Przypisywanie poziomów dostępu zależnego od kontekstu do konsoli administracyjnej

Jako superadministrator lub sprzedawca możesz określić kontekst, w jakim inni administratorzy będą mogli uzyskać dostęp do konsoli administracyjnej Google. Aby to zrobić, przypisz poziomy dostępu zależnego od kontekstu do konsoli administracyjnej.

Uwaga: nie przypisuj poziomów dostępu do konsoli administracyjnej, chyba że musisz ograniczyć dostęp do konsoli administracyjnej innym administratorom. Szczegółowe informacje o przypisywaniu poziomów dostępu aplikacjom znajdziesz w artykule Przypisywanie poziomów dostępu zależnego od kontekstu do aplikacji.

Z tego artykułu dowiesz się, jak:

  • przypisać i zaktualizować te poziomy dostępu,
  • uniknąć przypadkowego zablokowania sobie lub innym administratorom dostępu do konsoli administracyjnej,
  • zareagować na zablokowanie dostępu.

Zanim zaczniesz

Zapoznaj się z możliwymi scenariuszami zablokowania dostępu:

  • Administratorzy mogą przez pomyłkę skonfigurować poziom dostępu do podsieci IP należącej do innej osoby, a następnie zastosować ten poziom dostępu do konsoli administracyjnej.
  • Mogą też zastosować nieaktualny poziom dostępu do konsoli administracyjnej. Taka sytuacja może wystąpić, gdy poziom dostępu wymaga użycia urządzenia należącego do firmy, podczas gdy administrator zastąpił używanie urządzeń służbowych osobistymi.

Unikanie zatrzaśniętego zamka

  • Sprawdź poziomy dostępu, które chcesz zastosować do konsoli administracyjnej. Upewnij się, że co najmniej 1 administrator spełnia kryteria dostępu.
  • W razie potrzeby utwórz nowy poziom dostępu. Możesz mieć pewność, że warunki dostępu są spełnione, jeśli wybierzesz poziom dostępu, który na pewno spełnia te warunki.
  • Zwróć uwagę na komunikaty wyświetlane podczas dodawania lub edytowania poziomów dostępu w konsoli administracyjnej. Te komunikaty pomogą Ci określić, co zrobić, aby uniknąć zablokowania dostępu.

  • Stosuj zasady do grup konfiguracji, które mogą działać jako kontenery na potrzeby poziomów dostępu.

    • Tworzysz grupę konfiguracji i przypisujesz poziomy dostępu do aplikacji.

    • Następnie dodajesz do grupy konfiguracji jako członków te grupy użytkowników, do których nie mają zastosowania zasady blokujące dostęp.

      Więcej informacji znajdziesz w artykule Dostosowywanie dostępu zależnego od kontekstu za pomocą grup.

Zapewnienie możliwości uzyskania pomocy w przypadku zablokowania dostępu

Najpierw sprawdź, czy Ty, osoba mianowana superadministratorem, lub inny administrator wyznaczony do kontaktu z zespołem pomocy macie dostęp do portalu obsługi klienta Google.

W razie potrzeby wykonaj czynności opisane w artykule Udzielanie użytkownikom dostępu do portalu obsługi klienta.

Aby zwiększyć bezpieczeństwo, użyj weryfikacji dwuetapowej w przypadku administratorów, którzy mają dostęp do portalu obsługi klienta. Szczegółowe informacje znajdziesz w artykule Ochrona firmy dzięki weryfikacji dwuetapowej.

Praca z poziomami dostępu do konsoli administracyjnej

System zapobiega zablokowaniu dostępu administratora, gdy wykonujesz lub próbujesz wykonać te czynności:

