Справочник

Ввод в эксплуатацию сотен новых пользователей из CSV-файла, предоставленного отделом кадров.

→Используйте функцию массовой загрузки (Bulk Upload) в консоли администратора. Включите столбец `Org Unit Path` в CSV, чтобы поместить пользователей непосредственно в нужные организационные подразделения (OU).

Почему: Наиболее эффективный метод массового создания пользователей с правильным назначением политик без скриптов. Более прямой, чем GCDS, для однократного ввода в эксплуатацию.

Сотрудник увольняется. Сохраните его файлы Drive и передайте их под контроль его руководителя.

→Перед приостановкой или удалением пользователя используйте инструмент Admin Console Data Transfer, чтобы передать право собственности на все файлы Drive руководителю.

Почему: Сохраняет целостность данных и обеспечивает непрерывность бизнеса. Прямая передача прав собственности чище, чем общий доступ, и поддерживает четкий аудиторский след.

Различные отделы и команды требуют уникальных настроек служб и политик безопасности.

→Создайте иерархическую структуру организационных подразделений (OU) (например, /Sales/East, /Sales/West). Применяйте общие политики на родительском OU и конкретные переопределения на дочерних OU.

Почему: OU обеспечивают иерархическое наследование политик, позволяя масштабируемо и гранулированно контролировать настройки для различных групп пользователей.

Автоматизируйте членство в группах для всех пользователей отдела инженерии, включая новых сотрудников.

→Создайте динамическую группу с запросом членства, основанным на атрибуте пользователя `department==Engineering`.

Почему: Автоматически управляет членством на основе атрибутов пользователя, исключая ручные обновления и обеспечивая согласованность по мере изменения ролей пользователей.

Предоставьте сотрудникам службы поддержки возможность сбрасывать пароли только для пользователей в OU главного офиса.

→Создайте настраиваемую роль администратора только с привилегией "Users > Reset Password". Назначьте эту роль команде службы поддержки и ограничьте ее применение только целевым OU.

Почему: Реализует принцип наименьших привилегий. Пользовательские роли с ограниченной областью применения предотвращают влияние делегированных администраторов на пользователей или настройки вне их зоны ответственности.

Синхронизация из Active Directory через GCDS, но UPN пользователей имеют старый домен. Необходимо создать пользователей с новым, правильным доменом.

→В GCDS настройте правило преобразования атрибутов для атрибута адреса электронной почты, чтобы заменить старую доменную строку новой.

Почему: Корректирует данные в процессе синхронизации без необходимости модификации исходного Active Directory, что часто невозможно.

Пользователь был случайно удален 15 дней назад. Его менеджеру теперь нужен критически важный файл с его Drive.

→Из консоли администратора восстановите недавно удаленного пользователя. Окно восстановления составляет 20 дней. После восстановления передайте данные, затем при необходимости удалите повторно.

Почему: Удаленные пользователи могут быть восстановлены в течение 20 дней. Это единственный способ восстановить их данные, если не было Vault hold/retention.

Команда поддержки нуждается в общем адресе электронной почты (support@), где несколько участников могут управлять, назначать и отслеживать запросы клиентов.

→Создайте Google Group и настройте ее как "Collaborative Inbox".

Почему: Этот тип группы предназначен для совместной работы, позволяя назначать беседы и отслеживать их разрешение, что превосходит стандартный список рассылки или общий аккаунт пользователя.

Обеспечить применение стандартизированного юридического отказа от ответственности и брендинга во всех исходящих электронных письмах отдела продаж.

→В настройках Gmail настройте правило соответствия с действием "Append footer", ограниченным OU отдела продаж.

Почему: Это добавляет нередактируемый нижний колонтитул на уровне сервера, обеспечивая 100% соответствие. Решения на стороне пользователя могут быть изменены или обойдены.

Разрешить пользователям делиться файлами Drive внешне, но только с определенными, утвержденными партнерскими доменами.

→В настройках общего доступа Drive добавьте партнерские домены в список "Allowlisted domains" и установите политику общего доступа на "Allowlisted domains only".

