הגדרת שילובים עם שותפים שהם צד שלישי

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard,‏ Education Plus ו-Endpoint Education Upgrade,‏ Cloud Identity Premium. השוואה בין מהדורות

אדמינים יכולים לשלב שותפים נתמכים מצד שלישי (שמשתייכים לBeyondCorp Alliance) עם פתרון 'ניהול נקודות קצה (endpoint)' של Google במסוף Google Admin. השילובים האלה מאפשרים לכם להשתמש בספקי ניהול מאוחד של נקודות קצה (UEM) ובשירותים להגנה מפני איומים בנייד בשילוב עם שירותי Google Cloud שמוגנים על ידי Google Workspace,‏ Cloud Identity ושרת proxy לאימות זהויות (IAP). אחרי שיוצרים חיבור ומפעילים את השירות ליחידה ארגונית, שירות הצד השלישי יכול לשלוח פרטים על המכשירים שאפשר לבדוק במלאי המכשירים ולהשתמש בהם בכללי גישה מבוססת-הקשר.

הערה: Google לא אחראית לדיוק של נתוני המכשיר שנוצרו על ידי שותפי צד שלישי. הנתונים ששותף הצד השלישי מעביר אל Google נשמרים כמו שהם. האחריות הבלעדית לכל אי דיוק או פרטים אישיים מזהים (PII) שדווחו על ידי שותף הצד השלישי חלה על השותף.

כשיוצרים חיבור לשירות של צד שלישי, השירות זמין לכל היחידות הארגוניות בארגון. עם זאת, השירות של הצד השלישי לא יחול עד שתפעילו אותו ביחידה ארגונית.

שותפים ב-BeyondCorp Alliance

  • Check Point
  • CrowdStrike
  • Jamf
  • Lookout
  • ‫Microsoft Intune (מחשבים בלבד)
  • Omnissa

דרישות

שלב 1: התחברות לשותף BeyondCorp Alliance

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזשילובי צד שלישי.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על שותפי אבטחה ו-MDM ואזניהול.
  3. בשורה של השותף שאליו רוצים להתחבר, לוחצים על פתיחת חיבור.
  4. משלימים את תהליך החיבור באתר של השותף כשהוא נפתח:
    • אם כבר יש לכם מינוי אצל השותף הזה, השותף יאשר את הקישור.
    • אם אין לכם מינוי, יכול להיות שתופנו להגדיר מינוי.
  5. במסוף הניהול, סוגרים את תיבת הדו-שיח ניהול חיבורים לשותפים כדי לחזור לדף ההגדרות. השותף המקושר יופיע עכשיו ברשימה.

שלב 2: הפעלת השירותים של השותף ביחידה ארגונית

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזשילובי צד שלישי.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. מסמנים את התיבה של השותף שהשירות שלו רוצים להפעיל. אפשר לבחור יותר מאפשרות אחת.
  5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

השירות של השותף יחול עכשיו על החשבונות ביחידה הארגונית שנבחרה.

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

שלב 3. שימוש בנתוני מצב השירות ברמות גישה מבוססות-הקשר

כל שירות שולח ל-Google נתונים על מכשירים, שבהם אפשר להשתמש כדי להגדיר רמות של בקרת גישה מבוססת-הקשר.

הערה: כדי שרמות גישה מבוססות-הקשר על סמך סטטוס של שירות צד שלישי יחולו על משתמשים במכשירי iOS, המשתמשים צריכים להיות מחוברים לחשבון לצורכי עבודה או לחשבון בית ספרי באפליקציית Google שאינה דפדפן Chrome (כמו YouTube או Gmail). מידע נוסף

  1. כדי לגלות אילו ערכים שירות הצד השלישי שולח ל-Google, צריך לעיין במסמכים של השירות.

  2. במסוף Google Cloud, מגדירים רמת גישה בהתאמה אישית על סמך הערכים של השותף. הוראות מפורטות מופיעות במאמר יצירת רמת גישה בהתאמה אישית.

