Google Admin - Daglig drift

Daglig drift

Denne guide omhandler den daglige drift af Google Admin. Guiden er tænkt som et opslagsværk.

Bruger- og mailadministration

Der findes forskellige måder at oprette og administrere brugere og mailadresser i Google Admin.

• Brugere
• Mailalias
• Mail routing (Automatisk videresendelse til eksterne mailadresser)
• Catch-all mailadresse (Fanger mails sendt til ugyldige adresser)

En anden mulighed er Google Grupper, som er mere avanceret.

Oprettelse af brugere

I Google Admin klikker du "Tilføj en bruger".

Udfyld nu de relevante informationer om fornavn, efternavn og brugernavn.

Jeg vil anbefale at bruge fornavn som primært brugernavn. Hvis du gerne vil oprette alias, som dagligleder@domæne.dk eller praest@domæne.dk, kan du gøre det senere via guiden Opret mailalias

Du kan tilføje en "Sekundær mailadresse" til at sende loginoplysninger første gang.

Du kan også se de samme oplysninger, når brugeren er blevet oprettet.

Brugeren oprettes automatisk med en gratis licens og giver adgang til tjenester som Gmail, Kalender og Drev. Dog skal I huske at tildele brugeren personlig adgang til mapper i Fællesdrev og evt. Google Grupper, da dette ikke sker automatisk.

Ved senere lejlighed kan du også oprette et mailalias. Men gem det til allersidst, medmindre de allerede eksisterer på forhånd i jeres gamle mailsystem.

Opret mailalias

Det kan være en god ide at have et alias på en mailkonto. Især, hvis det har været brugt i det gamle mailsystem.

1. Åbn en bruger og vælg "Tilføj alternative mailadresser".
2. Tilføj alias og gem.

Opret mail routing (Automatisk videresendelse)

Mail routing kan f.eks. gøre sig gældende ved teamledere eller fællesskaber, hvor de ikke ønsker at have en Google-konto i jeres organisation, men mailadressen forbliver den samme til kontaktperson, selv når der sker udskiftninger

Hvad med mailalias og mail routing - hvad er forskellen?
Er modtagermailen en allerede oprettet bruger i systemet, bør I bruge mailalias. Skal modtageren ikke oprettes som bruger hos jer, skal du oprette mail routing.

Aarhus Bykirke bruger mail routing på deres frivilligheds-siden til gudstjenester: https://aarhusbykirke.dk/frivillighed/gudstjeneste

1. Åbn Google Admin --> Apps --> Google Workspace --> Gmail --> Routing
2. Find "Videresendelse af mail ved hjælp af tilknytning af modtageradresse".
3. Tilføj eller rediger en regel.
4. Giv reglen et navn, fx "Ekstern videresendelse til teamledere".
5. Sæt "Adresse" til den interne mail (fx teamleder@organisation.dk).
6. Sæt "Tilknyttet adresse" til den eksterne konto (fx privat@mail.dk).
7. Anvend reglen på "Alle indgående meddelelser" og gem.

Opsæt catch-all mailadresse

Advarsel vedr. catch-all

Bemærk, catch-all er mere sårbar over for masser af spam. Det er derfor ikke min generelle anbefaling at bruge det.

Catch-all kan bruges til at fange mails, som sendes til en ugyldig mailadresse. Det kan være, at mailadressen ikke findes mere, eller den eksterne bruger har skrevet mailadressen forkert.

Advarsel

Dette er noget mere avanceret, og det kan gå galt, hvis I ikke følger guiden herunder til fulde.
Bemærk også, at du kun kan have ÉN catch-all regel

1. Tilgå Google Admin --> Apps --> Google Workspace --> Gmail --> Routing
2. Du skal finde indstillingen “Routing”. Opret ny en ny regel og kald den “Catch-all”
3. Vælg nu følgende underindstillinger
   1. Mails, der påvirkes: Sæt flueben i Indgående
   2. I forbindelse med ovennævnte typer meddelelser skal du gøre følgende: Rediger meddelelse - Konvolutmodtager - Skift konvolutmodtager - Skift konvolutmodtager - Her skal du indskrive mailen, som skal modtage mailen!
   3. Sæt flueben i Kryptering (kun ved videre levering) - Kræv sikker transport (TLS)
   4. Udvid Vis valgmuligheder - sæt flueben i B. Kontotyper, der påvirkes - Ikke genkendt/opfang alle-adresser
4. Gem reglen. Nu er du færdig.

Nulstil adgangskode for en bruger

Hvis en bruger har glemt sin adgangskode, kan du nulstille den for dem.

