أمان Google Workspace: أفضل الممارسات لعام 2026

تُعد Google Workspace العمود الفقري للإنتاجية لملايين المؤسسات، حيث يتم تشغيل البريد الإلكتروني والمستندات والتقويمات واجتماعات الفيديو وإدارة المهام من خلال منصة واحدة. توفر هذه المركزية راحة هائلة، ولكنها تخلق أيضاً هدفاً مركزاً للمهاجمين، وتسريب البيانات العرضي، والمخاطر الداخلية.

إن أمن Google Workspace ليس مجرد إعداد يتم لمرة واحدة، بل هو ممارسة مستمرة تشمل ضوابط المسؤول، وسلوك المستخدم النهائي، وعمليات التكامل مع أطراف خارجية، وسياسات المؤسسة. يغطي هذا الدليل أهم الممارسات الأمنية لعام 2026، مرتبة حسب طبقة التحكم التي ينطبق عليها كل منها.

---

لماذا يستحق أمن Google Workspace اهتماماً جاداً

تستثمر Google بكثافة في أمن البنية التحتية، بما في ذلك التشفير أثناء النقل وفي حالة السكون، ومراكز البيانات ذات الأمن المادي، والكشف المستمر عن التهديدات. ما لا يمكن لـ Google الحماية منه بالكامل هو كيفية تكوين مؤسستك للمنصة واستخدامها لها.

الحوادث الأمنية الأكثر شيوعاً في Google Workspace ليست اختراقات لبنية Google التحتية، بل هي:

• الاستيلاء على الحساب عبر التصيد الاحتيالي: حيث يخدع المهاجم موظفاً لإدخال بيانات اعتماده على صفحة تسجيل دخول مزيفة.
• تطبيقات OAuth ذات الصلاحيات المفرطة: تطبيق تابع لجهة خارجية مُنح حق الوصول إلى Google Drive أو Gmail، ثم أصبح ضاراً أو استحوذت عليه شركة غير موثوقة.
• المشاركة العرضية: مستند حساس تمت مشاركته مع “أي شخص لديه الرابط” بدلاً من أشخاص محددين.
• كلمات المرور الضعيفة أو المعاد استخدامها: خاصة بين الحسابات التي لا تستخدم التحقق بخطوتين.
• حسابات المسؤول المخترقة: وهي نوع الحساب الأكثر خطورة في أي مؤسسة تستخدم Google Workspace.

لكل من هذه الحوادث وسيلة واضحة للتخفيف من حدتها، والتحدي يكمن في تنفيذها جميعاً بشكل متسق.

---

وحدة تحكم المسؤول: أساس أمن Google Workspace

تعد Google Admin Console المكان الذي يتم فيه تكوين أمن المؤسسة. تتطلب كل ممارسة أمنية موصوفة هنا وصول المسؤول لتنفيذها.

فرض التحقق بخطوتين

يعد التحقق بخطوتين (2SV) أقوى عنصر تحكم أمني متاح في Google Workspace. فهو يتطلب عاملاً ثانياً (رمزاً، أو مفتاح أمان مادياً، أو بصمة حيوية) بالإضافة إلى كلمة المرور. حتى لو حصل المهاجم على كلمة مرور المستخدم، فلن يتمكن من الوصول إلى الحساب بدون العامل الثاني.

كيفية فرض ذلك:

1. في وحدة تحكم المسؤول، انتقل إلى Security > Authentication > 2-step verification.
2. قم بتمكين الفرض لجميع المستخدمين (وليس كخيار اختياري).
3. حدد فترة سماح (7-30 يوماً) للمستخدمين للتسجيل قبل سريان السياسة.
4. فكر في طلب مفاتيح أمان مادية (FIDO2/WebAuthn) للحسابات ذات الامتيازات العالية مثل المسؤولين.

للحصول على أقصى قدر من الحماية، تعد مفاتيح الأمان المادية أكثر مقاومة للتصيد الاحتيالي بشكل كبير مقارنة برموز الرسائل القصيرة أو تطبيقات المصادقة. وجدت أبحاث Google أن مفاتيح الأمان منعت 100% من هجمات الروبوتات الآلية، و99% من هجمات التصيد الاحتيالي الجماعية، و90% من الهجمات المستهدفة.

طلب كلمات مرور قوية

قم بتعيين حد أدنى لطول كلمة المرور لا يقل عن 12 حرفاً، وافرض منع إعادة الاستخدام (حظر آخر 10 كلمات مرور). اقرن ذلك باكتشاف بيانات الاعتماد المسربة بأسلوب Have I Been Pwned، والذي تضمنه Google في مركز الأمان.

