Przypisywanie poziomów dostępu zależnego od kontekstu do konsoli administracyjnej

Jako superadministrator lub sprzedawca możesz określić kontekst, w jakim inni administratorzy będą mogli uzyskać dostęp do konsoli administracyjnej Google. Aby to zrobić, przypisz poziomy dostępu zależnego od kontekstu do konsoli administracyjnej.

Uwaga: nie przypisuj poziomów dostępu do konsoli administracyjnej, chyba że musisz ograniczyć dostęp do konsoli administracyjnej innym administratorom. Szczegółowe informacje o przypisywaniu poziomów dostępu do aplikacji znajdziesz w artykule Przypisywanie poziomów dostępu zależnego od kontekstu do aplikacji.

Z tego artykułu dowiesz się, jak:

  • przypisać i zaktualizować te poziomy dostępu,
  • uniknąć przypadkowego zablokowania sobie lub innym administratorom dostępu do konsoli administracyjnej,
  • zareagować na zablokowanie dostępu.

Zanim zaczniesz

Zapoznaj się z możliwymi scenariuszami zablokowania dostępu:

  • Administratorzy mogą przez pomyłkę skonfigurować poziom dostępu do podsieci IP należącej do innej osoby, a następnie zastosować ten poziom dostępu do konsoli administracyjnej.
  • Mogą też zastosować nieaktualny poziom dostępu do konsoli administracyjnej. Taka sytuacja może wystąpić, gdy poziom dostępu wymaga użycia urządzenia należącego do firmy, podczas gdy administrator zastąpił używanie urządzeń służbowych osobistymi.

Unikanie zablokowania dostępu

  • Sprawdź poziomy dostępu, które chcesz zastosować do konsoli administracyjnej. Upewnij się, że co najmniej 1 administrator spełnia kryteria dostępu.
  • W razie potrzeby utwórz nowy poziom dostępu. Aby zagwarantować spełnienie warunków, uważnie dobierz umożliwiający to poziom dostępu.
  • Zwróć uwagę na komunikaty wyświetlane podczas dodawania lub edytowania poziomów dostępu w konsoli administracyjnej. Te komunikaty pomogą Ci zdecydować, co zrobić, aby uniknąć zablokowania dostępu.

  • Stosuj zasady do grup konfiguracji, które mogą działać jako kontenery na potrzeby poziomów dostępu.

    • Tworzysz grupę konfiguracji i przypisujesz poziomy dostępu do aplikacji.
    • Następnie dodajesz do grupy konfiguracji jako członków te grupy użytkowników, do których nie mają zastosowania zasady blokujące dostęp.

    Szczegółowe informacje znajdziesz w artykule Dostosowywanie dostępu zależnego od kontekstu za pomocą grup.

Zapewnienie możliwości uzyskania pomocy w przypadku zablokowania dostępu

Najpierw sprawdź, czy Ty, osoba mianowana superadministratorem, lub inny administrator wyznaczony do kontaktu z zespołem pomocy macie dostęp do portalu obsługi klienta Google.

W razie potrzeby wykonaj czynności opisane w artykule Przyznawanie użytkownikom dostępu do portalu obsługi klienta.

Aby zwiększyć bezpieczeństwo, użyj weryfikacji dwuetapowej w przypadku administratorów, którzy mają dostęp do portalu obsługi klienta. Szczegółowe informacje znajdziesz w artykule Ochrona firmy dzięki weryfikacji dwuetapowej.

Praca z poziomami dostępu do konsoli administracyjnej

System jest tak skonfigurowany, aby zapobiegać zablokowaniu administratorom dostępu do konsoli w wyniku wykonywania tych czynności:

