המשתמשים יכולים לבטל את החסימה של אפליקציות באמצעות הודעות תיקון בבקרת גישה מבוססת-הקשר

שימוש בהודעות תיקון כדי לעזור למשתמשים לבטל את החסימה בעצמם

באמצעות הודעות תיקון והודעות בהתאמה אישית בבקרת גישה מבוססת-הקשר, אתם יכולים לעזור למשתמשים לבטל את החסימה של עצמם כשמדיניות מונעת מהם לגשת לאפליקציה. ההודעות האלה הן אופציונליות (אבל מומלצות), והן יכולות לעזור למשתמשים לחזור לפרודוקטיביות ולצמצם את מספר הפניות לתמיכה של האדמינים.

לדוגמה, אם הפעלתם את ההודעות על פעולות לתיקון בעיות, ומשתמש במכשיר נייד משתמש ב-Gmail במשרד במהלך היום בלי בעיות, אבל נחסם כשהוא מנסה לגשת ל-Gmail בבית בערב, הוא יראה הנחיות לטיפול בסיבה לחסימה.

יש תמיכה בתיקון ובמסרים בהתאמה אישית לרמות גישה שנוצרו במצב בסיסי ובמצב מתקדם. בנוסף, יש תמיכה בשני סוגי האפליקציות: שירותי ליבה ואפליקציות SAML.

שימוש בהודעות מותאמות אישית ובפתרונות לבעיות כדי לעזור למשתמשים לבטל את החסימה בעצמם

כשחוסמים משתמשים, הם עלולים להיתקל בבעיות הבאות:

הודעת ברירת מחדל – מוצגת אם לא הוספתם הודעות תיקון או הודעות מותאמות אישית. הודעת ברירת מחדל לדוגמה: הגישה לאפליקציה הזו חסומה על פי המדיניות שקבע הארגון שלך.
הודעות תיקון – מחליפות את הודעת ברירת המחדל. ההודעות נוצרות על ידי המערכת, והן מתייחסות להפרת המדיניות הספציפית שגרמה לחסימת המשתמש.
בהודעות תיקון יכולות להיות כמה אפשרויות תיקון למשתמש, והוא יכול להרחיב אותן בלחיצה על הצגת אפשרויות נוספות. אם יש כמה אפשרויות לפתרון הבעיה, המשתמש צריך להשלים את השלבים של אחת מהאפשרויות הזמינות כדי לבטל את החסימה.
הודעה מותאמת אישית – מוסיפה עזרה ספציפית למשתמש, כמו עצות נוספות לביטול החסימה או קישור מועיל שאפשר ללחוץ עליו. מוסיפים הודעות בהתאמה אישית לפי הצורך. הודעה מותאמת אישית יכולה להופיע יחד עם הודעת ברירת המחדל או עם הודעות תיקון.

בטבלה הזו מוצגת האינטראקטיביות של ההודעות האלה:

האם הפעלתם את האפשרות להודעות תיקון?	האם נוספה הודעה מותאמת אישית?	ההודעות שהמשתמש רואה
לא	לא	רק הודעת ברירת מחדל
כן	לא	רק הודעות תיקון. יכול להיות שבמקרים מסוימים תוצג הודעת ברירת המחדל אם לא ניתן יהיה ליצור את הודעות התיקון.
לא	כן	הודעת ברירת מחדל והודעה מותאמת אישית
כן	כן	הודעות תיקון והודעה מותאמת אישית

כשמגדירים מדיניות אזהרה למאפיין, תמיד יוצגו הודעות תיקון לגבי המאפיין הזה (ורק לגביו). אתם ואדמינים אחרים לא יכולים להשבית את ההודעות האלה. כשמשתמשים מקבלים התראה על אפליקציה שהם מנסים לגשת אליה, הם יכולים לעיין בפרטים נוספים על אפשרויות התיקון שלהם.

הסבר על הודעות תיקון

כל פעולת תיקון מתאימה למאפיין שגורם לגישה להידחות (חסימה) או שגורם להצגת אזהרה למשתמש. אם יש לכם מדיניות חסימה שמשויכת למאפיין, הודעות התיקון מודיעות למשתמש שהוא לא יכול לבצע את הפעולה ומציעות דרכים לעמוד בדרישות המדיניות. אם יש מדיניות מסוג warn שמשויכת למאפיין, המשתמש יכול להשלים את הפעולה אבל מקבל הצעות איך לפעול בהתאם למדיניות.

