Zpět na webový portál

13 tipů pro zabezpečení Google Workspace nejen pro online výuku  (16/17)

Pár otázek ohledně zabezpečení online výuky a žákovských účtů se v sítích neustále opakuje.

Projděte si naše tipy krokem a nastavte si je ve své doméně. Netýká se to pouze výuky. Máme na mysli i kroky pro zabezpečení dat a nastavení školního Workspace obecně. Za hodinu to zvládnete. 

Po prvním spuštění Google Workspace pro vzdělávání

Od první minuty po převedení školy do cloudu a registraci Google Workspace pro vzdělávání prochází odobrník na Google Workspace Pavel Hodál tímto seznamem důležitých bezpečnostních nastavení. Dělá to ještě dříve, než založí uživatelské účty a předá škole hesla k prvnímu přihlášení. 

Povolení/zakáz/omezení Google Chatu

  1. Odborník zavede do systému záložní administrátorské účty

  2. Vytvoří subdoménu pro studenty

  3. Nastaví pravidla komplexnosti hesel podle požadavků školy

  4. Vytvoří organizační jednotky podle rolí ve škole 

  5. Povolí nebo zakáže Aplikace Google jednotlivým organizačním jednotkám podle požadavků školy

  6. Nastaví přístup k Google Classroom a také skupinu Učitelé ve službě Učebna

  7. Omezí možnosti sdílení pro Disk a Dokumenty mimo školu

  8. Zkontroluje správné nastavení a zabezpečení pošty 

  9. Google Meet zakáže nebo povolí podle požadavků školy

  10. Často se zapomene i na práva ke Kalendáři. To považuje Hodál za důležité nastavení. 

  11. Následně provede další zabezpečení žákovských účtů podle konkrétních požadavků školy

  12. Založí protokol nastavení a důležitých přístupů, který poté předá škole

Možností služeb v rámci Google Workspace je samozřejmě mnohem více. Nejedná se tedy kompletní výpis. Zmiňujeme jen kroky nutné k zajištění vyšší bezpečnosti výuky, videokonferencí a práce v cloudu. 

Proč tato nastavení

Podívejme se na jednotlivé kroky podrobněji. Zmiňujeme vždy konkrétní možnosti a hlavně důvod, proč je po třeba je takto nastavit.  

Záložní administrátorské účty

To nejhorší, co vás může potkat, je ztráta administrátorského přístupu do systému. Další záložní admin účet je tedy nutností. Vygenerujte mu dostatečně složité a komplexní heslo. Neslouží k běžnému přihlašování a správě služeb. Je tu jako záloha a čeká na první krizovou situaci. Vytiskněte tyto údaje, dejte do obálky, výrazně ji označte a bezpečně uložte ve školním trezoru. 

Subdoména pro studenty

Hodál doporučí škole zavedení samostatné domény 3. řádu pro studenty. Učitelé tedy komunikují z adresy "nejakejmeno@nejakadomena.cz" a všichni ostaní z adresy "nejakejmeno@zak.nejakadomena.cz". Jasně se tak oddělí kdo je učitel a kdo student.

Nastavení pravidla komplexnosti hesel podle požadavků školy

S délkou a komplexností hesla také souvisí možnost nastavit dvoufaktorové přihlášení. Školy jej obvykle odmítají, nechtějí to žákům komplikovat. Hodál chápe jejich úhel pohledu. Při distanční výuce mají často obtíže naučit žáky (i kolegy) běžné přihlášení. Nicméně ta možnost tu je a do budoucna se určitě hodí. 

Zvažte povinnost dvoufaktorového přihlášení minimálně pro organizační jednotku adminů. S touto radou souvisí další nutný krok: 

Organizační jednotky podle rolí ve škole 

Objevují se školy, které sypaly všechny uživatele do jedné organizační jednotky. To je chyba. A nezáleží na tom, jestli se jedná o malotřídku, kde se všichni znají, nebo o velkou školu s tisícovkou žáků. 

Logická struktura organizačních jednotek je nutností. Teprve rozdělení podle rolí ve škole umožní cíleně nastavit a zabezpečit služby. Jiné nastavení má pak žák a jiné učitel, ředitel, asistent, pracovník administrativy nebo třeba školník. Adminy dejte také do samostatné jednotky. 

Aplikace Google – proč je povolit/zakázat jednotlivým organizačním jednotkám

Podle požadavku vedení lze pro jednotlivé organizační jednotky povolit nebo zakázat aplikace Google. Takže prvnímu stupni ZŠ zakážte třeba Chat nebo všem žákům registraci v YouTube školním účtem. 

Co však nastavte vždy a bez výjimky, je zákaz Google Play pro žákovské účty. Většina škol oprávněně nechce, aby žáci přes školní účet instalovali nebo dokonce nakupovali aplikace a jiný obsah. 

Google Classroom – důležité zabezpečení Učebny

Nastavte možnost založit Kurzy Classroom pouze pro ověřené učitele. Tím zabráníte žákům tvořit kurzy a přidávat do nich spolužáky. 

Povolte spravovat “Přístup pro zákonné zástupce k výsledků žákova studia v Kurzech Classroom” pro všechny ověřené učitele. Proto je nutné, aby administrátor přidal všechny učitele do skupiny “Učitelé ve službě Učebna”

Kdo se může připojit ke kurzům ve vaší doméně? Pouze členové dané domény (ve výchozím stavu je Google Workspace pro vzdělávání to zapnuto, nicméně pro jistotu je potřeba to kontrolovat). 

