1. Présentation Google Workspace

Qu'est-ce que Google Workspace ?

Google Workspace (anciennement G Suite) est une suite d'outils de productivité et de collaboration basée sur le cloud, conçue pour les entreprises de toutes tailles. Elle regroupe l'ensemble des services Google sous une administration centralisée, avec un domaine personnalisé (ex: jean.dupont@example.com).

Services inclus

• Gmail – Messagerie professionnelle avec le domaine de l'entreprise
• Google Drive – Stockage cloud et partage de fichiers
• Google Calendar – Gestion de calendriers, planification de réunions
• Google Meet – Visioconférence et réunions en ligne
• Google Chat – Messagerie instantanée et espaces collaboratifs
• Google Docs / Sheets / Slides – Suite bureautique collaborative en temps réel
• Google Forms – Création de formulaires et sondages
• Google Sites – Création de sites internes
• Admin Console – Console d'administration centralisée
• Google Vault – Archivage et eDiscovery (selon l'offre)
• Google Endpoint Management – Gestion des appareils

Comparatif des offres

Fonctionnalité	Business Starter	Business Standard	Business Plus	Enterprise
Stockage par utilisateur	30 Go	2 To	5 To	Illimité*
Participants Meet (max)	100	150	500	1 000
Enregistrement Meet	Non	Oui	Oui	Oui
Google Vault	Non	Non	Oui	Oui
Recherche Cloud (Drive)	Non	Non	Non	Oui
DLP (Protection des données)	Non	Non	Oui	Oui
Gestion avancée des endpoints	Basique	Basique	Avancée	Avancée
AppSheet (no-code)	Non	Non	Non	Oui
Accès contextuel	Non	Non	Oui	Oui
Intégration BigQuery	Non	Non	Non	Oui
Support	Standard	Standard	Amélioré	Premium

* Le stockage Enterprise est poolé et partagé entre tous les utilisateurs, avec un minimum de 5 To par utilisateur en base.

2. Configuration initiale

Souscrire à Google Workspace

1. Rendez-vous sur workspace.google.com et cliquez sur Démarrer
2. Renseignez le nom de votre organisation (ex: MonEntreprise)
3. Indiquez le nombre d'employés
4. Entrez votre domaine existant (ex: example.com) ou achetez-en un
5. Créez le premier compte administrateur (ex: admin@example.com)
6. Choisissez votre offre (Starter, Standard, Plus, Enterprise)
7. Procédez au paiement

Vérification du domaine

Google doit vérifier que vous êtes bien propriétaire du domaine. Deux méthodes principales :

Méthode 1 : Enregistrement TXT (recommandée)

Ajoutez un enregistrement TXT dans la zone DNS de votre domaine :

Type  : TXT
Nom   : @ (ou example.com)
Valeur: google-site-verification=XXXXXXXXXXXXXXXXXXXXXXXXXXXXX
TTL   : 3600

Méthode 2 : Enregistrement CNAME

Type  : CNAME
Nom   : xxxxxxxxxx.example.com (fourni par Google)
Valeur: gv-xxxxxxxxxx.dv.googlehosted.com
TTL   : 3600

Configuration des enregistrements MX pour Gmail

Pour que les emails arrivent sur Gmail, configurez les enregistrements MX de votre domaine. Supprimez d'abord tous les enregistrements MX existants, puis ajoutez :

Priorité	Serveur (valeur)
1	ASPMX.L.GOOGLE.COM
5	ALT1.ASPMX.L.GOOGLE.COM
5	ALT2.ASPMX.L.GOOGLE.COM
10	ALT3.ASPMX.L.GOOGLE.COM
10	ALT4.ASPMX.L.GOOGLE.COM

Configuration SPF

Le SPF (Sender Policy Framework) indique quels serveurs sont autorisés à envoyer des emails pour votre domaine. Ajoutez cet enregistrement TXT :

Type  : TXT
Nom   : @ (ou example.com)
Valeur: v=spf1 include:_spf.google.com ~all
TTL   : 3600

Configuration DKIM

Le DKIM (DomainKeys Identified Mail) signe cryptographiquement vos emails sortants pour prouver leur authenticité.