Почему: Обеспечивает баланс между безопасностью и сотрудничеством, предотвращая обмен данными с несанкционированными внешними сторонами, одновременно позволяя утвержденные партнерства.

Разрешить внешним гостям в Google Meet, но предотвратить их присоединение до прихода внутреннего хоста.

→В настройках безопасности Google Meet убедитесь, что включена опция "Host must admit people from outside your organization" (стук в дверь).

Почему: Повышает безопасность встречи, создавая виртуальное лобби, давая хосту контроль над тем, когда и какие внешние участники могут присоединиться.

Миграция с локального сервера Exchange на Gmail с нулевым временем простоя для входящей электронной почты.

→Настройте двойную доставку. Настройте маршрут почты в Workspace для пересылки почты на устаревший сервер Exchange, затем укажите записи MX на Google.

Почему: Гарантирует, что пользователи получают почту в оба почтовых ящика во время поэтапной миграции, предотвращая потерю сообщений и обеспечивая плавный переход.

Запретить пользователям устанавливать непроверенные сторонние дополнения в Docs, Sheets и Gmail.

→В настройках Marketplace настройте белый список утвержденных приложений и установите политику, чтобы ограничить пользователей только приложениями из белого списка.

Почему: Снижает риск безопасности от вредоносных или требующих большого количества данных сторонних приложений, создавая "огороженный сад" IT-утвержденных инструментов.

В соответствии с требованиями, все электронные письма должны храниться в течение 7 лет, даже если пользователи удаляют их из своих почтовых ящиков.

→В Google Vault создайте пользовательское правило хранения для Gmail с продолжительностью 7 лет. Не устанавливайте срок действия.

Почему: Хранение в Vault действует независимо от действий пользователя. Оно обеспечивает юридически защищенный архив для eDiscovery и соответствия требованиям, отдельно от активных почтовых ящиков пользователей.

Юридический отдел требует, чтобы все данные для конкретных сотрудников (хранителей) были сохранены бессрочно для находящихся на рассмотрении судебных разбирательств.

→В Google Vault создайте дело (Matter), идентифицируйте пользователей как хранителей и установите на них Legal Hold.

Почему: Legal Hold отменяет все политики хранения и удаления. Данные сохраняются до тех пор, пока удержание не будет явно снято, обеспечивая выполнение юридических обязательств по сохранению.

Предотвратить случайную передачу пользователями документов, содержащих номера кредитных карт или PII, внешним сторонам.

→Создайте правило предотвращения потери данных (DLP) в `Security > Data protection`. Используйте предопределенные детекторы (например, "Credit Card Number") и установите условие запуска для внешнего обмена. Действием должно быть "Block external sharing".

Почему: DLP сканирует контент в реальном времени для автоматического применения политик защиты данных, снижая риск человеческой ошибки, приводящей к утечкам данных.

Для соблюдения GDPR убедитесь, что все основные данные европейских сотрудников хранятся в состоянии покоя в европейских центрах обработки данных.

→Разместите европейских пользователей в выделенном OU. В `Account > Data regions` примените политику региона данных "Europe" к этому OU.

Почему: Эта функция напрямую решает требования к месту хранения данных, контролируя географическое место хранения основных данных для конкретных служб.

Пользователь окончательно удалил критически важный файл Drive 10 дней назад. Его больше нет в корзине.

→Если пользователь подпадал под правило хранения или удержания Vault, найдите файл в Vault и экспортируйте его для восстановления.

Почему: Vault действует как страховочная сетка. Данные, подпадающие под хранение/удержание, сохраняются даже после того, как были "окончательно" удалены пользователем.

Сотрудник, находящийся под юридическим удержанием, увольняется. Вам необходимо сохранить его данные и удержание, но освободить его полную лицензию.

→Приостановите учетную запись пользователя и назначьте лицензию "Archived User" (AU). Данные остаются в Vault и подлежат удержанию.

Почему: Лицензии AU — это экономически эффективный способ сохранения данных бывших сотрудников для целей соблюдения нормативных требований и юридических целей без использования полной, активной лицензии.

