Google Cloud Associate Google Workspace Administrator
Dernière révision : mai 2026
Une référence concise des modèles d'architecture évalués par l'examen AGWA. Lisez de haut en bas ou sautez à une section.
Intégrer des centaines de nouveaux utilisateurs à partir d'un fichier CSV fourni par les RH.
Utilisez la fonctionnalité de Téléchargement en masse de la console d'administration. Incluez la colonne `Chemin de l'unité organisationnelle` dans le CSV pour placer les utilisateurs directement dans les bonnes OUs.
Pourquoi: Méthode la plus efficace pour la création massive d'utilisateurs avec une attribution de politique correcte sans script. Plus directe que GCDS pour une intégration ponctuelle.
Un employé quitte l'entreprise. Conservez ses fichiers Drive et transférez-les sous le contrôle de son responsable.
Avant de suspendre ou de supprimer l'utilisateur, utilisez l'outil de Transfert de données de la console d'administration pour transférer la propriété de tous les fichiers Drive au responsable.
Pourquoi: Préserve l'intégrité des données et assure la continuité des activités. Le transfert direct de propriété est plus propre que le partage et maintient une piste d'audit claire.
Différents départements et équipes nécessitent des paramètres de service et des politiques de sécurité uniques.
Créez une structure d'unité organisationnelle (OU) hiérarchique (par exemple, /Ventes/Est, /Ventes/Ouest). Appliquez des politiques larges à l'OU parente et des dérogations spécifiques aux OUs enfants.
Pourquoi: Les OUs fournissent une héritage de politique hiérarchique, permettant un contrôle évolutif et granulaire des paramètres pour différentes populations d'utilisateurs.
Automatiser l'appartenance aux groupes pour tous les utilisateurs du département Ingénierie, y compris les nouvelles recrues.
Créez un groupe dynamique avec une requête d'appartenance basée sur l'attribut utilisateur `department==Engineering`.
Pourquoi: Gère automatiquement l'appartenance en fonction des attributs utilisateur, éliminant les mises à jour manuelles et assurant la cohérence à mesure que les rôles des utilisateurs changent.
Accorder au personnel du support technique la possibilité de réinitialiser les mots de passe uniquement pour les utilisateurs de l'OU du bureau principal.
Créez un rôle d'administrateur personnalisé avec uniquement le privilège "Utilisateurs > Réinitialiser le mot de passe". Assignez ce rôle à l'équipe du support technique et limitez-le pour qu'il s'applique uniquement à l'OU cible.
Pourquoi: Implémente le principe du moindre privilège. Les rôles personnalisés et ciblés empêchent les administrateurs délégués d'affecter les utilisateurs ou les paramètres en dehors de leur responsabilité.
Synchronisation depuis Active Directory via GCDS, mais les UPN des utilisateurs ont un ancien domaine. Nécessite de créer des utilisateurs avec le nouveau domaine correct.
Dans GCDS, configurez une règle de transformation d'attribut pour l'attribut d'adresse e-mail afin de remplacer l'ancienne chaîne de domaine par la nouvelle.
Pourquoi: Corrige les données pendant le processus de synchronisation sans nécessiter de modification de l'Active Directory source, ce qui n'est souvent pas réalisable.
Un utilisateur a été accidentellement supprimé il y a 15 jours. Son responsable a maintenant besoin d'un fichier critique de son Drive.
Depuis la console d'administration, restaurez l'utilisateur récemment supprimé. La fenêtre de récupération est de 20 jours. Une fois restaurées, transférez les données, puis supprimez-les à nouveau si nécessaire.
Pourquoi: Les utilisateurs supprimés sont récupérables pendant 20 jours. C'est le seul moyen de récupérer leurs données si aucune conservation/rétention Vault n'était en place.
Une équipe de support a besoin d'une adresse e-mail partagée (support@) où plusieurs membres peuvent gérer, assigner et suivre les demandes des clients.
Créez un groupe Google et configurez-le comme une "Boîte de réception collaborative".
Pourquoi: Ce type de groupe est conçu pour les flux de travail partagés, permettant l'assignation de conversations et le suivi de la résolution, ce qui est supérieur à une liste de distribution standard ou un compte utilisateur partagé.
Appliquer une clause de non-responsabilité légale et une image de marque standardisées sur tous les e-mails sortants du département des ventes.
Dans les paramètres de Gmail, configurez une règle de conformité avec une action "Ajouter un pied de page", ciblée sur l'OU des ventes.
Pourquoi: Cela ajoute un pied de page non modifiable au niveau du serveur, assurant une conformité à 100%. Les solutions côté utilisateur peuvent être modifiées ou contournées.
Permettre aux utilisateurs de partager des fichiers Drive en externe, mais uniquement avec des domaines partenaires spécifiques et approuvés.
