הקצאה של בקרת רמות גישה מבוססת-הקשר במסוף Admin

סופר-אדמינים ומפיצים יכולים להגדיר את ההקשר שבו אדמינים אחרים יכולים לגשת למסוף Google Admin, על ידי הקצאת רמות גישה מבוססות-הקשר למסוף Admin.

הערה: אל תקצו רמות גישה למסוף Admin אלא אם אתם צריכים להגביל את הגישה למסוף Admin לאדמינים אחרים. פרטים על הקצאת רמות גישה לאפליקציות מופיעים במאמר הקצאת רמות גישה מבוססות-הקשר לאפליקציות.

במאמר הזה נסביר איך:

  • הקצאה ועדכון של רמות הגישה האלה.
  • כדי שלא תאבדו בטעות את הגישה למסוף Admin או שאדמינים אחרים יאבדו את הגישה,
  • להגיב אם מתרחשת נעילה.

לפני שמתחילים

הסבר על תרחישים אפשריים של נעילת חשבון:

  • אדמינים יכולים להגדיר בטעות רמת גישה לרשת משנה של כתובות IP ששייכת למישהו אחר, ואז להחיל את רמת הגישה הזו על מסוף Admin.
  • או שהם יפעילו רמת גישה לא עדכנית במסוף Admin. המצב הזה יכול לקרות אם רמת הגישה דורשת מכשיר בבעלות החברה, והאדמין עובר משימוש באחד מהמכשירים האלה למכשיר אישי.

איך למנוע נעילה

  • בודקים את רמות הגישה שרוצים להחיל על מסוף Admin. חשוב לוודא שלפחות מנהל אחד עומד בקריטריונים לגישה.
  • אם צריך, יוצרים רמת גישה חדשה. כדי לוודא שתנאי הגישה מתקיימים, אתם יכולים ליצור רמת גישה שאתם יודעים שהיא עומדת בתנאים.
  • שימו לב להודעות שאתם מקבלים כשאתם מוסיפים או עורכים רמות גישה במסוף Admin. ההודעות האלה עוזרות לכם להבין מה השלב הבא שצריך לבצע כדי להימנע מנעילת החשבון.

  • החלת כללי מדיניות על קבוצות הגדרה, שיכולות לשמש כמאגר לרמות גישה.

איך מוודאים שיש גישה לתמיכה במקרה של נעילה

קודם כל, צריך לוודא שלכם, לסופר-אדמין שצוין או לכל אדמין אחר שמוגדר כאיש הקשר לתמיכה, יש גישה לפלטפורמת Customer Care Portal של Google.

במקרה הצורך, אפשר לפעול לפי השלבים במאמר איך לתת למשתמשים גישה ל-Customer Care Portal.

כדי להוסיף שכבת אבטחה, מומלץ להשתמש באימות דו-שלבי לאדמינים שיש להם גישה ל-Customer Care Portal. פרטים נוספים מופיעים במאמר הגנה על העסק באמצעות אימות דו-שלבי.

עבודה עם רמות גישה במסוף Admin

המערכת פועלת כדי למנוע נעילה של אדמינים כשמבצעים או מנסים לבצע את המשימות הבאות:

הקצאת רמות הגישה

  1. בדף הבית של מסוף Admin, נכנסים אל אבטחה > שליטה בגישה ובנתונים > בקרת גישה מבוססת-הקשר.
  2. מחפשים את מסוף Admin בחלק העליון של רשימת האפליקציות ולוחצים על הקצאה.
  3. בוחרים רמת גישה אחת או יותר למסוף Admin.
    הגישה למסוף Admin ניתנת אם האדמין עומד בתנאים שמפורטים במאמר:
    • אחת מרמות הגישה שבוחרים – זהו OR לוגי של רמות הגישה ברשימה.
    • יותר מרמת גישה אחת – יוצרים רמת גישה שמכילה כמה רמות גישה באמצעות לוגיקת AND.
  4. לוחצים על שמירה.
    המערכת מציגה סרגל התקדמות בזמן שהיא בודקת שתנאי רמת הגישה לא יגרמו לאדמינים להינעל מחוץ לחשבון. אם:
    • עמידה בתנאים לפחות באחת מרמות הגישה שנבחרו – הגישה הוענקה בהצלחה. בדף 'הקצאת רמות גישה' מוצגות רמות הגישה שחלות.
    • לא עומדים בתנאים של לפחות אחת מרמות הגישה שנבחרו – רמת הגישה לא חלה. אחרי שלוחצים על שמירה והמערכת מנסה לבצע אימות, מוצגת ההודעה הבאה: אין לך אפשרות להקצות את רמות הגישה האלה. בגלל שלא עמדת באף אחד מהתנאים האלה, אין לך גישה למסוף Admin.