אפשר להציג מסרים שונים לאותו מאפיין בהתאם לציפייה ברמת הגישה. לדוגמה, אם רמת הגישה היא device.screen_lock_enabled == true, ההודעה היא צריך להגדיר סיסמה לנעילת המסך במכשיר. אם רמת הגישה היא device.screen_lock_enabled == false, ההודעה היא צריך להסיר את הסיסמה לנעילת המסך במכשיר. הסרת הסיסמה לנעילת המסך עלולה להפחית את רמת האבטחה, ולכן המשתמש צריך לאשר את הפעולה הזו מול האדמין.

הודעות אפשריות לתיקון לפי מאפיין וסוג

ההודעות בפועל עשויות להיות שונות מההודעות שמוצגות בהמשך.

מאפיין	סוג המדיניות	Message
אישור של מנהל מערכת	חסימה ואזהרה	צריך לעבור למכשיר שאושר על ידי הארגון שלך. אם אין לכם גישה למכשיר כזה, פנו לאדמין.
אישור של מנהל מערכת	חסימה ואזהרה	צריך לעבור למכשיר שלא משויך לארגון שלכם. חשוב לזכור שרמת האבטחה תהיה נמוכה יותר, לכן כדאי להתייעץ קודם עם מנהל המערכת.
מכשיר בבעלות החברה	חסימה ואזהרה	צריך לעבור למכשיר שבבעלות הארגון. אם אין לכם גישה למכשיר כזה, פנו לאדמין.
מכשיר בבעלות החברה	חסימה ואזהרה	צריך לעבור למכשיר שאינו בבעלות הארגון שלכם.
התאמה של פרופיל CTS	חסימה ואזהרה	איפוס המכשיר להגדרות המקוריות.
	חסימה	למכשיר שלך אין גישה לאפליקציה הזו באמצעות התקנת Android של יצרן הציוד המקורי. לפרטים נוספים, כדאי ליצור קשר עם האדמין.
	אזהרה	הגישה לאפליקציה הזו באמצעות התקנת Android של יצרן הציוד המקורי לא מאובטחת. צריך לפנות לאדמין לקבלת מידע נוסף.
הצפנה	חסימה ואזהרה	צריך לעבור למכשיר עם אחד מסטטוסי ההצפנה הבאים: [status1, status2].
הצפנה	חסימה ואזהרה	צריך לעבור למכשיר ללא סטטוס ההצפנה הבא: [סטטוס].
כולל אפליקציות שעלולות להזיק (PHA)	חסימה ואזהרה	מסירים את האפליקציות שמופיעות ברשימת האפליקציות שעלולות להזיק של Google Play Protect.
	חסימה	למכשיר שלך אין גישה לאפליקציה הזו באמצעות האפליקציות שמותקנות עכשיו. לפרטים נוספים, כדאי ליצור קשר עם האדמין.
	אזהרה	הגישה לאפליקציה הזו באמצעות האפליקציות שמותקנות עכשיו לא בטוחה. צריך לפנות לאדמין לקבלת מידע נוסף.
כתובת IP	חסימה	לא ניתן לגשת לאפליקציה הזו מרשת המשנה של ה-IP. צריך לפנות לאדמין לקבלת מידע נוסף.
כתובת IP	אזהרה	הגישה לאפליקציה הזו מרשת המשנה הנוכחית שלך לא מאובטחת. צריך לפנות לאדמין לקבלת מידע נוסף.
סוג מערכת הפעלה	חסימה ואזהרה	צריך לעבור למכשיר שמותקנת בו אחת ממערכות ההפעלה הבאות: [os1, os2].
סוג מערכת הפעלה	חסימה ואזהרה	צריך לעבור למכשיר שלא מותקנת בו מערכת ההפעלה os1.
גרסת OS	חסימה ואזהרה	צריך לעדכן את המכשיר לגרסה [OS version X] ואילך.
גרסת OS	חסימה ואזהרה	צריך לעדכן את המכשיר לגרסה של מערכת ההפעלה שקדמה לגרסה [OS version X].
מאפייני שותפים	חסימה ואזהרה	מתקינים את [שם השותף] במכשיר.¹
מאפייני שותפים	חסימה ואזהרה	על סמך המידע שהתקבל מ[PARTNER NAME], המכשיר שלך לא עומד בחלק מהדרישות.²
קוד אזור	חסימה	לא ניתן לגשת לאפליקציה הזו מהמיקום הנוכחי שלך. צריך לפנות לאדמין לקבלת מידע נוסף.
קוד אזור	אזהרה	הגישה לאפליקציה הזו מהמיקום הנוכחי שלך לא מאובטחת. צריך לפנות לאדמין לקבלת מידע נוסף.
נעילת מסך	חסימה ואזהרה	צריך להגדיר סיסמה לנעילת המסך במכשיר.
נעילת מסך	חסימה ואזהרה	עליך להסיר את הסיסמה לנעילת המסך במכשיר. חשוב לזכור שרמת האבטחה תהיה נמוכה יותר, לכן כדאי להתייעץ קודם עם מנהל המערכת.
אימות אפליקציות	חסימה ואזהרה	הפעלת Google Play Protect במכשיר.
אימות אפליקציות	חסימה ואזהרה	השבתת Google Play Protect במכשיר.
הפעלה מאומתת	חסימה ואזהרה	פועלים לפי ההוראות של יצרן המכשיר כדי לנעול את תוכנת האתחול.
הפעלה מאומתת	חסימה ואזהרה	פועלים לפי ההוראות של יצרן המכשיר כדי לבטל את הנעילה של תוכנת האתחול.
Chrome OS מאומת	חסימה ואזהרה	עליך להתקין גרסה מאומתת של Chrome OS במכשיר.
Chrome OS מאומת	חסימה ואזהרה	אי אפשר לגשת לאפליקציה הזו באמצעות ChromeOS מאומת.
מכשיר פרוץ	חסימה ואזהרה	כדי לאפס את המכשיר להגדרות המקוריות, צריך לפעול לפי ההוראות של יצרן המכשיר.
	חסימה	למכשיר שלך אין גישה לאפליקציה הזו במצב הנוכחי של המכשיר. לקבלת מידע נוסף, אפשר לפנות לאדמין.
	אזהרה	הגישה לאפליקציה הזו במצב הנוכחי של המכשיר לא מאובטחת. צריך לפנות לאדמין לקבלת מידע נוסף.

