Google Cloud Associate Google Workspace Administrator
Zuletzt überprüft: Mai 2026
Eine übersichtliche Referenz der Architekturmuster, die in der AGWA-Prüfung getestet werden. Von oben nach unten lesen oder zu einem Abschnitt springen.
Hunderte neuer Benutzer aus einer vom Personalwesen bereitgestellten CSV-Datei aufnehmen.
Nutzen Sie die Funktion "Massen-Upload" in der Admin-Konsole. Fügen Sie die Spalte `Org Unit Path` in die CSV-Datei ein, um Benutzer direkt in die richtigen Organisationseinheiten (OUs) zu platzieren.
Warum: Effizienteste Methode zur Massenbenutzererstellung mit korrekter Richtlinienzuweisung ohne Skripting. Direkter als GCDS für einmalige Onboarding-Vorgänge.
Ein Mitarbeiter verlässt das Unternehmen. Bewahren Sie seine Drive-Dateien auf und übertragen Sie diese in die Kontrolle seines Managers.
Bevor Sie den Benutzer sperren oder löschen, verwenden Sie das Datentransfer-Tool der Admin-Konsole, um das Eigentum an allen Drive-Dateien auf den Manager zu übertragen.
Warum: Bewahrt die Datenintegrität und sichert die Geschäftskontinuität. Eine direkte Eigentumsübertragung ist sauberer als das Teilen und sorgt für eine klare Überwachungsprotokollierung.
Verschiedene Abteilungen und Teams benötigen einzigartige Dienst- und Sicherheitseinstellungen.
Erstellen Sie eine hierarchische Organisationseinheitsstruktur (OU) (z.B. /Vertrieb/Ost, /Vertrieb/West). Wenden Sie übergeordnete Richtlinien auf der Eltern-OU und spezifische Überschreibungen auf den Kind-OUs an.
Warum: OUs bieten eine hierarchische Richtlinienvererbung, die eine skalierbare und granulare Kontrolle über Einstellungen für verschiedene Benutzergruppen ermöglicht.
Automatisieren Sie die Gruppenmitgliedschaft für alle Benutzer in der Engineering-Abteilung, einschließlich neuer Mitarbeiter.
Erstellen Sie eine Dynamische Gruppe mit einer Mitgliedschaftsabfrage basierend auf dem Benutzerattribut `department==Engineering`.
Warum: Verwaltet die Mitgliedschaft automatisch basierend auf Benutzerattributen, eliminiert manuelle Aktualisierungen und gewährleistet Konsistenz bei Änderungen der Benutzerrollen.
Dem Helpdesk-Personal die Möglichkeit geben, Passwörter nur für Benutzer in der Hauptbüro-OU zurückzusetzen.
Erstellen Sie eine benutzerdefinierte Admin-Rolle mit nur dem Privileg "Benutzer > Passwort zurücksetzen". Weisen Sie diese Rolle dem Helpdesk-Team zu und beschränken Sie ihre Anwendung nur auf die Ziel-OU.
Warum: Implementiert das Prinzip der geringsten Berechtigung. Benutzerdefinierte, bereichsbezogene Rollen verhindern, dass delegierte Admins Benutzer oder Einstellungen außerhalb ihrer Verantwortung beeinflussen.
Synchronisierung von Active Directory über GCDS, aber Benutzer-UPNs haben eine alte Domäne. Es müssen Benutzer mit der neuen, korrekten Domäne erstellt werden.
Konfigurieren Sie in GCDS eine Attributtransformationsregel für das E-Mail-Adressattribut, um die alte Domänenzeichenfolge durch die neue zu ersetzen.
Warum: Korrigiert Daten während des Synchronisierungsprozesses, ohne eine Änderung des Quell-Active Directory zu erfordern, was oft nicht praktikabel ist.
Ein Benutzer wurde vor 15 Tagen versehentlich gelöscht. Sein Manager benötigt nun eine kritische Datei aus dessen Drive.
Stellen Sie in der Admin-Konsole den kürzlich gelöschten Benutzer wieder her. Das Wiederherstellungsfenster beträgt 20 Tage. Übertragen Sie die Daten nach der Wiederherstellung und löschen Sie den Benutzer bei Bedarf erneut.
Warum: Gelöschte Benutzer können 20 Tage lang wiederhergestellt werden. Dies ist die einzige Möglichkeit, ihre Daten wiederherzustellen, wenn keine Vault-Sperre/-Aufbewahrung aktiv war.