Sdílení pro Disk a Dokumenty – pozor na úniky dat

Volitelně můžete zakázat určité skupině žáků sdílet data mimo doménu. Zabráníte tak jejich nechtěnému úniku. 

Lze také snadno zabránit lidem mimo doménu v přístupu k souborům na Sdíleném Disku. Sdílené Disky jsou plnohodnotným řešením školního souborového systému. Hodál školám standardně doporučuje toto omezit a mít jistotu, že nikdo omylem nezveřejní interní materiály ven. Sice si někteří pak stěžují, že nemohou sdílet společné materiály pro potřeby výuky, ale k tomu jim samozřejmě mohou sloužit jejich Osobní Disky v rámci školních účtů. Tak takové omezení není. 

Žádoucí je také omezit přidávání šablon dokumentů pro OU žáků. Není dobré, aby se žákovské hokusypokusy objevovaly všem napříč doménou. 

Pošta, Gmail, DNS záznamy

Pokud to škola vyžaduje, lze (nejen mladším) žákům omezit e-mailovou komunikaci pouze v rámci domény. Budete mít jistotu, že jim nikdo jiný nenapíše a oni nenapíšou jemu. Pozor ale na komunikaci s Učebnou. Také bývá problém při registraci do různých školních systémů a při registraci služeb vhodných pro výuku. To však lze řešit pomocí výjimek, přidejte je na whitelist.

Správce Google Workspace by měl také zkontrolovat a případně ve spolupráci se školou nastavit veškeré DNS MX záznamy. Zkontrolovat by měl také SPF záznam a ověření DKIM pro zvýšení důvěryhodnosti e-mailů a lepší odhalení podvržených zpráv. 

Google Chat

Pokud to škola vyžaduje, lze například mladším žákům omezit chat jen na doménu školy. Zde je vhodné nastavit přístup do Místností v rámci chatu. Můžete chatovací místnosti omezit pouze na doménu školy. 

Google Meet

Nejvíce dotazů se obvykle týká služby pro videohovory Meet. Samozřejmě můžete tuto službu žákům úplně vypnout. Jenže poté se nepřipojí k videovýuce. 

Častým požadavkem je také nastavit Google Meet tak, aby žáci mohli meetovat, ale nemohli jej sami založit. Toto neomezí jejich možnost se připojit k videohovoru organizovaném učitelem v rámci výuky. 

Tím vyřešíte problém zabezpečení Meetů v Učebně, kdy čekají na učitele. Jenže sami si už večer bohužel mezi sebou nezavolají. A mnozí z nich to využívají. Lepší je proto žákům poskytnout bezpečnou platformu v rámci školy, než je nutit zakládat účty v jiných sítích. Zde skutečně záleží na požadavcích konkrétní školy. 

S problematikou zakládání Meetů souvisí i způsob, jakým škola plánuje své videokonference. Důrazně doporučujeme plánovat videokonference pomocí Kalendáře a ne pomocí Učebny. Jedině tak zabráníte, že se žák stane moderátorem Meetu a pozve/přijme externí hosty. A když už tedy budete plánovat Meet v Kalendáři, nezapomeňte vypnout možnost hostů pozvat další hosty. Žáci vám tak nepozvou k události nikoho dalšího. 

Co nastavte vždy a za každých podmínek? Vypnutí možnosti Povolit připojení k videokonferenci po telefonu. K pozvánkám se pak nepřipojí telefonní číslo z USA. Také je vhodné vypnout možnost nahrávat schůzky. Toto je častý požadavek škol a důležité nastavení. 

Kalendář

Kontrolujte nastavení “Možnosti externího sdílení primárních kalendářů” v rámci organizace i externě. Kontrolujte také nastavení viditelnosti Kalendářů v rámci organizace. Bývají natavené jako sdílené a určitě nechcete, aby žáci viděli detaily Kalendáře učitelů. Buď to tedy úplně vypněte nebo zapněte pouze informaci o volném čase. 

Další omezení žákovských účtů

Zakažte žákům změnit své jméno a příjmení. Učitelé zjistili, že někteří to zneužívali a nastavilií si opravdu šílené přezdívky. Pod nimi se pak hlásí do Meetu i Učebny. 

Předávací protokol

Založte protokol nastavení a důležitých přístupů, který poté předáte škole. Vždy je důležité pečlivé zálohování. Objevují se i případy škol, které po pár týdnech vůbec netušily, kde a jak se do administrace přihlásit. 

Závěrem

Výše jsme nezmínili například odsouhlasení smluvních podmínek a GDPR zmocněnce. Tento seznam není konečný a úplný. Jedná se o nejčastější nastavení. Samozřejmě možností, jak vše zabezpečit/omezit je v rámci Google Workspace mnohem víc a konkrétní řešení vždy musí vycházet z reálných potřeb a požadavků školy.

Nicméně těchto 13 bodů považujeme za naprosté minimum zabezpečení školního Google Workspace v souvislosti s online výukou a také veškerou prací školy v cloudu.
 

Autor: Pavel Hodál, učitel a lektor
Článek byl publikován na serveru tybrdo.cz