Der Admin-Konsole kontextsensitive Zugriffsebenen zuweisen

Als Super Admin oder Reseller können Sie den Kontext definieren, in dem andere Administratoren auf die Admin-Konsole zugreifen können. Dafür weisen Sie der Admin-Konsole kontextsensitive Zugriffsebenen zu.

Hinweis:Weisen Sie der Admin-Konsole nur dann Zugriffsebenen zu, wenn Sie den Zugriff darauf durch andere Administratoren einschränken müssen. Weitere Informationen dazu, wie Sie Apps Zugriffsebenen zuweisen, finden Sie im Hilfeartikel Apps kontextsensitive Zugriffsebenen zuweisen.

In diesem Artikel wird beschrieben, wie Sie:

  • diese Zugriffsebenen zuweisen und aktualisieren.
  • vermeiden, dass Sie selbst oder andere Administratoren versehentlich über die Admin-Konsole gesperrt werden.
  • reagieren, wenn eine Sperrung auftritt.

Hinweis

Mögliche Sperrszenarien:

  • Administratoren können versehentlich eine Zugriffsebene für ein IP-Subnetz konfigurieren, das einer anderen Person gehört, und diese Zugriffsebene dann auf die Admin-Konsole anwenden.
  • Oder sie wenden eine veraltete Zugriffsebene auf die Admin-Konsole an. Das kann vorkommen, wenn für die Zugriffsebene ein unternehmenseigenes Gerät erforderlich ist und der Administrator von einem dieser Geräte zu einem privaten Gerät wechselt.

Sperrung vermeiden

  • Überprüfen Sie die Zugriffsebenen, die Sie auf die Admin-Konsole anwenden möchten. Mindestens ein Administrator muss die Kriterien für den Zugriff erfüllen.
  • Erstellen Sie bei Bedarf eine neue Zugriffsebene. Sie können sicherstellen, dass die Zugriffsbedingungen erfüllt sind, indem Sie eine Zugriffsebene auswählen, die die Bedingungen erfüllt.
  • Sehen Sie sich die Meldungen an, die Sie erhalten, wenn Sie in der Admin-Konsole Zugriffsebenen hinzufügen oder diese bearbeiten. Anhand dieser Meldungen können Sie den nächsten Schritt festlegen, um eine Sperrung zu vermeiden.

  • Wenden Sie Richtlinien auf Konfigurationsgruppen an, die als Container für Zugriffsebenen fungieren können.

    • Erstellen Sie eine Konfigurationsgruppe und weisen Sie Apps Zugriffsebenen zu.
    • Fügen Sie der Konfigurationsgruppe dann Nutzergruppen als Nutzer hinzu, für die keine der Richtlinien gilt, die zur Sperrung geführt haben.

    Weitere Informationen finden Sie unter Kontextsensitiven Zugriff mit Gruppen anpassen.

Zugriff auf den Support im Falle einer Sperrung sicherstellen

Bestätigen Sie als Erstes, dass Sie als der ausgewiesene Super Admin oder ein anderer Administrator, der der Support-Kontakt ist, auf das Google Customer Care-Portal zugreifen können.

Folgen Sie bei Bedarf der Anleitung unter Nutzern Zugriff auf das Customer Care-Portal gewähren.

Für noch mehr Sicherheit sollten Sie die Bestätigung in zwei Schritten für die Administratoren aktivieren, die Zugriff auf das Customer Care-Portal haben. Weitere Informationen finden Sie im Hilfeartikel Ihr Unternehmen mit der Bestätigung in zwei Schritten schützen.

Zugriffsebenen in der Admin-Konsole verwenden

Das System verhindert eine Administratorsperrung, wenn Sie die folgenden Aufgaben ausführen oder versuchen auszuführen:

Zugriffsebenen zuweisen

  1. Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Zugriff und Datenkontrolle > Kontextsensitiver Zugriff.
  2. Suchen Sie oben in der Liste der Anwendungen nach Admin-Konsole und klicken Sie auf Zuweisen.
  3. Wählen Sie eine oder mehrere Zugriffsebenen für die Admin-Konsole aus.
    Der Administrator erhält Zugriff auf die Admin-Konsole, wenn er die hier aufgeführten Bedingungen erfüllt:
    • Eine der ausgewählten Zugriffsebenen: Das ist eine logische ODER-Verknüpfung der Zugriffsebenen in der Liste.
    • Mehrere Zugriffsebenen: Erstellen Sie mit einer logischen UND-Verknüpfung eine Zugriffsebene, die mehrere Zugriffsebenen enthält.
  4. Klicken Sie auf Speichern.
    Das System zeigt eine Fortschrittsanzeige an, wenn bestätigt wird, dass die Zugriffsbedingungen keine Administratoren sperren. Wenn Sie:
    • die Bedingungen in mindestens einer der ausgewählten Zugriffsebenen erfüllen : Sie haben den Zugriff erfolgreich angewendet. Auf der Seite „Zugriffsebenen zuweisen“ wird angezeigt, dass die Zugriffsebene angewendet wird.
    • die Bedingungen in mindestens einer der ausgewählten Zugriffsebenen nicht erfüllen : Die Zugriffsebene wird nicht angewendet. Nachdem Sie auf Speichern geklickt haben und das System versucht, die Bestätigung durchzuführen, wird diese Meldung angezeigt: Sie können diese Zugriffsebenen nicht zuweisen, da Sie derzeit keine dieser Bedingungen erfüllen und den Zugriff auf die Admin-Konsole verlieren würden.

