המשתמשים יכולים לבטל את החסימה של אפליקציות באמצעות הודעות תיקון בבקרת גישה מבוססת-הקשר

שימוש בהודעות תיקון כדי לעזור למשתמשים לבטל את החסימה בעצמם

בעזרת הודעות תיקון והודעות בהתאמה אישית בגישה מודעת-הקשר, אתם יכולים לעזור למשתמשים לבטל את החסימה של עצמם כשמדיניות מונעת מהם לגשת לאפליקציה. ההודעות האלה הן אופציונליות (אבל מומלצות), והן יכולות לעזור למשתמשים לחזור לפרודוקטיביות ולצמצם את מספר הפניות לתמיכה של האדמינים.

לדוגמה, אם הפעלתם הודעות תיקון, ומשתמש בנייד משתמש ב-Gmail במשרד בהצלחה במהלך היום, אבל נחסם כשהוא מנסה לגשת ל-Gmail בבית בערב, הוא יראה הנחיות לטיפול בסיבה לחסימה.

הודעות תיקון והודעות מותאמות אישית נתמכות ברמות גישה שנוצרו במצב בסיסי ובמצב מתקדם. בנוסף, הם נתמכים גם בשירותי ליבה וגם באפליקציות SAML.

שימוש בהודעות מותאמות אישית ובפתרונות לבעיות כדי לעזור למשתמשים לבטל את החסימה בעצמם

כשחוסמים אתרים, המשתמשים עלולים להיתקל בבעיות הבאות:

  • הודעת ברירת מחדל – מוצגת אם לא הוספתם הודעות תיקון או הודעות מותאמות אישית. דוגמה להודעת ברירת מחדל: הגישה נחסמה על פי המדיניות שקבע הארגון שלך ביחס לאפליקציה הזו.
  • הודעות תיקון – מחליפות את הודעת ברירת המחדל. ההודעות נוצרות על ידי המערכת, והן מתאימות להפרת המדיניות הספציפית שגרמה לחסימת המשתמש.
    בהודעות התיקון מוצגות למשתמש כמה אפשרויות תיקון, והוא יכול להרחיב אותן בלחיצה על הצגת אפשרויות נוספות. אם יש כמה אפשרויות לתיקון, המשתמש צריך להשלים את השלבים של אחת מהאפשרויות כדי לבטל את החסימה.
  • הודעה מותאמת אישית – מוסיפה עזרה ספציפית למשתמש, כמו עצות נוספות לגבי ביטול החסימה או קישור מועיל שאפשר ללחוץ עליו. מוסיפים הודעות מותאמות אישית לפי הצורך. הודעה מותאמת אישית יכולה להופיע יחד עם הודעת ברירת המחדל או עם הודעות תיקון.

בטבלה הזו מוצגת האינטראקטיביות של ההודעות האלה:

האם הפעלתם את האפשרות להודעות תיקון? האם נוספה הודעה מותאמת אישית? ההודעות שהמשתמש רואה
לא לא רק הודעת ברירת מחדל
כן לא רק הודעות תיקון. יכול להיות שבמקרים מסוימים תוצג הודעת ברירת המחדל אם לא ניתן יהיה ליצור את הודעות התיקון.
לא כן הודעת ברירת מחדל והודעה מותאמת אישית
כן כן הודעות תיקון והודעה מותאמת אישית

כשמגדירים מדיניות אזהרה למאפיין, תמיד יוצגו הודעות תיקון למאפיין הזה (ורק לו). לכם ולאדמינים אחרים אין אפשרות להשבית את ההודעות האלה. כשמשתמשים מקבלים התראה על אפליקציה שהם מנסים לגשת אליה, הם יכולים לעיין בפרטים נוספים על אפשרויות התיקון שלהם.

הסבר על הודעות תיקון

כל פעולת תיקון מתאימה למאפיין שגורם לגישה להידחות (להיחסם) או להצגת אזהרה למשתמש. אם יש לכם מדיניות חסימה שמשויכת למאפיין, הודעות התיקון מודיעות למשתמש שהוא לא יכול לבצע את הפעולה ומציעות דרכים לעמוד בדרישות המדיניות. אם יש לכם מדיניות אזהרה שמשויכת למאפיין, המשתמש יכול להשלים את הפעולה אבל מקבל הצעות איך לפעול בהתאם למדיניות.

