Articles

Aktualizacje Google Workspace: Wyłączenie mniej bezpiecznego dostępu aplikacji do kont G Suite

Posted on

Co się zmienia

Począwszy od czerwca 2020 roku ograniczymy możliwość dostępu mniej bezpiecznych aplikacji (LSA) do danych kont G Suite. LSA to aplikacje spoza Google, które mogą uzyskać dostęp do Twojego konta Google, podając jedynie nazwę użytkownika i hasło. Sprawiają one, że konto jest bardziej narażone na próby przejęcia. Zamiast LSA można używać aplikacji, które obsługują OAuth – nowoczesną i bezpieczną metodę dostępu.
To najprawdopodobniej wpłynie na użytkowników starszych aplikacji poczty elektronicznej, kalendarza i kontaktów – więcej szczegółów poniżej. Wysłaliśmy również wiadomość e-mail do głównego administratora Twojej organizacji ze szczegółami dotyczącymi tej zmiany. Wiadomość ta zawiera listę użytkowników, których ta zmiana może dotyczyć.
Dostęp do LSA zostanie wyłączony w dwóch etapach:

  • Po 15 czerwca 2020 – Użytkownicy, którzy spróbują połączyć się z LSA po raz pierwszy, nie będą już mogli tego zrobić. Dotyczy to aplikacji innych firm, które umożliwiają dostęp wyłącznie za pomocą hasła do kalendarzy, kontaktów i wiadomości e-mail Google za pośrednictwem takich protokołów, jak CalDAV, CardDAV, IMAP i Exchange ActiveSync (Google Sync). Użytkownicy, którzy połączyli się z LSA przed tą datą, będą mogli nadal z nich korzystać, dopóki korzystanie z wszystkich LSA nie zostanie wyłączone.
  • Po 15 lutego 2021 roku – Dostęp do LSA zostanie wyłączony dla wszystkich kont G Suite.

Jest to kontynuacja naszego wcześniej ogłoszonego procesu ograniczania dostępu do mniej bezpiecznych aplikacji w celu ochrony kont G Suite. Zobacz poniżej więcej szczegółów na temat możliwego wpływu tej zmiany oraz zalecenia dotyczące zarządzania zmianami z użytkownikami LSA.

Kogo to dotyczy

Użytkownicy końcowi

Dlaczego ma to znaczenie

Wielu użytkowników korzysta z aplikacji innych niż Google i daje tym aplikacjom uprawnienia do dostępu do danych G Suite. Na przykład użytkownik może zezwolić aplikacji pocztowej systemu iOS na dostęp do służbowej poczty e-mail. Zapewnia to użytkownikom więcej opcji i pomaga im wykonywać pracę w sposób, który im odpowiada.
Gdy dostęp do konta jest zapewniany za pośrednictwem LSA, naraża to konto na ryzyko porwania. To dlatego, że LSA zapewniają aplikacji spoza Google dostęp do konta poprzez nazwę użytkownika i hasło, bez żadnego innego czynnika uwierzytelniającego. Jeśli zły aktor uzyska dostęp do nazwy użytkownika i hasła (na przykład, jeśli ponownie użyjesz hasła w innej witrynie, która jest przedmiotem naruszenia danych), może uzyskać dostęp do danych konta za pomocą tylko tej nazwy użytkownika i hasła za pośrednictwem LSA.

Jednakże, gdy dostęp do konta jest dostarczany za pośrednictwem OAuth, otrzymujemy więcej szczegółów na temat logowania i możemy go zweryfikować w taki sam sposób, jak w przypadku każdego innego logowania do konta. Oznacza to, że możemy lepiej identyfikować i zapobiegać podejrzanym próbom logowania, uniemożliwiając porywaczom dostęp do danych konta, nawet jeśli mają Twoją nazwę użytkownika i hasło. OAuth pomaga nam również egzekwować zasady logowania zdefiniowane przez administratora G Suite, takie jak stosowanie kluczy bezpieczeństwa, a także inne kontrole bezpieczeństwa, takie jak wybielanie aplikacji i oferowanie dostępu do konta w oparciu o zakres.
Jako że stale pracujemy nad poprawą bezpieczeństwa kont G Suite w Państwa organizacji, podjęliśmy decyzję o usunięciu dostępu LSA do 15 lutego 2021 roku. Biorąc pod uwagę wiele dostępnych alternatywnych aplikacji i procesów, które używają OAuth (opisanych poniżej), mamy nadzieję, że nie spowoduje to znaczących zakłóceń przy jednoczesnym zwiększeniu bezpieczeństwa konta.