Przypisywanie poziomów dostępu

  1. Na stronie głównej w konsoli administracyjnej kliknij Bezpieczeństwo > Dostęp do danych i kontrola nad nimi > Dostęp zależny od kontekstu.
  2. U góry listy aplikacji znajdź pozycję Konsola administracyjna i kliknij Przypisz.
  3. Wybierz co najmniej 1 poziom dostępu do konsoli administracyjnej.
    Dostęp do konsoli administracyjnej zostanie przyznany, jeśli administrator spełnia warunki określone:
    • w jednym z wybranych poziomów dostępu – jest sprawdzana suma logiczna „LUB” poziomów dostępu na liście,
    • w więcej niż jednym poziomie dostępu – utwórz poziom dostępu zawierający kilka poziomów dostępu za pomocą operatora logicznego „I”.
  4. Kliknij Zapisz.
    System wyświetla pasek postępu, gdy sprawdza, czy warunki poziomu dostępu nie blokują dostępu żadnemu administratorowi. Jeśli:
    • spełniasz warunki co najmniej 1 z wybranych poziomów dostępu – udało się przypisać dostęp. Można to sprawdzić na stronie Przypisywanie poziomów dostępu.
    • nie spełniasz warunków żadnego z wybranych poziomów dostępu – nie udało się przypisać dostępu. Gdy klikniesz Zapisz, system spróbuje przeprowadzić weryfikację i zobaczysz ten komunikat: Nie możesz przypisać tych poziomów dostępu, bo obecnie nie spełniasz żadnych z tych warunków. Spowodowałoby to utratę dostępu do konsoli administracyjnej.

Edytowanie poziomu dostępu

Edytowanie poziomów dostępu przypisanych do konsoli administracyjnej jest ograniczone.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwo a potem Dostęp do danych i kontrola nad nimi a potem Dostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Poziomy dostępu.
  3. Kliknij istniejący poziom dostępu.
    W przypadku poziomu dostępu przypisanego do konsoli administracyjnej można zmodyfikować nazwę i opis, ale nie warunki. Jeśli spróbujesz to zrobić, pojawi się ten komunikat o błędzie: Nie możesz edytować warunków tego poziomu dostępu, ponieważ jest on obecnie przypisany do konsoli administracyjnej, a zmiany mogą wpłynąć na możliwość dostępu do niej przez innego administratora. Aby zmodyfikować warunki, anuluj przypisanie tego poziomu dostępu do konsoli administracyjnej.

Usuwanie poziomu dostępu

Poziomy dostępu można usunąć tylko wtedy, gdy nie spowoduje to zablokowania dostępu.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwo a potem Dostęp do danych i kontrola nad nimi a potem Dostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Poziomy dostępu.
  3. Kliknij istniejący poziom dostępu.
  4. Kliknij Usuń poziom dostępu.
    Podczas sprawdzania poprawności pojawi się ten komunikat: Usunąć poziom dostępu? Nie będzie on już dostępny w konsoli administracyjnej (ani w Google Cloud czy pakiecie SDK Cloud – w stosownych przypadkach). Zostanie też usunięty ze wszystkich aplikacji, do których jest przypisany. Usunięcie tego poziomu dostępu może mieć wpływ na dostęp innego administratora do konsoli administracyjnej.
    • Ten poziom dostępu możesz usunąć. Aby to zrobić, kliknij Potwierdź.
    • Tego poziomu dostępu nie możesz usunąć. Spowodowałoby to utratę dostępu do konsoli administracyjnej. Po sprawdzeniu poprawności pojawi się ten komunikat: Nie można usunąć poziomu dostępu.

Jeśli jesteś administratorem bez uprawnień superadministratora i spróbujesz usunąć poziom dostępu, zobaczysz ten komunikat: Tylko superadministratorzy mogą usuwać poziomy dostępu przypisane do konsoli administracyjnej. W takim przypadku skontaktuj się z superadministratorem lub sprzedawcą.

Zmiana kolejności grup

System zapobiega zmianie priorytetu grup, która miałaby wpływ na dostęp do konsoli administracyjnej. Jeśli spróbujesz zmienić kolejność grup w ten sposób, pojawi się komunikat: Nie możesz zmienić kolejności grup, bo spowodowałoby to utratę dostępu do konsoli administracyjnej.

Jeśli jesteś administratorem bez uprawnień superadministratora i spróbujesz zmienić kolejność grup, zobaczysz ten komunikat: Aby zmienić kolejność grup, musisz mieć dodatkowe uprawnienia administratora. W takim przypadku skontaktuj się z superadministratorem lub sprzedawcą.

Kontaktowanie się z zespołem pomocy w przypadku zablokowania dostępu

W przypadku całkowitego zablokowania dostępu skontaktuj się z zespołem pomocy Google przez portal obsługi klienta.

Aby przywrócić dostęp, zespół pomocy usunie zasady dostępu zależnego od kontekstu z konsoli administracyjnej. Ta czynność nie ma wpływu na zasady dostępu zależnego od kontekstu w przypadku innych aplikacji (np. Gmaila czy Kalendarza Google).

Ważne: po usunięciu zasad przez zespół pomocy natychmiast zastosuj je ponownie.