تدقيق حسابات المسؤول الخارق (Super Admin)

تتمتع حسابات المسؤول الخارق بوصول غير مقيد إلى جميع البيانات والإعدادات في مؤسسة Google Workspace الخاصة بك. أفضل الممارسات:

• لا تحتفظ بأكثر من 2-4 حسابات مسؤول خارق.
• لا تستخدم حسابات المسؤول الخارق للعمل اليومي أبداً، بل أنشئ حسابات مسؤول منفصلة للمهام الإدارية الروتينية.
• قم بتمكين تحديات تسجيل الدخول واطلب مفاتيح أمان مادية لجميع حسابات المسؤول الخارق.
• راجع قائمة المسؤولين الخارقين بشكل ربع سنوي.

---

حماية بيانات المستخدم: المشاركة ومنع فقدان البيانات (DLP)

تدقيق إعدادات المشاركة الخارجية

تسمح إعدادات المشاركة الافتراضية في Google Drive للمستخدمين بمشاركة الملفات مع أي شخص لديه الرابط، بما في ذلك الأشخاص خارج المؤسسة. بالنسبة لمعظم المؤسسات، يعد هذا تساهلاً كبيراً.

في وحدة تحكم المسؤول، راجع:

• Drive and Docs > Sharing settings > Sharing outside [your domain]: قم بتقييد المشاركة على نطاقات موثوقة محددة أو قم بتعطيل المشاركة الخارجية تماماً للوحدات التنظيمية الحساسة.
• تعطيل مشاركة الرابط المعين على “أي شخص” للوحدات التنظيمية التي تتعامل مع بيانات حساسة.

منع فقدان البيانات (DLP)

تقوم قواعد DLP في Google Workspace بمسح البريد الإلكتروني الصادر ومشاركة ملفات Drive تلقائياً بحثاً عن أنماط البيانات الحساسة، بما في ذلك أرقام بطاقات الائتمان، وأرقام الضمان الاجتماعي، وأرقام الهوية الوطنية، والأنماط المخصصة التي تحددها.

عندما يكتشف DLP نمطاً حساساً، يمكنه حظر المشاركة، أو تحذير المستخدم، أو إخطار المسؤول. تتوفر ميزة DLP في خطط Business Plus وEnterprise وEducation Plus.

قواعد DLP الرئيسية التي يجب تكوينها:

• حظر مشاركة ملفات Drive التي تحتوي على أرقام بطاقات ائتمان خارجياً.
• التحذير قبل إرسال رسائل بريد إلكتروني تحتوي على كلمات رئيسية معينة (سري، خاص، معلومات تعريف شخصية PII).
• وضع رسائل Gmail التي تحتوي على أنواع مرفقات مشبوهة في الحجر الصحي.

Vault للاحتفاظ بالبيانات والاكتشاف الإلكتروني

تتيح Google Vault للمسؤولين تعيين قواعد الاحتفاظ ببيانات Gmail وDrive وChat وMeet. يضمن هذا الاحتفاظ بالبيانات للفترة المطلوبة حتى لو قام المستخدمون بحذفها، وهو أمر مهم للمتطلبات القانونية والامتثال.

بالنسبة للمؤسسات الخاضعة للوائح GDPR أو HIPAA أو اللوائح المالية، تعد Vault بنية تحتية أساسية وليست إضافة اختيارية.

---

إدارة وصول تطبيقات الطرف الثالث

تعد تطبيقات الطرف الثالث التي تتصل بـ Google Workspace عبر OAuth واحدة من أكثر المخاطر الأمنية التي يتم التقليل من شأنها. في كل مرة ينقر فيها المستخدم على “تسجيل الدخول باستخدام Google” ويمنح أذونات لتطبيق ما، يحصل ذلك التطبيق على وصول مستمر إلى البيانات الممنوحة حتى يقوم المستخدم بإلغائه يدوياً.

تدقيق التطبيقات المتصلة

في وحدة تحكم المسؤول، انتقل إلى Security > Access and data control > API controls > App access control لرؤية جميع تطبيقات الطرف الثالث التي مُنحت وصول OAuth إلى بيانات Google Workspace الخاصة بمؤسستك.