יכול להיות שיוצגו הודעות שונות לגבי אותו מאפיין, בהתאם לציפייה ברמת הגישה. לדוגמה, אם רמת הגישה היא device.screen_lock_enabled == true, ההודעה היא צריך להגדיר סיסמה לנעילת המסך במכשיר. אם רמת הגישה היא device.screen_lock_enabled == false, ההודעה היא צריך להסיר את הסיסמה לנעילת המסך במכשיר. הסרת הסיסמה לנעילת המסך עלולה להפחית את רמת האבטחה, ולכן המשתמש צריך לאשר את הפעולה הזו מול האדמין.

הודעות אפשריות לתיקון לפי מאפיין וסוג

ההודעות בפועל עשויות להיות שונות מההודעות שמוצגות בהמשך.

מאפיין סוג המדיניות Message
אישור אדמין חסימה ואזהרה צריך לעבור למכשיר שאושר על ידי הארגון. אם אין לכם גישה למכשיר כזה, עליכם ליצור קשר עם האדמין.
חסימה ואזהרה צריך לעבור למכשיר שלא משויך לארגון שלכם. חשוב לזכור שרמת האבטחה תהיה נמוכה יותר, לכן כדאי להתייעץ קודם עם האדמין.
מכשיר בבעלות החברה חסימה ואזהרה צריך לעבור למכשיר שבבעלות הארגון. אם אין לכם גישה למכשיר כזה, עליכם ליצור קשר עם האדמין.
חסימה ואזהרה צריך לעבור למכשיר שאינו בבעלות הארגון שלכם.
התאמה של פרופיל CTS חסימה ואזהרה איפוס המכשיר להגדרות המקוריות.
חסימה למכשיר שלך אין גישה לאפליקציה הזו באמצעות התקנת Android של יצרן הציוד המקורי. יש ליצור קשר עם מנהל המערכת לקבלת מידע נוסף.
אזהרה הגישה לאפליקציה הזו באמצעות התקנת Android של יצרן הציוד המקורי לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
הצפנה חסימה ואזהרה צריך לעבור למכשיר עם אחד מסטטוסי ההצפנה הבאים: [status1, status2].
חסימה ואזהרה צריך לעבור למכשיר ללא סטטוס ההצפנה הבא: [סטטוס].
כולל אפליקציות שעלולות להזיק (PHA) חסימה ואזהרה מסירים את האפליקציות שמופיעות ברשימת האפליקציות שעלולות להזיק של Google Play Protect.
חסימה למכשיר שלך אין גישה לאפליקציה הזו באמצעות האפליקציות שמותקנות עכשיו. יש ליצור קשר עם מנהל המערכת לקבלת מידע נוסף.
אזהרה הגישה לאפליקציה הזו באמצעות האפליקציות שמותקנות עכשיו לא בטוחה. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
כתובת IP חסימה אי אפשר לגשת לאפליקציה הזו מרשת המשנה הנוכחית של ה-IP. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
אזהרה הגישה לאפליקציה הזו מרשת המשנה הנוכחית שלך לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
סוג מערכת הפעלה חסימה ואזהרה צריך לעבור למכשיר שמותקנת בו אחת ממערכות ההפעלה הבאות: [os1, os2].
חסימה ואזהרה צריך לעבור למכשיר שלא מותקנת בו מערכת ההפעלה os1.
גרסת מערכת הפעלה חסימה ואזהרה צריך לעדכן את המכשיר לגרסה [OS version X] ואילך.
חסימה ואזהרה צריך לעדכן את המכשיר לגרסה של מערכת ההפעלה שקדמה לגרסה [OS version X].
מאפייני שותפים חסימה ואזהרה מתקינים את [PARTNER NAME] במכשיר.1
חסימה ואזהרה על סמך המידע שהתקבל מ-‏[PARTNER NAME], המכשיר שלך לא עומד בחלק מהדרישות.2
קוד אזור חסימה לא ניתן לגשת לאפליקציה הזו מהמיקום הנוכחי שלך. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
אזהרה הגישה לאפליקציה הזו מהמיקום הנוכחי שלך לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.
נעילת מסך חסימה ואזהרה צריך להגדיר סיסמה לנעילת המסך במכשיר.
חסימה ואזהרה צריך להסיר את הסיסמה לנעילת המסך במכשיר. חשוב לזכור שרמת האבטחה תהיה נמוכה יותר, לכן כדאי להתייעץ קודם עם האדמין.
אימות אפליקציות חסימה ואזהרה הפעלת Google Play Protect במכשיר.
חסימה ואזהרה משביתים את Google Play Protect במכשיר.
הפעלה מאומתת חסימה ואזהרה צריך לפעול לפי ההוראות של יצרן המכשיר כדי לנעול את תוכנת האתחול.
חסימה ואזהרה פועלים לפי ההוראות של יצרן המכשיר כדי לבטל את הנעילה של תוכנת האתחול.
Chrome OS מאומת חסימה ואזהרה צריך להתקין גרסה מאומתת של ChromeOS במכשיר.
חסימה ואזהרה אי אפשר לגשת לאפליקציה הזו באמצעות ChromeOS מאומת.
מכשיר פרוץ חסימה ואזהרה כדי לאפס את המכשיר להגדרות המקוריות, צריך לפעול לפי ההוראות של יצרן המכשיר.
חסימה למכשיר שלך אין גישה לאפליקציה הזו במצב הנוכחי של המכשיר. לקבלת מידע נוסף, אפשר לפנות לאדמין.
אזהרה הגישה לאפליקציה הזו במצב הנוכחי של המכשיר לא מאובטחת. כדי לקבל מידע נוסף, אפשר לפנות לאדמין.