Dans les paramètres de partage de Drive, ajoutez les domaines partenaires à la liste des "Domaines autorisés" et définissez la politique de partage sur "Domaines autorisés uniquement".
Pourquoi: Offre un équilibre entre sécurité et collaboration, empêchant le partage de données avec des parties externes non autorisées tout en permettant des partenariats approuvés.
Autoriser les invités externes dans Google Meet, mais les empêcher de se joindre avant l'arrivée d'un hôte interne.
Dans les paramètres de sécurité de Google Meet, assurez-vous que l'option "L'hôte doit admettre les personnes extérieures à votre organisation" (demande d'accès) est activée.
Pourquoi: Améliore la sécurité des réunions en créant un salon d'attente virtuel, donnant à l'hôte le contrôle sur le moment et les participants externes qui peuvent se joindre.
Migration d'un serveur Exchange sur site vers Gmail avec zéro temps d'arrêt pour les e-mails entrants.
Configurez la double livraison. Mettez en place un routage de courrier dans Workspace pour transférer le courrier vers le serveur Exchange existant, puis pointez les enregistrements MX vers Google.
Pourquoi: Assure que les utilisateurs reçoivent le courrier dans les deux boîtes aux lettres pendant une migration progressive, évitant les messages perdus et permettant une transition en douceur.
Empêcher les utilisateurs d'installer des modules complémentaires tiers non approuvés dans Docs, Sheets et Gmail.
Dans les paramètres de Marketplace, configurez une liste blanche d'applications approuvées et définissez la politique pour restreindre les utilisateurs aux seules applications figurant sur cette liste.
Pourquoi: Réduit les risques de sécurité liés aux applications tierces malveillantes ou gourmandes en données en créant un "jardin clos" d'outils approuvés par l'IT.
Pour des raisons de conformité, tous les e-mails doivent être conservés pendant 7 ans, même si les utilisateurs les suppriment de leurs boîtes aux lettres.
Dans Google Vault, créez une règle de conservation personnalisée pour Gmail d'une durée de 7 ans. Ne définissez pas d'expiration.
Pourquoi: La conservation Vault fonctionne indépendamment des actions de l'utilisateur. Elle fournit une archive juridiquement défendable pour l'eDiscovery et la conformité, séparée des boîtes aux lettres des utilisateurs en direct.
Le service juridique exige que toutes les données de certains employés (dépositaires) soient conservées indéfiniment en vue d'un litige en cours.
Dans Google Vault, créez une affaire, identifiez les utilisateurs comme dépositaires et appliquez une conservation légale (Legal Hold) sur eux.
Pourquoi: Une conservation légale (Legal Hold) annule toutes les politiques de rétention et de suppression. Les données sont conservées jusqu'à ce que la conservation soit explicitement levée, garantissant ainsi le respect des obligations légales de conservation.
Empêcher les utilisateurs de partager accidentellement des documents contenant des numéros de carte de crédit ou des PII avec des parties externes.
Créez une règle de Prévention de la perte de données (DLP) dans `Sécurité > Protection des données`. Utilisez des détecteurs prédéfinis (par exemple, numéro de carte de crédit) et définissez la condition de déclenchement pour le partage externe. L'action doit être "Bloquer le partage externe".
Pourquoi: La DLP analyse le contenu en temps réel pour appliquer automatiquement les politiques de protection des données, réduisant ainsi le risque d'erreur humaine menant à des violations de données.
Pour se conformer au GDPR, assurez-vous que toutes les données primaires des employés européens sont stockées au repos dans des centres de données européens.
Placez les utilisateurs européens dans une OU dédiée. Dans `Compte > Régions de données`, appliquez une politique de région de données pour "Europe" à cette OU.
Pourquoi: Cette fonctionnalité répond directement aux exigences de résidence des données en contrôlant l'emplacement de stockage géographique des données primaires pour des services spécifiques.
Un utilisateur a supprimé définitivement un fichier Drive critique il y a 10 jours. Il n'est plus dans sa corbeille.
Si une règle de conservation ou de rétention Vault couvrait l'utilisateur, recherchez le fichier dans Vault et exportez-le pour le récupérer.
Pourquoi: Vault agit comme un filet de sécurité. Les données couvertes par la conservation/rétention sont préservées même après avoir été "définitivement" supprimées par l'utilisateur.
Un employé sous conservation légale quitte l'entreprise. Vous devez préserver ses données et sa conservation, mais libérer sa licence complète.
Suspendez le compte utilisateur et attribuez une licence "Utilisateur archivé" (AU). Les données restent dans Vault et soumises à la conservation.
Pourquoi: Les licences AU sont un moyen économique de préserver les données des anciens employés à des fins de conformité et légales sans consommer une licence complète et active.