    בשלב שבו מזינים תנאים, מזינים מאפיין device.vendors שמתאים לערך סטטוס. לדוגמה, device.vendors["some_vendor"].data["status_value"] == true, כאשר some_vendor הוא שם השותף (Checkpoint או Lookout) ו-status_value הוא מפתח הסטטוס שהוגדר על ידי השותף. פרטים נוספים מופיעים בקטע 'ספקים' בטבלת ההפניה הזו.

  3. הקצאה של רמות גישה מבוססות-הקשר לאפליקציות.

פתרון בעיות בשילוב עם שירות של צד שלישי

אם השילוב לא פועל כמו שציפיתם, כדאי לבצע את השלבים הבאים כדי לזהות את הבעיה.

שלב 1: מאמתים את החיבור מ-Google ומהשותף

מ-Google

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזשילובי צד שלישי.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. לצד שותפים, לוחצים על ניהול.
  4. בשורה של השותף, מוודאים שהפעולה שזמינה היא סגירת החיבור. אם הפעולה היא פתיחת חיבור, לוחצים עליה ופועלים לפי ההוראות שבשלב 1: התחברות לשותף ב-BeyondCorp Alliance.

מהשותף

מעיינים במסמכי העזרה של השותף ומוודאים שהשירות שלו מוכן לשילוב.

שלב 2: מוודאים שהמשתמש שייך ליחידה ארגונית שהחיבור אליה מופעל

מוודאים שהחיבור מוגדר למשתמש. החיבורים מופעלים לפי יחידה ארגונית, והם פועלים רק למשתמשים ביחידות ארגוניות שהחיבור הופעל בהן.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזשילובי צד שלישי.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. בצד ימין, לוחצים על היחידה הארגונית שהמשתמש שייך אליה.
  4. לצד שותפי אבטחה ו-MDM, בודקים את שילובי האפליקציות שהופעלו ליחידה הארגונית הזו.
  5. אם השילוב לא מופיע ברשימה, לוחצים על שותפי אבטחה ו-MDM ומסמנים את התיבה לצד השותף. אם השותף לא מופיע ברשימה, צריך קודם לפתוח את החיבור. הוראות מפורטות זמינות במאמר בנושא שלב 1: התחברות לשותף ב-BeyondCorp Alliance.

שלב 3: מוודאים ש-Google מקבלת את נתוני המכשיר של המשתמש משירות הצד השלישי

שותפי שילוב שולחים ל-Google נתונים על המכשיר של המשתמש. אתם יכולים לוודא ש-Google מקבלת את הנתונים האלה במסוף Admin.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה ואזמכשירים.

    כדי לעשות את זה צריך הרשאת אדמין לניהול מכשירים ניידים.

  2. מאתרים את המכשיר של המשתמש. כדי לסנן את הרשימה, מזינים את כתובת האימייל שלהם בסרגל החיפוש ומוסיפים מסנן לפי סוג המכשיר.
  3. לוחצים על המכשיר כדי לפתוח את דף הפרטים שלו.
  4. מחפשים את הקטע שירותים של צד שלישי. אם לא מוצאים את הקישור, יכול להיות שהחיבור לשותף לא הוגדר בצורה נכונה. כדאי לעיין בשני השלבים הראשונים לפתרון בעיות.
  5. מחפשים את השורה של שירות השותף ומוודאים שהערכים של ציון הבריאות, מצב ניהול ומצב התאימות לא מוגדרים כלא צוין. אם הערכים לא תואמים למה שציפיתם, פנו לשותף לקבלת תמיכה.

שלב 4: מוודאים שרמת הגישה המותאמת אישית מוגדרת בצורה נכונה

  1. במסוף Google Cloud, עוברים אל Access Context Manager.
  2. מחפשים את רמת הגישה המותאמת אישית ומאשרים את הפרטים הבאים:
    1. התנאים משתמשים בשם הנכון של הצד השלישי. השם הזה מצוין במסמכים של הצד השלישי.
    2. התנאים משתמשים בערך שתואם לערך שהתקבל מהצד השלישי.

