Настройки безопасности рабочего пространства
Настройте правила безопасности на уровне рабочего пространства: разрешенные почтовые домены, обязательную двухфакторную аутентификацию, заблокированные расширения файлов, ограничения на приложения и логи безопасности.
Настройки безопасности рабочего пространства защищают его границы
Используйте настройки безопасности рабочего пространства в тех случаях, когда правило должно применяться ко всем пользователям в пространстве, а не только к вашей личной учетной записи.
| Раздел настроек | Что контролируют администраторы |
|---|---|
| Разрешенный почтовый домен | Кто может присоединиться с корпоративным, школьным или организационным адресом электронной почты. |
| Обязательная двухфакторная аутентификация | Должны ли члены пространства настроить двухфакторную аутентификацию для продолжения работы. |
| Заблокированные расширения файлов | Какие типы файлов запрещено загружать в систему. |
| Ограниченные приложения интеграции | Какие сторонние интеграции запрещены к использованию в рабочем пространстве. |
| Логи безопасности | Как администраторы могут анализировать события доступа к рабочему пространству. |
Эти инструменты управления гораздо масштабнее, чем просто меню совместного доступа к отдельному холсту. Права на холсте определяют, кто может открыть один холст. Настройки безопасности пространства определяют глобальные ограничения еще до того, как права доступа к конкретному элементу вступят в силу.
Для настройки безопасности личной учетной записи используйте статью Настройки безопасности учетной записи.
Доступность
| Элемент | Подробности |
|---|---|
| Доступно на | Рабочих пространствах, тариф которого включает функции администрирования безопасности. Некоторые параметры зависят от вашего плана и политик организации. |
| Доступно в | Веб-приложении, десктопном приложении и мобильном приложении. |
| Кто может настраивать | Администраторы рабочего пространства. |
| Кого это касается | Членов пространства, приглашенных пользователей и тех, кто пытается получить доступ к контенту под управлением рабочего пространства. |
| С чего начать | Раздел Настройки рабочего пространства → Администрирование или Безопасность. |
Открытие настроек безопасности рабочего пространства
Сначала подтвердите активное рабочее пространство. Затем откройте настройки рабочего пространства и перейдите в область администрирования или безопасности. Если вы испытываете трудности с поиском меню настроек, обратитесь к статье Открытие настроек рабочего пространства.
If раздел администрирования или безопасности отсутствует, проверьте вашу роль и тарифный план. Пользователи без прав администратора не могут изменять общую безопасность пространства. Индивидуальные рабочие пространства (включая тарифы Edu и Edu Pro для одного человека) и управляемые внешние пространства отображают меньше административных параметров.
Разрешенный почтовый домен
Настройте разрешенный почтовый домен, если в рабочее пространство должны вступать только пользователи с подтвержденным адресом вашей компании, школы или организации. К примеру, пространство может запрещать регистрацию пользователей с личной почты, требуя только официальные адреса.
Текущие настройки администратора принимают текстовое значение домена и могут быть очищены для снятия ограничений. Введите домен без лишних длинных формулировок. Правило работает просто: пользователи, чья электронная почта не соответствует указанному домену, будут заблокированы при попытке входа в рабочее пространство или при получении общего доступа к его контенту.
Разрешенные домены не заменяют обычную проверку пользователей. Вам по-прежнему необходимо приглашать конкретных людей, подбирать для них роли и своевременно удалять сотрудников, завершивших работу.
Обязательная двухфакторная аутентификация
Включите обязательную двухфакторную аутентификацию, когда каждый член пространства должен подтверждать вход вторым фактором. Это особенно актуально для финансовых отделов, работы с клиентами, академических реестров, конфиденциального планирования или любых пространств, где кража пароля грозит серьезным ущербом.
Когда данная политика включена, система может потребовать от членов пространства пройти настройку второго фактора перед тем, как они смогут продолжить работу. Индивидуальная настройка описана в статье Настройки безопасности учетной записи. Если ваша организация использует технологию единого входа SSO или другого провайдера удостоверений, двухфакторная аутентификация может полностью управляться на его стороне, вне ALLO.
Перед включением этого требования для крупного рабочего пространства обязательно предупредите членов команды о предстоящих изменениях. Также убедитесь, что у администраторов есть рабочие методы восстановления доступа и резервные коды.
Блокировка расширений файлов
Ограничьте расширения файлов, если ваше рабочее пространство должно блокировать загрузку потенциально небезопасных или нежелательных форматов. Это работает как черный список: администраторы указывают расширения, загрузка которых запрещена. ALLO автоматически обрабатывает значения, поэтому вводить их можно как с точкой перед расширением, так и без нее.
