הגדרת שילובים עם שותפים שהם צד שלישי

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Cloud Identity Premium. השוואה בין המהדורות

כאדמין, אפשר לשלב שותפים נתמכים מצד שלישי (שמשתייכים ל-BeyondCorp Alliance) עם ניהול נקודות קצה ב-Google במסוף Google Admin. השילובים האלה מאפשרים לכם להשתמש בספקי ניהול מאוחד של נקודות קצה (UEM) ובשירותי הגנה מפני איומים בנייד בשילוב עם שירותי Google Cloud שמוגנים על ידי Google Workspace,‏ Cloud Identity ו-Identity-Aware Proxy. אחרי שיוצרים חיבור ומפעילים את השירות ליחידה ארגונית, שירות הצד השלישי יכול לשלוח פרטים על המכשירים שאפשר לבדוק במלאי המכשירים ולהשתמש בהם בכללים של בקרת גישה מבוססת-הקשר.

הערה: Google לא אחראית לדיוק של נתוני המכשיר שנוצרו על ידי שותפי צד שלישי. הנתונים ששותף צד שלישי מספק ל-Google נשמרים כמו שהם. השותף הוא האחראי הבלעדי לכל אי דיוק או פרטים אישיים מזהים (PII) שהוא מדווח עליהם.

כשיוצרים קישור לשירות של צד שלישי, השירות זמין לכל היחידות הארגוניות בארגון. עם זאת, השירות של הצד השלישי לא יחול עד שתפעילו אותו עבור יחידה ארגונית.

שותפים ב-BeyondCorp Alliance

  • Check Point
  • CrowdStrike
  • Jamf
  • Lookout
  • ‫Microsoft Intune (מחשבים בלבד)
  • Omnissa

דרישות

שלב 1: התחברות לשותף BeyondCorp Alliance

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז שילובי צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על שותפי אבטחה ו-MDM ואז ניהול.
  3. בשורה של השותף שאליו רוצים להתחבר, לוחצים על פתיחת החיבור.
  4. משלימים את תהליך החיבור באתר של השותף כשהוא נפתח:
    • אם כבר יש לכם מינוי אצל השותף הזה, השותף יאשר את הקישור.
    • אם אין לכם מינוי, יכול להיות שתופנו להגדיר מינוי.
  5. במסוף Admin, סוגרים את תיבת הדו-שיח ניהול חיבורים לשותפים כדי לחזור לדף ההגדרות. השותף המקושר יופיע ברשימה.

שלב 2: הפעלת השירותים של השותף ביחידה ארגונית

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז שילובי צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. מסמנים את התיבה של השותף שהשירות שלו רוצים להפעיל. אפשר לבחור יותר מאפשרות אחת.
  5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

השירות של השותף חל עכשיו על חשבונות ביחידה הארגונית שנבחרה.

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

שלב 3. שימוש בנתוני מצב השירות ברמות גישה מבוססות-הקשר

כל שירות שולח ל-Google נתונים על מכשירים, שבהם אפשר להשתמש כדי להגדיר רמות של בקרת גישה מבוססת-הקשר.

הערה: כדי שרמות גישה מבוססות-הקשר על סמך סטטוס של שירות צד שלישי יחולו על משתמשים במכשירי iOS, המשתמשים צריכים להיכנס לחשבון העבודה או לחשבון בית הספר שלהם באפליקציית Google שאינה דפדפן Chrome (כמו YouTube או Gmail). מידע נוסף

  1. כדי לגלות אילו ערכים שירות הצד השלישי שולח ל-Google, צריך לעיין במסמכים של השירות.

  2. במסוף Google Cloud, מגדירים רמת גישה בהתאמה אישית על סמך הערכים של השותף. הוראות מפורטות זמינות במאמר יצירת גישה בהתאמה אישית

    level.

    בשלב שבו מזינים תנאים, מזינים device.vendorsמאפיין שמתאים לערך סטטוס. לדוגמה, ‫device.vendors["some_vendor"].data["status_value"] == true, כאשר ‫some_vendor הוא שם השותף (Checkpoint או Lookout) ו- ‫status_value הוא מפתח הסטטוס שהוגדר על ידי השותף. פרטים נוספים זמינים בקטע הספקים של המאמר הזה.

    table.

  3. הקצאה של רמות גישה מבוססת-הקשר לאפליקציות.

פתרון בעיות בשילוב עם שירות של צד שלישי

אם השילוב לא פועל כצפוי, אפשר לבצע את השלבים הבאים כדי לזהות את הבעיה.

שלב 1: מאמתים את החיבור מ-Google ומהשותף

מ-Google

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז שילובי צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. לצד שותפים, לוחצים על ניהול.
  4. בשורה של השותף, מוודאים שהפעולה שזמינה היא סגירת החיבור. אם הפעולה היא פתיחת חיבור, לוחצים עליה ופועלים לפי ההוראות שבשלב 1: התחברות לשותף ב-BeyondCorp Alliance.

מהשותף

מעיינים במסמכי העזרה של השותף ומוודאים שהשירות שלו מוכן לשילוב.

שלב 2: מוודאים שהמשתמש שייך ליחידה ארגונית שהחיבור אליה מופעל

מוודאים שהחיבור מוגדר למשתמש. החיבורים מופעלים לפי יחידה ארגונית, והם פועלים רק למשתמשים ביחידות ארגוניות שהחיבור הופעל בהן.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז שילובי צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. בצד ימין, לוחצים על היחידה הארגונית שהמשתמש שייך אליה.
  4. לצד שותפי אבטחה ו-MDM, בודקים את שילובי האפליקציות שהופעלו ליחידה הארגונית הזו.
  5. אם השילוב לא מופיע ברשימה, לוחצים על שותפי אבטחה ו-MDM ומסמנים את התיבה לצד השותף. אם השותף לא מופיע ברשימה, צריך קודם לפתוח את החיבור. הוראות מפורטות זמינות במאמר בנושא שלב 1: התחברות לשותף ב-BeyondCorp Alliance.