1 מוודאים שאפליקציית האבטחה של השותף (לדוגמה, Lookout) מותקנת במכשיר. אם האפליקציה מותקנת אבל המשתמש עדיין רואה את ההודעה הזו, יכול להיות שהמכשיר לא רשום כראוי ב-MDM של השותף. כדי לבדוק אם זה המצב, אפשר להיכנס ללוח הבקרה של השותף. אם צריך, פונים לשותף כדי לפתור את הבעיה.

2 פרטים נוספים זמינים באפליקציית השותף במכשיר. אם צריך, פונים לשותף כדי לפתור את הבעיה.

הסבר על הודעות תיקון ועל שילובים של שותפים מצד שלישי

אדמינים יכולים לשלב שותפים נתמכים מצד שלישי (שמשתייכים לBeyondCorp Alliance) עם פתרון 'ניהול נקודות קצה (endpoint)' של Google במסוף Google Admin. הטקסט הזה מוצג בממשק של הודעות התיקון כדי להסביר שהודעות של שותפים יכולות להיות זמינות למשתמשים:

לדוגמה, מ-Lookout:

פרטים נוספים זמינים במאמר בנושא הגדרת שילובים עם שותפים של צד שלישי.

שגיאות נפוצות שצריך לפתור לפני שהמשתמשים יוכלו לראות את הודעות התיקון או את ההודעות בהתאמה אישית

צריך לפתור את השגיאות האלה כדי שהמשתמשים יוכלו לראות את הודעות התיקון:

לא ניתן לזהות את המכשיר. השלבים המדויקים שצריך לבצע תלויים בסוג המכשיר שלכם, ויכול להיות שתצטרכו לבצע שלבים אחרים.

‫Google לא מזהה את המכשיר שממנו נכנסתם לחשבון. שלב התיקון תלוי בפלטפורמה.

  • מחשבים – המשתמשים צריכים להשתמש בפרופיל Chrome שהותקן בו התוסף Endpoint Verification. משתמשים לא יכולים להיכנס לאפליקציות של Google Workspace דרך פרופילים אנונימיים, פרופילים של אורחים או פרופילים אישיים. שימו לב: הודעת השגיאה הזו יכולה להופיע כשמשתמש מנסה להיכנס לחשבון במכשיר חדש בפעם הראשונה. במקרה כזה, המשתמש צריך לסנכרן עם התוסף Endpoint Verification ולרענן את הדפדפן.
  • מכשירים ניידים – כדי שהמכשירים יזוהו על ידי CAA, הם צריכים להיות מנוהלים על ידי ניהול נקודות קצה ב-Google (ניהול בסיסי או מתקדם). פרטים נוספים זמינים במאמר בנושא ניהול מכשירים באמצעות ניהול נקודות קצה ב-Google. בנוסף, יכול להיות שהמכשירים יצטרכו להסתנכרן לפני ש-Google תוכל לזהות את המקום שבו בוצעה הכניסה. פרטים נוספים מופיעים במאמר בנושא סנכרון המכשיר.

