המשתמשים יכולים לבטל את החסימה של אפליקציות באמצעות הודעות תיקון בבקרת גישה מבוססת-הקשר

שימוש בהודעות תיקון כדי לעזור למשתמשים לבטל את החסימה בעצמם

באמצעות הודעות תיקון והודעות בהתאמה אישית בבקרת גישה מבוססת הקשר, אתם יכולים לעזור למשתמשים לבטל את החסימה של עצמם אם מדיניות מונעת מהם לגשת לאפליקציה. ההודעות האלה הן אופציונליות (אבל מומלצות), והן יכולות לעזור למשתמשים לחזור לפרודוקטיביות ולצמצם את מספר הפניות לתמיכה של האדמינים.

לדוגמה, אם הפעלתם הודעות תיקון, ומשתמש במכשיר נייד משתמש ב-Gmail במשרד בהצלחה במהלך היום, אבל נחסם כשהוא מנסה לגשת ל-Gmail בבית בערב, הוא יראה הנחיות לטיפול בסיבה לחסימה.

יש תמיכה בתיקון ובמסרים בהתאמה אישית לרמות גישה שנוצרו במצב בסיסי ובמצב מתקדם. בנוסף, יש תמיכה בשניהם גם בשירותי ליבה וגם באפליקציות SAML.

שימוש בתיקון שגיאות ובהודעות מותאמות אישית כדי לעזור למשתמשים לבטל את החסימה בעצמם

כשחוסמים משתמשים, הם עלולים להיתקל בבעיות הבאות:

  • הודעת ברירת מחדל – מוצגת אם לא הוספתם הודעות תיקון או הודעות מותאמות אישית. הודעת ברירת מחדל לדוגמה: הגישה לאפליקציה הזו חסומה על פי המדיניות שקבע הארגון שלך.
  • הודעות תיקון שגיאות – מחליפות את הודעת ברירת המחדל. ההודעות נוצרות על ידי המערכת, והן מתאימות להפרת המדיניות הספציפית שגרמה לחסימת המשתמש.
    בהודעות תיקון יכולות להיות כמה אפשרויות תיקון למשתמש, והוא יכול להרחיב אותן בלחיצה על הצגת אפשרויות נוספות. אם יש כמה אפשרויות לתיקון, המשתמש צריך לבצע את השלבים של אחת מהאפשרויות הזמינות כדי לבטל את החסימה.
  • הודעה בהתאמה אישית – מוסיפה עזרה ספציפית למשתמש, כמו עצות נוספות לביטול החסימה או קישור מועיל שאפשר ללחוץ עליו. מוסיפים הודעות בהתאמה אישית לפי הצורך. הודעה מותאמת אישית יכולה להופיע יחד עם הודעת ברירת המחדל או עם הודעות תיקון.

בטבלה הזו מוצגת האינטראקטיביות של ההודעות האלה:

האם הפעלתם את האפשרות להודעות תיקון שגיאות? האם נוספה הודעה מותאמת אישית? ההודעות שהמשתמש רואה
לא לא רק הודעת ברירת מחדל
כן לא רק הודעות תיקון שגיאות. יכול להיות שבמקרים מסוימים תוצג הודעת ברירת המחדל אם לא ניתן יהיה ליצור את הודעות התיקון.
לא כן הודעת ברירת מחדל והודעה מותאמת אישית
כן כן הודעות תיקון והודעה מותאמת אישית

כשמגדירים מדיניות אזהרה למאפיין, תמיד יוצגו הודעות תיקון לגבי המאפיין הזה (ורק לגביו). אתם ואדמינים אחרים לא יכולים להשבית את ההודעות האלה. כשמשתמשים מקבלים התראה על אפליקציה שהם מנסים לגשת אליה, הם יכולים לעיין בפרטים נוספים על אפשרויות התיקון שלהם.

הסבר על הודעות תיקון שגיאות

כל פעולת תיקון מתאימה למאפיין שגורם לחסימת הגישה או להצגת אזהרה למשתמש. אם יש לכם מדיניות חסימה שמשויכת למאפיין, הודעות התיקון מודיעות למשתמש שהוא לא יכול לבצע את הפעולה ומציעות דרכים לעמוד בדרישות המדיניות. אם יש מדיניות אזהרה שמשויכת למאפיין, המשתמש יכול להשלים את הפעולה אבל מקבל הצעות איך לעמוד בדרישות המדיניות.