¹ מוודאים שאפליקציית האבטחה של השותף (לדוגמה, Lookout) מותקנת במכשיר. אם האפליקציה מותקנת אבל המשתמש עדיין רואה את ההודעה הזו, יכול להיות שהמכשיר לא רשום כראוי ב-MDM של השותף. כדי לבדוק אם זה המצב, אפשר להיכנס ללוח הבקרה של השותף. אם צריך, פונים לשותף כדי לפתור את הבעיה.

² פרטים נוספים זמינים באפליקציית השותף במכשיר. אם צריך, פונים לשותף כדי לפתור את הבעיה.

הסבר על הודעות תיקון ושילובים של שותפים מצד שלישי

כאדמין, תוכלו לשלב שותפים נתמכים מצד שלישי (שחברים ב-BeyondCorp Alliance) עם ניהול נקודות קצה ב-Google במסוף Google Admin. טקסט מידע זה מוצג בממשק הודעת התיקון כדי להסביר שהודעות שותפים יכולות להיות זמינות למשתמשים:

לדוגמה, מ-Lookout:

פרטים נוספים זמינים במאמר בנושא הגדרת שילובים עם שותפים מצד שלישי.

שגיאות נפוצות שצריך לפתור לפני שהמשתמשים יוכלו לראות הודעות תיקון או הודעות בהתאמה אישית

צריך לפתור את השגיאות האלה כדי שהמשתמשים יוכלו לראות את הודעות התיקון:

לא ניתן לזהות את המכשיר. השלבים המדויקים שצריך לבצע תלויים בסוג המכשיר שלך, ויכול להיות שעליך לבצע שלבים אחרים.

‫Google לא מזהה את המכשיר שממנו נכנסתם לחשבון. שלב התיקון תלוי בפלטפורמה.

מחשבים – המשתמשים צריכים להשתמש בפרופיל Chrome שהותקן בו התוסף Endpoint Verification. משתמשים לא יכולים להיכנס לאפליקציות של Google Workspace דרך פרופילים אנונימיים, פרופילי אורח או פרופילים אישיים. שימו לב: הודעת השגיאה הזו יכולה להופיע כשמשתמש מנסה להיכנס לחשבון במכשיר חדש בפעם הראשונה. במקרה כזה, המשתמש צריך לסנכרן עם התוסף Endpoint Verification ולרענן את הדפדפן.
מכשירים ניידים – כדי שהמכשירים יזוהו על ידי CAA, הם צריכים להיות מנוהלים על ידי ניהול נקודות קצה ב-Google (ניהול בסיסי או מתקדם). פרטים נוספים זמינים במאמר ניהול מכשירים באמצעות ניהול נקודות קצה ב-Google. בנוסף, יכול להיות שיהיה צורך לסנכרן את המכשירים לפני ש-Google תוכל לזהות את המיקום שבו בוצעה הכניסה. פרטים נוספים מופיעים במאמר בנושא סנכרון המכשיר.