Zugriffsebene bearbeiten

Bei der Bearbeitung von Zugriffsebenen, die der Admin-Konsole zugewiesen werden, gelten Einschränkungen.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannKontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung „Dienste > Datensicherheit“ mit Regelverwaltung sowie die Berechtigung für die Admin API „Gruppen“ mit Leseberechtigung für „Nutzer“.

  2. Klicken Sie auf Zugriffsebenen.
  3. Klicken Sie auf eine vorhandene Zugriffsebene.
    Wenn Sie versuchen, eine Zugriffsebene zu bearbeiten, die der Admin-Konsole zugewiesen ist, können Sie zwar ihren Namen und ihre Beschreibung bearbeiten, aber nicht die Bedingungen. Wenn Sie dies versuchen, wird folgende Fehlermeldung angezeigt: Sie können die Bedingungen dieser Zugriffsebene nicht bearbeiten, da sie derzeit der Admin-Konsole zugewiesen sind. Änderungen können sich auf den Zugriff eines anderen Administrators auswirken. Wenn Sie die Bedingungen bearbeiten möchten, heben Sie zuerst die Zuweisung zur Admin-Konsole auf.

Zugriffsebene löschen

Sie können Zugriffsebenen nur löschen, wenn dadurch der Zugriff nicht blockiert wird.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriff und Datenkontrolleund dannKontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung „Dienste > Datensicherheit“ mit Regelverwaltung sowie die Berechtigung für die Admin API „Gruppen“ mit Leseberechtigung für „Nutzer“.

  2. Klicken Sie auf Zugriffsebenen.
  3. Klicken Sie auf eine vorhandene Zugriffsebene.
  4. Klicken Sie auf Zugriffsebene löschen.
    Während der Bestätigung wird diese Meldung angezeigt: Zugriffsebene löschen? Die Zugriffsebene ist dann nicht mehr in der Admin-Konsole (und ggf. in Google Cloud und im Cloud SDK) verfügbar. Sie wird auch aus allen Apps entfernt, denen sie derzeit zugewiesen ist. Wenn Sie diese Zugriffsebene löschen, kann sich das auf die Zugriffsberechtigungen eines anderen Administrators für die Admin-Konsole auswirken.
    • Sie können die Zugriffsebene löschen. Klicken Sie dazu auf Bestätigen.
    • Sie können die Zugriffsebene nicht löschen, da Sie sonst den Zugriff auf die Admin-Konsole verlieren. Nach der Bestätigung wird diese Meldung angezeigt: Zugriffsebene kann nicht gelöscht werden.

Wenn Sie ein Administrator, aber kein Super Admin sind, wird beim Versuch, die Zugriffsebenen zu löschen, diese Meldung angezeigt: Nur Super Admins können Zugriffsebenen löschen, die der Admin-Konsole zugewiesen sind. Wenden Sie sich in diesem Fall an den Super Admin oder Reseller, um die Zugriffsebenen zu löschen.

Priorität einer Gruppe neu anordnen

Das System verhindert, dass Sie die Gruppenprioritäten neu anordnen, was sich auf den Zugriff auf die Admin-Konsole auswirkt. Wenn Sie versuchen, Gruppen auf diese Weise neu anzuordnen, erscheint die Meldung Sie können die Gruppenreihenfolge nicht ändern, da Sie sonst den Zugriff auf die Admin-Konsole verlieren.

Wenn Sie ein Administrator, aber kein Super Admin sind, wird beim Versuch, die Reihenfolge der Gruppen zu ändern, folgende Meldung angezeigt: Sie benötigen zusätzliche Administratorberechtigungen, um die Gruppenreihenfolge zu ändern. Wenden Sie sich in diesem Fall an den Super Admin oder Reseller, um die Reihenfolge neu festzulegen.

Bei einer Sperrung den Support kontaktieren

Wenden Sie sich bei einer vollständigen Sperrung über das Customer Care-Portal an den Google-Support.

Um den Zugriff wiederherzustellen, entfernt der Support die kontextsensitiven Zugriffsrichtlinien in der Admin-Konsole. Diese Aktion wirkt sich nicht auf die Richtlinien für den kontextsensitiven Zugriff für andere Anwendungen aus, z. B. Gmail oder Google Kalender.

Wichtig: Wenden Sie die Richtlinien sofort wieder an, nachdem der Support sie entfernt hat.