Jak zacząć

  • Admins:
    • Zapoznaj się z sekcją „Dodatkowe szczegóły” poniżej, aby uzyskać więcej informacji i zalecanych działań.
    • Zobacz wiadomość e-mail wysłaną do głównego administratora Twojej organizacji z tematem „Przełącz się na aplikacje korzystające z bezpiecznego dostępu OAuth, ponieważ dostęp oparty na haśle nie będzie już obsługiwany”, aby uzyskać listę użytkowników, których prawdopodobnie dotknie ta zmiana.
  • Użytkownicy końcowi: Zobacz sekcję „Informacje i porady dla użytkowników” poniżej, aby uzyskać więcej szczegółów i zalecane działania, lub skorzystaj z naszego Centrum Pomocy, aby dowiedzieć się więcej o mniej bezpiecznych aplikacjach i koncie Google.

Dodatkowe szczegóły

Informacje dla administratorów i deweloperów
Konfiguracja zarządzania urządzeniami mobilnymi (MDM) – Jeśli Twoja organizacja korzysta z dostawcy usług zarządzania urządzeniami mobilnymi (MDM) w celu skonfigurowania profili CalDAV, CardDAV i Exchange ActiveSync (Google Sync), usługi te będą stopniowo wycofywane zgodnie z poniższym harmonogramem:

  • 15 czerwca 2020 – MDM push profili IMAP, CalDAV, CardDAV i Exchange ActiveSync (Google Sync) nie będzie już działać dla nowych użytkowników.
  • 15 lutego 2021 – MDM push z IMAP, CalDAV, CardDAV i Exchange ActiveSync (Google Sync) nie będzie już działać dla istniejących użytkowników. Administratorzy będą musieli wypchnąć konto Google za pomocą swojego dostawcy MDM, który ponownie doda ich konta Google do urządzeń iOS za pomocą OAuth.

Skanery i inne urządzenia – Żadna zmiana nie jest wymagana w przypadku skanerów lub innych urządzeń wykorzystujących prosty protokół przesyłania poczty (SMTP) lub LSA do wysyłania wiadomości e-mail. Jeśli wymieniasz urządzenie, poszukaj takiego, które wysyła wiadomości e-mail przy użyciu OAuth.
Instrukcje dla deweloperów – Aby zachować zgodność z kontami G Suite, zaktualizuj swoją aplikację, aby używała OAuth 2.0 jako metody połączenia. Aby rozpocząć, postępuj zgodnie z naszym przewodnikiem dla programistów na temat korzystania z OAuth 2.0, aby uzyskać dostęp do interfejsów API Google. Możesz również zapoznać się z naszym przewodnikiem na temat OAuth 2.0 dla aplikacji mobilnych & desktopowych.
Informacje i porady dla użytkowników końcowych
Jeśli korzystasz z aplikacji, która uzyskuje dostęp do Twojego konta Google wyłącznie za pomocą nazwy użytkownika i hasła, podejmij jedną z następujących czynności, aby przełączyć się na bezpieczniejszą metodę i nadal uzyskiwać dostęp do poczty e-mail, kalendarza lub kontaktów. Jeśli nie podejmiesz jednej z poniższych czynności, gdy dostęp do LSA zostanie przerwany po 15 lutego 2021 r., zaczniesz otrzymywać komunikat o błędzie, że Twoja kombinacja nazwy użytkownika i hasła jest nieprawidłowa.
Email

  • Jeśli używasz samodzielnego programu Outlook 2016 lub wcześniejszego, możesz użyć G Suite Sync for Microsoft Outlook. Alternatywnie, przenieś się do Office 365 (lub Outlook 2019), które obsługują dostęp OAuth.
  • Jeśli używasz Thunderbird lub innego klienta poczty e-mail, ponownie dodaj swoje konto Google i skonfiguruj je do korzystania z IMAP z OAuth.
  • Jeśli używasz aplikacji pocztowej na iOS lub MacOS, lub Outlook dla Maca, i używasz tylko hasła do logowania, będziesz musiał usunąć i ponownie dodać swoje konto. Gdy dodasz je ponownie, upewnij się, że wybrałeś Google jako typ konta, aby automatycznie korzystać z OAuth.

