Sikkerhedsanbefalinger - Basis
I Googleadministrationen er der mulighed for at sætte mange indstillinger, både generelt på løsningen, men også ved brugen af Chromebooks.
For at lette overskueligheden, finder du her EasyIQ's anbefalinger til indstillinger, som bør overvejes i forhold til sikkerheden på jeres løsning.
Dette er anbefalinger, og det er op til jer i organisationen at vælge hvilke indstillinger I ønsker at benytte.
Antal superadmin-brugere på løsningen
Vi anbefaler man holder antallet af brugere med superadmin-rollen til et absolut minimum.
Anbefalingen er at der maksimalt er to brugere på en enkeltstående institution, og i kommuner ca. 5 brugere med superadmin-rollen.
Bemærk! Brugeren "EasyIQ serviceaccount" må IKKE slettes, da det er EasyIQ's adgang til at supportere jeres løsning.
Her finder du indstillingen for superadministrator: Konto - Administratorroller - superadministrator - udvid admins
Aldersbaseret adgangsindstillinger
Denne indstilling sætter restriktioner ud fra alderen på brugeren. Det er vigtigt at elever under 18 år ikke markeres som værende over 18 år. Dette kan nemlig medfører en låsning af konti, som kun kan låses op af Google igen.
Du kan læse mere om hvilke apps og programmer der påvirkes af denne indstilling her:
Hvad skriver Google om dette.
Indstillingen sættes under kontoindstillingerne - Aldersbaseret adgangsindstillinger og kan sættes på både bruger-, gruppe- eller OU-niveau.
Delingsniveau af filer eksternt
Det anbefales at man begrænser hvem der kan dele filer ud af domænet, så der ikke deles filer med brugere på et andet domæne end jeres. Hermed kan man begrænse muligheden for deling af filer, som kan være af sensitiv karakter. Indstillingen kan opsættes på bruger-, gruppe- eller OU-niveau. Hvilket betyder at tilladelsen f.eks. kan gives til ansatte, men ikke til elever.
Gives der tilladelse til deling, er der flere indstillingsmuligheder, for om der skal vises advarsler, når der deles udenfor domænet, samt med hvem og hvordan filerne deles.
Indstillingerne findes under Apps - Google workspace - Drev og docs - Delingsindstillinger
Mindre sikre apps
Det anbefales at adgang til mindre sikre apps deaktiveres for at forhindre evt. datalæk.
Ved deaktivering blokeres for at usikre apps kan forsøge at logge på, eller at en bruger anvender sin googlekonto til at logge på en ikke-sikker app.
Læs mere om det her: Adgang til mindre sikre apps
Indstillingen kan sættes på bruger-, gruppe- eller OU-niveau.
Man finder indstillingen under Sikkerhed - Adgangs- og datakontrol - Mindre sikre apps
2-trinsbekræftelse
Det anbefales at alle ansatte benytter 2-trinsbekræftelse for at tilføje et ekstra sikkerhedsniveau på jeres løsning. Hermed sikres at eventuelle uvedkommende møder endnu en hindring i at finde vej ind i jeres løsning.
Efter aktivering af indstillingen skal brugeren logge på med brugernavn og kode, og herefter verificere sig ved hjælp af f.eks. Google Authenticator app på telefonen.
Læse mere her: 2-trinsbekræftelse
Indstilling kan sættes på gruppe- eller OU-niveau
Man finder indstillingen under Sikkerhed - Godkendelse - Totrinsbekræftelse
Brug af tredjepart-apps
Det anbefales, at brug/adgang til tredjepart-apps minimeres, da Google ikke står inde for disse og da flere af dem kræver en separat databehandleraftale. Man skal derfor være opmærksom på hvilke apps, der tillades i løsningen, da flere apps benytter brugen af dem til at få adgang til Google Workspace data.
Indstillingerne for dette findes under Sikkerhed - Adgangs- og datakontrol - API-styreelementer - Administrer adgang for tredjepartsapps
NB. Det er endvidere en god ide at blokere API-adgang for alle tredjeparter.
Installering af apps fra Google Workspace Marketplace
På baggrund af ovenstående punkt anbefales det, at man styrer hvilke apps der kan hentes og installeres fra Google Workspace Marketplace.
Det er muligt at blokere alt, delvist eller lade det være åbent. Sidstnævnte anbefales ikke.
Man finder indstillingerne under Apps - Apps fra Google Workspace Marketplace - Indstillinger
API-klienter
Det anbefales at danne et overblik over hvilke API-adgange der er ind til jeres løsning, hvilket vil sige hvilke adgange der giver ret til forskellige steder i jeres data.
Man finder API-klienterne under Sikkerhed - Adgangs- og datakontrol - API styreelementer - Administrer delegation på hele domænet (nederst på siden)