Autoriser l'accès à Workspace uniquement depuis les appareils gérés par l'entreprise ou lorsqu'ils sont connectés au réseau du bureau.
Configurez l'Accès Contextuel (Context-Aware Access). Créez des niveaux d'accès pour "Appareil conforme" (issu de la gestion des terminaux) et "Plage IP d'entreprise". Appliquez une politique qui exige l'un de ces niveaux pour l'accès.
Pourquoi: C'est le cœur d'un modèle de confiance zéro pour Workspace, passant d'un périmètre réseau à l'application de politiques d'accès basées sur le contexte de l'appareil et de l'utilisateur, quel que soit l'emplacement.
Un compte utilisateur est suspecté d'être compromis. L'attaquant peut avoir des sessions actives ou un accès à des applications.
Immédiatement : 1) Réinitialisez le mot de passe de l'utilisateur. 2) Révoquez tous les jetons OAuth tiers. 3) Déconnectez toutes les sessions web.
Pourquoi: Ce processus en trois étapes garantit que l'attaquant est bloqué de tous les points d'accès : connexion directe, accès basé sur l'application et sessions de navigateur existantes.
Empêcher les utilisateurs d'accorder l'accès aux données d'entreprise à des applications OAuth tierces risquées ou non vérifiées.
Dans `Sécurité > Contrôles API`, configurez le "Contrôle d'accès aux applications" pour bloquer les applications non configurées par défaut, puis ajoutez des applications spécifiques et vérifiées à la liste "Approuvées".
Pourquoi: Cela passe d'une posture de sécurité "autoriser par défaut" à "refuser par défaut" pour les applications tierces, donnant au service informatique un contrôle total sur les applications qui peuvent accéder aux données de l'entreprise.
Mettre en œuvre l'authentification unique (SSO) avec un fournisseur d'identité (IdP) tiers, mais assurer l'accès administrateur si l'IdP est hors service.
Configurez le SAML SSO pour toute l'organisation. Créez un groupe ou une OU séparé pour les Super Administrateurs et configurez un masque réseau ou un paramètre de groupe pour les exclure de l'exigence SSO.
Pourquoi: Fournit une procédure critique de "break-glass" (accès d'urgence), permettant aux administrateurs de se connecter avec les identifiants Google lors d'une panne de l'IdP pour gérer l'environnement.
Empêcher les attaquants d'usurper votre domaine dans les attaques de phishing et améliorer la délivrabilité des e-mails.
Configurez correctement les enregistrements DNS SPF, DKIM et DMARC pour votre domaine. Définissez la politique DMARC sur `p=reject` pour une application complète.
Pourquoi: Ces trois normes fonctionnent ensemble pour authentifier votre courrier sortant, permettant aux serveurs destinataires de rejeter en toute confiance les messages frauduleux usurpant votre domaine.
Besoin de notifications proactives d'événements de sécurité tels que des connexions suspectes ou des avertissements d'attaques soutenues par le gouvernement.
Surveillez régulièrement le Centre d'alertes. Configurez des règles d'alerte pour envoyer des notifications par e-mail pour les événements de haute priorité à l'équipe de sécurité.
Pourquoi: Le Centre d'alertes est le hub centralisé pour les événements liés à la sécurité. Les notifications proactives permettent une réponse rapide aux incidents.
Un utilisateur a perdu son téléphone et n'a pas de codes de secours, ce qui le bloque hors de son compte protégé par la validation en deux étapes (2SV).
En tant qu'administrateur, sélectionnez l'utilisateur et générez des codes de vérification de secours à usage unique pour qu'il retrouve l'accès.
Pourquoi: C'est la procédure standard et sécurisée de récupération d'utilisateur sans avoir besoin de désactiver temporairement la validation en deux étapes (2SV), ce qui affaiblirait la sécurité.
Exiger la forme d'authentification la plus forte pour protéger les utilisateurs à haut risque contre le phishing.
Appliquez une politique de validation en deux étapes qui exige l'utilisation exclusive de clés de sécurité (FIDO).
Pourquoi: Les clés de sécurité sont résistantes au phishing car elles utilisent la cryptographie à clé publique et vérifient l'origine de la page de connexion, contrairement aux TOTP ou SMS qui peuvent être victimes de phishing.
Un téléphone mobile géré par l'entreprise contenant des données sensibles a été perdu ou volé.
Depuis la console d'administration, sous Appareils, localisez l'appareil et lancez immédiatement une commande de "Effacer l'appareil" à distance.
Pourquoi: C'est la principale réponse de sécurité pour un appareil géré perdu. Il réinitialise l'appareil aux paramètres d'usine à distance ou efface le profil professionnel, protégeant les données d'entreprise contre tout accès non autorisé.
