Создание и управление правилами доверия для совместного доступа к Google Диску.

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus. Сравните вашу версию.

With trust rules, you can create granular policies to control who can get access to Google Drive files. Your policies can apply to individual users, groups, organizational units, and domains to specify:

  • Which users' files can be shared with internal or external users
  • Which users can receive files from internal or external users
  • Какие внутренние или внешние пользователи могут быть приглашены и добавлять элементы на общие диски?

Because trust rules provide flexibility in establishing collaboration boundaries, they can help you secure sensitive information and maintain compliance with industry standards and regulations.

Используйте правила доверия для контроля внешнего доступа к данным.

Suppose your organization's Marketing team needs to share their files with specific people at your partner organization. To help keep your organization's information confidential, you can create rules to establish the following external collaboration boundaries:

  • Разрешите доступ к файлам, принадлежащим вашей маркетинговой команде, определенным сотрудникам партнерской организации.
  • Заблокируйте возможность совместного доступа к файлам, принадлежащим другим командам в вашей организации, для партнерской организации.
  • Заблокируйте доступ других команд в партнерской организации к своим файлам для всех сотрудников вашей организации.

Используйте правила доверия для управления внутренним обменом данными.

Suppose your organization's Finance team should share their files only with your Executive team. To help prevent other teams from receiving confidential financial information, you can create rules to establish the following internal collaboration boundaries:

  • Разрешите передавать файлы, принадлежащие финансовому отделу, финансовому отделу и руководителям высшего звена.
  • Заблокируйте возможность совместного доступа к файлам, принадлежащим финансовому отделу, для любых других подразделений вашей организации.

Используйте правила доверия, чтобы предотвратить спам и фишинг.

Drive tries to block external users from sharing spam or phishing with your users. However, if you'd like to take additional steps to decrease your risk, you can create a rule that allows only external users from trusted domains to share files with internal users. To ensure users can still collaborate, you can apply this rule only to organizational units with users who usually don't usually receive files from external users.

Как правила доверия заменяют настройки общего доступа к Диску

Your Drive sharing settings are converted to trust rules

Настройки общего доступа к дискам автоматически преобразуются в правила доверия.

Правила доверия заменяют настройки вашего Диска в разделе «Параметры общего доступа».а потом Обмен информацией за пределами вашей организации .

Предварительный просмотр преобразованных правил можно выполнить в настройках Google Диска.

    Чтобы просмотреть правила, автоматически созданные на основе настроек вашего Диска:

    From the Admin console home page, go to Rules . You can filter rules by type, by clicking Add a filterа потом Тип правилаа потом Доверять .

    In the Rules list, you'll see:

    • Два правила по умолчанию для обмена информацией за пределами вашей организации.

      После вступления в силу эти правила будут либо активны, либо деактивированы в зависимости от состояния соответствующих настроек общего доступа к Диску.

    • Any other rules needed to match the sharing boundaries of your current Drive settings

    Important: These rules aren't enforced until you turn on trust rules.

    Your equivalent Drive sharing settings become inactive

    Once you turn on trust rules, you can no longer use the Drive setting for sharing outside your organization. For details about Drive sharing settings, go to Set users' Drive sharing permissions .

    Вы можете отключить правила доверия.

    At any time, you can turn off trust rules and return to using Drive sharing settings instead. For details, go to Turn trust rules on or off below.

    Правила доверия обеспечивают больший контроль, чем настройки общего доступа к Диску.

    With a trust rule's scope and conditions components, you can control file sharing more precisely than you can with Drive sharing settings. For details about rule components, go to the section Understand trust rule components later on this page.

    В следующих таблицах сравниваются доступные элементы управления в настройках общего доступа к дискам и правилах доверия.

    Управление областью видимости

    Объем

    Настройки общего доступа к диску

    		 Trust rules
    Include organizational units
    Включить группы
    Exclude organizational units
    Исключить группы

    Контроль условий

    Состояние Настройки общего доступа к диску Правила доверия
    Вся организация
    Allowlisted domains
    Внешние организации
    Организационные подразделения
    Группы (созданные внутри компании)
    Пользователи (внутренние)

    Прежде чем начать

    Понимание компонентов правил доверия

    To create a trust rule, you define its scope , trigger , conditions , and action components. Using these components, you can create a rule that says if x happens, do y .