אפשר להציג מסרים שונים לאותו מאפיין בהתאם לציפייה ברמת הגישה. לדוגמה, אם רמת הגישה היא device.screen_lock_enabled == true, ההודעה היא צריך להגדיר סיסמה לנעילת המסך במכשיר. אם רמת הגישה היא device.screen_lock_enabled == false, ההודעה היא צריך להסיר את הסיסמה לנעילת המסך במכשיר. הסרת הסיסמה לנעילת המסך עלולה להפחית את רמת האבטחה, ולכן המשתמש צריך לאשר את הפעולה הזו מול האדמין.

הודעות אפשריות לתיקון שגיאות לפי מאפיין וסוג

ההודעות בפועל עשויות להיות שונות מההודעות שמוצגות בהמשך.

מאפיין סוג המדיניות Message
אישור אדמין חסימה ואזהרה צריך לעבור למכשיר שאושר על ידי הארגון. אם אין לכם גישה למכשיר כזה, פנו לאדמין.
חסימה ואזהרה צריך לעבור למכשיר שלא משויך לארגון שלכם. חשוב לזכור שרמת האבטחה תהיה נמוכה יותר, לכן כדאי להתייעץ קודם עם האדמין.
מכשיר בבעלות החברה חסימה ואזהרה צריך לעבור למכשיר שבבעלות הארגון. אם אין לכם גישה למכשיר כזה, פנו לאדמין.
חסימה ואזהרה צריך לעבור למכשיר שאינו בבעלות הארגון שלכם.
התאמה של פרופיל CTS חסימה ואזהרה איפוס המכשיר להגדרות המקוריות.
חסימה למכשיר שלך אין גישה לאפליקציה הזו באמצעות התקנת Android של יצרן הציוד המקורי. יש ליצור קשר עם מנהל המערכת לקבלת מידע נוסף.
אזהרה הגישה לאפליקציה הזו באמצעות התקנת Android של יצרן הציוד המקורי לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
הצפנה חסימה ואזהרה צריך לעבור למכשיר עם אחד מסטטוסי ההצפנה הבאים: [status1, status2].
חסימה ואזהרה צריך לעבור למכשיר ללא סטטוס ההצפנה הבא: [סטטוס].
כולל אפליקציות שעלולות להזיק (PHA) חסימה ואזהרה מסירים את האפליקציות שמופיעות ברשימת האפליקציות שעלולות להזיק של Google Play Protect.
חסימה למכשיר שלך אין גישה לאפליקציה הזו באמצעות האפליקציות שמותקנות עכשיו. יש ליצור קשר עם מנהל המערכת לקבלת מידע נוסף.
אזהרה הגישה לאפליקציה הזו באמצעות האפליקציות שמותקנות עכשיו לא בטוחה. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
כתובת IP חסימה אי אפשר לגשת לאפליקציה הזו מרשת המשנה הנוכחית של ה-IP. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
אזהרה הגישה לאפליקציה הזו מרשת המשנה הנוכחית שלך לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
סוג מערכת הפעלה חסימה ואזהרה צריך לעבור למכשיר שמותקנת בו אחת ממערכות ההפעלה הבאות: [os1, os2].
חסימה ואזהרה צריך לעבור למכשיר שלא מותקנת בו מערכת ההפעלה: os1.
גרסת מערכת הפעלה חסימה ואזהרה צריך לעדכן את המכשיר לגרסה [OS version X] ואילך.
חסימה ואזהרה צריך לעדכן את המכשיר לגרסה של מערכת ההפעלה שקדמה לגרסה [OS version X].
מאפייני שותפים חסימה ואזהרה מתקינים את [שם השותף] במכשיר.1
חסימה ואזהרה על סמך המידע שהתקבל מ[PARTNER NAME], המכשיר שלך לא עומד בחלק מהדרישות.2
קוד אזור חסימה לא ניתן לגשת לאפליקציה הזו מהמיקום הנוכחי שלך. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
אזהרה הגישה לאפליקציה הזו מהמיקום הנוכחי שלך לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
נעילת מסך חסימה ואזהרה צריך להגדיר סיסמה לנעילת המסך במכשיר.
חסימה ואזהרה צריך להסיר את הסיסמה לנעילת המסך במכשיר. חשוב לזכור שרמת האבטחה תהיה נמוכה יותר, לכן כדאי להתייעץ קודם עם האדמין.
אימות אפליקציות חסימה ואזהרה הפעלת Google Play Protect במכשיר.
חסימה ואזהרה השבתת Google Play Protect במכשיר.
הפעלה מאומתת חסימה ואזהרה צריך לפעול לפי ההוראות של יצרן המכשיר כדי לנעול את תוכנת האתחול.
חסימה ואזהרה פועלים לפי ההוראות של יצרן המכשיר כדי לבטל את הנעילה של תוכנת האתחול.
Chrome OS מאומת חסימה ואזהרה צריך להתקין גרסה מאומתת של ChromeOS במכשיר.
חסימה ואזהרה אי אפשר לגשת לאפליקציה הזו באמצעות ChromeOS מאומת.
מכשיר פרוץ חסימה ואזהרה כדי לאפס את המכשיר להגדרות המקוריות, צריך לפעול לפי ההוראות של יצרן המכשיר.
חסימה למכשיר שלך אין גישה לאפליקציה הזו במצב הנוכחי של המכשיר. לקבלת מידע נוסף, אפשר לפנות לאדמין.
אזהרה הגישה לאפליקציה הזו במצב הנוכחי של המכשיר לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.