1. Allez dans Admin Console > Apps > Google Workspace > Gmail
2. Cliquez sur Authenticate email (Authentifier les emails)
3. Sélectionnez votre domaine et cliquez sur Generate new record
4. Choisissez la longueur de clé : 2048 bits (recommandé)
5. Notez le préfixe du sélecteur (par défaut : google)
6. Ajoutez l'enregistrement TXT fourni dans votre zone DNS :

Type  : TXT
Nom   : google._domainkey.example.com
Valeur: v=DKIM1; k=rsa; p=MIIBIjANBg... (clé générée par Google)
TTL   : 3600

7. Retournez dans la console Admin et cliquez sur Start authentication

Configuration DMARC

Le DMARC (Domain-based Message Authentication, Reporting and Conformance) combine SPF et DKIM pour définir une politique de traitement des emails non authentifiés.

Type  : TXT
Nom   : _dmarc.example.com
Valeur: v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com
TTL   : 3600

3. Gestion des utilisateurs

Ajout manuel d'un utilisateur

1. Ouvrez Admin Console (admin.google.com)
2. Allez dans Directory > Users
3. Cliquez sur Add new user
4. Renseignez :
   • Prénom : Jean
   • Nom : Dupont
   • Adresse email principale : jean.dupont@example.com
   • Unité organisationnelle : /Commercial (optionnel)
   • Mot de passe : généré automatiquement ou défini manuellement
5. Cochez Demander un changement de mot de passe à la prochaine connexion
6. Cliquez sur Add new user

Ajout en masse via CSV

Pour ajouter plusieurs utilisateurs à la fois, utilisez l'import CSV.

1. Allez dans Directory > Users
2. Cliquez sur Bulk upload users (icône de téléchargement)
3. Téléchargez le template CSV et complétez-le

Format du fichier CSV

First Name [Required],Last Name [Required],Email Address [Required],Password [Required],Org Unit Path [Required]
Jean,Dupont,jean.dupont@example.com,MotDePasse123!,/Commercial
Marie,Martin,marie.martin@example.com,MotDePasse456!,/Direction
Pierre,Durand,pierre.durand@example.com,MotDePasse789!,/Technique
Sophie,Moreau,sophie.moreau@example.com,MotDePasse012!,/Stagiaires

Suspension vs Suppression d'un utilisateur

Action	Suspension	Suppression
L'utilisateur peut se connecter	Non	Non
Les données sont conservées	Oui	Oui (20 jours)
La licence est consommée	Oui	Non
Les emails entrants	Mis en file d'attente	Rejetés (bounce)
Réactivation possible	Oui, à tout moment	Oui, sous 20 jours
Cas d'usage typique	Congé longue durée, enquête	Départ définitif

Transfert de données lors de la suppression

1. Allez dans Directory > Users
2. Cliquez sur l'utilisateur à supprimer
3. Cliquez sur Delete user
4. Google vous propose de transférer les données :
   • Drive : transférer la propriété des fichiers
   • Calendar : transférer les événements futurs
5. Sélectionnez un utilisateur destinataire (ex: manager@example.com)
6. Confirmez la suppression

Alias email

Un alias permet de recevoir des emails sur une adresse secondaire sans créer un nouveau compte.

1. Allez dans Directory > Users
2. Cliquez sur l'utilisateur concerné
3. Dans la section User information, cliquez sur Alternate email addresses
4. Ajoutez l'alias (ex: j.dupont@example.com ou commercial@example.com)

Groupes de distribution

Les groupes permettent d'envoyer un email à plusieurs utilisateurs en une seule adresse.

1. Allez dans Directory > Groups
2. Cliquez sur Create group
3. Configurez :
   • Nom : Equipe Commerciale
   • Email : commercial@example.com
   • Description : Groupe de distribution de l'équipe commerciale
   • Propriétaire : manager@example.com
4. Définissez les paramètres d'accès :
   • Qui peut envoyer au groupe (tous, membres uniquement, organisation uniquement)
   • Qui peut voir les membres
   • Qui peut rejoindre le groupe
5. Ajoutez les membres

Réinitialisation de mot de passe

1. Allez dans Directory > Users
2. Cliquez sur l'utilisateur
3. Cliquez sur Reset password (à gauche)
4. Choisissez :
   • Générer automatiquement – Google génère un mot de passe aléatoire
   • Créer un mot de passe – Vous définissez le mot de passe
5. Cochez Demander un changement de mot de passe à la prochaine connexion
6. Communiquez le mot de passe temporaire à l'utilisateur de manière sécurisée

4. Unités organisationnelles (OU)

Concept

Les unités organisationnelles (OU) permettent de structurer votre organisation de manière hiérarchique. Elles servent à appliquer des politiques et des configurations différentes selon les groupes d'utilisateurs. Chaque utilisateur appartient à une seule OU.