Ein Support-Team benötigt eine gemeinsame E-Mail-Adresse (support@), über die mehrere Mitglieder Kundenanfragen verwalten, zuweisen und verfolgen können.
Erstellen Sie eine Google-Gruppe und konfigurieren Sie sie als "Gemeinsamer Posteingang".
Warum: Dieser Gruppentyp ist für gemeinsame Workflows konzipiert und ermöglicht die Zuweisung von Konversationen und die Verfolgung der Lösung, was einer Standard-Verteilerliste oder einem gemeinsam genutzten Benutzerkonto überlegen ist.
Erzwingen Sie einen standardisierten rechtlichen Haftungsausschluss und Branding für alle ausgehenden E-Mails der Vertriebsabteilung.
Konfigurieren Sie in den Gmail-Einstellungen eine Compliance-Regel mit der Aktion "Fußzeile anhängen", die auf die Vertriebs-OU beschränkt ist.
Warum: Dies fügt auf Serverebene eine nicht bearbeitbare Fußzeile hinzu, die 100%ige Compliance gewährleistet. Benutzerseitige Lösungen können geändert oder umgangen werden.
Benutzern erlauben, Drive-Dateien extern zu teilen, jedoch nur mit spezifischen, genehmigten Partnerdomänen.
Fügen Sie in den Drive-Freigabeeinstellungen Partnerdomänen zur Liste "Zugelassene Domänen" hinzu und stellen Sie die Freigaberichtlinie auf "Nur zugelassene Domänen" ein.
Warum: Bietet ein Gleichgewicht zwischen Sicherheit und Zusammenarbeit, verhindert die Datenfreigabe an unbefugte externe Parteien und ermöglicht gleichzeitig genehmigte Partnerschaften.
Externen Gästen die Teilnahme an Google Meet erlauben, sie aber daran hindern, vor dem Eintreffen eines internen Gastgebers beizutreten.
Stellen Sie in den Sicherheitseinstellungen von Google Meet sicher, dass "Gastgeber muss Personen von außerhalb Ihrer Organisation zulassen" (Klopfen) aktiviert ist.
Warum: Verbessert die Besprechungssicherheit durch die Schaffung einer virtuellen Lobby, die dem Gastgeber die Kontrolle darüber gibt, wann und welche externen Teilnehmer beitreten können.
Migration von einem lokalen Exchange-Server zu Gmail ohne Ausfallzeiten für eingehende E-Mails.
Konfigurieren Sie die Dual-Zustellung. Richten Sie eine Mail-Route in Workspace ein, um E-Mails an den älteren Exchange-Server weiterzuleiten, und leiten Sie dann die MX-Einträge auf Google um.
Warum: Stellt sicher, dass Benutzer während einer phasenweisen Migration E-Mails in beiden Postfächern erhalten, wodurch verlorene Nachrichten verhindert und ein reibungsloser Übergang ermöglicht wird.
Benutzer daran hindern, nicht überprüfte Drittanbieter-Add-ons in Docs, Sheets und Gmail zu installieren.
Konfigurieren Sie in den Marketplace-Einstellungen eine Zulassungsliste genehmigter Anwendungen und legen Sie die Richtlinie so fest, dass Benutzer nur zugelassene Apps verwenden dürfen.
Warum: Reduziert das Sicherheitsrisiko durch bösartige oder datenhungrige Drittanbieter-Apps, indem ein "Walled Garden" von IT-genehmigten Tools geschaffen wird.
Zur Einhaltung der Compliance müssen alle E-Mails 7 Jahre lang aufbewahrt werden, auch wenn Benutzer sie aus ihren Postfächern löschen.
Erstellen Sie in Google Vault eine benutzerdefinierte Aufbewahrungsregel für Gmail mit einer Dauer von 7 Jahren. Legen Sie kein Ablaufdatum fest.
Warum: Die Vault-Aufbewahrung arbeitet unabhängig von Benutzeraktionen. Sie bietet ein rechtlich verteidigungsfähiges Archiv für eDiscovery und Compliance, getrennt von Live-Benutzerpostfächern.
Die Rechtsabteilung fordert, dass alle Daten für bestimmte Mitarbeiter (Verwahrer) für anhängige Rechtsstreitigkeiten auf unbestimmte Zeit aufbewahrt werden.
Erstellen Sie in Google Vault einen Fall (Matter), identifizieren Sie die Benutzer als Verwahrer und verhängen Sie einen Legal Hold für sie.
Warum: Ein Legal Hold überschreibt alle Aufbewahrungs- und Löschrichtlinien. Daten werden aufbewahrt, bis die Sperre explizit aufgehoben wird, um die rechtlichen Aufbewahrungspflichten zu erfüllen.