1. Tilgå Google Admin --> Indeks --> Brugere
2. Hold musen over den bruger, som du gerne vil nulstille adgangskoden for.
3. I den højre side vil der komme en tekst frem, hvor du skal klikke på "Nulstil adgangskode"
4. Indtast få enten autogeneret eller skriv selv en ny adgangskode. Hvis du selv laver en, vil jeg opfordre til, at brugeren selv nulstiller den efter login.
5. Vælg knappen "Send adgangskode via mail", og sende den til deres private mailadresse. Så kan de selv genskabe deres adgang.

Gør andre brugere til administratorer

Den højeste administratorrolle i Google Workspace hedder “Superadministrator”

Det er min anbefaling, at I er mindst 2 superadministratorer. Hvis den ene stopper, kan den anden tage over og oplære en ny. Samtidigt er det vigtigt, at I er opmærksomme på, hvordan I bruger dem. Enhver bruger, som har superadministrator bør have slået 2 Faktor Godkendelse til.

Det er super vigtigt at forebygge og forhindre enhver form for misbrug, da hacking af en superadministrator kan virkelig gøre ordentlig skade.

1. Tilgå en brugers profil i Google Admin og vælg “Administratorroller og rettigheder” (det gør ikke noget, hvor du trykker på selve teksten)
2. Slå flueben til til i “Superadministrator” og Gem

Mailflow og leveringsproblemer

Fejlsøgning i Mailloggen (Mail ryger i Spam, kommer ikke frem)

Hvis du oplever, at mails ryger i Spam, selvom de ikke burde, kan du undersøge det i mailloggen.

1. Tilgå mailloggen Google Admin --> Rapportering --> Søg i maillogfil
2. Lav i bedste fald en tilpasset søgning, hvor du søger på modtagerens og afsenderens mailadresse for at finde frem til en afgrænset fejl.

Du kan også tilgå Google Admin --> Apps --> Google Workspace --> Moderering for at finde mails og chat-beskeder, som er sat i karantæne.

Bloker spam-kontakter for hele organisationen

Hvis I oplever at blive spammet fra en bestemt kontakt/domæne, kan I blokere det for jer alle.

1. Tilgå Google Admin --> Apps --> Google Workspace --> Gmail --> Spam, phising og malware
2. Find indstillingen “Blokerede afsendere”
3. Hvis det er første gang, kan du lave en ny regel. Hvis du har gjort det før, kan du redigere en eksisterende regel.
4. Under punkt 1 skal du oprette en ny liste. Navngiv f.eks. listen “Spam liste”
5. Tilføj nogle blokerede adresser på listen.
6. Nu kan du bruge spam listen, som du lige har oprettet.
7. Gem den nye regel, som du lige har oprettet.
8. Nu er de blokeret for alle på jeres organisation.

Skift gamle mailservere ud med den nye

Tidligere har Google Workspace brugt 5 MX-records til at håndtere mails. Således ser de gamle MX-records ud.

Type	Navn	Indhold	TTL (sekunder)	Prioritet
MX	Her bør stå jeres domæne, hvilket plejer at være autoudfyldt!	aspmx.l.google.com	3600	1
MX	Her bør stå jeres domæne, hvilket plejer at være autoudfyldt!	alt1.aspmx.l.google.com	3600	5
MX	Her bør stå jeres domæne, hvilket plejer at være autoudfyldt!	alt2.aspmx.l.google.com	3600	5
MX	Her bør stå jeres domæne, hvilket plejer at være autoudfyldt!	aspmx2.googlemail.com	3600	10
MX	Her bør stå jeres domæne, hvilket plejer at være autoudfyldt!	aspmx3.googlemail.com	3600	10

I nyere tid bruger Google Workspace kun én MX-record. Google har ikke annonceret, hvornår de stopper med understøttelsen af de gamle MX-records og denne guide er derfor tiltænkt som en mulighed, for I kan skabe et lettere overblik i jeres DNS-administration. Her følger en guide til sikker migrering til den nye mailserver.

1. Opsæt den nye MX-record i jeres DNS. Den ser således ud.

Type	Navn	Indhold	TTL (sekunder)	Prioritet
MX	Her bør stå jeres domæne, hvilket plejer at være autoudfyldt!	smtp.google.com	3600	1

2. Tilgå siden Google Admin --> Apps --> Google Workspace --> Gmail --> Konfiguration og find indstillingen “MX-registreringer”
3. Se den nuværende liste over MX-records, og tjek at den nye MX-record er tilføjet korrekt. Du kan ikke rette i denne liste, men viser dig blot hvilke MX-records, som Google kan se i jeres DNS. Det kan tage op til en time. Vend evt. tilbage senere, hvis du ikke kan se den nye MX-record endnu.
4. Når du har bekræftet, at den nye MX-record er tilføjet korrekt (smtp.google.com med pririotet 1) kan du slette de gamle MX-records i jeres DNS. Det er vigtigt, at du først sletter de gamle MX-records, når du har bekræftet, at den nye er tilføjet korrekt, da det ellers kan føre til mailleveringsproblemer.