Créer des unités organisationnelles

1. Allez dans Admin Console > Directory > Organizational units
2. Cliquez sur le + (Create organizational unit)
3. Renseignez le nom de l'OU et la description
4. Sélectionnez l'OU parente (racine ou sous-OU)

Exemple de structure OU

/ (racine - example.com)
  /Direction
  /Commercial
    /Commercial/Managers
    /Commercial/Terrain
  /Technique
    /Technique/Dev
    /Technique/Infra
  /RH
  /Stagiaires
  /Comptes-Service

Appliquer des règles par OU

Une fois les OU créées, vous pouvez appliquer des politiques différentes à chaque OU :

Exemple : Désactiver YouTube pour /Stagiaires

1. Allez dans Apps > Additional Google services
2. Sélectionnez l'OU /Stagiaires dans le panneau de gauche
3. Trouvez YouTube dans la liste
4. Cliquez dessus et sélectionnez OFF for everyone
5. Cliquez sur Override pour appliquer uniquement à cette OU

Exemple : Restreindre le partage Drive pour /Stagiaires

1. Allez dans Apps > Google Workspace > Drive and Docs
2. Sélectionnez l'OU /Stagiaires
3. Dans Sharing settings, sélectionnez :
   • Sharing outside of example.com : OFF
   • Allow users to publish files on the web : OFF
4. Cliquez sur Override et Save

Déplacer un utilisateur entre OU

1. Allez dans Directory > Users
2. Sélectionnez l'utilisateur (ou plusieurs avec les cases à cocher)
3. Cliquez sur More options (…) > Change organizational unit
4. Sélectionnez la nouvelle OU
5. Cliquez sur Continue et Change

5. Configuration des applications

Gmail – Configuration avancée

Routage email

Permet de rediriger, modifier ou filtrer les emails entrants/sortants.

1. Allez dans Apps > Google Workspace > Gmail > Routing
2. Cliquez sur Configure ou Add another rule
3. Définissez les conditions (expéditeur, destinataire, contenu, en-têtes)
4. Définissez l'action : modifier le message, rejeter, rediriger, ajouter un en-tête

Conformité du contenu (Content compliance)

Permet de définir des règles basées sur le contenu des messages :

• Bloquer les emails contenant certains mots-clés
• Ajouter un avertissement aux emails externes
• Mettre en quarantaine les emails avec pièces jointes suspectes

Quarantaine et spam

1. Allez dans Apps > Google Workspace > Gmail > Spam, phishing and malware
2. Configurez :
   • Liste blanche : domaines/expéditeurs de confiance
   • Quarantaine admin : créez des quarantaines pour examen manuel
   • Protection anti-phishing : activer l'avertissement pour les emails usurpant votre domaine

Google Drive – Configuration

Paramètres de partage

1. Allez dans Apps > Google Workspace > Drive and Docs > Sharing settings
2. Configurez par OU :
   • Partage externe : autorisé, autorisé avec avertissement, ou interdit
   • Partage avec des domaines de confiance : lister les domaines partenaires
   • Publication sur le web : activer ou désactiver
   • Accès aux fichiers par défaut : privé, organisation, ou lien

Drives partagés (Shared Drives)

Les drives partagés appartiennent à l'organisation (pas à un utilisateur individuel). Ils sont idéaux pour les équipes et les projets.

• Création : les utilisateurs peuvent créer des drives partagés (configurable par OU)
• Accès externe : peut être autorisé ou restreint au niveau de l'admin
• Migration de fichiers : permet de déplacer des fichiers individuels vers un drive partagé
• Niveaux d'accès : Gestionnaire, Gestionnaire de contenu, Contributeur, Commentateur, Lecteur

Quotas de stockage

Le stockage est partagé entre Gmail, Drive et Google Photos pour chaque utilisateur. En tant qu'admin, vous pouvez :

• Voir l'utilisation du stockage par utilisateur dans Reporting > Users
• Définir des quotas personnalisés pour des drives partagés
• Ajouter du stockage supplémentaire si nécessaire

Google Calendar – Configuration

Partage de calendriers

1. Allez dans Apps > Google Workspace > Calendar > Sharing settings
2. Configurez le niveau de partage par défaut :
   • Partage interne : voir uniquement les créneaux libres/occupés, ou voir les détails
   • Partage externe : autoriser ou non le partage avec des personnes hors de l'organisation

