В качестве суперадминистратора или реселлера вы можете определить контекст, в котором другие администраторы могут получить доступ к консоли администратора Google, назначив консоли администратора уровни доступа, учитывающие контекст.
Примечание: Не назначайте уровни доступа к консоли администратора, если вам специально не нужно ограничить доступ к консоли администратора для других администраторов. Подробную информацию о назначении уровней доступа приложениям см. в разделе «Назначение контекстно-зависимых уровней доступа приложениям» .
В этой статье описано, как:
- Назначьте и обновите эти уровни доступа.
- Избегайте непреднамеренной блокировки доступа к консоли администратора для себя или других администраторов.
- В случае блокировки системы отреагируйте соответствующим образом.
Прежде чем начать
Разберитесь в возможных сценариях блокировки:
- Администраторы могут по ошибке установить уровень доступа к IP-подсети, принадлежащей другому лицу, а затем применить этот уровень доступа к консоли администратора.
- Или же они могут установить устаревший уровень доступа к консоли администратора. Такая ситуация может возникнуть, если уровень доступа требует использования устройства, принадлежащего компании, а администратор переходит с одного из таких устройств на личное.
Избегайте блокировки доступа
- Проверьте уровни доступа, которые вы планируете применить к консоли администратора. Убедитесь, что хотя бы один администратор соответствует критериям доступа.
- При необходимости создайте новый уровень доступа. Вы можете гарантировать соблюдение условий доступа, создав уровень доступа, который, как вы знаете, соответствует этим условиям.
- Обратите внимание на сообщения, которые вы получаете при добавлении или редактировании уровней доступа в консоли администратора. Эти сообщения помогут вам определить дальнейшие действия, чтобы избежать блокировки.
Применяйте политики к группам конфигурации, которые могут выступать в качестве контейнера для уровней доступа.
- Вы создаете группу конфигурации и назначаете уровни доступа для приложений.
- Затем добавьте в группу конфигурации группы пользователей, к которым не применяется политика, вызывающая блокировку.
Подробности см. в разделе «Настройка контекстно-зависимого доступа для групп» .
Обеспечьте доступ к поддержке в случае блокировки устройства.
Во-первых, убедитесь, что вы, назначенный суперадминистратор, или любой другой администратор, являющийся контактным лицом службы поддержки, имеете доступ к порталу Google Customer Care .
При необходимости выполните следующие действия, чтобы предоставить пользователям доступ к порталу обслуживания клиентов .
Для повышения безопасности используйте двухфакторную аутентификацию для администраторов, имеющих доступ к порталу обслуживания клиентов. Подробности см. в разделе «Защитите свой бизнес с помощью двухфакторной аутентификации» .
Работа с уровнями доступа к консоли администратора
Система предотвращает блокировку прав администратора при выполнении или попытке выполнения следующих задач:
Назначьте уровни доступа.
- На главной странице консоли администратора перейдите в раздел Безопасность > Доступ и управление данными > Контекстно-зависимый доступ .
- Найдите «Консоль администратора» в верхней части списка приложений и нажмите «Назначить» .
- Выберите один или несколько уровней доступа к консоли администратора.
Доступ к консоли администратора предоставляется, если администратор соответствует условиям, указанным в:- Один из выбранных вами уровней доступа — это логическое ИЛИ уровней доступа из списка.
- Создание уровня доступа , содержащего несколько уровней доступа, с помощью логического И.
- Нажмите « Сохранить ».
Система отображает индикатор выполнения, пока проверяется, не блокируют ли условия уровня доступа доступ ни одному из администраторов. Если вы:- Выполнены условия хотя бы по одному из выбранных уровней доступа — Вы успешно применили доступ. На странице «Назначение уровней доступа» отображается подтверждение применения уровня доступа.
- Не соответствуете условиям хотя бы одного из выбранных уровней доступа — Уровень доступа не применим. После нажатия кнопки «Сохранить» и попытки проверки системой вы увидите следующее сообщение: «Вы не можете назначить эти уровни доступа, поскольку в настоящее время не соответствуете ни одному из этих условий и потеряете доступ к консоли администратора» .
Изменить уровень доступа
Существуют ограничения на уровни доступа к редактированию, назначаемые консоли администратора.
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Нажмите «Уровни доступа» .
- Выберите существующий уровень доступа.
При попытке редактирования уровня доступа, назначенного консоли администратора, вы можете изменить его имя и описание, но не условия. Попытка сделать это приводит к следующему сообщению об ошибке: «Вы не можете редактировать условия этого уровня доступа, поскольку он в данный момент назначен консоли администратора, и изменения могут повлиять на возможность доступа к нему другого администратора. Чтобы отредактировать условия, сначала отмените назначение в консоли администратора» .
Удаление уровня доступа
Удалять уровни доступа можно только в том случае, если это не блокирует доступ.
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Нажмите «Уровни доступа» .
- Выберите существующий уровень доступа.
- Нажмите «Удалить уровень доступа» .
В процессе проверки появляется следующее сообщение: «Удалить уровень доступа? Он больше не будет доступен в консоли администратора (а также в Google Cloud и Cloud SDK, если применимо). Он также будет удален из всех приложений, к которым в данный момент он назначен. Удаление этого уровня доступа может повлиять на возможность доступа к консоли администратора для другого администратора».- Вы можете удалить уровень доступа. Для этого нажмите «Подтвердить» .
- Удалить уровень доступа невозможно — это приведет к потере доступа к консоли администратора. После проверки появляется следующее сообщение: «Невозможно удалить уровень доступа».
Если вы являетесь администратором, не обладающим правами суперадминистратора, ваши попытки удалить уровни доступа приводят к сообщению: « Только суперадминистраторы могут удалять уровни доступа, назначенные консоли администратора» . В этом случае обратитесь к суперадминистратору или реселлеру по поводу удаления уровней доступа.
Изменить приоритет группы
Система предотвращает изменение приоритетов групп, что может повлиять на доступ к консоли администратора. Любые попытки изменить порядок групп таким образом приводят к сообщению: « Вы не можете изменить порядок групп, поскольку это приведет к потере доступа к консоли администратора» .
Если вы являетесь администратором, не обладающим правами суперадминистратора, попытка изменить порядок групп приводит к следующему сообщению: «Для изменения порядка групп требуются дополнительные права администратора» . В этом случае обратитесь к суперадминистратору или реселлеру по поводу изменения порядка групп.
Обратитесь в службу поддержки, если ваш доступ заблокирован.
В случае полной блокировки обратитесь в службу поддержки Google через портал обслуживания клиентов .
Для восстановления доступа служба поддержки удаляет политики контекстно-зависимого доступа в консоли администратора. Это действие не затрагивает политики контекстно-зависимого доступа для других приложений (например, Gmail или Google Calendar).
Важно: После удаления политик службой поддержки, немедленно повторите их применение.
Дополнительная информация
- Обзор контекстно-зависимого доступа
- Настройте программное обеспечение и создайте уровни доступа с учетом контекста.
- Настройка контекстно-зависимого доступа для групп.
- Примеры контекстно-зависимого доступа для базового режима
- Примеры контекстно-зависимого доступа для расширенного режима
- Журнал аудита доступа с учетом контекста