1 מוודאים שאפליקציית האבטחה של השותף (לדוגמה, Lookout) מותקנת במכשיר. אם האפליקציה מותקנת אבל המשתמש עדיין רואה את ההודעה הזו, יכול להיות שהמכשיר לא רשום כראוי ב-MDM של השותף. כדי לבדוק אם זה המצב, צריך להיכנס ללוח הבקרה של השותף. אם צריך, פונים לשותף כדי לפתור את הבעיה.

2 פרטים נוספים זמינים באפליקציית השותף במכשיר. אם צריך, פונים לשותף כדי לפתור את הבעיה.

הסבר על הודעות תיקון ושילובים של שותפים מצד שלישי

אדמינים יכולים לשלב שותפים נתמכים מצד שלישי (שחברים ב-BeyondCorp Alliance) עם פתרון ניהול נקודות הקצה של Google במסוף Google Admin. הטקסט הזה מופיע בממשק של הודעת התיקון כדי להסביר שהודעות של שותפים יכולות להיות זמינות למשתמשים:

לדוגמה, מ-Lookout:

פרטים נוספים זמינים במאמר בנושא הגדרת שילובים עם שותפים מצד שלישי.

שגיאות נפוצות שצריך לפתור לפני שהמשתמשים יוכלו לראות הודעות תיקון או הודעות בהתאמה אישית

צריך לפתור את השגיאות האלה כדי שהמשתמשים יוכלו לראות את הודעות התיקון:

לא ניתן לזהות את המכשיר. השלבים המדויקים שצריך לבצע תלויים בסוג המכשיר שלכם, ויכול להיות שתצטרכו לבצע שלבים אחרים.

‫Google לא מזהה את המכשיר שממנו נכנסתם לחשבון. שלב התיקון תלוי בפלטפורמה.

  • מחשבים – המשתמשים צריכים להשתמש בפרופיל Chrome שהותקן בו התוסף Endpoint Verification. משתמשים לא יכולים להיכנס לאפליקציות של Google Workspace דרך פרופילים אנונימיים, פרופילי אורח או פרופילים אישיים. שימו לב: הודעת השגיאה הזו יכולה להופיע כשמשתמש מנסה להיכנס לחשבון במכשיר חדש בפעם הראשונה. במקרה כזה, המשתמש צריך לסנכרן עם התוסף Endpoint Verification ולרענן את הדפדפן.
  • מכשירים ניידים – כדי שהמכשירים יזוהו על ידי CAA, הם צריכים להיות מנוהלים על ידי ניהול נקודות קצה ב-Google (ניהול בסיסי או מתקדם). פרטים נוספים זמינים במאמר ניהול מכשירים באמצעות ניהול נקודות קצה ב-Google. בנוסף, יכול להיות שיהיה צורך לסנכרן את המכשירים כדי ש-Google תוכל לזהות את המיקום שבו בוצעה הכניסה. פרטים נוספים מופיעים במאמר בנושא סנכרון המכשיר.