Эта политика распространяется на будущие загрузки. Она не является средством удаления файлов, которые уже находятся в системе. Если файл уже загружен и требует удаления, найдите этот файл или содержащий его элемент и удалите его в соответствии с внутренними правилами вашей организации.
Параметры блокировки должны быть точечными. Блокировка абсолютно всех неизвестных форматов может сорвать нормальную творческую работу сотрудников. Более практично блокировать только заведомо опасные исполняемые форматы файлов или типы документов, запрещенные регламентом вашей компании.
Ограничение приложений интеграции
Используйте ограничения приложений, если регламент вашей компании не допускает использование определенных интеграций в рабочем пространстве. Это важно при обработке конфиденциальных данных клиентов, академических ведомостей, регулируемой законом информации или любых материалов, которые запрещено передавать во внешние инструменты.
Ограничение приложения не стирает материалы, созданные с его помощью ранее. Оно лишь контролирует, можно ли будет использовать данную интеграцию в рабочем пространстве в будущем.
Логи безопасности
Логи безопасности рабочего пространства помогают администраторам проверять факты входа пользователей. Логи могут содержать имя пользователя, адрес его электронной почты, время входа, IP-адрес, данные об устройстве или браузере, а также приблизительное географическое положение.
Используйте логи для поиска ответов на следующие вопросы:
- Выполнял ли данный пользователь вход в последнее время?
- Были ли зафиксированы попытки входа с незнакомого устройства или сети?
- Поступали ли от пользователя жалобы на подозрительные события безопасности?
- Совпало ли время возникновения проблем со входом с моментом изменения общей политики безопасности?
Логи безопасности не фиксируют детальные пошаговые изменения внутри холстов, открытие файлов, комментарии или перемещение отдельных объектов. Для просмотра истории контента используйте соответствующие разделы истории на холсте, в проекте, активности, комментариях или истории объекта, где это поддерживается.
Управление пользователями и безопасность взаимосвязаны
Настройки безопасности рабочего пространства не заменяют ручное управление членами пространства. Если пользователь не должен находиться в пространстве, удалите его или деактивируйте его учетную запись. Если пользователю разрешен доступ, но требуется усилить защиту входа, включите обязательную двухфакторную аутентификацию. Если человеку нужен доступ только к одному документу, поделитесь с ним этим элементом без добавления в рабочее пространство.
Начните со статьи Управление членами рабочего пространства, когда вопрос звучит как «кто имеет сюда доступ?». Обращайтесь к этой статье, когда вопрос звучит как «какие глобальные правила безопасности должно обеспечивать рабочее пространство?».
Устранение неполадок безопасности рабочего пространства
| Симптом | Возможная причина | Что делать |
|---|---|---|
| Разделы администрирования или безопасности отсутствуют | Вы не являетесь администратором пространства, либо ваш тарифный план не поддерживает эти настройки. | Проверьте свою роль, активное рабочее пространство и тарифный план. При необходимости проконсультируйтесь с другими администраторами. |
| Пользователь не может присоединиться к пространству после приглашения | Вступление заблокировано ограничением доменов, лимитом лицензий или особым статусом пользователя. | Проверьте домен электронной почты приглашенного. Если приглашение не доходит до адресата, обратитесь к статье Если приглашение не приходит. |
| Пользователь заблокирован требованием двухфакторной аутентификации | Политика безопасности требует 2FA, но в учетной записи пользователя не завершена настройка второго фактора. | Направьте пользователя в раздел Настройки безопасности учетной записи для завершения настройки. |
| Загрузка файла прерывается сообщением о нарушении политики безопасности | Загружаемый тип файла заблокирован на уровне рабочего пространства. | Узнайте у администраторов, действительно ли данное расширение находится под запретом, либо воспользуйтесь разрешенным форматом. Дополнительная информация доступна в статье Файлы. |
| Географическое положение в логах безопасности отображается неверно | Использование VPN, корпоративной маршрутизации сетей или мобильного интернета искажает геолокацию. | Сопоставляйте точное время, параметры устройства, браузер и IP-адрес перед тем, как сообщать о возможном взломе. |
| Не удается определиться с оптимальной политикой безопасности | Параметры безопасности влияют на всю команду. | Обратитесь в службу поддержки, указав название рабочего пространства, планируемые правила и причину их внедрения. |
Связанные статьи
- Открытие настроек рабочего пространства
- Приглашение членов рабочего пространства
- Управление членами рабочего пространства
- Настройки безопасности учетной записи
- Управление активными сессиями
- Если не удается получить доступ к работе