أمان Google Workspace: أفضل الممارسات لعام 2026

تُعد Google Workspace العمود الفقري للإنتاجية لملايين المؤسسات؛ حيث يتم تشغيل البريد الإلكتروني، والمستندات، والتقويمات، واجتماعات الفيديو، وإدارة المهام من خلال منصة واحدة. توفر هذه المركزية راحة هائلة، لكنها في الوقت نفسه تخلق هدفاً مركزياً للمهاجمين، وتزيد من مخاطر تسريب البيانات العرضي والمخاطر الداخلية.

أمن Google Workspace ليس مجرد إعداد يتم لمرة واحدة، بل هو ممارسة مستمرة تشمل ضوابط المسؤول، وسلوك المستخدم النهائي، وعمليات الربط مع أطراف خارجية، وسياسات المؤسسة. يغطي هذا الدليل أهم الممارسات الأمنية لعام 2026، مرتبة حسب طبقة التحكم التي ينطبق عليها كل منها.

لماذا يستحق أمن Google Workspace اهتماماً جاداً؟

تستثمر Google بكثافة في أمن البنية التحتية؛ مثل التشفير أثناء النقل وعند التخزين، ومراكز البيانات ذات الأمن المادي، والكشف المستمر عن التهديدات. ما لا يمكن لـ Google الحماية منه بالكامل هو كيفية إعداد مؤسستك للمنصة واستخدامها لها.

أكثر الحوادث الأمنية شيوعاً في Google Workspace ليست اختراقات لبنية Google التحتية، بل هي:

الاستيلاء على الحساب عبر التصيد الاحتيالي (Phishing) — حيث يخدع المهاجم الموظف لإدخال بيانات اعتماده على صفحة تسجيل دخول مزيفة.
تطبيقات OAuth ذات الصلاحيات المفرطة — تطبيق تابع لجهة خارجية مُنح حق الوصول إلى Google Drive أو Gmail، ثم أصبح لاحقاً ضاراً أو استحوذت عليه شركة غير موثوقة.
المشاركة العرضية — مشاركة مستند حساس مع “أي شخص لديه الرابط” بدلاً من أشخاص محددين.
كلمات المرور الضعيفة أو المعاد استخدامها — خاصة في الحسابات التي لا تستخدم التحقق بخطوتين.
اختراق حسابات المسؤولين — وهي أخطر أنواع الحسابات في أي مؤسسة تستخدم Google Workspace.

لكل من هذه المخاطر وسيلة واضحة للتخفيف منها، والتحدي يكمن في تنفيذها جميعاً بشكل متسق.

وحدة تحكم المسؤول (Admin Console): أساس أمن Google Workspace

Admin Console Controls

2-Step Verification enforcement

Password policy configuration

Session duration settings

Google Admin Console هي المكان الذي توجد فيه إعدادات أمن المؤسسة. تتطلب كل ممارسة أمنية موصوفة هنا صلاحيات مسؤول لتنفيذها.

فرض التحقق بخطوتين (2-Step Verification)

يُعد التحقق بخطوتين (2SV) أقوى ضابط أمني متاح في Google Workspace. فهو يتطلب عاملاً ثانياً — رمزاً، أو مفتاح أمان مادياً، أو بصمة حيوية — بالإضافة إلى كلمة المرور. حتى لو حصل المهاجم على كلمة مرور المستخدم، فلن يتمكن من الوصول إلى الحساب بدون العامل الثاني.

كيفية فرضه:

في وحدة تحكم المسؤول، انتقل إلى Security > Authentication > 2-step verification.
قم بتمكين الفرض لجميع المستخدمين (وليس كخيار اختياري).
حدد فترة سماح (7-30 يوماً) للمستخدمين للتسجيل قبل سريان السياسة.
فكر في إلزامية استخدام مفاتيح الأمان المادية (FIDO2/WebAuthn) للحسابات ذات الصلاحيات العالية مثل المسؤولين.

للحصول على أقصى حماية، تعد مفاتيح الأمان المادية أكثر مقاومة للتصيد الاحتيالي بشكل كبير مقارنة برموز الرسائل النصية القصيرة أو تطبيقات المصادقة. وجدت أبحاث Google أن مفاتيح الأمان منعت 100% من هجمات البوتات الآلية، و99% من هجمات التصيد الجماعي، و90% من الهجمات الموجهة.