צריך לסנכרן את המכשיר

מחשבים – המשתמשים צריכים לסנכרן עם התוסף Endpoint Verification.
מכשירים ניידים – מכשירים שנמצאים בניהול מתקדם יכולים להסתנכרן עם אפליקציית מדיניות המכשיר. מכשירים שנמצאים בניהול בסיסי יכולים להמתין עד שהמכשיר יסתנכרן אוטומטית, או שהמשתמש יכול להיכנס מחדש לכל אפליקציה של Google. חשוב להודיע למשתמש שתהליך סנכרון המכשיר עשוי להימשך זמן מה.
- מכשירי iOS – מעקב אחר סשנים של Google באפליקציות שונות מתבצע באמצעות סשנים או טוקנים ב-Safari. אם האסימונים של Safari נמחקים (באופן ידני על ידי המשתמש או על ידי ITP של Apple), לא ניתן למפות את הכניסות הבאות למכשיר המקורי שאליו התחברו. מצב כזה יכול לגרום לחסימת הכניסות החדשות עם ההודעה 'המכשיר שלך לא מזוהה. השלבים המדויקים שצריך לבצע תלויים בסוג המכשיר שלך, ויכול להיות שעליך לבצע שלבים אחרים" אם התיקון מופעל. הבעיה הזו יכולה להתרחש במכשירים מנוהלים בסיסיים ובמכשירים מנוהלים מתקדמים.
  
  כדי לבטל את החסימה, המשתמש צריך לבצע את השלבים הבאים:
  1. מסירים את חשבון Google הארגוני מכל אפליקציות Google. יוצאים מחשבון Google ב-Safari ומסירים אותו מכל אפליקציה שאינה של Google שעשויה להשתמש בו.
  2. מחיקת קובצי Cookie ומטמון ב-Safari
  3. מתחברים לאפליקציה כלשהי מבית Google, כמו Drive או Gmail.
  4. כדי לוודא שיש לכם גישה, נסו לגשת לכל שאר האפליקציות מבית Google.
  5. אם נדרשת גישה לאפליקציות שאינן של Google, צריך להיכנס לאפליקציות תוך כמה ימים מהכניסה לאפליקציות של Google.
    
    אם לא תיכנסו לחשבון תוך 30 יום משלב 3 והאפליקציה תיחסם, תצטרכו להתחיל מחדש משלב 1.

הטמעה של תיקונים או הודעות מותאמות אישית

הפעלת הודעות תיקון

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים בקרת גישה מבוססת-הקשר.

אל בקרת גישה מבוססת-הקשר

נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.
לוחצים על הודעה למשתמש.
בקטע הודעות תיקון שגיאות, לוחצים על מושבת ומפעילים את האפשרות הודעות תיקון שגיאות.
לוחצים על שמירה.
בשלב הזה אפשר גם להוסיף הודעה מותאמת אישית.

הוספת הודעה מותאמת אישית

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים בקרת גישה מבוססת-הקשר.

אל בקרת גישה מבוססת-הקשר

נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.
לוחצים על הודעה למשתמש.
בקטע הודעה מותאמת אישית נוספת, לוחצים על הודעה נוספת ומזינים את ההודעה.
(אופציונלי) כדי לראות מה המשתמש יראה, לוחצים על תצוגה מקדימה של ההודעה.
לוחצים על שמירה.

חוויית המשתמש בהודעות מותאמות אישית ובתיקון

רק הודעת ברירת מחדל

זו דוגמה להודעה שמוצגת למשתמש אם לא מוגדרות הודעות תיקון או הודעה מותאמת אישית.

הודעת ברירת מחדל והודעה מותאמת אישית

זו דוגמה להודעה שהמשתמש רואה אם לא הוגדרו הודעות תיקון, אבל כן הוגדרה הודעה בהתאמה אישית.

רק הודעת תיקון

זו דוגמה להודעה שהמשתמש רואה אם הודעות התיקון מוגדרות בלי הודעה בהתאמה אישית. המשתמש לוחץ על הצגת אפשרויות נוספות כדי להרחיב את השלבים לתיקון הבעיה.