راجع هذه القائمة بحثاً عن:

• التطبيقات التي تطلب أذونات أوسع مما تتطلبه وظيفتها.
• التطبيقات من موردين لم تعد مؤسستك تستخدمهم.
• التطبيقات التي لا يوجد مستخدمون يستخدمونها حالياً.
• التطبيقات التي تم إيقاف دعمها أو التي تم الاستحواذ على مورديها.

تقييد وصول تطبيقات الطرف الثالث

بالنسبة للمؤسسات ذات الأمن العالي، يمكنك تقييد تطبيقات الطرف الثالث المسموح لها بالاتصال بـ Google Workspace تماماً. هناك خياران:

1. وضع القائمة المسموح بها (Allowlist): لا يمكن الاتصال إلا بالتطبيقات التي يوافق عليها المسؤول صراحة.
2. تقييد التطبيقات غير الموثقة: لا يمكن طلب النطاقات الحساسة إلا من التطبيقات التي أكملت عملية التحقق من OAuth الخاصة بـ Google.

يوفر نهج القائمة المسموح بها أقوى حماية، ولكنه يتطلب صيانة مستمرة مع تبني المؤسسة لأدوات جديدة.

TasksBoard وأمن OAuth

يستخدم TasksBoard واجهة برمجة تطبيقات Google Tasks الرسمية عبر OAuth، ويطلب الوصول فقط إلى بيانات Google Tasks. إنه لا يطلب الوصول إلى محتويات Gmail أو Drive أو Calendar. عندما تمنح TasksBoard حق الوصول، يمكنه قراءة وكتابة مهام Google الخاصة بك ولا شيء آخر. يتبع نطاق الإذن الأدنى هذا مبدأ الامتياز الأقل.

عند تقييم أي تطبيق Google Workspace تابع لجهة خارجية، تحقق من نطاقات الإذن المطلوبة قبل منح الوصول. التطبيق الذي يطلب الوصول إلى جميع بيانات Gmail “لتحسين الإنتاجية” هو علامة تحذير.

---

أمن البريد الإلكتروني: حماية Gmail

يتضمن Gmail العديد من الطبقات الأمنية التي يمكن للمسؤولين تكوينها وتعزيزها.

حماية التصيد الاحتيالي والبرامج الضارة

في وحدة تحكم المسؤول ضمن Apps > Google Workspace > Gmail > Safety، قم بتمكين:

• مسح الرسائل المحسن قبل التسليم: مسح إضافي مدعوم بالذكاء الاصطناعي قبل وصول الرسائل إلى صناديق بريد المستخدمين.
• المرفقات: الحماية من المرفقات الواردة من مرسلين غير موثوقين.
• الروابط والصور الخارجية: تحديد الروابط الموجودة خلف عناوين URL المختصرة.
• الانتحال والمصادقة: الحماية من البريد الإلكتروني غير المصادق عليه.

تكوين SPF وDKIM وDMARC

تتحقق معايير مصادقة البريد الإلكتروني هذه من أن البريد الإلكتروني المرسل من نطاقك ينشأ بالفعل من خوادم البريد المصرح بها.

• SPF (إطار سياسة المرسل): يسرد عناوين IP المرسلة المصرح بها في نظام DNS الخاص بك.
• DKIM (البريد المحدد بمفاتيح النطاق): يضيف توقيعاً تشفيرياً إلى البريد الإلكتروني الصادر.
• DMARC: يخبر خوادم البريد المستلمة بما يجب فعله بالبريد الإلكتروني الذي يفشل في اختبارات SPF/DKIM.

تجعل Google Workspace تكوين DKIM مباشراً من خلال وحدة تحكم المسؤول. يتطلب DMARC سجلاً في DNS. ابدأ بسياسة p=none التي تراقب فقط، ثم انتقل إلى p=quarantine وفي النهاية p=reject بعد التحقق من أن البريد الإلكتروني الشرعي يجتاز المصادقة.

تأمين LDAP وSSO

بالنسبة للمؤسسات التي تستخدم Secure LDAP أو تسجيل الدخول الموحد (SSO) المستند إلى SAML، تأكد من أن موفر SSO الخاص بك يفرض نفس سياسات 2SV المطبقة في Google Workspace. إن تجاوز 2SV في طبقة SSO يلغي حماية 2SV الخاصة بـ Google Workspace.

---

إدارة الأجهزة الطرفية والمحمولة

كل جهاز يصل إلى Google Workspace هو ناقل هجوم محتمل. تتيح إدارة الأجهزة المحمولة (MDM) للمسؤولين التحكم في الأجهزة التي تصل إلى بيانات المؤسسة ومسحها.