Разрешить доступ к Workspace только с корпоративно управляемых устройств или при подключении к офисной сети.

→Настройте контекстно-зависимый доступ (Context-Aware Access). Создайте уровни доступа для "Compliant device" (из управления конечными точками) и "Corporate IP range". Примените политику, требующую один из этих уровней для доступа.

Почему: Это ядро модели нулевого доверия для Workspace, переходящее от сетевого периметра к применению политик доступа на основе контекста устройства и пользователя, независимо от местоположения.

Подозревается, что учетная запись пользователя скомпрометирована. Злоумышленник может иметь активные сессии или доступ к приложениям.

→Немедленно: 1) Сбросьте пароль пользователя. 2) Отзовите все сторонние токены OAuth. 3) Выйдите из всех веб-сессий.

Почему: Этот трехэтапный процесс гарантирует, что злоумышленник заблокирован от всех точек доступа: прямого входа, доступа через приложения и существующих сеансов браузера.

Предотвратить предоставление пользователями доступа к корпоративным данным рискованным или непроверенным сторонним приложениям OAuth.

→В `Security > API controls` настройте "App access control" для блокировки ненастроенных приложений по умолчанию, затем добавьте конкретные, проверенные приложения в список "Trusted".

Почему: Это переводит безопасность сторонних приложений из режима "по умолчанию разрешено" в режим "по умолчанию запрещено", предоставляя IT полный контроль над тем, какие приложения могут получать доступ к данным компании.

Внедрить единый вход (SSO) с использованием стороннего IdP, но обеспечить доступ администратора в случае сбоя IdP.

→Настройте SAML SSO для всей организации. Создайте отдельную группу или OU для суперадминистраторов и настройте сетевую маску или параметр группы, чтобы исключить их из требования SSO.

Почему: Предоставляет критически важную процедуру "break-glass", позволяя администраторам входить в систему с учетными данными Google во время сбоя IdP для управления средой.

Предотвратить спуфинг вашего домена злоумышленниками в фишинговых атаках и улучшить доставляемость электронной почты.

→Правильно настройте записи DNS SPF, DKIM и DMARC для вашего домена. Установите политику DMARC на `p=reject` для полного принудительного исполнения.

Почему: Эти три стандарта работают вместе для аутентификации вашей исходящей почты, позволяя серверам получателей уверенно отклонять мошеннические сообщения, имитирующие ваш домен.

Требуются проактивные уведомления о событиях безопасности, таких как подозрительные входы или предупреждения о спонсируемых государством атаках.

→Регулярно отслеживайте Центр оповещений. Настройте правила оповещений для отправки уведомлений по электронной почте о высокоприоритетных событиях команде безопасности.

Почему: Центр оповещений является централизованным хабом для событий, связанных с безопасностью. Проактивные уведомления позволяют быстро реагировать на инциденты.

Пользователь потерял свой телефон и не имеет резервных кодов, что привело к блокировке его учетной записи, защищенной 2SV.

→Как администратор, выберите пользователя и сгенерируйте для него одноразовые резервные коды проверки для восстановления доступа.

Почему: Это стандартная, безопасная процедура восстановления пользователя без необходимости временного отключения 2SV, что ослабило бы безопасность.

Обязать использовать самую сильную форму аутентификации для защиты пользователей высокого риска от фишинга.

→Принудительно применять политику 2-этапной проверки, требующую использования только ключей безопасности (FIDO).

Почему: Ключи безопасности устойчивы к фишингу, потому что они используют криптографию с открытым ключом и проверяют источник страницы входа, в отличие от TOTP или SMS, которые могут быть подвержены фишингу.

Утерян или украден мобильный телефон, управляемый компанией, содержащий конфиденциальные данные.

→Используя консоль администратора в разделе "Devices", найдите устройство и немедленно инициируйте команду удаленного "Wipe device".

Почему: Это основная мера безопасности для потерянного управляемого устройства. Она удаленно сбрасывает устройство до заводских настроек или удаляет рабочий профиль, защищая корпоративные данные от несанкционированного доступа.