Ressources (salles et équipements)

1. Allez dans Admin Console > Directory > Buildings and resources
2. Créez d'abord un bâtiment (nom, adresse, étages)
3. Ajoutez des ressources :
   • Salles de réunion : nom, capacité, étage, équipement (vidéoprojecteur, webcam, etc.)
   • Équipements : véhicules, matériel prêtable, etc.
4. Les utilisateurs pourront réserver ces ressources directement depuis Calendar

Google Meet – Configuration

1. Allez dans Apps > Google Workspace > Google Meet
2. Paramètres configurables :
   • Enregistrement : activer/désactiver par OU (Business Standard et +)
   • Diffusion en direct : activer pour les webinaires internes
   • Accès externe : autoriser les participants extérieurs ou les bloquer
   • Téléphonie : activer les numéros de connexion téléphonique
   • Sous-titres : activer les sous-titres automatiques

Google Chat – Configuration

1. Allez dans Apps > Google Workspace > Google Chat
2. Paramètres :
   • Chat externe : autoriser les utilisateurs à discuter avec des personnes extérieures
   • Espaces : autoriser la création d'espaces (channels)
   • Historique : activer ou désactiver l'historique des conversations par défaut
   • Apps/Bots : autoriser l'installation de bots et intégrations tierces

Activer / Désactiver des services par OU

1. Allez dans Apps > Google Workspace (ou Additional Google services)
2. Sélectionnez l'OU souhaitée dans le panneau de gauche
3. Cliquez sur le service à configurer
4. Choisissez ON for everyone ou OFF for everyone
5. Cliquez sur Override pour appliquer à cette OU seulement

6. Sécurité

Validation en 2 étapes (2FA / MFA)

La validation en deux étapes (2FA) ajoute une couche de sécurité supplémentaire en exigeant un deuxième facteur d'authentification en plus du mot de passe.

Activer et imposer la 2FA

1. Allez dans Security > Authentication > 2-step verification
2. Sélectionnez l'OU concernée (ou la racine pour tous)
3. Cochez Allow users to turn on 2-Step Verification
4. Choisissez le mode d'application :
   • Off : optionnel pour les utilisateurs
   • On (Enforcement) : obligatoire
5. Si enforcement, définissez :
   • Date de début : date à partir de laquelle la 2FA est obligatoire
   • Délai de grâce pour les nouveaux utilisateurs : nombre de jours pour s'inscrire (ex: 7 jours)
   • Méthodes autorisées : toutes, clés de sécurité uniquement, etc.

Méthodes de 2FA disponibles

Méthode	Sécurité	Description
Clé de sécurité (FIDO2)	Très élevée	Clé physique USB/NFC (YubiKey, Titan, etc.)
Invite Google	Élevée	Notification push sur téléphone avec approbation
App TOTP	Bonne	Google Authenticator ou app compatible (code à 6 chiffres)
SMS / Appel	Modérée	Code envoyé par SMS ou appel vocal (vulnérable au SIM swapping)
Codes de secours	Secours	10 codes à usage unique (pour urgence uniquement)

Clés de sécurité FIDO2

Les clés FIDO2 offrent la protection la plus forte contre le phishing :

• Résistantes au phishing (la clé vérifie le domaine)
• Ne nécessitent pas de batterie
• Fonctionnent en USB-A, USB-C, NFC ou Bluetooth
• Compatibles avec le programme de protection avancée Google

Pour imposer les clés de sécurité uniquement :

1. Dans Security > 2-step verification
2. Choisissez Only security key dans les méthodes autorisées
3. Les utilisateurs devront enregistrer au moins une clé physique

Alertes de sécurité

1. Allez dans Security > Alert center
2. Types d'alertes disponibles :
   • Tentative de connexion suspecte – Connexion depuis un lieu ou appareil inhabituel
   • Compte potentiellement compromis – Activité suspecte détectée
   • Phishing signalé – Un utilisateur a signalé un email de phishing
   • Changement de paramètre sensible – Modification de paramètres critiques
   • Nouveau super-admin – Un utilisateur a été promu super-admin
   • Fuite de données potentielle – Partage externe anormal
3. Configurez les notifications par email pour les alertes critiques

Règles de protection des données (DLP)

Le DLP (Data Loss Prevention) permet de détecter et protéger les données sensibles. Disponible avec Business Plus et Enterprise.