Verhindern Sie, dass Benutzer versehentlich Dokumente mit Kreditkartennummern oder PII an externe Parteien weitergeben.
Erstellen Sie eine Data Loss Prevention (DLP)-Regel unter `Sicherheit > Datenschutz`. Verwenden Sie vordefinierte Detektoren (z.B. Kreditkartennummer) und legen Sie die Auslösebedingung für die externe Freigabe fest. Die Aktion sollte "Externe Freigabe blockieren" sein.
Warum: DLP scannt Inhalte in Echtzeit, um Datenschutzrichtlinien automatisch durchzusetzen und das Risiko menschlicher Fehler, die zu Datenlecks führen, zu reduzieren.
Zur Einhaltung der DSGVO sicherstellen, dass alle primären Daten europäischer Mitarbeiter im Ruhezustand in europäischen Rechenzentren gespeichert werden.
Platzieren Sie europäische Benutzer in einer dedizierten OU. Wenden Sie unter `Konto > Datenregionen` eine Datenregionsrichtlinie für "Europa" auf diese OU an.
Warum: Diese Funktion erfüllt direkt die Anforderungen an die Datenresidenz, indem sie den geografischen Speicherort der primären Daten für bestimmte Dienste steuert.
Ein Benutzer hat eine kritische Drive-Datei vor 10 Tagen dauerhaft gelöscht. Sie befindet sich nicht mehr im Papierkorb.
Wenn eine Vault-Aufbewahrungsregel oder -Sperre für den Benutzer galt, suchen Sie die Datei in Vault und exportieren Sie sie zur Wiederherstellung.
Warum: Vault fungiert als Sicherheitsnetz. Daten, die von Aufbewahrungs-/Sperrfristen abgedeckt sind, bleiben auch nach dem "dauerhaften" Löschen durch den Benutzer erhalten.
Ein Mitarbeiter unter Legal Hold verlässt das Unternehmen. Sie müssen seine Daten und den Legal Hold aufrechterhalten, aber seine volle Lizenz freigeben.
Sperren Sie das Benutzerkonto und weisen Sie eine "Archivierter Benutzer" (AU)-Lizenz zu. Die Daten bleiben in Vault und unterliegen dem Legal Hold.
Warum: AU-Lizenzen sind eine kostengünstige Möglichkeit, Daten ehemaliger Mitarbeiter für Compliance- und Rechtszwecke aufzubewahren, ohne eine volle, aktive Lizenz zu verbrauchen.
Zugriff auf Workspace nur von unternehmensverwalteten Geräten oder bei Verbindung mit dem Büronetzwerk erlauben.
Konfigurieren Sie Context-Aware Access. Erstellen Sie Zugriffsebenen für "Konformes Gerät" (aus dem Endpunktmanagement) und "Unternehmens-IP-Bereich". Wenden Sie eine Richtlinie an, die eine dieser Ebenen für den Zugriff erfordert.
Warum: Dies ist der Kern eines Zero-Trust-Modells für Workspace, das von einem Netzwerkperimeter zur Durchsetzung von Zugriffsrichtlinien basierend auf Geräte- und Benutzerkontext, unabhängig vom Standort, übergeht.
Ein Benutzerkonto wird verdächtigt, kompromittiert zu sein. Der Angreifer könnte aktive Sitzungen oder App-Zugriff haben.
Sofort: 1) Setzen Sie das Passwort des Benutzers zurück. 2) Widerrufen Sie alle OAuth-Tokens von Drittanbietern. 3) Melden Sie alle Websitzungen ab.
Warum: Dieser dreistufige Prozess stellt sicher, dass der Angreifer von allen Zugriffspunkten ausgeschlossen wird: direkter Login, App-basierter Zugriff und bestehende Browser-Sitzungen.
Verhindern Sie, dass Benutzer riskanten oder ungeprüften Drittanbieter-OAuth-Anwendungen Zugriff auf Unternehmensdaten gewähren.
Konfigurieren Sie unter `Sicherheit > API-Steuerungen` die "App-Zugriffssteuerung", um nicht konfigurierte Apps standardmäßig zu blockieren, und fügen Sie dann spezifische, geprüfte Apps zur Liste "Vertrauenswürdig" hinzu.
Warum: Dies ändert die Sicherheitshaltung für Drittanbieter-Apps von einer Standarderlaubnis zu einer Standardverweigerung, wodurch der IT die vollständige Kontrolle darüber gegeben wird, welche Anwendungen auf Unternehmensdaten zugreifen können.