اشتراط كلمات مرور قوية

حدد حداً أدنى لطول كلمة المرور لا يقل عن 12 حرفاً، وافرض منع إعادة استخدام كلمات المرور (حظر آخر 10 كلمات مرور). اقرن ذلك بالكشف عن بيانات الاعتماد المسربة (على غرار Have I Been Pwned)، وهو ما توفره Google في مركز الأمان (Security Center).

تدقيق حسابات المسؤولين الخارقين (Super Admin)

تتمتع حسابات المسؤول الخارق بوصول غير مقيد إلى جميع البيانات والإعدادات في مؤسستك. أفضل الممارسات:

لا تحتفظ بأكثر من 2-4 حسابات مسؤول خارق.
لا تستخدم حسابات المسؤول الخارق في العمل اليومي أبداً؛ أنشئ حسابات مسؤول منفصلة للمهام الإدارية الروتينية.
قم بتمكين تحديات تسجيل الدخول واطلب مفاتيح أمان مادية لجميع حسابات المسؤول الخارق.
راجع قائمة المسؤولين الخارقين بشكل ربع سنوي.

حماية بيانات المستخدم: المشاركة ومنع فقدان البيانات (DLP)

تدقيق إعدادات المشاركة الخارجية

تسمح إعدادات المشاركة الافتراضية في Google Drive للمستخدمين بمشاركة الملفات مع أي شخص لديه الرابط، بما في ذلك الأشخاص خارج المؤسسة. بالنسبة لمعظم المؤسسات، يعد هذا تساهلاً كبيراً.

في وحدة تحكم المسؤول، راجع:

Drive and Docs > Sharing settings > Sharing outside [your domain] — قيد المشاركة على نطاقات موثوقة محددة أو قم بتعطيل المشاركة الخارجية تماماً للوحدات التنظيمية الحساسة.
تعطيل مشاركة الرابط مع “أي شخص” للوحدات التنظيمية التي تتعامل مع بيانات حساسة.

منع فقدان البيانات (DLP)

تقوم قواعد DLP في Google Workspace بمسح البريد الإلكتروني الصادر ومشاركة ملفات Drive تلقائياً بحثاً عن أنماط البيانات الحساسة — مثل أرقام بطاقات الائتمان، وأرقام الضمان الاجتماعي، وأرقام الهوية الوطنية، أو أي أنماط مخصصة تحددها أنت.

عندما تكتشف DLP نمطاً حساساً، يمكنها حظر المشاركة، أو تحذير المستخدم، أو إخطار المسؤول. تتوفر ميزة DLP في خطط Business Plus وEnterprise وEducation Plus.

قواعد DLP الرئيسية التي يجب تكوينها:

حظر مشاركة ملفات Drive التي تحتوي على أرقام بطاقات الائتمان خارجياً.
التحذير قبل إرسال رسائل بريد إلكتروني تحتوي على كلمات رئيسية معينة (سري، خاص، معلومات تعريف شخصية PII).
وضع رسائل Gmail التي تحتوي على أنواع مرفقات مشبوهة في الحجر الصحي.

Vault للاحتفاظ بالبيانات والاكتشاف الإلكتروني (eDiscovery)

يتيح Google Vault للمسؤولين وضع قواعد احتفاظ لـ Gmail وDrive وChat وMeet. وهذا يضمن حفظ البيانات للفترة المطلوبة حتى لو قام المستخدمون بحذفها، وهو أمر مهم للمتطلبات القانونية والامتثال.

بالنسبة للمؤسسات الخاضعة للوائح GDPR أو HIPAA أو اللوائح المالية، يُعد Vault بنية تحتية أساسية وليس إضافة اختيارية.

إدارة الوصول لتطبيقات الطرف الثالث

تعد تطبيقات الطرف الثالث التي تتصل بـ Google Workspace عبر OAuth واحدة من أكثر المخاطر الأمنية التي يتم الاستخفاف بها. في كل مرة ينقر فيها المستخدم على “تسجيل الدخول باستخدام Google” ويمنح أذونات لتطبيق ما، يحصل ذلك التطبيق على وصول مستمر إلى البيانات الممنوحة — حتى يقوم المستخدم بإلغاء ذلك يدوياً.

تدقيق التطبيقات المتصلة

في وحدة تحكم المسؤول، انتقل إلى Security > Access and data control > API controls > App access control لرؤية جميع تطبيقات الطرف الثالث التي مُنحت وصول OAuth إلى بيانات Google Workspace الخاصة بمؤسستك.