1. Allez dans Security > Access and data control > Data protection
2. Cliquez sur Manage rules > Add rule
3. Configurez la règle :
   • Nom : ex. "Détection numéros de carte bancaire"
   • Périmètre : Gmail, Drive, ou les deux
   • Conditions : type de données à détecter
   • Action : bloquer, avertir, mettre en quarantaine, journaliser

Types de données détectables

• Numéros de carte bancaire (Visa, Mastercard, Amex, etc.)
• Numéros de sécurité sociale
• Numéros de passeport
• Numéros IBAN
• Adresses email (pattern personnalisé)
• Expressions régulières personnalisées
• Mots-clés spécifiques (ex : "confidentiel", "secret")

Accès contextuel (Context-Aware Access)

L'accès contextuel permet de restreindre l'accès aux services Google en fonction du contexte de connexion. Disponible avec Business Plus et Enterprise.

• Adresse IP : autoriser uniquement certaines plages IP (bureau, VPN)
• Appareil : exiger un appareil géré et conforme
• Localisation géographique : restreindre par pays
• Système d'exploitation : exiger une version minimum d'OS
• Statut de l'appareil : chiffré, à jour, avec mot de passe

Créer une règle d'accès contextuel

1. Allez dans Security > Access and data control > Context-Aware Access
2. Cliquez sur Assign access levels
3. Créez un Access level (ex: "Réseau bureau uniquement")
4. Définissez les conditions (IP: 203.0.113.0/24)
5. Assignez le niveau d'accès à une OU ou un groupe et un service (ex: Drive)

Gestion des sessions

1. Allez dans Security > Google session control
2. Configurez :
   • Durée maximum de session : de 1 heure à 30 jours (par défaut: 14 jours)
   • Durée pour les applications web : configurable séparément
3. Pour déconnecter un utilisateur immédiatement :
   • Allez dans Directory > Users > sélectionnez l'utilisateur
   • Cliquez sur Security > Sign out user
   • Optionnellement, réinitialisez le mot de passe et révoquez les tokens d'application

Applications tierces et OAuth

Contrôlez quelles applications tierces peuvent accéder aux données Google Workspace de vos utilisateurs.

1. Allez dans Security > API controls
2. Cliquez sur Manage third-party app access
3. Options disponibles :
   • Trusted : l'app a accès complet aux données autorisées
   • Limited : l'app a un accès restreint
   • Blocked : l'app est entièrement bloquée
4. Pour bloquer toutes les apps non approuvées :
   • Dans Settings, sélectionnez Don't allow users to access any third-party apps
   • Ajoutez uniquement les apps approuvées dans la liste Trusted

Rapports de sécurité

• Security dashboard (Security > Dashboard) : vue d'ensemble des menaces
• Connexions suspectes : tentatives de connexion bloquées, connexions depuis de nouveaux appareils
• Appareils compromis : appareils détectés comme compromis
• Partages de fichiers externes : fichiers partagés en dehors de l'organisation
• Installation d'apps : nouvelles apps tierces connectées

Google Vault

Google Vault est un outil d'archivage, de rétention légale et d'eDiscovery. Disponible avec Business Plus et Enterprise.

Fonctionnalités principales

• Règles de rétention : conserver les données pendant une durée définie, même si l'utilisateur les supprime
  • Rétention par défaut : s'applique à toute l'organisation
  • Rétention personnalisée : par OU, par requête, par date
• Holds (rétention légale) : préserver les données en cas de litige ou d'enquête
  • Les holds empêchent la suppression des données, même si la règle de rétention expire
  • S'appliquent à des utilisateurs, des OU ou des comptes spécifiques
• Recherche : rechercher dans les emails, Drive, Chat, Meet, Groupes, Voice
• Export : exporter les résultats de recherche au format PST, MBOX ou autres pour analyse externe

Accéder à Google Vault

1. Rendez-vous sur vault.google.com
2. Connectez-vous avec un compte admin ayant les droits Vault
3. Créez un Matter (dossier) pour organiser vos investigations
4. Lancez des recherches, appliquez des holds, exportez les résultats

7. Gestion des appareils (Endpoints)

Vue d'ensemble

Google Endpoint Management permet de gérer et sécuriser les appareils qui accèdent aux données de l'organisation. Accédez aux paramètres via Devices dans l'Admin Console.

