Slide thumbnail

Cập nhật kiến thức Google Cloud

Kiến thức

Tắt quyền truy cập của các ứng dụng kém an toàn vào tài khoản G Suite

16/01/2020

Những gì đang thay đổi?

Bắt đầu từ tháng 6 năm 2020, Google sẽ giới hạn khả năng cho các ứng dụng kém an toàn (LSA) truy cập dữ liệu tài khoản G Suite. LSA là các ứng dụng không phải của Google có thể truy cập tài khoản Google của bạn chỉ bằng tên người dùng và mật khẩu. Chúng làm cho tài khoản của bạn dễ bị tấn công hơn. Thay vì LSA, bạn có thể sử dụng các ứng dụng hỗ trợ OAuth, một phương thức truy cập hiện đại và an toàn.

 

Điều này rất có thể ảnh hưởng đến người dùng các ứng dụng email, lịch và danh bạ cũ, hãy xem thông tin dưới đây để biết thêm chi tiết. Google cũng đã gửi email cho  quản trị viên chính trong tổ chức của bạn với thông tin chi tiết về thay đổi này. Email đó bao gồm một danh sách người dùng có khả năng bị ảnh hưởng.

 

Quyền truy cập của LSAs sẽ bị tắt theo hai giai đoạn:

  • Sau ngày 15 tháng 6 năm 2020 – Người dùng lần đầu tiên kết nối với LSA sẽ không còn có thể làm như vậy. Điều này bao gồm các ứng dụng của bên thứ ba cho phép chỉ truy cập mật khẩu vào lịch, danh bạ và email của Google thông qua các giao thức như CalDAV, CardDAV, IMAP và Exchange ActiveSync (Google Sync). Người dùng đã kết nối với LSAs trước ngày này sẽ có thể tiếp tục sử dụng chúng cho đến khi việc sử dụng tất cả các LSAs bị tắt.
  • Sau ngày 15 tháng 2 năm 2021 – Quyền truy cập vào LSA sẽ bị tắt cho tất cả các tài khoản G Suite.

Đây là sự tiếp nối của những gì mà Google đã công bố trước đây về giới hạn quyền truy cập vào các ứng dụng kém an toàn hơn để bảo vệ tài khoản G Suite. Xem bên dưới để biết thêm chi tiết về tác động có thể có của thay đổi này và một số đề xuất về quản lý thay đổi với người dùng LSA.

 

Ai bị ảnh hưởng?

Người dùng cuối

 

Tại sao điều này lại quan trọng?

Nhiều người dùng sử dụng các ứng dụng không phải của Google và cấp cho các ứng dụng đó quyền truy cập dữ liệu G Suite. Ví dụ: bạn có thể cấp cho IOS mail app để xem email công việc của bạn. Điều này cung cấp cho người dùng nhiều tùy chọn hơn và giúp người dùng hoàn thành công việc theo cách phù hợp với họ.

 

Khi quyền truy cập tài khoản được cung cấp thông qua LSAs, nó sẽ khiến tài khoản đó có nguy cơ bị tấn công. Điều đó là vì LSAs cung cấp quyền truy cập ứng dụng không phải của Google vào tài khoản của bạn thông qua tên người dùng và mật khẩu mà không có bất kỳ yếu tố xác thực nào khác. Nếu một kẻ xấu nào đó biết được tên người dùng và mật khẩu của bạn (Ví dụ: Nếu bạn sử dụng lại mật khẩu trên một trang web khác có thể bị rò rỉ thông tin), họ có thể truy cập dữ liệu tài khoản của bạn chỉ bằng thông tin tên người dùng và mật khẩu đó thông qua LSA

 