راجع هذه القائمة بحثاً عن:

تطبيقات تطلب أذونات أوسع مما تتطلبه وظيفتها.
تطبيقات من موردين لم تعد مؤسستك تستخدمهم.
تطبيقات لا يستخدمها أحد حالياً.
تطبيقات تم إيقاف دعمها أو استحوذت شركات أخرى على مورديها.

تقييد وصول تطبيقات الطرف الثالث

بالنسبة للمؤسسات ذات المتطلبات الأمنية العالية، يمكنك تقييد تطبيقات الطرف الثالث المسموح لها بالاتصال بـ Google Workspace تماماً. هناك خياران:

وضع القائمة المسموح بها (Allowlist) — لا يمكن الاتصال إلا بالتطبيقات التي وافق عليها المسؤول صراحةً.
تقييد التطبيقات غير الموثقة — لا يمكن طلب نطاقات حساسة إلا للتطبيقات التي أكملت عملية التحقق من OAuth الخاصة بـ Google.

يوفر نهج القائمة المسموح بها أقوى حماية، ولكنه يتطلب صيانة مستمرة مع تبني المؤسسة لأدوات جديدة.

TasksBoard وأمن OAuth

يستخدم TasksBoard واجهة برمجة تطبيقات Google Tasks الرسمية عبر OAuth، ويطلب الوصول فقط إلى بيانات Google Tasks — فهو لا يطلب الوصول إلى محتويات Gmail أو Drive أو Calendar. عندما تمنح TasksBoard حق الوصول، يمكنه قراءة وكتابة مهام Google الخاصة بك ولا شيء آخر. يتبع نطاق الأذونات المحدود هذا مبدأ “الامتياز الأقل”.

عند تقييم أي تطبيق تابع لجهة خارجية لـ Google Workspace، تحقق من نطاقات الأذونات المطلوبة قبل منح الوصول. التطبيق الذي يطلب الوصول إلى جميع بيانات Gmail “لتحسين الإنتاجية” يعد علامة تحذير.

أمن البريد الإلكتروني: حماية Gmail

Security

Gmail

Users

يتضمن Gmail العديد من الطبقات الأمنية التي يمكن للمسؤولين تكوينها وتعزيزها.

حماية التصيد الاحتيالي والبرمجيات الضارة

في وحدة تحكم المسؤول ضمن Apps > Google Workspace > Gmail > Safety، قم بتمكين:

الفحص المتقدم للرسائل قبل التسليم — فحص إضافي مدعوم بالذكاء الاصطناعي قبل وصول الرسائل إلى صناديق الوارد الخاصة بالمستخدمين.
المرفقات: الحماية من المرفقات الواردة من مرسلين غير موثوقين.
الروابط والصور الخارجية: تحديد الروابط المخفية خلف عناوين URL المختصرة.
الانتحال والمصادقة: الحماية من البريد الإلكتروني غير الموثق.

تكوين SPF وDKIM وDMARC

تتحقق معايير مصادقة البريد الإلكتروني هذه من أن البريد الإلكتروني المرسل من نطاقك ينشأ بالفعل من خوادم البريد المصرح بها.

SPF (إطار سياسة المرسل) — يسرد عناوين IP المرسلة المصرح بها في سجلات DNS الخاصة بك.
DKIM (البريد المحدد بمفاتيح النطاق) — يضيف توقيعاً مشفراً للبريد الإلكتروني الصادر.
DMARC — يخبر خوادم البريد المستقبلة بما يجب فعله مع البريد الإلكتروني الذي يفشل في اختبارات SPF/DKIM.

تجعل Google Workspace تكوين DKIM أمراً مباشراً من خلال وحدة تحكم المسؤول. يتطلب DMARC سجل DNS. ابدأ بسياسة p=none التي تراقب فقط، ثم انتقل إلى p=quarantine وفي النهاية p=reject بعد التحقق من أن البريد الإلكتروني المشروع يجتاز المصادقة.

تأمين LDAP وSSO

بالنسبة للمؤسسات التي تستخدم Secure LDAP أو تسجيل الدخول الموحد (SSO) القائم على SAML، تأكد من أن مزود SSO الخاص بك يفرض نفس سياسات 2SV المطبقة في Google Workspace. تجاوز 2SV في طبقة SSO يلغي حماية 2SV الخاصة بـ Google Workspace.

إدارة الأجهزة الطرفية والمحمولة

كل جهاز يصل إلى Google Workspace هو ناقل هجوم محتمل. تتيح إدارة الأجهزة المحمولة (MDM) للمسؤولين التحكم في الأجهزة التي تصل إلى بيانات المؤسسة ومسحها عن بُعد.