סנכרון המכשיר

  • מחשבים – המשתמשים צריכים לסנכרן עם התוסף Endpoint Verification.

  • מכשירים ניידים – מכשירים שנמצאים בניהול מתקדם יכולים להסתנכרן עם אפליקציית מדיניות המכשיר. מכשירים שנמצאים בניהול בסיסי יכולים להמתין עד שהמכשיר יסתנכרן אוטומטית, או שהמשתמש יכול להיכנס מחדש לכל אפליקציה של Google. חשוב להודיע למשתמש שתהליך סנכרון המכשיר עשוי להימשך זמן מה.

    • מכשירי iOS – המעקב אחר סשנים של Google באפליקציות שונות מתבצע באמצעות סשנים או טוקנים ב-Safari. אם האסימונים של Safari נמחקים (באופן ידני על ידי המשתמש או על ידי ITP של אפל), לא ניתן למפות את הכניסות הבאות למכשיר המקורי שאליו התחברו. כתוצאה מכך, יכול להיות שהכניסות החדשות ייחסמו עם ההודעה 'לא ניתן לזהות את המכשיר שלך. השלבים המדויקים שצריך לבצע תלויים בסוג המכשיר שלך, ויכול להיות שעליך לבצע שלבים אחרים" הודעה אם התיקון מופעל. הבעיה הזו יכולה להתרחש במכשירים מנוהלים בסיסיים ובמכשירים מנוהלים מתקדמים.

      כדי לבטל את החסימה, המשתמש צריך לבצע את השלבים הבאים:

      1. מסירים את חשבון Google הארגוני מכל אפליקציות Google. יוצאים מחשבון Google ב-Safari ומסירים אותו מכל אפליקציה שאינה של Google שעשויה להשתמש בו.
      2. מחיקת קובצי Cookie ומטמון ב-Safari
      3. מתחברים לאפליקציה כלשהי מבית Google, כמו Drive או Gmail.
      4. כדי לוודא שיש לכם גישה, נסו לגשת לכל שאר האפליקציות מבית Google.

      5. אם נדרשת גישה לאפליקציות שאינן של Google, צריך להיכנס לאפליקציות תוך כמה ימים מהכניסה לאפליקציות של Google.

        אם לא תיכנסו לחשבון תוך 30 יום משלב 3 והאפליקציה תיחסם, תצטרכו להתחיל מחדש משלב 1.

הטמעה של תיקונים או הודעות מותאמות אישית

הפעלת הודעות תיקון

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הודעה למשתמש.
  3. בקטע הודעות תיקון, לוחצים על מושבת ומפעילים את האפשרות הודעות תיקון.
  4. לוחצים על שמירה.
    בשלב הזה אפשר גם להוסיף הודעה מותאמת אישית.

הוספת הודעה מותאמת אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הודעה למשתמש.
  3. בקטע הודעה מותאמת אישית נוספת, לוחצים על הודעה נוספת ומזינים את ההודעה.
  4. (אופציונלי) כדי לראות מה המשתמש יראה, לוחצים על תצוגה מקדימה של ההודעה.
  5. לוחצים על שמירה.

חוויית המשתמש בהודעות מותאמות אישית ובתיקון

רק הודעת ברירת מחדל

זו דוגמה להודעה שמוצגת למשתמש אם לא מוגדרות הודעות תיקון או הודעה מותאמת אישית.

הודעת ברירת מחדל והודעה מותאמת אישית

זו דוגמה להודעה שהמשתמש רואה אם לא הוגדרו הודעות תיקון, אבל כן הוגדרה הודעה בהתאמה אישית.

רק הודעת תיקון שגיאות

זו דוגמה להודעה שהמשתמש רואה אם הודעות התיקון מוגדרות בלי הודעה בהתאמה אישית. המשתמש לוחץ על הצגת אפשרויות נוספות כדי להרחיב את שלבי התיקון.