Appareils mobiles (Android / iOS)

Inscription des appareils

1. Allez dans Devices > Mobile & endpoints > Settings
2. Activez la gestion des appareils mobiles
3. Choisissez le niveau de gestion :
   • Basic : inventaire et effacement à distance
   • Advanced : politiques complètes, profil de travail, apps gérées
4. Les utilisateurs installent Google Device Policy ou utilisent le profil de travail Android

Profil de travail Android

Le profil de travail crée une séparation entre les données personnelles et professionnelles sur l'appareil :

• Applications et données professionnelles isolées
• L'admin ne peut gérer que le profil de travail (pas les données personnelles)
• L'utilisateur peut désactiver le profil de travail en dehors des heures
• L'effacement à distance ne touche que le profil de travail

Politiques mobiles configurables

Politique	Description
Code PIN / mot de passe	Exiger un code d'accès avec longueur et complexité minimales
Chiffrement	Exiger le chiffrement de l'appareil
Effacement à distance	Effacer les données professionnelles (ou l'appareil entier) en cas de perte/vol
Verrouillage d'écran	Délai avant verrouillage automatique
Caméra	Désactiver la caméra sur l'appareil géré
Apps gérées	Déployer des applications obligatoires ou recommandées
Blocage des appareils non conformes	Empêcher l'accès si l'appareil ne respecte pas les politiques

ChromeOS – Gestion

Enregistrement des Chromebooks

1. Achetez des licences Chrome Enterprise Upgrade
2. Lors de la première configuration du Chromebook, connectez-le avec un compte de l'organisation
3. L'appareil s'enregistre automatiquement dans Devices > Chrome > Devices

Politiques ChromeOS

• Mises à jour : planifier les mises à jour, bloquer à une version spécifique
• Applications : forcer l'installation d'apps/extensions Chrome
• Réseau : configurer le Wi-Fi et les certificats automatiquement
• Impression : configurer les imprimantes réseau
• Mode Kiosk : verrouiller le Chromebook sur une seule application (affichage, point de vente, etc.)
• Sessions invité : autoriser ou bloquer les sessions invité

Ordinateurs (Windows / macOS)

Google Credential Provider for Windows (GCPW)

Permet aux utilisateurs de se connecter à Windows avec leurs identifiants Google Workspace :

• Authentification unique (SSO) avec le compte Google
• La 2FA Google s'applique à la connexion Windows
• Synchronisation des mots de passe

Installation :

# Télécharger le MSI depuis admin.google.com
# Installer via GPO ou outil de déploiement :
msiexec /i gcpw_installer.msi /quiet

Vérification des endpoints (Endpoint Verification)

Extension Chrome qui collecte des informations sur l'appareil pour l'accès contextuel :

• Système d'exploitation et version
• Statut du chiffrement du disque
• Présence d'un mot de passe écran
• Statut du pare-feu
• Numéro de série de l'appareil

1. Allez dans Devices > Mobile & endpoints > Settings > Universal
2. Activez Endpoint Verification
3. Déployez l'extension Chrome (peut être forcée via la console Admin)

Inventaire des appareils

1. Allez dans Devices > Mobile & endpoints > Devices
2. Consultez la liste de tous les appareils enregistrés :
   • Type d'appareil (mobile, ChromeOS, desktop)
   • Propriétaire (utilisateur associé)
   • Statut de conformité
   • Dernière synchronisation
   • Version d'OS
   • Statut du chiffrement
3. Actions disponibles :
   • Approve / Block un appareil
   • Wipe account : supprimer les données professionnelles
   • Wipe device : effacer entièrement l'appareil (gestion avancée)

8. DNS et domaine

Ajouter un domaine secondaire ou alias

Google Workspace permet d'utiliser plusieurs domaines sous une même organisation.

Types de domaines

Type	Description	Exemple
Domaine principal	Domaine utilisé lors de la souscription	example.com
Domaine secondaire	Domaine indépendant avec ses propres utilisateurs	autre-example.com
Alias de domaine	Alias qui redirige vers le domaine principal (chaque utilisateur reçoit automatiquement un alias)	example.fr → example.com

Procédure d'ajout

1. Allez dans Account > Domains > Manage domains
2. Cliquez sur Add a domain
3. Choisissez le type (secondaire ou alias)
4. Entrez le nom de domaine
5. Vérifiez la propriété du domaine (TXT ou CNAME)
6. Configurez les enregistrements DNS (MX, SPF, DKIM, DMARC)