الإدارة الأساسية مقابل المتقدمة للأجهزة

تتضمن Google Workspace إدارة أساسية للأجهزة بدون تكلفة إضافية. تتوفر الإدارة المتقدمة للأجهزة الطرفية في الخطط الأعلى. القدرات الرئيسية:

الأساسية (مجانية):

اشتراط قفل الشاشة على الأجهزة المحمولة.
مسح الحساب عن بُعد (يزيل بيانات Google Workspace دون مسح الجهاز بالكامل).
جرد الأجهزة.

المتقدمة (خطط مدفوعة):

اشتراط تطبيقات معتمدة فقط.
حظر الوصول من الأجهزة المخترقة.
إمكانية مسح الجهاز بالكامل.
فرض متطلبات تحديث نظام التشغيل.

إدارة Chromebook

يمكن للمؤسسات التي تستخدم Chromebook إدارتها من خلال Google Admin مع ضوابط سياسة دقيقة — مثل حظر تخزين USB، وفرض التمهيد الموثوق، وتقييد تثبيت التطبيقات، وتعيين سياسات الوصول إلى الشبكة.

المراقبة الأمنية والاستجابة للحوادث

مركز الأمان (Security Center)

يوفر مركز أمان Google Workspace (المتاح في Business Plus وEnterprise) لوحة تحكم لمقاييس الصحة الأمنية، والتنبيهات، وأدوات التحقيق. راقب:

محاولات تسجيل الدخول الفاشلة وعمليات تسجيل الدخول المشبوهة.
شذوذ نشاط البريد الإلكتروني وDrive.
منح صلاحيات OAuth لتطبيقات الطرف الثالث.
مؤشرات تسريب البيانات.

قم بإعداد تنبيهات البريد الإلكتروني للأحداث الأمنية ذات الأولوية العالية ليتم إخطار فريق المسؤولين على الفور.

مركز التنبيهات (Alert Center)

يجمع مركز التنبيهات في وحدة تحكم المسؤول التنبيهات الأمنية من جميع أنحاء Google Workspace — تحذيرات اختراق الحساب، وإخطارات الهجمات المدعومة من الحكومات، ونشاط تسجيل الدخول المشبوه، وحملات التصيد الاحتيالي التي تستهدف نطاقك.

راجع مركز التنبيهات بانتظام وأنشئ سير عمل للاستجابة للحوادث لأنواع التنبيهات الشائعة.

الاحتفاظ بالسجلات وسجلات التدقيق

تنشئ Google Workspace سجلات تدقيق لإجراءات المسؤول، ونشاط Drive، ونشاط Gmail، والمزيد. هذه السجلات هي أساس أي تحقيق أمني.

بالنسبة لمعظم الخطط، يتم الاحتفاظ بسجلات التدقيق لمدة 180 يوماً. يجب على المؤسسات التي تتطلب احتفاظاً أطول تكوين تصدير إلى Google Cloud Storage أو دمجها مع نظام SIEM.

أفضل الممارسات الأمنية للمستخدمين النهائيين

Secure Access

Protected Data

الضوابط الإدارية لها حدود، والسلوك الأمني للموظفين هو النصف الآخر من المعادلة.

التدريب الأمني المنتظم

يعد التدريب الأمني السنوي حداً أدنى تنظيمياً للعديد من الصناعات، لكن البرامج الأكثر فعالية هي التي توفر تدريباً مستمراً قائماً على السيناريوهات. ركز على التعرف على التصيد الاحتيالي، وممارسات مشاركة الملفات الآمنة، ونظافة كلمات المرور.

توفر Google موارد تدريب أمنية مجانية من خلال مركز تعلم Google Workspace والتي يمكن للمسؤولين مشاركتها مع الموظفين.

محاكاة التصيد الاحتيالي

إجراء محاكاة منتظمة للتصيد الاحتيالي — إرسال رسائل بريد إلكتروني مزيفة للموظفين لمعرفة من سينقر عليها — يوفر بيانات حول الموظفين أو الفرق التي تحتاج إلى تدريب إضافي. هذا أكثر فعالية كأداة تعليمية، وليس كإجراء عقابي.

سياسات واضحة للتعامل مع البيانات

وثّق وقم بتوصيل أنواع البيانات التي يمكن مشاركتها خارجياً، والتي تتطلب وصولاً داخلياً فقط، والتي تتطلب تشفيراً أو ضوابط إضافية. بدون سياسات واضحة، سيتخذ الموظفون قرارات غير متسقة تخلق مخاطر أمنية.