סנכרון המכשיר

  • מחשבים – המשתמשים צריכים לסנכרן עם התוסף Endpoint Verification.

  • מכשירים ניידים – מכשירים בניהול מתקדם יכולים להסתנכרן עם אפליקציית מדיניות המכשיר. מכשירים בניהול בסיסי יכולים להמתין עד שהמכשיר יסתנכרן אוטומטית, או שהמשתמש יכול להתחבר מחדש לכל אפליקציית Google. חשוב להודיע למשתמשים שתהליך סנכרון המכשיר עשוי להימשך זמן מה.

    • מכשירי iOS – פעילויות ב-Google באפליקציות שונות נמדדות באמצעות פעילויות או טוקנים ב-Safari. אם האסימונים של Safari נמחקים (באופן ידני על ידי המשתמש או על ידי Apple ITP), אי אפשר למפות את הכניסות הבאות למכשיר המקורי שאליו התבצעה הכניסה. מצב כזה עלול לגרום לחסימת הכניסות החדשות עם ההודעה 'לא ניתן לזהות את המכשיר שלך. ההודעה "יכול להיות שיהיו הבדלים בשלבים האלה בין מכשיר למכשיר" תופיע אם התיקון מופעל. הבעיה הזו יכולה להתרחש במכשירים מנוהלים בסיסיים ומתקדמים.

      כדי לבטל את החסימה, המשתמש צריך לבצע את השלבים הבאים:

      1. להסיר את חשבון Google לעסקים מכל אפליקציות Google. יוצאים מחשבון Google ב-Safari ומסירים אותו מכל אפליקציה שאינה של Google שעשויה להשתמש בו.
      2. מחיקת קובצי ה-Cookie והמטמון של Safari.
      3. מתחברים לאפליקציה כלשהי מבית Google, כמו Drive או Gmail.
      4. כדי לוודא שיש לכם גישה, נסו לגשת לכל שאר האפליקציות מבית Google.
      5. אם נדרשת גישה לאפליקציות שאינן של Google, צריך להיכנס לאפליקציות תוך כמה ימים מהכניסה לאפליקציות של Google. אם לא תיכנסו לחשבון תוך 30 יום משלב 3 והאפליקציה חסומה, תצטרכו להתחיל מחדש משלב 1.

הטמעה של תיקונים או הודעות בהתאמה אישית

הפעלת הודעות תיקון

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הודעה למשתמש.
  3. בקטע הודעות על תיקון, לוחצים על מושבת ומפעילים את האפשרות הודעות על תיקון.
  4. לוחצים על שמירה.
    בשלב הזה אפשר גם להוסיף הודעה מותאמת אישית.

הוספת הודעה בהתאמה אישית

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הודעה למשתמש.
  3. בקטע הודעה מותאמת אישית נוספת, לוחצים על הודעה נוספת ומזינים את ההודעה.
  4. (אופציונלי) כדי לראות מה המשתמש יראה, לוחצים על תצוגה מקדימה של ההודעה.
  5. לוחצים על שמירה.

חוויית המשתמש בהודעות מותאמות אישית ובתיקון

רק הודעת ברירת מחדל

זו דוגמה להודעה שמוצגת למשתמש אם לא מוגדרות הודעות תיקון או הודעה בהתאמה אישית.

הודעת ברירת מחדל והודעה מותאמת אישית

זו דוגמה להודעה שהמשתמש רואה אם לא מוגדרות הודעות תיקון, אבל מוגדרת הודעה בהתאמה אישית.

רק הודעת תיקון

זו דוגמה להודעה שהמשתמש רואה אם הודעות התיקון מוגדרות בלי הודעה בהתאמה אישית. המשתמש לוחץ על הצגת אפשרויות נוספות כדי להרחיב את השלבים לתיקון הבעיה.

