht zu werden. DLP schützt Daten auf Quell- und Anwendungsebene und gilt für alle Geräte und Zugriffsmethoden. |
Google, Google Workspace und zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Firmen- und Produktnamen sind Warenzeichen der Unternehmen, mit denen sie verbunden sind.
No comments:
Post a Comment