תיקון שגיאות והודעה מותאמת אישית

זו דוגמה להודעה שהמשתמש רואה אם גם הודעות התיקון וגם ההודעה בהתאמה אישית מוגדרות. המשתמש לוחץ על הצגת אפשרויות נוספות כדי להרחיב את שלבי התיקון.

שאלות נפוצות על תיקון שגיאות של בקרת גישה מבוססת-הקשר והודעות בהתאמה אישית

האם פעולות התיקון עלולות לגרום למקרים נוספים של 'הגישה נדחתה'?

לא. הפעלה או השבתה של הודעות תיקון לא משפיעות על סטטוס הגישה. אם המערכת לא יוצרת הודעות תיקון שגיאות, במסך הקיים מוצגת הודעת ברירת מחדל.

למה הודעות התיקון לא משקפות את המדיניות הנוכחית?

אם הפעולות לתיקון לא משקפות את המדיניות הנכונה, צריך לחכות כמה דקות אחרי שינוי המדיניות במסוף Admin. בנוסף, יכול להיות שיחלפו כמה דקות עד שהודעות התיקון ישקפו רמת גישה חדשה או הגדרת תיקון חדשה.

כמה זמן עובר עד שהמשתמש מקבל גישה אחרי השלמת פעולות התיקון?

המשתמש לא מקבל גישה עד שהמכשיר מסתנכרן עם השרתים של Google. במקרים מסוימים, המשתמש יכול לנסות לאלץ סנכרון:

  • מחשב—סנכרון מהתוסף Endpoint Verification ב-Chrome
  • נייד (ניהול מתקדם) – סנכרון מאפליקציית מדיניות המכשיר
  • מכשירים ניידים (ניהול בסיסי) – כניסה מחדש למכשירים מנוהלים בסיסיים

בנוסף, אם המכשיר לא תואם לשותף BeyondCorp Alliance, נסו לסנכרן מהאפליקציה של השותף. חשוב לשים לב שבמקרים מסוימים סנכרון ידני לא יעבוד, ולכן המשתמש צריך לחכות עד שיתבצע סנכרון.

למה המשתמשים עדיין רואים את אותן אפשרויות לתיקון אחרי שהם משלימים את פעולת התיקון?

אפשרויות התיקון לא משתנות עד שהמכשיר מסתנכרן. אפשרויות הסנכרון מפורטות בתשובה לשאלה הנפוצה הקודמת.

למה האפשרויות בהודעת התיקון משתנות בלי שמתבצעת פעולה במכשיר?

למרות שזה לא קורה בדרך כלל, יכול להיות שיוצגו אפשרויות שונות לתיקון עבור אותו מצב של המכשיר, אם רמות הגישה מורכבות. בנוסף, אם רמות הגישה או הפעולות לתיקון עודכנו לאחרונה, יכול להיות שיחלפו כמה דקות עד שההגדרה המעודכנת תתעדכן במלואה. עד אז, יכול להיות שאפשרויות התיקון ישתנו מעצמן אחרי רענון הדפדפן.

למה הודעות התיקון חסרות למרות שהן מופעלות?

הסיבה לכך יכולה להיות רמת גישה שלא ניתן להשיג (לדוגמה, os = 'windows' && os = 'mac').

האם המשתמשים רואים את ההודעה המותאמת אישית אם התיקון מופעל?

ההודעה המותאמת אישית מוצגת רק אם האדמין הפעיל אותה. אם האפשרות הזו מופעלת, ההודעה המותאמת אישית למשתמשים מוצגת מתחת לאפשרויות של הודעת התיקון.

איך מפעילים תיקונים במדיניות המכשירים?

ההודעות על התיקון לא כוללות את הסיבה לסירוב הגישה בגלל מדיניות המכשיר. הם מציגים תיקון רק למדיניות של בקרת גישה מבוססת-הקשר.

למה מוצגת הודעת התיקון לא ניתן לזהות את המכשיר אם התוסף Endpoint Verification (אימות של נקודת קצה) מסתנכרן?

מוודאים שהחשבון שמשמש לגישה לאפליקציות הוא החשבון שמסונכרן בתוסף Endpoint Verification. אם פרופיל Chrome שייך למשתמש אחר, יכול להיות שבדיקה של נקודת קצה (endpoint) מסתנכרנת עם המשתמש הזה.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.