Przypisywanie poziomów dostępu

  1. Na stronie głównej w konsoli administracyjnej kliknij Bezpieczeństwo > Dostęp do danych i kontrola nad nimi > Dostęp zależny od kontekstu.
  2. U góry listy aplikacji znajdź pozycję Konsola administracyjna i kliknij Przypisz.
  3. Wybierz co najmniej 1 poziom dostępu do konsoli administracyjnej.
    Dostęp do konsoli administracyjnej zostanie przyznany, jeśli administrator spełnia warunki określone:
    • w jednym z wybranych poziomów dostępu – jest sprawdzana suma logiczna „LUB” poziomów dostępu na liście,
    • w więcej niż jednym poziomie dostępu – utwórz poziom dostępu zawierający kilka poziomów dostępu za pomocą operatora logicznego „I”.
  4. Kliknij Zapisz.
    System wyświetla pasek postępu, gdy sprawdza, czy warunki danego poziomu nie blokują dostępu żadnemu administratorowi. Jeśli:
    • Spełniasz warunki co najmniej 1 z wybranych poziomów dostępu – udało się przypisać dostęp. Można to sprawdzić na stronie Przypisywanie poziomów dostępu.
    • Nie spełniasz warunków żadnego z wybranych poziomów dostępu – nie udało się przypisać dostępu. Gdy klikniesz Zapisz, system spróbuje przeprowadzić weryfikację i zobaczysz ten komunikat: Nie możesz przypisać tych poziomów dostępu, bo obecnie nie spełniasz żadnych z tych warunków. Spowodowałoby to utratę dostępu do konsoli administracyjnej.

Edytowanie poziomu dostępu

Edytowanie poziomów dostępu przypisanych do konsoli administracyjnej jest ograniczone.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Poziomy dostępu.
  3. Kliknij istniejący poziom dostępu.
    W przypadku poziomu dostępu przypisanego do konsoli administracyjnej można zmodyfikować nazwę i opis, ale nie warunki. Jeśli spróbujesz zmienić warunki, pojawi się ten komunikat o błędzie: Nie możesz zmodyfikować warunków tego poziomu dostępu, bo jest on przypisany do konsoli administracyjnej, przez co zmiany mogą mieć wpływ na dostęp innych administratorów do tej konsoli. Aby zmodyfikować warunki, anuluj przypisanie tego poziomu dostępu do konsoli administracyjnej.

Usuwanie poziomu dostępu

Poziomy dostępu można usunąć tylko wtedy, gdy nie spowoduje to zablokowania dostępu.

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Poziomy dostępu.
  3. Kliknij istniejący poziom dostępu.
  4. Kliknij Usuń poziom dostępu.
    Podczas weryfikacji pojawia się ten komunikat: Usunąć poziom dostępu? Nie będzie on już dostępny w konsoli administracyjnej (ani w Google Cloud czy pakiecie SDK Cloud – w stosownych przypadkach). Zostanie też usunięty ze wszystkich aplikacji, do których jest przypisany. Usunięcie tego poziomu dostępu może mieć wpływ na dostęp innego administratora do konsoli administracyjnej.
    • Ten poziom dostępu możesz usunąć. Aby to zrobić, kliknij Potwierdź.
    • Tego poziomu dostępu nie możesz usunąć. Spowodowałoby to utratę dostępu do konsoli administracyjnej. Po przeprowadzeniu weryfikacji wyświetlany jest ten komunikat: Nie można usunąć poziomu dostępu.

Jeśli jesteś administratorem bez uprawnień superadministratora i spróbujesz usunąć poziom dostępu, zobaczysz ten komunikat: Tylko superadministratorzy mogą usuwać poziomy dostępu przypisane do konsoli administracyjnej. W takim przypadku skontaktuj się z superadministratorem lub sprzedawcą.

Zmienianie priorytetu grupy

System zapobiega zmianie priorytetu grup, która miałaby wpływ na dostęp do konsoli administracyjnej. Jeśli spróbujesz zmienić kolejność grup w ten sposób, pojawi się komunikat: Nie możesz zmienić kolejności grup, bo spowodowałoby to utratę dostępu do konsoli administracyjnej.

Jeśli jesteś administratorem bez uprawnień superadministratora i spróbujesz zmienić kolejność grup, zobaczysz ten komunikat: Aby zmienić kolejność grup, musisz mieć dodatkowe uprawnienia administratora. W takim przypadku skontaktuj się z superadministratorem lub sprzedawcą.

Kontaktowanie się z zespołem pomocy w przypadku zablokowania dostępu

W przypadku całkowitego zablokowania dostępu skontaktuj się z zespołem pomocy Google przez portal obsługi klienta.

Aby przywrócić dostęp, zespół pomocy usunie zasady dostępu zależnego od kontekstu z konsoli administracyjnej. Nie będzie to miało wpływu na zasady dostępu zależnego od kontekstu dotyczące innych aplikacji (takich jak Gmail czy Kalendarz Google).

Ważne: po usunięciu zasad przez zespół pomocy natychmiast zastosuj je ponownie.