Appliquer un ensemble standard de paramètres de sécurité et d'extensions obligatoires sur tous les navigateurs Chrome d'entreprise (Windows, Mac).
Inscrivez les navigateurs dans Chrome Browser Cloud Management (CBCM). Appliquez des politiques à l'OU utilisateur/navigateur pour forcer l'installation d'extensions, en bloquer d'autres et configurer les paramètres.
Pourquoi: CBCM offre une gestion centralisée et basée sur le cloud des navigateurs Chrome sur n'importe quelle plateforme, assurant une politique et une posture de sécurité cohérentes.
Permettre aux employés d'utiliser des appareils Android personnels pour le travail (BYOD) tout en gardant les données d'entreprise séparées et sécurisées.
Mettez en œuvre la Gestion avancée des appareils mobiles et imposez la création d'un profil de travail Android sur les appareils appartenant aux employés.
Pourquoi: Un profil de travail crée un conteneur au niveau du système d'exploitation qui isole les applications et les données professionnelles des données personnelles. L'ensemble du conteneur peut être effacé à distance sans affecter les fichiers personnels de l'utilisateur.
Une politique d'accès contextuel (Context-Aware Access) doit vérifier qu'un appareil appartient à l'entreprise et est chiffré avant d'accorder l'accès.
Déployez l'extension/agent Google Endpoint Verification sur tous les appareils gérés. Configurez le niveau d'accès CAA pour exiger un statut d'appareil "Conforme" ou "Appartenant à l'entreprise".
Pourquoi: La vérification des terminaux (Endpoint Verification) est l'agent qui collecte et rapporte la posture de l'appareil au moteur CAA, permettant un contrôle d'accès basé sur la confiance de l'appareil.
Les utilisateurs signalent que les e-mails envoyés à un partenaire spécifique sont renvoyés ou gravement retardés.
Utilisez l'outil "Recherche dans les journaux d'e-mails" de la console d'administration. Recherchez un exemple de message pour voir le chemin de livraison complet, les horodatages et les éventuelles erreurs de rejet du serveur destinataire.
Pourquoi: La recherche dans les journaux d'e-mails est l'outil définitif pour diagnostiquer les problèmes de livraison. Elle fournit des détails granulaires qui confirment si le message a quitté Google et pourquoi il a été rejeté.
Plusieurs utilisateurs de l'organisation sont soudainement incapables de se connecter, signalant des erreurs de vérification des identifiants.
Le problème est probablement lié au fournisseur d'identité (IdP) tiers. Vérifiez l'état du service IdP et la validité du certificat SAML dans la configuration SSO.
Pourquoi: Les échecs de connexion soudains et généralisés dans un environnement SSO indiquent presque toujours un problème avec l'IdP externe, et non avec les comptes d'utilisateurs individuels.
Un utilisateur signale que les codes à 6 chiffres de son application Google Authenticator sont systématiquement rejetés.
Demandez à l'utilisateur de vérifier et de synchroniser l'horloge de son appareil mobile. L'application Authenticator dispose d'une fonction de correction de l'heure.
Pourquoi: Les codes OTP basés sur le temps (TOTP) dépendent fortement d'une heure synchronisée. Le décalage horaire est la cause la plus fréquente de rejet des codes.
Les utilisateurs d'un bureau spécifique se plaignent d'une mauvaise qualité vidéo Google Meet, tandis que les autres bureaux n'ont aucun problème.
Examinez le réseau local du bureau concerné. Vérifiez la saturation de la bande passante, la latence/gigue élevée, et assurez-vous que les règles de pare-feu ne limitent pas ou ne bloquent pas le trafic Google Meet.
Pourquoi: Les problèmes de performance spécifiques à un emplacement sont presque toujours causés par des problèmes de réseau local, et non par le service Google lui-même.
Un utilisateur ne reçoit pas d'e-mails d'un expéditeur externe, mais ses collègues les reçoivent.
Vérifiez les paramètres personnels de Gmail de l'utilisateur pour tout filtre ou règle d'expéditeur bloqué qui pourrait rediriger ou supprimer les e-mails entrants.
Pourquoi: Lorsqu'un problème n'affecte qu'un seul utilisateur, la cause est le plus souvent une configuration au niveau de l'utilisateur plutôt qu'une politique au niveau de l'organisation.
Un utilisateur peut démarrer un enregistrement Meet, mais celui-ci ne s'enregistre pas après la fin de la réunion.
Vérifiez le quota de stockage Google Drive de l'utilisateur. Les enregistrements échouent si l'utilisateur n'a pas suffisamment d'espace.
Pourquoi: Les enregistrements Meet sont sauvegardés dans "Mon Drive" de l'organisateur dans un dossier "Enregistrements Meet". Un quota Drive plein est la raison la plus courante des échecs de sauvegarde.