Nu har du sikkert migreret til den nye mailserver.

Tilføj standard sidefod til udgående mails

Hvis I ønsker en standard signatur, som skal vedhæftes til alle udgående mails, kan I opsætte det.

1. Tilgå Google Admin --> Apps --> Google Workspace --> Gmail --> Overholdelse
2. Find indstillingen “Tilføj sidefod”
3. Her kan I indskrive en standard signatur
4. I kan med fordel slå indstillingen “Tilføj sidefoden i meddelelser, der sendes i din organisation.” fra, så I ikke sender den internt.
5. Når den er gemt, vil den fremgå på alle mails.

Sikkerhed

Gør 2 Faktor Godkendelse til et krav

Kraftig anbefaling

2 Faktor Godkendelse (2FA, også kaldet MFA eller 2SV) er en virkelig god ting at slå til, da det reducerer muligheder for hackere gennemtvinger adgang til jeres konto. Dette skyldes, at 2FA kræver brug af din telefon første gang du logger på en ny enhed. Derefter vil du oftest ikke blive mødt med det igen.

1. Tilgå Google Admin --> Sikkerhed --> Godkendelse --> Totrinsverificering
2. I den vestre side kan du opsætte grupper, som skal have aktiveret 2FA. Som minimum vil jeg anbefale at alle, der har adgang til personfølsomme oplysninger, skal have det aktiveret. Det gælder derfor præster, daglig leder, ”kordegn”, formand og personaleansvarlig i menighedsrådet.
3. I kan opsætte 2FA til at gælde fra en bestemt dato frem for øjeblikkeligt. Læs indstillingerne godt igennem på siden og overvej, hvad der passer ind i jeres situation

Samtidigt er der også vigtigt at være opmærksom på indstillingerne vedr. kontogendannelse:

1. Tilgå Google Admin --> Sikkerhed --> Godkendelse --> Kontogendannelse
2. Vær opmærksom på indstillingerne om hvem der kan gendanne konti. I skal især være opmærksom på, om superadministratorer kan gendanne deres egne konti, da dette kan blive misbrugt af hackere.

Overvej begrænsninger på kodeord

Jeg er blevet opmærksom på, at der er nogle organisationer, der har en IT-forsikring, som i tilfælde af kompromitteret data, kan få udbetalt en pengesum af deres forsikringsselskab. Det gælder ikke for alle. I den kontrakt, som jeg har set, kræver det bl.a. at adgangskoder skiftes hver tredje måned og må ikke genbruges.

Hvis I har en IT-forsikring, som har nogle af disse krav, jeg har beskrevet ovenstående, skal I slå det til i Google Admin.

1. Tilgå Google Admin --> Sikkerhed --> Godkendelse --> Administration af adgangskoder
2. Opsæt indstillingerne så det passer til jeres forsikring.

Opsæt grupper, hvor frivillige bruger deres private Google-konti

Før frivillige kan blive tilføjet til grupper med deres private Google-konti, skal du tillade det i Google Admin.

1. Tilgå Google Admin --> Apps --> Google Workspace --> Google Groups for Business --> Delingsindstillinger
2. Under Adgang til grupper uden for organisationen skal du vælge knappen Offentligt på internettet
3. Se også Oprettelse af grupper er sat til Det er kun organisationsadministratorer, der kan oprette grupper
4. Tjek også under Standard for tilladelse til at se samtaler er sat til Alle gruppemedlemmer

Få overblik over jeres Google Admin

1. Tilgå Google Admin --> Rapportering --> Oversigt
2. Her kan I se en oversigt over brugere, brugen af online lagerplads, og aktivitet
3. Se desuden “Apprapporter” i den vensre menu, hvor du kan dykke længere ned i jeres data.

I kan desuden få en samlet oversigt over jeres lagerplads: Google Admin --> Lagerplads

Få overblik over jeres CO2-belastning

Hvis I har interesse for denne data, kan I også finde den i Google.

1. Tilgå Google Admin --> Rapportering --> CO2-belastning
2. Her kan du se data om jeres CO2 udledning ved brugen af de forskellige tjenester

Når en medarbejder stopper

Når en medarbejder stopper, skal brugeren på sigt lukkes ned.

Når I lukker brugeren ned, kan I overføre brugerens data til en anden bruger. Det vil også fremgå, når I lukker en bruger, hvilken data I skal være opmærksom på.
I kan med fordel opsætte en videresendelsesregel, så mails, som sendes til den nedlagte bruger, bliver sendt videre til en anden bruger eller gruppe. Se Opsæt mail routing for at se, hvordan det gøres.

Hvis I ved en fejl lukker en bruger ned, kan I gendanne kontoen, filer, gruppemedlemsskaber og mails inden for 20 dage.