الأسئلة الشائعة

ما هو أهم إعداد أمني في Google Workspace؟

فرض التحقق بخطوتين لجميع المستخدمين هو الضابط الأمني الأعلى تأثيراً. الاستيلاء على الحساب هو الحادث الأمني الخطير الأكثر شيوعاً في بيئات Google Workspace، و2SV يمنع الغالبية العظمى من الهجمات القائمة على بيانات الاعتماد.

كيف أعرف التطبيقات التي لديها وصول إلى Google Workspace الخاص بي؟

في وحدة تحكم المسؤول، انتقل إلى Security > Access and data control > API controls > App access control. يعرض هذا جميع تطبيقات الطرف الثالث التي لديها وصول OAuth إلى بيانات مؤسستك. يمكن للمستخدمين الأفراد أيضاً رؤية تطبيقاتهم المتصلة الشخصية على myaccount.google.com/permissions.

هل يمكن أن يكون Google Workspace متوافقاً مع HIPAA؟

نعم، مع التكوين المناسب. تقدم Google اتفاقية شريك أعمال (BAA) لعملاء Google Workspace، والتي تغطي Gmail وDrive وCalendar والخدمات الأساسية الأخرى. يجب عليك إبرام اتفاقية BAA مع Google وتكوين الضوابط المناسبة (التشفير، ضوابط الوصول، سجلات التدقيق) لتلبية متطلبات HIPAA.

ما هو نهج Google Workspace في تشفير البيانات؟

تقوم Google بتشفير البيانات أثناء النقل (TLS) وعند التخزين (AES 256-bit). بالنسبة للمؤسسات التي تتطلب مفاتيح تشفير يديرها العميل، توفر Google Workspace تشفيراً من جانب العميل (CSE) في خطط Enterprise وEducation Plus، مما يتيح لك تشفير البيانات بمفاتيح تتحكم فيها قبل وصولها إلى خوادم Google.

كيف أمنع تسريبات البيانات العرضية في Google Drive؟

الضوابط الأساسية هي: تقييد إعدادات المشاركة الخارجية في وحدة تحكم المسؤول، وتنفيذ قواعد DLP لتحديد أنماط البيانات الحساسة، وتدريب المستخدمين على أفضل ممارسات المشاركة. بالنسبة للمؤسسات ذات الحساسية العالية، فإن اشتراط تعيين مشاركة الرابط لأشخاص محددين بدلاً من “أي شخص لديه الرابط” يلغي ناقل التعرض العرضي الأكثر شيوعاً.

كيف يتعامل TasksBoard مع أمن Google Workspace؟

يصل TasksBoard إلى Google Tasks فقط — فهو لا يطلب الوصول إلى Gmail أو Google Drive أو أي خدمة أخرى من خدمات Google Workspace بخلاف المهام. يستخدم TasksBoard بروتوكول OAuth 2.0 للمصادقة، مما يعني أنه لا يتلقى أو يخزن كلمة مرور Google الخاصة بك أبداً. يمكنك مراجعة وإلغاء وصول TasksBoard في أي وقت عبر إعدادات الأمان في حساب Google الخاص بك على myaccount.google.com/permissions.

بناء برنامج أمني، وليس مجرد إعدادات

إن وضع أمن Google Workspace الأكثر مرونة ليس إعداداً يتم لمرة واحدة — بل هو برنامج حي يتضمن مراجعات منتظمة، وتوعية مستمرة للمستخدمين، وعمليات واضحة للاستجابة للحوادث.

ابدأ بالضوابط ذات الأولوية العالية: فرض التحقق بخطوتين، وتدقيق حسابات المسؤول الخارق، ومراجعة إعدادات المشاركة الخارجية، وتكوين مصادقة البريد الإلكتروني (SPF/DKIM/DMARC). ثم اعمل على الضوابط ذات الأولوية الأقل بشكل منهجي.

يكون الأمن أكثر فعالية عندما يتناسب مع ملف مخاطر مؤسستك. فالشركة الناشئة المكونة من عشرة أشخاص لديها احتياجات مختلفة عن مقدم رعاية صحية أو شركة خدمات مالية. استخدم هذا الدليل كإطار عمل واضبط صرامة كل ضابط ليتناسب مع ما هو على المحك فعلياً بالنسبة لمؤسستك.

لمزيد من التوجيه حول ميزات وقدرات Google Workspace، راجع برنامج تعليمي حول Google Workspace.