الإدارة الأساسية مقابل المتقدمة للأجهزة

يتضمن Google Workspace إدارة أساسية للأجهزة بدون تكلفة إضافية. تتوفر الإدارة المتقدمة للأجهزة الطرفية في الخطط الأعلى. القدرات الرئيسية:

الأساسية (مجانية):

• طلب قفل الشاشة على الأجهزة المحمولة.
• مسح الحساب عن بُعد (يزيل بيانات Google Workspace دون مسح كامل للجهاز).
• جرد الأجهزة.

المتقدمة (خطط مدفوعة):

• طلب تطبيقات معتمدة فقط.
• حظر الوصول من الأجهزة المخترقة.
• إمكانية مسح الجهاز بالكامل.
• فرض متطلبات تحديث نظام التشغيل.

إدارة أجهزة Chromebook

يمكن للمؤسسات التي تستخدم أجهزة Chromebook إدارتها من خلال Google Admin مع عناصر تحكم دقيقة في السياسة، بما في ذلك حظر تخزين USB، وفرض التمهيد الموثق، وتقييد تثبيت التطبيقات، وتعيين سياسات الوصول إلى الشبكة.

---

المراقبة الأمنية والاستجابة للحوادث

مركز الأمان

يوفر مركز أمان Google Workspace (المتوفر في Business Plus وEnterprise) لوحة معلومات لمقاييس الصحة الأمنية، والتنبيهات، وأدوات التحقيق. راقب:

• محاولات تسجيل الدخول الفاشلة وعمليات تسجيل الدخول المشبوهة.
• شذوذ نشاط البريد الإلكتروني وDrive.
• منح OAuth لتطبيقات الطرف الثالث.
• مؤشرات تسريب البيانات.

قم بإعداد تنبيهات البريد الإلكتروني للأحداث الأمنية ذات الأولوية العالية حتى يتم إخطار فريق المسؤولين على الفور.

مركز التنبيهات

يجمع مركز التنبيهات في وحدة تحكم المسؤول تنبيهات الأمان من جميع أنحاء Google Workspace، بما في ذلك تحذيرات اختراق الحساب، وإخطارات الهجمات المدعومة من الحكومات، ونشاط تسجيل الدخول المشبوه، وحملات التصيد الاحتيالي التي تستهدف نطاقك.

راجع مركز التنبيهات بانتظام وأنشئ سير عمل للاستجابة للحوادث لأنواع التنبيهات الشائعة.

الاحتفاظ بالسجلات وسجلات التدقيق

ينشئ Google Workspace سجلات تدقيق لإجراءات المسؤول، ونشاط Drive، ونشاط Gmail، والمزيد. هذه السجلات هي أساس أي تحقيق أمني.

بالنسبة لمعظم الخطط، يتم الاحتفاظ بسجلات التدقيق لمدة 180 يوماً. يجب على المؤسسات التي تتطلب احتفاظاً أطول تكوين تصدير Google Cloud Storage أو تكامل SIEM.

---

أفضل الممارسات الأمنية للمستخدمين النهائيين

لا تصل الضوابط الإدارية إلا إلى حد معين، فسلوك الموظف الأمني هو النصف الآخر من المعادلة.

التدريب الأمني المنتظم

يعد التدريب الأمني السنوي حداً أدنى تنظيمياً للعديد من الصناعات، ولكن البرامج الأكثر فعالية توفر تدريباً مستمراً قائماً على السيناريوهات. ركز على التعرف على التصيد الاحتيالي، وممارسات مشاركة الملفات الآمنة، ونظافة كلمات المرور.

توفر Google موارد تدريب أمنية مجانية من خلال مركز تعلم Google Workspace التي يمكن للمسؤولين مشاركتها مع الموظفين.

محاكاة التصيد الاحتيالي

يوفر إجراء محاكاة منتظمة للتصيد الاحتيالي (إرسال رسائل بريد إلكتروني مزيفة للموظفين لمعرفة من ينقر عليها) بيانات حول الموظفين أو الفرق التي تحتاج إلى تدريب إضافي. هذا أكثر فعالية كأداة تعليمية، وليس كإجراء عقابي.

سياسات واضحة للتعامل مع البيانات

وثق وقم بتوصيل أنواع البيانات التي يمكن مشاركتها خارجياً، والتي تتطلب وصولاً داخلياً فقط، والتي تتطلب تشفيراً أو ضوابط إضافية. بدون سياسات واضحة، يتخذ الموظفون قرارات غير متسقة تخلق مخاطر.

