Рекомендации по безопасности
На этой странице мы собрали рекомендации по работе в Яндекс 360 для бизнеса, которые помогут повысить безопасность вашей организации.
Защита аккаунтов
Если злоумышленники получат доступ к аккаунту владельца или администратора, они также получат доступ к профилю вашей организации. Чтобы этого не случилось, воспользуйтесь нашими рекомендациями.
- Используйте надежные пароли
-
Придумайте сложный пароль и не используйте его для других сайтов и приложений. Как придумать надежный пароль
- Включите вход по паролю + одноразовому паролю
-
Вход с комбинацией постоянного и одноразового паролей — это один из самых надежных способов входа в аккаунт. Узнать больше о входе по паролю + одноразовому паролю
Если по каким-то причинам вы не готовы включить вход по комбинации паролей всем пользователям, то убедитесь, что он подключен для администраторов и других ключевых сотрудников.
Включить вход по комбинации паролей сразу для всех сотрудников можно с помощью запроса к API. Как это сделать
- Добавьте телефонные номера и дополнительные адреса почты
-
Привязанный к Яндекс ID телефонный номер и дополнительный адрес почты помогают восстановить доступ к аккаунту. А еще на них Яндекс отправляет оповещения о подозрительной активности и других важных событиях. Защищенный номер также используется для подтверждения входа на Яндекс. Подробнее см. в разделах Привязка телефонных номеров и Дополнительные адреса почты.
- Используйте единый вход (SSO)
-
С помощью технологии единого входа на базе стандарта SAML 2.0 вы можете организовать вход в сервисы Яндекс 360 через вашу систему управления доступом (например, Active Directory или Keycloak). Так сотрудникам не придется запоминать новые логин и пароль, а вам — заводить для них отдельные аккаунты в Яндекс 360 для бизнеса. Как настроить единый вход (SSO)
- Синхронизируйте пользователей из Active Directory
-
Если в вашей компании развернута служба федерации Active Directory, вы можете настроить автоматическую синхронизацию сотрудников и групп с Яндекс 360 для бизнеса. Если сотрудник уволится или злоумышленники получат доступ к его аккаунту, вы сможете отключить аккаунт в Active Directory, и он заблокируется в Яндексе. Как синхронизировать пользователей с каталогом LDAP
- Установите периодичность смены пароля
-
Если вы не используете SSO, ограничьте срок действия паролей пользователей. Когда срок действия закончится, Яндекс предложит сотруднику изменить пароль. Настроить периодичность смены пароля можно с помощью запроса к API. Как изменить параметры парольной политики
- Настройте время жизни cookie-сессии
-
Вы можете выбрать время, спустя которое сотрудникам нужно будет повторно входить в аккаунт. По умолчанию время жизни cookie-сессий не ограничено. Настройте это значение в соответствии с политикой информационной безопасности вашей организации. Это можно сделать с помощью запроса к API. Как изменить время жизни cookie-сессии
- Выдавайте только необходимые права
-
Минимизируйте количество администраторов. Выдавайте пользователям только те права, которые им нужны. Как назначить сотрудника на роль менеджера
Администраторам организации можно создать вторые аккаунты с правами обычных пользователей. Это снизит вероятность того, что злоумышленники получат доступ к аккаунту с расширенными правами.
- Не используйте один аккаунт администратора для нескольких сотрудников
-
Если несколько сотрудников используют один аккаунт администратора, у злоумышленников появляется больше шансов получить к нему доступ. Если аккаунт один, невозможно отследить, кто и когда выполнял в нем действия.
- Если потеряли доступ к аккаунту владельца, восстановите его
-
Доступ к аккаунту владельца организации можно потерять: например, когда сотрудник увольняется или забывает пароль. Попробуйте восстановить доступ самостоятельно. Как это сделать
Защита корпоративной почты
- Настройте DKIM-подпись
- Вы можете установить DKIM-подпись для писем, которые сотрудники отправляют с вашего домена. Тогда получатель сможет удостовериться в том, что письмо действительно пришло от вас. Как настроить DKIM-подпись
- Настройте SPF-запись
- SPF-запись помогает снизить риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у получателя. Как настроить SPF-запись
- Ограничьте получение нежелательных писем
- Вы можете управлять письмами, которые получают сотрудники, с помощью правил обработки. Например, ограничьте получение писем с определенного адреса. Как настроить правила обработки писем
Полезные ссылки
Также советуем ознакомиться с другими рекомендациями по защите данных:
Пользователь с аккаунтом на Яндексе вида login@yandex.ru, создавший организацию в Яндекс 360 для бизнеса. Как изменить владельца
Сотрудник, у которого есть права на управление настройками организации в Яндекс 360 для бизнеса. Как выдать права администратора
Имя компании в интернете. Например, у Яндекса это yandex.ru. На домене можно создавать почтовые ящики сотрудников с адресами вида login@example.com. Как настроить домены
Single Sign-On (SSO), или технология единого входа, — это метод аутентификации, который позволяет пользователям использовать один набор учетных данных для авторизации в нескольких приложениях. Это решение помогает централизованно управлять доступом сотрудников и обеспечивать безопасность данных.
Cookie (куки) — файл, который отправляется сервером и хранится на компьютере пользователя для идентификации его сессии в веб-приложении.
Содержит информацию о списке серверов, которые имеют право отправлять письма от имени заданного домена. SPF-запись снижает риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у адресата. Настройка SPF прописывается в TXT-записи для домена.
Цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Настройка DKIM прописывается в TXT-записи для домена.