אם הנתונים לא נכונים, כדאי לעיין במאמר בנושא שימוש בנתוני סטטוס השירות ברמות גישה מודעות-הקשר.

שלב 5: מוודאים שרמת הגישה המותאמת אישית חלה על שירות Google Workspace או על משאב Google Cloud הנכון

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and thenשליטה בגישה ובנתונים ואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאה ואז על הקצאת רמות גישה.
    תוצג רשימת אפליקציות.
  3. בודקים לאילו אפליקציות ושירותים מוחלת רמת הגישה המותאמת אישית.

(מכשירי iOS בלבד) הסרת רשומות כפולות של מכשירים שנוצרו כתוצאה משימוש ב-BeyondCorp Alliance לדיווח על מכשירים של צד שלישי

במקרים מסוימים, רישום מכשירים באמצעות שותף שירות של צד שלישי עלול לגרום לכפילויות של אותו מכשיר במסוף Admin. הדבר עלול לגרום לכללים של בקרת גישה מבוססת-הקשר לחסום בטעות גישה של מכשיר מנוהל לשירותי Google.

כדי להסיר מכשירים כפולים, פועלים לפי השלבים הבאים:

  1. במסוף Google Admin, נכנסים לתפריט ואז ספרייה ואזמשתמשים.

    כדי לעשות את זה, צריך הרשאת אדמין לניהול משתמשים. ללא ההרשאה הנכונה, לא יוצגו כל אמצעי הבקרה שדרושים להשלמת השלבים.

  2. מאתרים את המשתמש של המכשיר הכפול ולוחצים על שם המשתמש כדי לפתוח את הדף 'פרטי המשתמש'.
  3. בכרטיסייה אבטחה, לוחצים על אפליקציות מקושרות.
  4. מחיקת כל האפליקציות שמופיעות ברשימה.

במכשיר של המשתמש:

  1. יוצאים מכל חשבונות Google ומסירים אותם.
  2. ב-Safari, עוברים לדף האינטרנט של שירות Google (לדוגמה, gmail.com) ומוודאים שהמשתמש לא מחובר.
  3. מתקינים מחדש אפליקציה של Google, כמו Gmail או Drive, ונכנסים אליה. (לא ניגשים לאפליקציית Google דרך דף האינטרנט שלה ב-Safari).

    כללי בקרת הגישה מבוססת-הקשר יחסמו את הגישה לאפליקציית Google ויציגו קישור לפתרון החסימה של האפליקציה.

  4. לוחצים על הקישור לפתרון הבעיה ופועלים לפי השלבים כדי לרשום מחדש את המכשיר לשותף השירות.
  5. סוגרים את שירות Google ופותחים אותו מחדש. הגישה לא אמורה להיות חסומה יותר.

שינוי ההגדרות של שילוב שירותים של צד שלישי

השבתה של שותף ביחידה ארגונית

לפני שמתחילים: אם צריכים להגדיר מחלקה או צוות עבור ההגדרה הזו, עוברים אל הוספת יחידה ארגונית.

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזשילובי צד שלישי.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על שותפי אבטחה ו-MDM.
  3. (אופציונלי) כדי להחיל את ההגדרה רק על מחלקה או על צוות, בצד, בוחרים יחידה ארגונית.
  4. מבטלים את הסימון בתיבה של השותף שרוצים להשבית.
  5. לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.

    אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה.

ניתוק שותף

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים and thenניידים ונקודות קצה and thenהגדרות ואזשילובי צד שלישי.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. לוחצים על שותפי אבטחה ו-MDM ואזניהול.
  3. בשורה של השותף, לוחצים על סגירת הקישור. השירותים של השותף לא חלים יותר על מכשירים בארגון שלכם, והשותף לא מופיע כאפשרות להפעלה.

אם סוגרים את החיבור לשותף ופותחים אותו מחדש, השירות של השותף מופעל מחדש באופן אוטומטי בכל היחידות הארגוניות שבהן השותף היה מופעל.
יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.