תיקון שגיאות והודעה מותאמת אישית

זו דוגמה להודעה שהמשתמש יראה אם גם הודעות התיקון וגם ההודעה בהתאמה אישית מוגדרות. המשתמש לוחץ על הצגת אפשרויות נוספות כדי להרחיב את השלבים לתיקון הבעיה.

שאלות נפוצות על תיקון של בקרת גישה מבוססת-הקשר והודעות בהתאמה אישית

האם פעולות התיקון עלולות לגרום למקרים נוספים של 'הגישה נדחתה'?

לא. הפעלה או השבתה של הודעות תיקון לא משפיעות על סטטוס הגישה. אם המערכת לא יוצרת הודעות תיקון, במסך הקיים מוצגת הודעת ברירת מחדל.

למה הודעות התיקון לא משקפות את המדיניות הנוכחית?

אם הפעולות לתיקון לא משקפות את המדיניות הנכונה, צריך לחכות כמה דקות אחרי שינוי המדיניות במסוף Admin. בנוסף, יכול להיות שיחלפו כמה דקות עד שהודעות התיקון ישקפו רמת גישה חדשה או הגדרת תיקון חדשה.

כמה זמן עובר עד שהמשתמש מקבל גישה אחרי השלמת פעולות התיקון?

המשתמש לא מקבל גישה עד שהמכשיר מסתנכרן עם השרתים של Google. במקרים מסוימים, המשתמש יכול לנסות לאלץ סנכרון:

מחשב—סנכרון מהתוסף Endpoint Verification ב-Chrome
נייד (ניהול מתקדם) – סנכרון מאפליקציית מדיניות המכשיר
מכשירים ניידים (ניהול בסיסי) – כניסה מחדש למכשירים מנוהלים בסיסיים

בנוסף, אם המכשיר לא תואם לשותף BeyondCorp Alliance, נסו לסנכרן מהאפליקציה של השותף. חשוב לשים לב שבמקרים מסוימים סנכרון ידני לא יעבוד, ולכן המשתמש צריך לחכות עד שיתבצע סנכרון.

למה המשתמשים עדיין רואים את אותן אפשרויות לתיקון אחרי שהם משלימים את פעולת התיקון?

אפשרויות התיקון לא משתנות עד שהמכשיר מסתנכרן. אפשרויות הסנכרון מפורטות בתשובה לשאלה הנפוצה הקודמת.

למה האפשרויות בהודעת התיקון משתנות בלי שבוצעה פעולה במכשיר?

למרות שזה לא קורה בדרך כלל, יכול להיות שיוצגו אפשרויות שונות לתיקון עבור אותו מצב של המכשיר, אם רמות הגישה מורכבות. בנוסף, אם רמות הגישה או הפעולות לתיקון עודכנו לאחרונה, יכול להיות שיחלפו כמה דקות עד שההגדרה המעודכנת תתעדכן במלואה. עד אז, יכול להיות שאפשרויות התיקון ישתנו מעצמן אחרי רענון הדפדפן.

למה הודעות תיקון חסרות למרות שהן מופעלות?

הסיבה לכך יכולה להיות רמת גישה שלא ניתן להשיג (לדוגמה, os = 'windows' && os = 'mac').

האם המשתמשים רואים את ההודעה המותאמת אישית אם התיקון מופעל?

ההודעה המותאמת אישית מוצגת רק אם האדמין הפעיל אותה. אם האפשרות הזו מופעלת, ההודעה המותאמת אישית למשתמשים מוצגת מתחת לאפשרויות של הודעת התיקון.

איך מפעילים תיקונים במדיניות המכשירים?

ההודעות על התיקון לא כוללות את הסיבה לסירוב הגישה בגלל מדיניות המכשיר. הם מציגים תיקון רק למדיניות של בקרת גישה מבוססת-הקשר.

למה מוצגת הודעת התיקון לא ניתן לזהות את המכשיר אם התוסף Endpoint Verification (אימות של נקודת קצה) מסתנכרן?

מוודאים שהחשבון שמשמש לגישה לאפליקציות הוא החשבון שמסונכרן בתוסף Endpoint Verification. אם פרופיל Chrome שייך למשתמש אחר, יכול להיות שבדיקה של נקודת קצה (endpoint) מסתנכרנת עם המשתמש הזה.

‫
Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.

המשתמשים יכולים לבטל את החסימה של אפליקציות באמצעות הודעות תיקון בבקרת גישה מבוססת-הקשר קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.