Récapitulatif des enregistrements DNS nécessaires

Type	Nom	Valeur	Fonction
MX	@	ASPMX.L.GOOGLE.COM (+ ALT1-4)	Routage des emails vers Gmail
TXT (SPF)	@	v=spf1 include:_spf.google.com ~all	Autorise Google à envoyer des emails
TXT (DKIM)	google._domainkey	v=DKIM1; k=rsa; p=...	Signature cryptographique des emails
TXT (DMARC)	_dmarc	v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com	Politique d'authentification email
TXT / CNAME	@ ou spécifique	google-site-verification=...	Vérification de propriété du domaine

Autodiscover pour les clients mail

Si des utilisateurs utilisent des clients mail tiers (Outlook, Thunderbird, Apple Mail), configurez les enregistrements d'autodiscover pour faciliter la configuration automatique :

# Enregistrement SRV pour Autodiscover (optionnel)
Type   : SRV
Service: _autodiscover
Protocol: _tcp
Nom    : example.com
Priority: 0
Weight  : 0
Port    : 443
Target  : autodiscover.google.com

# Enregistrement CNAME alternatif
Type  : CNAME
Nom   : autodiscover.example.com
Valeur: autodiscover.google.com

9. Rapports et audit

Accès aux rapports

Tous les rapports sont accessibles depuis Admin Console > Reporting.

Rapport d'utilisation (App Reports)

Vue d'ensemble de l'utilisation des services Google Workspace :

• Comptes : nombre d'utilisateurs actifs, taux d'adoption
• Apps usage : utilisation de Gmail, Drive, Calendar, Meet, Chat
• Stockage : utilisation du stockage par utilisateur et au total
• Collaboration : nombre de fichiers créés, partagés, comments
• Meet : nombre de réunions, durée moyenne, participants

Journal d'audit Admin

Enregistre toutes les actions effectuées par les administrateurs :

1. Allez dans Reporting > Audit and investigation > Admin log events
2. Informations disponibles :
   • Qui : quel admin a effectué l'action
   • Quoi : quelle action (création utilisateur, modification OU, etc.)
   • Quand : date et heure exacte
   • Où : adresse IP de l'admin
3. Filtrez par date, admin, type d'événement

Exemples d'événements audités

• Création / suppression / suspension d'utilisateur
• Modification des paramètres d'une application
• Attribution / révocation de rôle admin
• Modification des règles de sécurité
• Ajout / suppression de domaine
• Modification des paramètres de groupe

Journal d'audit Connexion (Login audit)

1. Allez dans Reporting > Audit and investigation > Login log events
2. Informations disponibles :
   • Utilisateur : qui s'est connecté
   • Résultat : succès ou échec (et raison de l'échec)
   • Adresse IP : d'où la connexion a été tentée
   • Méthode 2FA : si utilisée et laquelle
   • Localisation : pays et ville (approximatif)
   • Type de connexion : web, IMAP, POP, mobile

Journal d'audit Drive

1. Allez dans Reporting > Audit and investigation > Drive log events
2. Événements tracés :
   • Création de fichiers/dossiers
   • Modification de fichiers
   • Partage : avec qui, quel niveau d'accès
   • Téléchargement de fichiers
   • Suppression et restauration
   • Transfert de propriété
   • Accès : qui a ouvert le fichier

Exportation des rapports

Tous les rapports peuvent être exportés :

• Google Sheets : export direct vers une feuille de calcul
• CSV : téléchargement en fichier CSV
• API Reports : accès programmatique via l'API Admin SDK Reports

# Exemple d'appel API Reports (activités admin)
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/admin
Authorization: Bearer {access_token}

Intégration avec BigQuery (Enterprise)

Les clients Enterprise peuvent exporter les logs directement vers BigQuery pour une analyse avancée :

1. Allez dans Reporting > BigQuery Export
2. Activez l'export
3. Sélectionnez un projet Google Cloud et un dataset BigQuery
4. Les logs sont exportés automatiquement (quasi temps réel)

Exemples de requêtes BigQuery utiles

-- Utilisateurs n'ayant pas utilisé Gmail depuis 30 jours
SELECT email, last_login_time
FROM `project.dataset.users`
WHERE last_login_time < TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 30 DAY)
ORDER BY last_login_time ASC;

-- Top 10 des fichiers les plus partagés en externe
SELECT doc_title, COUNT(*) as share_count
FROM `project.dataset.drive_log`
WHERE visibility = 'shared_externally'
GROUP BY doc_title
ORDER BY share_count DESC
LIMIT 10;

