Attribuer des niveaux d'accès contextuel à la console d'administration

En tant que super-administrateur ou revendeur, vous pouvez définir le contexte dans lequel d'autres administrateurs peuvent accéder à la console d'administration Google en attribuant des niveaux d'accès contextuel à la console d'administration.

Remarque : N'attribuez pas de niveaux d'accès à la console d'administration, sauf si vous devez spécifiquement limiter l'accès d'autres administrateurs à la console d'administration. Pour savoir comment attribuer des niveaux d'accès aux applications, consultez Attribuer des niveaux d'accès contextuel aux applications.

Cet article explique comment :

  • Attribuer et mettre à jour ces niveaux d'accès
  • Éviter de bloquer l'accès à la console d'administration par inadvertance, pour vous-même ou pour d'autres administrateurs
  • Réagir en cas de blocage

Avant de commencer

Scénarios de blocage possibles :

  • Les administrateurs peuvent configurer par erreur un niveau d'accès à un sous-réseau IP appartenant à quelqu'un d'autre, puis appliquer ce niveau d'accès à la console d'administration.
  • Ils peuvent également appliquer un niveau d'accès obsolète à la console d'administration. Cela peut se produire si le niveau d'accès nécessite un appareil détenu par l'entreprise et si l'administrateur passe d'un tel appareil à un appareil personnel.

Éviter un blocage

  • Contrôlez les niveaux d'accès que vous souhaitez appliquer à la console d'administration. Assurez-vous qu'au moins un administrateur répond aux critères d'accès.
  • Créez un autre niveau d'accès, si nécessaire. Pour vous assurer que les conditions d'accès sont satisfaites, sélectionnez un niveau d'accès dont vous savez qu'il remplit les conditions requises.
  • Prêtez attention aux messages qui s'affichent lorsque vous ajoutez ou modifiez des niveaux d'accès dans la console d'administration. Ces messages vous aident à déterminer la procédure à suivre pour éviter un blocage.

  • Appliquez des règles aux groupes de configuration, qui peuvent servir de conteneur pour les niveaux d'accès.

    • Pour cela, créez un groupe de configuration et attribuez des niveaux d'accès aux applications.
    • Ensuite, ajoutez au groupe de configuration des groupes d'utilisateurs auxquels la règle provoquant le blocage n'est pas appliquée.

    Pour en savoir plus, consultez Personnaliser l'accès contextuel à l'aide de groupes.

Garantir l'accès à l'assistance en cas de blocage

Commencez par vérifier que vous, le super-administrateur, ou tout autre administrateur désigné comme contact de l'assistance, avez accès à Google Customer Care Portal.

Si nécessaire, suivez la procédure décrite dans Permettre à des utilisateurs d'accéder à Customer Care Portal.

Pour plus de sécurité, activez la validation en deux étapes pour les administrateurs qui ont accès à Customer Care Portal. Pour en savoir plus, consultez Protéger votre entreprise avec la validation en deux étapes.

Gérer les niveaux d'accès à la console d'administration

Le système vise à prévenir le blocage des accès administrateur lorsque vous effectuez ou tentez les actions suivantes :

Attribuer les niveaux d'accès

  1. Sur la page d'accueil de la console d'administration, accédez à Sécurité > Contrôle des accès et des données > Accès contextuel.
  2. Recherchez Console d'administration en haut de la liste des applications, puis cliquez sur Attribuer.
  3. Sélectionnez un ou plusieurs niveaux d'accès pour la console d'administration.
     L'accès à la console d'administration est accordé si un administrateur remplit les conditions définies dans :
    • Un des niveaux d'accès que vous sélectionnez : il s'agit d'une relation "OU" logique entre les niveaux d'accès de la liste.
    • Plusieurs niveaux d'accès : créez un niveau d'accès contenant plusieurs niveaux d'accès à l'aide d'une relation "ET" logique.
  4. Cliquez sur Enregistrer.
     Le système affiche une barre de progression pendant qu'il vérifie que les conditions du niveau d'accès ne bloquent l'accès d'aucun administrateur. Plusieurs situations sont possibles :
    • Si les conditions sont remplies pour au moins un des niveaux d'accès sélectionnés, le niveau d'accès est appliqué. La page "Attribuer des niveaux d'accès" indique que le niveau d'accès s'applique.
    • Si les conditions ne sont pas remplies pour au moins l'un des niveaux d'accès sélectionnés, le niveau d'accès n'est pas appliqué. Lorsque vous cliquez sur Enregistrer, le système effectue la vérification, puis affiche le message suivant : Vous ne pouvez pas attribuer ces niveaux d'accès, car certaines de ces conditions ne sont pas satisfaites. Vous risqueriez de ne plus avoir accès à la console d'administration.

Modifier un niveau d'accès

Des restrictions s'appliquent pour la modification des niveaux d'accès attribués à la console d'administration.

  1. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAccès et contrôle des donnéespuisAccès contextuel.

    Nécessite le niveau d'accès "Sécurité des données" et les droits "Gestion des règles", ainsi que les droits de lecture de l'API Admin pour les groupes et les utilisateurs.

  2. Cliquez sur Niveaux d'accès.
  3. Cliquez sur un niveau d'accès existant.
    Lorsqu'il s'agit d'un niveau d'accès attribué à la console d'administration, vous pouvez en modifier le nom et la description, mais pas les conditions. Si vous tentez de le faire, le message d'erreur suivant s'affiche : Vous ne pouvez pas modifier les conditions de ce niveau d'accès, car celui-ci est actuellement attribué à la console d'administration, et toute modification pourrait empêcher l'accès d'autres administrateurs. Pour les modifier, annulez d'abord leur attribution dans la console d'administration.

Supprimer un niveau d'accès

La suppression d'un niveau d'accès n'est possible que si elle ne bloque aucun accès.

  1. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAccès et contrôle des donnéespuisAccès contextuel.

    Nécessite le niveau d'accès "Sécurité des données" et les droits "Gestion des règles", ainsi que les droits de lecture de l'API Admin pour les groupes et les utilisateurs.

  2. Cliquez sur Niveaux d'accès.
  3. Cliquez sur un niveau d'accès existant.
  4. Cliquez sur Supprimer le niveau d'accès.
    Ce message apparaît lors de la validation : Supprimer le niveau d'accès ? Ce niveau d'accès ne sera plus disponible dans la console d'administration (ni dans Google Cloud et Cloud SDK, le cas échéant). Il sera aussi supprimé de toutes les applications auxquelles il s'applique actuellement. Si vous supprimez ce niveau d'accès, les autres administrateurs risquent de ne plus avoir accès à la console d'administration.
    • Vous pouvez supprimer le niveau d'accès. Pour ce faire, cliquez sur Confirmer.
    • Vous ne pouvez pas supprimer le niveau d'accès, car vous perdriez l'accès à la console d'administration. Ce message s'affiche après la validation : Impossible de supprimer le niveau d'accès.

Si vous êtes un administrateur, mais pas un super-administrateur, le message suivant s'affiche lorsque vous tentez de supprimer des niveaux d'accès : Seuls les super-administrateurs sont autorisés à supprimer les niveaux d'accès attribués dans la console d'administration. Dans ce cas, contactez le super-administrateur ou le revendeur pour savoir comment supprimer des niveaux d'accès.

Réorganiser la priorité des groupes

Le système vise à prévenir toute modification de l'ordre de priorité des groupes, qui pourrait affecter l'accès à la console d'administration. Toute tentative de modification de ce type déclenche l'affichage du message suivant : Vous ne pouvez pas modifier l'ordre des groupes, car vous perdriez l'accès à la console d'administration.

Si vous êtes un administrateur, mais pas un super-administrateur, le message suivant s'affiche lorsque vous tentez de modifier l'ordre des groupes : Vous devez disposer de droits d'administrateur supplémentaires pour modifier l'ordre des groupes. Dans ce cas, contactez le super-administrateur ou le revendeur pour modifier l'ordre des groupes.

Contactez l'assistance si vous ne parvenez pas à accéder à votre compte

En cas de blocage total, contactez l'assistance Google via le Customer Care Portal.

Pour rétablir l'accès, l'assistance supprime les règles d'accès contextuel dans la console d'administration. Cette action ne concerne pas les règles d'accès contextuel des autres applications (Gmail ou Google Agenda, par exemple).

Important : Réappliquez les règles immédiatement après leur suppression par l'assistance.