Implementieren Sie Single Sign-On (SSO) mit einem Drittanbieter-IdP, stellen Sie jedoch den Administratorzugriff sicher, wenn der IdP ausgefallen ist.
Konfigurieren Sie SAML SSO für die gesamte Organisation. Erstellen Sie eine separate Gruppe oder OU für Super-Admins und konfigurieren Sie eine Netzwerkmaske oder Gruppeneinstellung, um sie von der SSO-Anforderung auszuschließen.
Warum: Bietet ein kritisches "Break-Glass"-Verfahren, das Admins ermöglicht, sich während eines IdP-Ausfalls mit Google-Anmeldeinformationen anzumelden, um die Umgebung zu verwalten.
Verhindern Sie, dass Angreifer Ihre Domäne bei Phishing-Angriffen spoofen und verbessern Sie die E-Mail-Zustellbarkeit.
Konfigurieren Sie die SPF-, DKIM- und DMARC-DNS-Einträge für Ihre Domäne korrekt. Setzen Sie die DMARC-Richtlinie auf `p=reject` für die vollständige Durchsetzung.
Warum: Diese drei Standards arbeiten zusammen, um Ihre ausgehende E-Mail zu authentifizieren, wodurch Empfängerserver betrügerische Nachrichten, die Ihre Domäne imitieren, zuverlässig ablehnen können.
Benötigen Sie proaktive Benachrichtigungen über Sicherheitsereignisse wie verdächtige Anmeldungen oder Warnungen vor staatlich unterstützten Angriffen.
Überwachen Sie regelmäßig das Alarmcenter. Konfigurieren Sie Alarmregeln, um E-Mail-Benachrichtigungen für hochprioritäre Ereignisse an das Sicherheitsteam zu senden.
Warum: Das Alarmcenter ist die zentrale Anlaufstelle für sicherheitsrelevante Ereignisse. Proaktive Benachrichtigungen ermöglichen eine schnelle Reaktion auf Vorfälle.
Ein Benutzer hat sein Telefon verloren und keine Backup-Codes, wodurch er von seinem 2SV-geschützten Konto ausgeschlossen ist.
Wählen Sie als Administrator den Benutzer aus und generieren Sie einmalig verwendbare Backup-Verifizierungscodes, damit er wieder Zugriff erhält.
Warum: Dies ist das standardmäßige, sichere Verfahren zur Benutzerwiederherstellung, ohne 2SV vorübergehend deaktivieren zu müssen, was die Sicherheit schwächen würde.
Die stärkste Form der Authentifizierung vorschreiben, um Benutzer mit hohem Risiko vor Phishing zu schützen.
Eine 2-Schritt-Verifizierungsrichtlinie durchsetzen, die ausschließlich die Verwendung von Sicherheitsschlüsseln (FIDO) vorschreibt.
Warum: Sicherheitsschlüssel sind Phishing-resistent, da sie Public-Key-Kryptographie verwenden und den Ursprung der Anmeldeseite überprüfen, im Gegensatz zu TOTP oder SMS, die Phishing-Angriffen ausgesetzt sein können.
Ein unternehmensverwaltetes Mobiltelefon mit sensiblen Daten ist verloren gegangen oder gestohlen worden.
Suchen Sie das Gerät in der Admin-Konsole unter "Geräte" und initiieren Sie sofort einen Remote-Befehl "Gerät löschen".
Warum: Dies ist die primäre Sicherheitsmaßnahme bei einem verlorenen verwalteten Gerät. Es setzt das Gerät remote auf die Werkseinstellungen zurück oder löscht das Arbeitsprofil, wodurch Unternehmensdaten vor unbefugtem Zugriff geschützt werden.
Eine Reihe von Sicherheitseinstellungen und obligatorischen Erweiterungen auf allen Unternehmens-Chrome-Browsern (Windows, Mac) durchsetzen.
Registrieren Sie Browser im Chrome Browser Cloud Management (CBCM). Wenden Sie Richtlinien auf die Benutzer-/Browser-OU an, um Erweiterungen zwangsweise zu installieren, andere zu blockieren und Einstellungen zu konfigurieren.
Warum: CBCM bietet eine zentralisierte, Cloud-basierte Verwaltung von Chrome-Browsern auf jeder Plattform und gewährleistet eine konsistente Richtlinien- und Sicherheitslage.
Mitarbeitern erlauben, persönliche Android-Geräte für die Arbeit zu nutzen (BYOD), während Unternehmensdaten getrennt und sicher gehalten werden.