    For example, if you create a rule to allow files your organization's Sales department own to be shared with anyone at your customer's organization (other-company.com ), the rule's components would be:

    • The scope is the organizational unit for your Sales department.
    • Триггером является попытка предоставить общий доступ к файлу, принадлежащему пользователю, находящемуся в указанной области видимости.
    • Условие — other-company.com.
    • The action is to allow the file to be shared.

    Defining the scope

    Область действия — это пользователь в вашей организации, к которому применяется триггер правила:

    • If a rule's trigger is Sharing files , the scope is the user who owns the file for which you want to control sharing.

      Важно: правило общего доступа также контролирует общий доступ пользователей с правами редактирования к файлу, принадлежащему пользователю, входящему в область действия правила.

    • Если триггер правила — «Получение файлов» , то область действия — это предполагаемый получатель файла.

    For the scope, you can:

    • Привлеките к участию всю вашу организацию.
    • Укажите, следует ли включать или исключать организационные подразделения (которые могут включать пользователей и общие диски).
    • Include or exclude groups in your organization's Google Groups service.

    Defining the trigger

    Триггер — это действие, которое правило разрешает или блокирует. Вы можете выбрать один из следующих триггеров:

    • Совместное использование файлов
    • Получение файлов

    Определение условий

    В качестве условий указываются пользователи, с которыми предполагается поделиться файлом или от которых он предназначен для получения:

    • Если триггером правила является «Общий доступ к файлам» , то условием является предполагаемый получатель файла.
    • If a rule's trigger is Receiving files , the condition is the user who owns the file.

    Для правила можно указать несколько условий, как внутри, так и за пределами вашей организации, в том числе:

    • Организационные подразделения
    • Groups in your organization's Google Groups service (can include external users)
    • Разрешенные домены (все пользователи всех внешних доменов, включенных в ваш список разрешенных)
    • Внешние домены, не включенные в ваш список разрешенных (должны использовать Google Workspace и пройти верификацию домена).
    • Конкретные пользователи в вашей организации
    • Любой, у кого есть аккаунт Google.

    Note: Only one condition needs to be met for the rule to take effect.

    Определение действия

    Действие — это желаемый результат, который должен произойти при срабатывании правила. Вы можете:

    • Разрешить совместное использование
    • Allow sharing with a warning

      Note: If you select this option, users see a warning when sharing files but not when receiving them.

    • Блокировка совместного использования

    Understand default rules for sharing outside your organization

    У вас есть 2 правила по умолчанию, которые определяют возможность предоставления доступа за пределы вашей организации:

    Название правила Объем Курок Состояние Действие Статус
    [По умолчанию] Пользователи в моей организации могут обмениваться данными и получать информацию внутри организации. Высшее организационное подразделение (вся организация) Обмен файлами и получение файлов Моя организация Позволять Активный*
    [По умолчанию] Пользователи в моей организации могут предоставлять доступ к своим данным любому пользователю, имеющему учетную запись Google. Высшее организационное подразделение (вся организация) Sharing files

    Любой человек в мире

    Включить посетителей

    		 Позволять Активный*

    Вы не можете редактировать правила по умолчанию , но можете деактивировать или повторно активировать их (если только вы не используете Cloud Identity ).

    * If you've already set up Drive settings for sharing outside: The status of default rules depends on your equivalent Drive sharing settings that were converted to trust rules.

    Подготовьте список организационных подразделений, групп и доверенных доменов.

    To allow or block sharing by departments or groups

    Make sure you create the organizational units and groups you want to create trust rules for:

    Чтобы ограничить доступ только к доверенным доменам.

    Убедитесь, что доверенные домены добавлены в список разрешенных. Доверенные домены должны использовать Google Workspace и пройти проверку домена. Подробности см. в разделе «Разрешить внешний доступ только к доверенным доменам» .

    Cloud Identity customers: If your organization has a mix of Cloud Identity and Google Workspace licenses, domains on an allowlist for Google Workspace also apply to users with Cloud Identity licenses.

    Составьте план правил доверия (с примером).

    Before creating trust rules, consider which type of sharing to allow or block across your organizational structure. Make sure your rules don't let users share with people they don't intend to or prevent them from sharing with people they intend to.

    For example, assume you have the 4 organizational units— Sales , Legal , Research , and All other teams —and you want to restrict the following types of sharing:

    • Files that Sales owns can't be shared internally with Research .
    • Files that Legal owns can't be shared externally except with your outside counsel.
    • Файлы, принадлежащие исследовательскому отделу, могут быть доступны для обмена только внутри компании, между исследовательским и юридическим отделами .
    • Files that all other teams own can't be shared externally with anyone.