Tuy nhiên, khi quyền truy cập tài khoản được cung cấp thông qua OAuth, chúng tôi sẽ có thêm thông tin chi tiết về thông tin đăng nhập và có thể xác thực, nó giống như cách chúng tôi làm với bất kỳ thông tin đăng nhập nào khác vào tài khoản của bạn. Điều này có nghĩa là Google có thể xác định và ngăn chặn tốt hơn các nỗ lực đăng nhập đáng ngờ, ngăn chặn kẻ xâm nhập truy cập vào dữ liệu tài khoản ngay cả khi chúng có tên người dùng và mật khẩu của bạn. OAuth cũng giúp chúng tôi thi hành các chính sách đăng nhập do quản trị viên G Suite xác định, chẳng hạn như việc sử dụng các khóa bảo mật, cũng như các kiểm soát bảo mật khác như danh sách trắng các ứng dụng và cung cấp quyền truy cập tài khoản dựa trên phạm vi.

 

Khi chúng tôi liên tục làm việc để cải thiện tính bảo mật của tài khoản trong tổ chức của bạn, thì chúng tôi đã đưa ra quyết định xóa quyền truy cập LSA trước ngày 15 tháng 2 năm 2021. Với nhiều ứng dụng và quy trình thay thế có sẵn sử dụng OAuth (được nêu dưới đây), chúng tôi hy vọng rằng điều này sẽ không gây ra sự gián đoạn đáng kể trong khi tăng bảo mật cho tài khoản của bạn.

 

Làm thế nào để bắt đầu?

 

  • Quản trị viên:

 

  •  Xem phần “Chi tiết bổ sung” của người dùng bên dưới để biết thêm thông tin và các hành động được đề xuất.
  • Xem email được gửi đến tổ chức của bạn, quản trị viên chính của nhóm với một dòng chủ đề của “Switch to apps that use secure OAuth access, as password-based access will no longer be supported” cho danh sách người dùng có thể bị ảnh hưởng bởi thay đổi.

 

Chi tiết bổ sung

Thông tin quản trị và nhà phát triển

Cấu hình quản lý thiết bị di động (MDM) – Nếu tổ chức của bạn sử dụng nhà cung cấp quản lý thiết bị di động (MDM) để định cấu hình CalDAV, CardDAV và Exchange ActiveSync (Google Sync), các dịch vụ này sẽ được loại bỏ theo dòng thời gian bên dưới:

  • Ngày 15 tháng 6 năm 2020 – MDM đẩy IMAP, CalDAV, CardDAV và Exchange ActiveSync (Google Sync) sẽ không còn hoạt động cho người dùng mới.
  • Ngày 15 tháng 2 năm 2021 – MDM đẩy IMAP, CalDAV, CardDAV và Exchange ActiveSync (Google Sync) sẽ không còn hoạt động cho người dùng hiện tại. Quản trị viên sẽ cần đẩy Tài khoản Google bằng nhà cung cấp MDM của họ, họ sẽ thêm lại tài khoản Google của họ vào thiết bị iOS bằng OAuth

 

Máy quét và các thiết bị khác – Không yêu cầu thay đổi đối với máy quét hoặc các thiết bị khác sử dụng giao thức chuyển thư đơn giản (SMTP) hoặc LSA để gửi email.  Nếu bạn thay thế thiết bị của mình, hãy tìm một thiết bị gửi email bằng OAuth.

 

Hướng dẫn dành cho nhà phát triển – Để duy trì khả năng tương thích với tài khoản G Suite, hãy cập nhật ứng dụng của bạn để sử dụng OAuth 2.0 làm phương thức kết nối. Để bắt đầu, hãy làm theo hướng dẫn dành cho nhà phát triển của Google về việc sử dụng OAuth 2.0 để truy cập Google API. Bạn cũng có thể tham khảo hướng dẫn của Google về OAuth 2.0 cho các ứng dụng dành cho thiết bị di động và máy tính để bàn.