Обеспечить применение стандартного набора настроек безопасности и обязательных расширений на всех корпоративных браузерах Chrome (Windows, Mac).

→Зарегистрируйте браузеры в Chrome Browser Cloud Management (CBCM). Примените политики к OU пользователя/браузера, чтобы принудительно устанавливать расширения, блокировать другие и настраивать параметры.

Почему: CBCM обеспечивает централизованное, облачное управление браузерами Chrome на любой платформе, обеспечивая последовательную политику и состояние безопасности.

Разрешить сотрудникам использовать личные устройства Android для работы (BYOD), сохраняя корпоративные данные отдельно и безопасно.

→Внедрите расширенное управление мобильными устройствами (Advanced Mobile Management) и обеспечьте создание рабочего профиля Android на устройствах, принадлежащих сотрудникам.

Почему: Рабочий профиль создает контейнер на уровне ОС, который изолирует рабочие приложения и данные от личных данных. Весь контейнер может быть удаленно стерт без ущерба для личных файлов пользователя.

Политика Context-Aware Access должна проверять, что устройство принадлежит компании и зашифровано, прежде чем предоставить доступ.

→Разверните расширение/агент Google Endpoint Verification на всех управляемых устройствах. Настройте уровень доступа CAA так, чтобы требовать статус устройства "Compliant" или "Company-owned".

Почему: Endpoint Verification - это агент, который собирает и передает информацию о состоянии устройства движку CAA, обеспечивая контроль доступа на основе доверия к устройству.

Пользователи сообщают, что электронные письма определенному партнеру отклоняются или сильно задерживаются.

→Используйте инструмент "Email Log Search" в консоли администратора. Найдите пример сообщения, чтобы увидеть полный путь доставки, временные метки и любые ошибки отклонения от сервера получателя.

Почему: Email Log Search — это основной инструмент для диагностики проблем с доставкой. Он предоставляет детальную информацию, которая подтверждает, покинуло ли сообщение Google и почему оно было отклонено.

Несколько пользователей в организации внезапно не могут войти в систему, сообщая об ошибках проверки учетных данных.

→Проблема, скорее всего, связана со сторонним провайдером идентификации (IdP). Проверьте статус службы IdP и действительность сертификата SAML в конфигурации SSO.

Почему: Массовые, внезапные сбои входа в систему в среде SSO почти всегда указывают на внешний IdP, а не на отдельные учетные записи пользователей.

Пользователь сообщает, что 6-значные коды из его приложения Google Authenticator постоянно отклоняются.

→Поручите пользователю проверить и синхронизировать время на своем мобильном устройстве. Приложение Authenticator имеет функцию коррекции времени.

Почему: Временные коды OTP (TOTP) сильно зависят от синхронизированного времени. Отклонение времени является наиболее распространенной причиной отклонения кода.

Пользователи в конкретном офисе жалуются на плохое качество видео Google Meet, в то время как в других офисах все в порядке.

→Исследуйте локальную сеть в пострадавшем офисе. Проверьте насыщение пропускной способности, высокую задержку/дрожание и убедитесь, что правила брандмауэра не замедляют или не блокируют трафик Google Meet.

Почему: Проблемы производительности, специфичные для местоположения, почти всегда вызваны проблемами локальной сети, а не самой службой Google.

Один пользователь не получает электронные письма от внешнего отправителя, но его коллеги получают.

→Проверьте личные настройки Gmail пользователя на наличие каких-либо фильтров или правил заблокированных отправителей, которые могут перенаправлять или удалять входящие электронные письма.

Почему: Когда проблема затрагивает только одного пользователя, причина чаще всего кроется в конфигурации на уровне пользователя, а не в политике на уровне организации.

Пользователь может начать запись Meet, но она не сохраняется после окончания встречи.

→Проверьте квоту хранения Google Drive пользователя. Записи не сохраняются, если у пользователя недостаточно места.

Почему: Записи Meet сохраняются в папку "Meet Recordings" в "Мой диск" организатора. Полная квота Drive — наиболее распространенная причина сбоев сохранения.