    The following are recommended steps to implement your sharing model.

    Шаг 1: Составьте карту границ сотрудничества.

    You might want to use a matrix to map which sharing is allowed for different users, such as the following:

    Внутренний обмен данными

    		 Внешний доступ
    Организационная единица Принадлежащие им файлы можно передавать другим лицам... Принадлежащие им файлы нельзя передавать другим лицам... Принадлежащие им файлы можно передавать другим лицам... Принадлежащие им файлы нельзя передавать другим лицам...
    Продажи Продажи, Юридические услуги,
    Все остальные команды    		 Исследовать Любой
    Юридические Все команды Внешний консультант Все остальные
    Исследовать Исследования, юридические вопросы Продажи,
    All other teams    		 Любой
    Все остальные команды Все команды Любой

    Шаг 2: Создайте следующие правила:

    Правило Объем Курок Состояние Действие
    Внутренний обмен данными

    Включить: Корневой каталог
    организационное подразделение

    Исключить: Исследования

    Совместное использование файлов
    Получение файлов

    		 Твой
    организация    		 Позволять
    Исследования - Внутренний обмен информацией Включить: Исследования Совместное использование файлов
    Получение файлов    		 Исследовать,
    Юридические    		 Позволять
    Legal - External sharing Включает: Юридические аспекты

    Совместное использование файлов
    Получение файлов

    		 Внешний консультант
    домен    		 Позволять
    Продажи - Внешнее распространение Включить: Продажи Совместное использование файлов
    Получение файлов    		 Любой, у кого есть
    Аккаунт Google    		 Позволять
    Продажи - Блокировка совместного доступа Включить: Продажи

    Совместное использование файлов
    Получение файлов

    		 Исследовать Блокировать

    Шаг 3: Отключите 2 правила по умолчанию.

    Правила по умолчанию допускают широкое распространение информации как внутри, так и за пределами вашей организации; в этом примере они будут конфликтовать с более специфичной моделью распространения, которую вы хотите использовать.

    Understand which admin privileges you need to manage trust rules

    К... Вам необходимы эти права администратора...
    Включение или отключение правил доверия
    View trust rules in the Rules list
    Просмотреть подробности правил доверия
    Создание или редактирование правил доверия
    Активировать или деактивировать определенные правила доверия
    Удалить правила доверия

    Если вам требуются дополнительные права для управления правилами доверия, обратитесь к своему администратору.

    Tip: If you're a super administrator, you can create a custom admin role for managing trust rules and assign it to a delegated admin. For details, go to Create, edit, and delete custom Admin roles .

    Включите или выключите функцию правил доверия.

    Включите функцию правил доверия для Google Диска.

    Если включить правила доверия:

    • Existing rules in your Rules list are enforced, and your Drive settings for sharing outside your organization are deactivated. For details, go to How trust rules replace Drive settings earlier.
    • If you change any Drive sharing settings shortly before turning on trust rules, your rules might enforce the Drive settings' previous state temporarily. It can take up to 48 hours for trust rules to sync with recent changes to Drive sharing settings.

    Чтобы включить правила доверия:

    1. Перейти в меню а потом Правила .

      Requires having the View Trust Rules administrator privilege .

    2. В верхней части страницы, во вкладке «Безопасная совместная работа», нажмите « Включить для Диска» . Для этого необходимо иметь установленные модули «Управление правилами доверия» и «Диск и документы».а потом Настройки прав администратора.

      Список задач открывается автоматически и отображает ход активации правил доверия.

    Отключите функцию правил доверия для Google Диска.

    Если отключить правила доверия:

    • Your organization's Drive sharing settings become active again and revert to their state when you turned on trust rules.
    • Any trust rules you created are permanently deleted.

    Чтобы отключить правила доверия:

    1. В консоли администратора Google перейдите в меню. а потом Приложенияа потом Google Workspaceа потом Диск и Документы .

      Для этого требуются права администратора в разделе «Настройки службы» .

    2. Нажмите «Настройки общего доступа» .
    3. В разделе «Общий доступ за пределами вашей организации» нажмите «Отключить правила доверия» . Для этого необходимо иметь установленные окна «Управление правилами доверия» и «Диск и документы».а потом Настройки прав администратора.