Alertes personnalisées

1. Allez dans Reporting > Audit and investigation
2. Effectuez une recherche avec les filtres souhaités
3. Cliquez sur Create alert
4. Définissez :
   • Nom de l'alerte
   • Destinataires des notifications
   • Fréquence : en temps réel ou périodique

Exemples d'alertes recommandées

• Connexion réussie depuis un pays inhabituel
• Partage d'un fichier Drive en mode "public sur le web"
• Ajout d'un super-admin
• Désactivation de la 2FA par un utilisateur
• Autorisation d'une nouvelle application tierce
• Téléchargement massif de fichiers (plus de 50 fichiers en 1 heure)

10. Tips et bonnes pratiques

Comptes administrateurs

• Comptes admin dédiés : ne pas utiliser un compte admin comme compte quotidien
  • Créez un compte séparé pour l'administration (ex: admin-jean@example.com)
  • Utilisez un compte standard pour le travail quotidien (ex: jean.dupont@example.com)
• Principe du moindre privilège : attribuez des rôles admin spécifiques plutôt que super-admin
  • User Management Admin : pour gérer les utilisateurs uniquement
  • Help Desk Admin : pour réinitialiser les mots de passe uniquement
  • Groups Admin : pour gérer les groupes uniquement
• Clés de sécurité FIDO2 obligatoires pour tous les comptes super-admin

Politique de mots de passe

1. Allez dans Security > Authentication > Password management
2. Configurez :
   • Longueur minimale : 12 caractères (recommandé)
   • Complexité : exiger des caractères spéciaux, majuscules, chiffres
   • Expiration : optionnel (le NIST recommande de NE PAS forcer l'expiration si la 2FA est active)
   • Historique : empêcher la réutilisation des N derniers mots de passe

Validation en 2 étapes (2FA)

• Activer le 2FA pour TOUS les utilisateurs, sans exception
• Clés de sécurité pour les admins et les utilisateurs manipulant des données sensibles
• Délai de grâce : accordez 7 jours aux nouveaux utilisateurs pour configurer la 2FA
• Codes de secours : rappelez aux utilisateurs de générer et stocker des codes de secours

Surveillance et audit

• Vérifiez les connexions suspectes régulièrement (hebdomadaire minimum)
• Activez les alertes pour les événements critiques (nouveau super-admin, connexion suspecte, etc.)
• Auditez les applications tierces mensuellement et supprimez celles non utilisées
• Vérifiez les partages Drive externes et révoquez ceux qui ne sont plus nécessaires

Documentation et gestion du changement

• Documentez tous les changements d'administration :
  • Qui a fait le changement
  • Pourquoi (ticket, demande, etc.)
  • Quand
  • Quel était le paramètre avant / après
• Maintenez un registre des accès admin (qui a quel rôle)
• Révisez les rôles admin trimestriellement

DLP – Bonnes pratiques

• Mode audit d'abord : testez toujours les règles DLP en mode Audit only pendant au moins 2 semaines
• Affinez les règles : analysez les faux positifs et ajustez avant de passer en enforcement
• Communiquez : informez les utilisateurs des politiques DLP pour éviter la frustration
• Commencez simple : détectez d'abord les types de données les plus critiques (CB, SSN) puis élargissez

Sauvegarde des données

• Google Vault : archivage et rétention (mais ce n'est pas une vraie sauvegarde)
• Google Takeout : permet aux utilisateurs d'exporter leurs données individuellement
• Data Export (admin) : export complet de l'organisation via Account > Data Export
• Outils tiers recommandés : envisagez une solution de backup tierce (Backupify, Spanning, CloudAlly, etc.) pour des sauvegardes automatiques et une restauration granulaire

Checklist de déploiement

Étape	Action	Priorité
1	Vérifier le domaine	Critique
2	Configurer MX, SPF, DKIM, DMARC	Critique
3	Créer la structure OU	Haute
4	Créer les comptes utilisateurs	Haute
5	Imposer la 2FA (avec délai de grâce)	Critique
6	Configurer les paramètres de partage Drive	Haute
7	Configurer les applications par OU	Moyenne
8	Configurer la gestion des appareils	Haute
9	Configurer les règles DLP (mode audit)	Moyenne
10	Activer les alertes de sécurité	Haute
11	Configurer la sauvegarde tierce	Moyenne
12	Former les utilisateurs	Haute