תיקון והודעה מותאמת אישית

זו דוגמה להודעה שהמשתמש יראה אם גם הודעות התיקון וגם ההודעה בהתאמה אישית מוגדרות. המשתמש לוחץ על הצגת אפשרויות נוספות כדי להרחיב את השלבים לתיקון הבעיה.

שאלות נפוצות על תיקון של בקרת גישה מבוססת-הקשר והודעות בהתאמה אישית

האם פעולות התיקון עלולות לגרום למקרים נוספים של 'הגישה נדחתה'?

לא. הפעלה או השבתה של הודעות תיקון לא משפיעות על סטטוס הגישה. אם המערכת לא יוצרת הודעות תיקון, במסך הקיים מוצגת הודעת ברירת מחדל.

למה הודעות התיקון לא משקפות את המדיניות הנוכחית?

אם הפעולות לתיקון לא משקפות את המדיניות הנכונה, צריך לחכות כמה דקות אחרי שינוי המדיניות במסוף Admin. בנוסף, יכול להיות שיחלפו כמה דקות עד שהודעות התיקון ישקפו רמת גישה חדשה או הגדרת תיקון חדשה.

כמה זמן עובר עד שהמשתמש מקבל גישה אחרי השלמת פעולות התיקון?

המשתמש לא מקבל גישה עד שהמכשיר מסתנכרן עם השרתים של Google. במקרים מסוימים, המשתמש יכול לנסות לאלץ סנכרון:

  • מחשב—סנכרון מהתוסף Endpoint Verification ב-Chrome
  • נייד (ניהול מתקדם) – סנכרון מאפליקציית מדיניות המכשיר
  • מכשירים ניידים (ניהול בסיסי) – כניסה מחדש למכשירים מנוהלים בסיסיים

בנוסף, אם המכשיר לא תואם לשותף BeyondCorp Alliance, נסו לסנכרן מהאפליקציה של השותף. חשוב לשים לב שבמקרים מסוימים סנכרון ידני לא יעבוד, ולכן המשתמש צריך לחכות עד שיתבצע סנכרון.

למה המשתמשים עדיין רואים את אותן אפשרויות לתיקון אחרי שהם משלימים את פעולת התיקון?

אפשרויות התיקון לא משתנות עד שהמכשיר מסתנכרן. אפשרויות הסנכרון מפורטות בתשובה לשאלה הנפוצה הקודמת.

למה האפשרויות בהודעת התיקון משתנות בלי שמתבצעת פעולה במכשיר?

למרות שזה לא קורה בדרך כלל, יכול להיות שיוצגו אפשרויות שונות לתיקון עבור אותו סטטוס של המכשיר, אם רמות הגישה מורכבות. בנוסף, אם רמות הגישה או הפעולות לתיקון עודכנו לאחרונה, יכול להיות שיחלפו כמה דקות עד שההגדרה המעודכנת תתעדכן במלואה. עד אז, יכול להיות שאפשרויות התיקון ישתנו מעצמן אחרי רענון הדפדפן.

למה הודעות תיקון חסרות למרות שהן מופעלות?

הסיבה לכך יכולה להיות רמת גישה שלא ניתן לספק (לדוגמה, os = 'windows' && os = 'mac').

האם המשתמשים רואים את ההודעה המותאמת אישית אם התיקון מופעל?

ההודעה המותאמת אישית מוצגת רק אם האדמין הפעיל אותה. אם האפשרות הזו מופעלת, ההודעה המותאמת אישית למשתמשים מוצגת מתחת לאפשרויות של הודעת התיקון.

איך מפעילים תיקונים במדיניות המכשירים?

ההודעות על התיקון לא כוללות את הסיבה לסירוב הגישה בגלל מדיניות המכשיר. הם מציגים תיקון רק לכללי מדיניות של בקרת גישה מבוססת-הקשר.

למה מוצגת הודעת התיקון לא ניתן לזהות את המכשיר אם התוסף Endpoint Verification (אימות של נקודת קצה) מסתנכרן?

מוודאים שהחשבון שמשמש לגישה לאפליקציות הוא החשבון שמסונכרן בתוסף Endpoint Verification. אם פרופיל Chrome שייך למשתמש אחר, יכול להיות שהאימות של נקודת הקצה מסתנכרן עם המשתמש הזה.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.