שלב 3: מוודאים ש-Google מקבלת את נתוני המכשיר של המשתמש משירות הצד השלישי

שותפי שילוב שולחים ל-Google נתונים על המכשיר של המשתמש. אתם יכולים לוודא ש-Google מקבלת את הנתונים האלה במסוף Admin.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה ואז מכשירים.

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. מאתרים את המכשיר של המשתמש. כדי לסנן את הרשימה, מזינים את כתובת האימייל שלהם בסרגל החיפוש ומוסיפים מסנן לפי סוג המכשיר.
  3. לוחצים על המכשיר כדי לפתוח את דף הפרטים שלו.
  4. מחפשים את הקטע שירותים של צד שלישי. אם לא מוצאים את הקישור, יכול להיות שהחיבור לשותף לא הוגדר בצורה נכונה. כדאי לעיין בשני השלבים הראשונים לפתרון בעיות.
  5. מחפשים את השורה של שירות השותף ומוודאים שהערכים של ציון הבריאות, מצב ניהול ומצב התאימות הם לא לא צוין. אם הערכים לא תואמים למה שציפיתם, פנו לשותף לקבלת תמיכה.

שלב 4: מוודאים שרמת הגישה המותאמת אישית מוגדרת בצורה נכונה

  1. במסוף Google Cloud, עוברים אל Access Context Manager.
  2. מחפשים את רמת הגישה המותאמת אישית ומאשרים את הפרטים הבאים:
    1. התנאים משתמשים בשם הנכון של הצד השלישי. השם הזה מצוין במסמכים של הצד השלישי.
    2. התנאים משתמשים בערך שתואם לערך שהתקבל מהצד השלישי.

אם הנתונים לא נכונים, כדאי לעיין במאמר בנושא שימוש בנתוני סטטוס שירות ברמות גישה מודעות-הקשר.

שלב 5: מוודאים שרמת הגישה המותאמת אישית חלה על שירות Google Workspace או על משאב Google Cloud הנכון

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאה ואז על הקצאת רמות גישה.
    תוצג רשימת אפליקציות.
  3. בודקים לאילו אפליקציות ושירותים מוחלת רמת הגישה המותאמת אישית.

(מכשירי iOS בלבד) איך למנוע כפילויות של רשומות מכשירים שנוצרות בגלל שימוש ב-BeyondCorp Alliance לדיווח על מכשירים של צד שלישי, ואיך להסיר אותן

במקרים מסוימים, רישום מכשירים באמצעות שותף שירות של צד שלישי עלול לגרום לכפילויות של אותו מכשיר במסוף Admin. הדבר עלול לגרום לכללים של בקרת גישה מבוססת-הקשר לחסום בטעות גישה של מכשיר מנוהל לשירותי Google.

כדי למנוע כפילויות של רשומות מכשירים, צריך לוודא ש-Safari מופעל במכשיר.

כדי להסיר רשומות כפולות של מכשירים:

  1. במסוף Google Admin, נכנסים לתפריט ואז הארגון שלי ואז משתמשים.

    כדי לעשות את זה, צריך הרשאת אדמין לניהול משתמשים. ללא ההרשאה הנכונה, לא יוצגו כל אמצעי הבקרה שדרושים להשלמת השלבים.

  2. מאתרים את המשתמש של המכשיר הכפול ולוחצים על שם המשתמש כדי לפתוח את דף הפרטים של המשתמש.
  3. בכרטיסייה אבטחה, לוחצים על אפליקציות מקושרות.
  4. מחיקת כל האפליקציות שמופיעות ברשימה.

במכשיר של המשתמש:

  1. יוצאים מכל חשבונות Google ומסירים אותם.
  2. ב-Safari, עוברים לדף האינטרנט של שירות Google (לדוגמה, gmail.com) ומוודאים שהמשתמש לא מחובר.
  3. מתקינים מחדש אפליקציה של Google, כמו Gmail או Drive, ונכנסים אליה. (לא ניגשים לאפליקציית Google דרך דף האינטרנט שלה ב-Safari).

    כללי בקרת הגישה מבוססת-הקשר יחסמו את הגישה לאפליקציית Google ויציגו קישור לפתרון החסימה של האפליקציה.

  4. לוחצים על הקישור לתיקון שגיאות ופועלים לפי השלבים כדי לרשום מחדש את המכשיר לשותף אינטגרציה.
  5. סוגרים את שירות Google ופותחים אותו מחדש. הגישה לא אמורה להיות חסומה יותר.

שינוי ההגדרות של שילוב שירותים של צד שלישי

השבתה של שותף ביחידה ארגונית

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז שילובי צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. מבטלים את הסימון בתיבה של השותף שרוצים להשבית.
  5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

ניתוק שותף

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and then ניידים ונקודות קצה and then הגדרות ואז שילובי צד שלישי.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. לוחצים על שותפי אבטחה ו-MDM ואז ניהול.
  3. בשורה של השותף, לוחצים על סגירת הקישור. השירותים של השותף לא חלים יותר על אף מכשיר בארגון, והשותף לא מופיע כאפשרות להפעלה.

אם סוגרים את החיבור לשותף ופותחים אותו מחדש, השירות של השותף מופעל מחדש באופן אוטומטי לכל היחידות הארגוניות שבהן השותף היה מופעל.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.