Implementieren Sie Advanced Mobile Management und erzwingen Sie die Erstellung eines Android-Arbeitsprofils auf Geräten im Besitz von Mitarbeitern.
Warum: Ein Arbeitsprofil erstellt einen Container auf OS-Ebene, der Arbeits-Apps und -Daten von persönlichen Daten isoliert. Der gesamte Container kann remote gelöscht werden, ohne die persönlichen Dateien des Benutzers zu beeinträchtigen.
Eine Context-Aware Access-Richtlinie muss überprüfen, ob ein Gerät unternehmenseigen und verschlüsselt ist, bevor der Zugriff gewährt wird.
Stellen Sie die Google Endpoint Verification-Erweiterung/-Agent auf allen verwalteten Geräten bereit. Konfigurieren Sie die CAA-Zugriffsebene so, dass ein "konformer" oder "unternehmenseigener" Gerätestatus erforderlich ist.
Warum: Endpoint Verification ist der Agent, der den Gerätezustand an die CAA-Engine sammelt und meldet, wodurch eine gerätevertrauensbasierte Zugriffssteuerung ermöglicht wird.
Benutzer melden, dass E-Mails an einen bestimmten Partner abgewiesen werden oder stark verzögert sind.
Verwenden Sie das Tool "E-Mail-Log-Suche" in der Admin-Konsole. Suchen Sie nach einer Beispielnachricht, um den vollständigen Zustellungspfad, Zeitstempel und eventuelle Ablehnungsfehler vom Empfängerserver anzuzeigen.
Warum: Die E-Mail-Log-Suche ist das definitive Tool zur Diagnose von Zustellungsproblemen. Sie liefert detaillierte Informationen, die bestätigen, ob die Nachricht Google verlassen hat und warum sie abgelehnt wurde.
Mehrere Benutzer in der Organisation können sich plötzlich nicht mehr anmelden und melden Fehler bei der Anmeldeinformationsüberprüfung.
Das Problem liegt wahrscheinlich beim Drittanbieter Identity Provider (IdP). Überprüfen Sie den Status des IdP-Dienstes und die Gültigkeit des SAML-Zertifikats in der SSO-Konfiguration.
Warum: Weit verbreitete, plötzliche Anmeldefehler in einer SSO-Umgebung deuten fast immer auf den externen IdP hin, nicht auf einzelne Benutzerkonten.
Ein Benutzer meldet, dass die 6-stelligen Codes seiner Google Authenticator App durchweg abgelehnt werden.
Weisen Sie den Benutzer an, die Uhrzeit auf seinem Mobilgerät zu überprüfen und zu synchronisieren. Die Authenticator App verfügt über eine Zeitkorrekturfunktion.
Warum: Zeitbasierte OTP (TOTP)-Codes sind stark von synchronisierter Zeit abhängig. Die Zeitverschiebung ist die häufigste Ursache für die Ablehnung von Codes.
Benutzer in einem bestimmten Büro beschweren sich über schlechte Google Meet-Videoqualität, während es in anderen Büros in Ordnung ist.
Untersuchen Sie das lokale Netzwerk im betroffenen Büro. Prüfen Sie auf Bandbreittensättigung, hohe Latenz/Jitter und stellen Sie sicher, dass Firewall-Regeln den Google Meet-Verkehr nicht drosseln oder blockieren.
Warum: Standortspezifische Leistungsprobleme werden fast immer durch lokale Netzwerkprobleme verursacht, nicht durch den Google-Dienst selbst.
Ein Benutzer erhält keine E-Mails von einem externen Absender, seine Kollegen jedoch schon.
Überprüfen Sie die persönlichen Gmail-Einstellungen des Benutzers auf Filter oder Regeln für blockierte Absender, die eingehende E-Mails umleiten oder löschen könnten.
Warum: Wenn ein Problem nur einen einzelnen Benutzer betrifft, liegt die Ursache meist in einer Konfiguration auf Benutzerebene und nicht in einer organisationsweiten Richtlinie.
Ein Benutzer kann eine Meet-Aufzeichnung starten, aber sie wird nach dem Ende des Meetings nicht gespeichert.
Überprüfen Sie das Google Drive-Speicherkontingent des Benutzers. Aufzeichnungen schlagen fehl, wenn der Benutzer nicht genügend Speicherplatz hat.
Warum: Meet-Aufzeichnungen werden im "Meine Ablage" des Organisators in einem Ordner "Meet-Aufzeichnungen" gespeichert. Ein volles Drive-Kontingent ist der häufigste Grund für Speicherfehler.