---

الأسئلة الشائعة

ما هو أهم إعداد أمني في Google Workspace؟

يعد فرض التحقق بخطوتين لجميع المستخدمين أقوى عنصر تحكم أمني. الاستيلاء على الحساب هو الحادث الأمني الخطير الأكثر شيوعاً في بيئات Google Workspace، ويمنع التحقق بخطوتين الغالبية العظمى من الهجمات القائمة على بيانات الاعتماد.

كيف يمكنني معرفة التطبيقات التي لديها وصول إلى Google Workspace الخاص بي؟

في وحدة تحكم المسؤول، انتقل إلى Security > Access and data control > API controls > App access control. يوضح هذا جميع تطبيقات الطرف الثالث التي لديها وصول OAuth إلى بيانات مؤسستك. يمكن للمستخدمين الأفراد أيضاً رؤية تطبيقاتهم المتصلة الشخصية على myaccount.google.com/permissions.

هل يمكن أن يكون Google Workspace متوافقاً مع HIPAA؟

نعم، مع التكوين المناسب. تقدم Google اتفاقية مساعد الأعمال (BAA) لعملاء Google Workspace، والتي تغطي Gmail وDrive وCalendar والخدمات الأساسية الأخرى. يجب عليك إبرام اتفاقية BAA مع Google وتكوين الضوابط المناسبة (التشفير، ضوابط الوصول، سجلات التدقيق) لتلبية متطلبات HIPAA.

ما هو نهج Google Workspace في تشفير البيانات؟

تقوم Google بتشفير البيانات أثناء النقل (TLS) وفي حالة السكون (AES 256-bit). بالنسبة للمؤسسات التي تتطلب مفاتيح تشفير يديرها العميل، يوفر Google Workspace تشفير جانب العميل (CSE) في خطط Enterprise وEducation Plus، مما يتيح لك تشفير البيانات بمفاتيح تتحكم فيها قبل وصولها إلى خوادم Google.

كيف يمكنني منع تسريب البيانات العرضي في Google Drive؟

الضوابط الأساسية هي: تقييد إعدادات المشاركة الخارجية في وحدة تحكم المسؤول، وتنفيذ قواعد DLP للإبلاغ عن أنماط البيانات الحساسة، وتدريب المستخدمين على أفضل ممارسات المشاركة. بالنسبة للمؤسسات ذات الحساسية العالية، فإن طلب تعيين مشاركة الرابط على أشخاص محددين بدلاً من “أي شخص لديه الرابط” يلغي ناقل التعرض العرضي الأكثر شيوعاً.

كيف تتعامل TasksBoard مع أمن Google Workspace؟

تصل TasksBoard إلى Google Tasks فقط. إنها لا تطلب الوصول إلى Gmail أو Google Drive أو أي خدمة أخرى من خدمات Google Workspace بخلاف المهام. تستخدم TasksBoard بروتوكول OAuth 2.0 للمصادقة، مما يعني أنها لا تتلقى أو تخزن كلمة مرور Google الخاصة بك أبداً. يمكنك مراجعة وإلغاء وصول TasksBoard في أي وقت عبر إعدادات الأمان لحساب Google الخاص بك على myaccount.google.com/permissions.

---

بناء برنامج أمني، وليس مجرد تكوين

إن وضع أمن Google Workspace الأكثر مرونة ليس تكويناً يتم لمرة واحدة، بل هو برنامج حي يتضمن مراجعات منتظمة، وتعليماً مستمراً للمستخدمين، وعمليات واضحة للاستجابة للحوادث.

ابدأ بالضوابط ذات الأولوية العالية: فرض التحقق بخطوتين، وتدقيق حسابات المسؤول الخارق، ومراجعة إعدادات المشاركة الخارجية، وتكوين مصادقة البريد الإلكتروني (SPF/DKIM/DMARC). ثم اعمل على الضوابط ذات الأولوية المنخفضة بشكل منهجي.

يكون الأمن أكثر فعالية عندما يتناسب مع ملف تعريف المخاطر الخاص بمؤسستك. فالشركة الناشئة المكونة من عشرة أشخاص لديها احتياجات مختلفة عن مقدم رعاية صحية أو شركة خدمات مالية. استخدم هذا الدليل كإطار عمل واضبط صرامة كل عنصر تحكم ليتناسب مع ما هو على المحك فعلياً بالنسبة لمؤسستك.

لمزيد من الإرشادات حول ميزات وقدرات Google Workspace، راجع Google Workspace tutorial.