 

Thông tin và lời khuyên dành cho người dùng

Nếu bạn đang sử dụng một ứng dụng truy cập tài khoản Google của mình chỉ bằng tên người dùng và mật khẩu, hãy thực hiện một trong các hành động sau để chuyển sang phương pháp an toàn hơn và tiếp tục truy cập email, lịch hoặc danh bạ của bạn. Nếu bạn không thực hiện một trong các hành động sau, khi ngừng truy cập LSA sau ngày 15 tháng 2 năm 2021, bạn sẽ bắt đầu nhận được thông báo lỗi rằng kết hợp mật khẩu tên người dùng của bạn không chính xác.

 

Email

  • Nếu bạn đang sử dụng Outlook 2016 hoặc cũ hơn, bạn có thể sử dụng G Suite Sync cho Microsoft Outlook. Ngoài ra, chuyển đến Office 365 (hoặc Outlook 2019), hỗ trợ truy cập OAuth.
  • Nếu bạn đang sử dụng Thunderbird hoặc ứng dụng email khác, hãy thêm lại Tài khoản Google của bạn và định cấu hình nó để sử dụng IMAP với OAuth.
  • Nếu bạn đang sử dụng ứng dụng thư trên iOS hoặc MacOS hoặc Outlook cho Mac và chỉ sử dụng mật khẩu để đăng nhập, bạn sẽ cần phải xóa và thêm lại tài khoản của mình. Khi bạn thêm lại, hãy đảm bảo chọn Google làm loại tài khoản để tự động sử dụng OAuth.

Tắt quyền truy cập của các ứng dụng kém an toàn vào tài khoản G Suite

 

Calendar 

  • Nếu bạn sử dụng CalDAV để cấp cho ứng dụng hoặc thiết bị quyền truy cập vào lịch của bạn, hãy chuyển sang phương pháp hỗ trợ OAuth. Google khuyên dùng ứng dụng Google Calendar [Web/iOS/Android] là ứng dụng an toàn nhất để sử dụng với tài khoản G Suite của bạn.
  • Nếu tài khoản G Suite của bạn được liên kết với ứng dụng lịch trong iOS hoặc MacOS và chỉ sử dụng mật khẩu để đăng nhập, bạn sẽ cần phải xóa và thêm lại tài khoản vào thiết bị của mình. Khi bạn thêm nó trở lại, hãy chọn “Đăng nhập bằng Google” để tự động sử dụng OAuth. Đọc thêm.

 

Contacts

  • Nếu tài khoản G Suite của bạn đang đồng bộ hóa danh bạ với iOS hoặc MacOS thông qua CardDAV và chỉ sử dụng mật khẩu để đăng nhập, bạn sẽ cần phải xóa tài khoản của mình. Khi bạn thêm nó trở lại, hãy chọn “Đăng nhập bằng Google” để tự động sử dụng OAuth. Đọc thêm.
  • Nếu tài khoản G Suite của bạn đang đồng bộ hóa danh bạ với bất kỳ nền tảng hoặc ứng dụng nào khác thông qua CardDAV và chỉ sử dụng mật khẩu để đăng nhập, hãy chuyển sang phương thức hỗ trợ OAuth.

 

Các ứng dụng kém an toàn khác

  • Nếu bạn sử dụng các ứng dụng khác trên iOS hoặc MacOS truy cập thông tin tài khoản G Suite của bạn chỉ bằng mật khẩu, hầu hết các vấn đề truy cập có thể được giải quyết bằng cách xóa sau đó thêm lại tài khoản của bạn. Khi bạn thêm lại, hãy đảm bảo chọn Google làm loại tài khoản để tự động sử dụng OAuth.
  • Đối với bất kỳ LSA nào khác, hãy liên hệ với quản trị viên của bạn hoặc hỏi nhà phát triển ứng dụng bạn đang sử dụng để bắt đầu hỗ trợ OAuth.

 

 

Nguồn: Gimasys.

 

 

Kiến thức

Trung tâm cập nhật và hỗ trợ dành cho quản trị viên và người dùng