עריכה של רמת גישה

יש הגבלות על עריכת רמות גישה שהוקצו למסוף Admin.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על רמות גישה.
  3. לוחצים על רמת גישה קיימת.
    כשמנסים לערוך רמת גישה שמוקצית למסוף Admin, אפשר לערוך את השם והתיאור שלה, אבל לא את התנאים. אם תנסו לעשות זאת, תוצג הודעת השגיאה הבאה: אי אפשר לערוך את התנאים ברמת הגישה הזו כי היא מוקצית כרגע למסוף Admin, והשינויים עלולים להשפיע על היכולת של אדמינים אחרים להיכנס אליו. כדי לערוך את התנאים, קודם צריך לבטל את ההקצאה במסוף Admin.

מחיקה של רמת גישה

אפשר למחוק רמות גישה רק אם המחיקה לא חוסמת את הגישה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על רמות גישה.
  3. לוחצים על רמת גישה קיימת.
  4. לוחצים על מחיקת רמת הגישה.
    ההודעה הזו מופיעה במהלך האימות: למחוק את רמת הגישה? רמת הגישה כבר לא תהיה זמינה במסוף Admin (וב-Google Cloud וב-Cloud SDK, אם רלוונטי). היא גם תוסר מכל האפליקציות שהיא מוקצית להן כרגע. מחיקה של רמת הגישה הזאת עשויה להשפיע על היכולת של אדמין אחר להשתמש במסוף Admin.
    • אפשר למחוק את רמת הגישה – כדי לעשות זאת, לוחצים על אישור.
    • אי אפשר למחוק את רמת הגישה – פעולה כזו תגרום לאובדן הגישה למסוף Admin. ההודעה הבאה מופיעה אחרי האימות: לא ניתן למחוק את רמת הגישה.

אם אתם אדמינים אבל לא סופר-אדמינים, כשתנסו למחוק רמות גישה תופיע ההודעה רק סופר-אדמינים יכולים למחוק רמות גישה שהוקצו למסוף Admin. במקרה כזה, צריך לפנות לסופר-אדמין או למפיץ כדי למחוק את רמות הגישה.

שינוי סדר העדיפויות של הקבוצות

המערכת עוזרת למנוע שינוי של סדר העדיפויות של הקבוצות, שישפיע על הגישה למסוף Admin. אם תנסו לשנות את סדר הקבוצות, תופיע ההודעה אי אפשר לשנות את סדר הקבוצות כי לא תהיה לך יותר גישה למסוף Admin.

אם אתם אדמינים שאינם סופר-אדמינים, כשאתם מנסים לשנות את הסדר של הקבוצות מוצגת ההודעה הבאה: נדרשות הרשאות אדמין נוספות כדי לשנות את סדר הקבוצות. במקרה כזה, צריך לפנות לסופר-אדמין או למפיץ כדי לשנות את סדר הקבוצות.

פנייה לתמיכה אם החשבון ננעל

אם אין לכם גישה בכלל, צריך לפנות לתמיכה של Google באמצעות Customer Care Portal.

כדי לשחזר את הגישה, צוות התמיכה מסיר את כללי המדיניות של בקרת גישה מבוססת-הקשר במסוף Admin. לפעולה הזו לא תהיה השפעה על כללי מדיניות של בקרת גישה מבוססת-הקשר של אפליקציות אחרות (לדוגמה Gmail או יומן Google).

חשוב: צריך להחיל מחדש את כללי המדיניות מיד אחרי שהתמיכה מסירה אותם.