Kalendarz

  • Jeśli używasz CalDAV, aby dać aplikacji lub urządzeniu dostęp do kalendarza, przełącz się na metodę, która obsługuje OAuth. Zalecamy aplikację Kalendarz Google jako najbezpieczniejszą aplikację do używania z kontem G Suite.
  • Jeśli Twoje konto G Suite jest połączone z aplikacją kalendarza w iOS lub MacOS i używa tylko hasła do logowania, będziesz musiał usunąć i ponownie dodać konto do urządzenia. Po dodaniu go z powrotem wybierz opcję „zaloguj się za pomocą Google”, aby automatycznie użyć OAuth. Czytaj więcej.

Kontakty

  • Jeśli Twoje konto G Suite synchronizuje kontakty z iOS lub MacOS przez CardDAV i używa tylko hasła do logowania, musisz usunąć konto. Po dodaniu go z powrotem, wybierz „zaloguj się z Google”, aby automatycznie użyć OAuth. Czytaj więcej.
  • Jeśli Twoje konto G Suite synchronizuje kontakty z inną platformą lub aplikacją za pomocą CardDAV i używa tylko hasła do logowania, przełącz się na metodę, która obsługuje OAuth.

Inne mniej bezpieczne aplikacje

  • Jeśli używasz innych aplikacji na iOS lub MacOS, które uzyskują dostęp do informacji o koncie G Suite wyłącznie za pomocą hasła, większość problemów z dostępem można rozwiązać, usuwając konto, a następnie dodając je ponownie. Po ponownym dodaniu upewnij się, że wybrałeś Google jako typ konta, aby automatycznie korzystać z OAuth.
  • W przypadku każdego innego LSA, skontaktuj się ze swoim administratorem lub poproś twórcę aplikacji, której używasz, aby zaczął wspierać OAuth.
  • Jeśli deweloper nie zaktualizuje swojej aplikacji, będziesz musiał przejść na klienta, który oferuje OAuth.
  • G Suite Updates Blog: Ograniczanie dostępu do mniej bezpiecznych aplikacji w celu ochrony kont G Suite
  • Admin Help Center: Kontrola dostępu do mniej bezpiecznych aplikacji
  • Admin Help Center: Używanie alternatyw dla mniej bezpiecznych aplikacji
  • Centrum Pomocy dla użytkowników końcowych: Mniej bezpieczne aplikacje i Twoje konto Google

Dostępność

Szczegóły rolloutu – wszystkie domeny

  • Po 15 czerwca 2020 roku
    • Użytkownicy, którzy spróbują połączyć się z LSA po raz pierwszy, nie będą już mogli tego zrobić. Dotyczy to aplikacji innych firm, które umożliwiają dostęp wyłącznie za pomocą hasła do kalendarzy, kontaktów i poczty e-mail Google za pośrednictwem takich protokołów, jak CalDAV, CardDAV, IMAP i Exchange ActiveSync (Google Sync). Użytkownicy, którzy połączyli się z LSA przed tą datą, będą mogli nadal z nich korzystać, dopóki korzystanie z wszystkich LSA nie zostanie wyłączone.
    • Konfiguracja CalDAV lub CardDAV wDM nie będzie już działać dla nowych użytkowników.
  • Po 15 lutego 2021
    • Dostęp do LSA zostanie wyłączony dla wszystkich kont G Suite.
    • Konfiguracja CalDAV i CardDAV wDM nie będzie już działać dla istniejących użytkowników. Wszyscy istniejący użytkownicy będą musieli ponownie dodać swoje konta Google, jeśli chcą synchronizować kontakty, kalendarz lub pocztę.

Wydania G Suite
Dotyczy wszystkich wydań G Suite
Domyślnie włączone/wyłączone?
Ta funkcja będzie domyślnie włączona i nie będzie można jej wyłączyć.
Bądź na bieżąco z aktualizacjami G Suite

  • Uzyskaj powiadomienia o aktualizacjach produktów G Suite pocztą e-mail
  • Zobacz kalendarz premier G Suite
  • Zapisz się do kanału RSS tych aktualizacji

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *