הקצאה של בקרת רמות גישה מבוססת-הקשר במסוף Admin

סופר-אדמינים ומפיצים יכולים להקצות רמות גישה מבוססות-הקשר למסוף Admin כדי להגדיר את ההקשר שבו אדמינים אחרים יכולים לגשת למסוף Google Admin.

הערה: אל תקצו רמות גישה למסוף Admin, אלא אם אתם צריכים להגביל את הגישה למסוף Admin לאדמינים אחרים. פרטים על הקצאת רמות גישה לאפליקציות מופיעים במאמר הקצאה של רמות גישה מבוססות-הקשר לאפליקציות.

במאמר הזה נסביר איך:

  • הקצאה ועדכון של רמות הגישה האלה.
  • כדי שלא תאבדו בטעות את הגישה למסוף Admin, או שאדמינים אחרים יאבדו את הגישה.
  • להגיב אם מתרחשת נעילה.

לפני שמתחילים

הסבר על תרחישים אפשריים של נעילת חשבון:

  • אדמינים יכולים להגדיר בטעות רמת גישה לרשת משנה של כתובות IP ששייכת למישהו אחר, ואז להחיל את רמת הגישה הזו על מסוף Admin.
  • או שהם יפעילו רמת גישה לא עדכנית במסוף Admin. המצב הזה יכול לקרות אם רמת הגישה דורשת מכשיר בבעלות החברה והאדמין עובר משימוש באחד מהמכשירים האלה למכשיר אישי.

איך למנוע נעילה

  • בודקים את רמות הגישה שרוצים להחיל על מסוף Admin. חשוב לוודא שלפחות אדמין אחד עומד בקריטריונים לגישה.
  • אם צריך, יוצרים רמת גישה חדשה. כדי לוודא שהתנאים לגישה מתקיימים, אפשר ליצור רמת גישה שאתם יודעים שהיא עומדת בתנאים.
  • שימו לב להודעות שאתם מקבלים כשאתם מוסיפים או עורכים רמות גישה במסוף Admin. ההודעות האלה עוזרות לכם להבין מה השלב הבא כדי להימנע מנעילת החשבון.

  • להחיל מדיניות על קבוצות תצורה, שיכולות לשמש כמאגר לרמות גישה.

    • יוצרים קבוצת הגדרות ומקצים רמות גישה לאפליקציות.
    • לאחר מכן, מוסיפים קבוצות משתמשים כחברים בקבוצת ההגדרות שלא חלה עליהם המדיניות שגורמת לנעילה.

    מידע נוסף מופיע במאמר בנושא התאמה אישית של בקרת גישה מבוססת-הקשר באמצעות קבוצות.

איך מוודאים שיש גישה לתמיכה במקרה של נעילה

קודם כל, צריך לוודא שלכם, לסופר-אדמין שצוין או לאדמין שצוין כאיש הקשר לתמיכה, יש גישה ל-Google Customer Care Portal.

במקרה הצורך, אפשר לפעול לפי השלבים במאמר איך לתת למשתמשים גישה ל-Customer Care Portal.

כדי להוסיף שכבת אבטחה, מומלץ להשתמש באימות דו-שלבי לאדמינים שיש להם גישה ל-Customer Care Portal. פרטים נוספים מופיעים במאמר איך מגינים על העסק באמצעות אימות דו-שלבי.

עבודה עם רמות גישה במסוף Admin

המערכת פועלת כדי למנוע נעילה של אדמינים כשמבצעים או מנסים לבצע את המשימות הבאות:

הקצאת רמות הגישה

  1. בדף הבית של מסוף Admin, נכנסים אל אבטחה > שליטה בגישה ובנתונים > בקרת גישה מבוססת-הקשר.
  2. מחפשים את מסוף Admin בחלק העליון של רשימת האפליקציות ולוחצים על הקצאה.
  3. בוחרים רמת גישה אחת או יותר למסוף Admin.
    גישה למסוף Admin ניתנת אם האדמין עומד בתנאים שמפורטים במאמר:
    • אחת מרמות הגישה שבוחרים – זהו OR לוגי של רמות הגישה ברשימה.
    • יותר מרמת גישה אחת – יוצרים רמת גישה שמכילה כמה רמות גישה באמצעות לוגיקת AND.
  4. לוחצים על שמירה.
    המערכת מציגה סרגל התקדמות בזמן שהיא בודקת שתנאי רמת הגישה לא יגרמו לנעילת אדמינים. אם:
    • עומדים בתנאים לפחות באחת מרמות הגישה שנבחרו – הגישה הוענקה בהצלחה. בדף 'הקצאת רמות גישה' מוצגות רמות הגישה שחלות.
    • לא עומדים בתנאים של לפחות אחת מרמות הגישה שנבחרו – רמת הגישה לא חלה. אחרי שלוחצים על שמירה והמערכת מנסה לבצע אימות, מוצגת ההודעה הבאה: אין לך אפשרות להקצות את רמות הגישה האלה. בגלל שלא עמדת באף אחד מהתנאים האלה, אין לך גישה למסוף Admin.

עריכה של רמת גישה

יש הגבלות על עריכת רמות גישה שהוקצו למסוף Admin.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על רמות גישה.
  3. לוחצים על רמת גישה קיימת.
    כשמנסים לערוך רמת גישה שמוקצית למסוף Admin, אפשר לערוך את השם והתיאור שלה, אבל לא את התנאים. אם תנסו לעשות זאת, תוצג הודעת השגיאה הבאה: אי אפשר לערוך את התנאים ברמת הגישה הזו כי היא מוקצית כרגע למסוף Admin, והשינויים עלולים להשפיע על היכולת של אדמינים אחרים להיכנס אליו. כדי לערוך את התנאים, קודם צריך לבטל את ההקצאה במסוף Admin.

מחיקה של רמת גישה

אפשר למחוק רמות גישה רק אם המחיקה לא חוסמת את הגישה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על רמות גישה.
  3. לוחצים על רמת גישה קיימת.
  4. לוחצים על מחיקת רמת הגישה.
    ההודעה הזו מופיעה במהלך האימות: למחוק את רמת הגישה? רמת הגישה כבר לא תהיה זמינה במסוף Admin (וב-Google Cloud וב-Cloud SDK, אם רלוונטי). היא גם תוסר מכל האפליקציות שהיא מוקצית להן כרגע. מחיקה של רמת הגישה הזאת עשויה להשפיע על היכולת של אדמין אחר להשתמש במסוף Admin.
    • אפשר למחוק את רמת הגישה – כדי לעשות זאת, לוחצים על אישור.
    • אי אפשר למחוק את רמת הגישה – פעולה כזו תגרום לאובדן הגישה למסוף Admin. ההודעה הבאה מופיעה אחרי האימות: לא ניתן למחוק את רמת הגישה.

אם אתם אדמינים אבל לא סופר-אדמינים, כשתנסו למחוק רמות גישה תופיע ההודעה רק סופר-אדמינים יכולים למחוק רמות גישה שהוקצו למסוף Admin. במקרה כזה, צריך לדבר עם הסופר-אדמין או עם המפיץ לגבי מחיקת רמות הגישה.

שינוי סדר העדיפויות של הקבוצה

המערכת עוזרת למנוע שינוי של סדר העדיפויות של הקבוצות, מה שמשפיע על הגישה למסוף Admin. כל ניסיון לשנות את סדר הקבוצות יגרום להצגת ההודעה אי אפשר לשנות את סדר הקבוצות כי לא תהיה לך יותר גישה למסוף Admin.

אם אתם אדמינים אבל לא סופר-אדמינים, כשאתם מנסים לשנות את הסדר של הקבוצות מוצגת ההודעה הבאה: נדרשות הרשאות אדמין נוספות כדי לשנות את סדר הקבוצות. במקרה כזה, צריך לפנות לסופר-אדמין או למפיץ כדי לשנות את הסדר של הקבוצות.

פנייה לתמיכה אם החשבון ננעל

אם אין לכם גישה בכלל, צריך לפנות לתמיכה של Google באמצעות Customer Care Portal.

כדי לשחזר את הגישה, צוות התמיכה מסיר את כללי המדיניות של בקרת גישה מבוססת-הקשר במסוף Admin. לפעולה הזו לא תהיה השפעה על כללי מדיניות של בקרת גישה מבוססת-הקשר של אפליקציות אחרות (לדוגמה Gmail או יומן Google).

חשוב: צריך להחיל מחדש את כללי המדיניות מיד אחרי שהתמיכה מסירה אותם.