      Открывается список задач , отображающий ход деактивации правил доверия.

    Создание и управление правилами доверия.

    Create a trust rule

    После создания правила доверия вы можете:

    • Edit it at any time to change settings, such as conditions and action, or to deactivate or reactivate it.
    • Delete a trust rule at any time.
    1. Перейти в меню а потом Правила .

      Для этого требуются права администратора «Просмотр правил доверия» .

    2. Нажмите «Создать правило».а потом Trust . Requires having the View Trust Rules , Manage Trust Rules , Drive & Docsа потом Настройки , Группыа потом Read , and Organizational Unitsа потом Read administrator privileges.
    3. В поле «Имя» введите название и, при желании, описание для вашего правила.
    4. В разделе «Область применения» выберите один из следующих вариантов:

      По умолчанию это правило распространяется на всех сотрудников вашей организации.

      To apply the rule to only specific users:

      • Для правила общего доступа выберите, к файлам каких пользователей оно применяется. Правила доверия применяются только к файлам, принадлежащим пользователям или общим дискам, входящим в область действия правила. Подробнее .
      • Для правила приема выберите пользователей, которые должны получить общий файл.
      1. Click Specify organizational units or groups.
      2. Select an option to include or exclude organizational units or groups.
      3. Выберите организационное подразделение или группу, которую следует включить или исключить.
      4. (Optional) Include or exclude more organizational units or groups.

        For example, to apply a rule to everyone in your organization except for one group, include the top-level organizational unit and exclude the one exempt group.

        Чтобы удалить организационное подразделение или группу, нажмите кнопку «Очистить». рядом с ним.

    5. Нажмите «Продолжить» .
    6. Under Triggers , select one or both events for which you want to apply the rule:
      • Совместное использование файлов — правило срабатывает, когда файлы, принадлежащие пользователям из вашей области видимости, предоставляются пользователям, выбранным вами в условиях .
      • Receiving files —Rule triggers when people in your scope receive files owned by users or shared drives you select in Conditions , or are added as members to shared drives in Conditions .
    7. В разделе «Условия» нажмите «Добавить условие» , а затем выберите внутренних или внешних пользователей, которым вы хотите разрешить или запретить делиться информацией или получать доступ к ней от пользователей в вашей области действия.

      Внутренние параметры:

      • Пользователь — Начните вводить имя или адрес электронной почты пользователя.
      • Организационное подразделение — Нажмите «Выбрать организационное подразделение» .
      • Группа — Начните вводить название группы или адрес электронной почты.
      • Моя организация

      Внешние параметры:

      (Optional) To allow users to share externally with people who don't have a Google Account, check the Include visitors box . This option doesn't apply to some types of conditions. Learn about visitor sharing.

      • External organization —Enter the organization's domain name (such as other-company.com). The organization must have a domain-verified Google Workspace account, unless you're using visitor sharing.
      • Allowlisted domains —Optionally check which domains are on your allowlist by clicking View allowlisted domains .
      • Любой пользователь с учетной записью Google (включая внутренних и внешних пользователей).
    8. Нажмите «Продолжить» .
    9. Under Action , choose what happens when your rule is triggered: Allow , Allow with warning , or Block .
    10. Нажмите «Готово» .
    11. Выберите, активировать или деактивировать правило, а затем нажмите «Завершить» .

    Для того чтобы изменения вступили в силу, может потребоваться до 48 часов. В течение этого времени старые и новые настройки могут периодически применяться друг к другу.

    View and edit trust rule details

    Вы можете в любое время отредактировать правило доверия, чтобы изменить его настройки, такие как условия и действие, а также деактивировать или повторно активировать его.

    1. Перейти в меню а потом Rules .

      Requires having the View Trust Rules administrator privilege .

    2. Find the rule in the Rules list.

      Совет: Вы можете отсортировать список по типу правила, щелкнув заголовок столбца «Тип правила» . Или отфильтровать список, нажав кнопку «Добавить фильтр».а потом Тип правилаа потом Доверять .

    3. (Необязательно) Чтобы просмотреть область действия правил, условия, триггер и действие, наведите указатель мыши на правило в списке и нажмите «Быстрый просмотр» .
    4. (Необязательно) Щелкните по правилу, чтобы открыть страницу с его подробными сведениями и просмотреть настройки.
    5. (Optional) To edit settings:
      1. On the left of the details page, click Edit rule . Or click a settings section. Requires having the View Trust Rules , Manage Trust Rules , Drive & Docsа потом Настройки , Группыа потом Read , and Organizational Unitsа потом Read administrator privileges.
      2. Изменить настройки.

        Чтобы перейти к другим настройкам, нажмите «Продолжить» . Чтобы закрыть раздел, нажмите «Отмена».а потом Отменить и выйти .

      3. When you're finished editing settings, click Finish .

    It can take up to 48 hours to see changes. During this time, old and new settings might be intermittently enforced.

    Delete a trust rule

    If you delete a trust rule, it's permanently removed from your Google service. Alternatively, you can edit a rule to deactivate it in case you want to reactivate it later. Go to View or edit trust rule details .

    1. Перейти в меню а потом Правила .

      Requires having the View Trust Rules administrator privilege .

    2. В разделе «Правила» нажмите «Добавить фильтр».а потом Тип правилаа потом Доверять .
    3. In the Rules list, point to the rule you want to delete and click Delete Для этого необходимо иметь установленные окна «Просмотр правил доверия» , «Управление правилами доверия» и «Диск и документы».а потом Settings administrator privileges.

      Также вы можете найти опцию «Удалить» слева на странице с подробными сведениями о правиле (щелкните по правилу, чтобы открыть страницу с его подробными сведениями).

    4. В сообщении с подтверждением нажмите «Удалить» .

    It can take up to 48 hours to see changes. During this time, old and new settings might be intermittently enforced.

    View trust rule log events

    You can view detailed logs that show admin activity on trust rules. Three types of logs are available:

    • Rule creation
    • Rule deletion
    • Update rule

    Вы можете просмотреть подробные журналы, отображающие активность пользователей в отношении правил доверия к общим файлам Google Диска. Доступны три типа журналов:

    • Заблокированный получатель
    • File share blocked
    • Просмотр файла заблокирован

    For steps on how to see what types of events you can view, go to Admin log events and Rule log events .

    Узнайте больше о том, как работают правила доверительного управления.

    Для обеспечения возможности совместной работы двух внутренних команд вам потребуется два правила.

    Для того чтобы разрешить обмен файлами одной команды или пользователя с другой внутренней командой или пользователем, вам потребуется два правила — одно для обмена, а другое для получения.

    Пример: Разрешить команде делиться файлами с другой командой.

    Suppose you want to let files your Sales team owns to be shared with your Marketing team. In this case, you'd need one rule to allow Sales to share files with Marketing and another rule to allow Marketing to receive files from Sales:

    Правило Объем Курок Состояние Действие
    1 Продажи Совместное использование файлов Маркетинг Позволять
    2 Маркетинг Receiving files Продажи Позволять

    Пример: Разрешить обмен файлами между двумя командами.

    Suppose you want to let files your Sales and Marketing teams own to be shared between the two teams. Like the example above, you'd need 2 rules; however, in this case, each rule's trigger needs to include both sharing and receiving:

    Правило Объем Курок Состояние Действие
    1 Продажи

    Совместное использование файлов
    Receiving files

    		 Маркетинг Позволять
    2 Маркетинг

    Совместное использование файлов
    Receiving files

    		 Продажи Позволять

    Trust rules apply only to files that users in the scope own

    If a rule specifies what happens when a file is shared, it applies only to the files owned by users (and any shared drives) in the rule's scope. The rule doesn't apply to files for which users in the scope have Editor privileges but don't own.

    For example, if you create a rule to prevent files your Research team owns from being shared with your Sales team, the Research team can still share any other files for which they have Editor privileges with Sales. To prevent Sales from receiving files from another team, you can create blocking rules.

    Примечание:

    • If a file owner moves to a different organizational unit or group, the file's sharing rules change to those of the new organizational unit or group. This rules change also applies if file ownership transfers to someone in a different organizational unit or group.
    • For files they don't own, users can't share files beyond what's allowed for file owners. This restriction applies even if users are in organizational units or groups with more permissive sharing rules.

    How trust rules work with visitor and unmanaged Google accounts

    Вот как работают правила доверия для людей, у которых нет учетной записи Google или которые имеют учетную запись Google, не управляемую администратором.

    Посетители без учетной записи Google

    Правила, разрешающие совместное использование

    If you create a rule that allows users to share files externally, by default, sharing is allowed only with people who have a managed Google Account. However, you can also allow users to share files with people who don't have a Google Account. In this case, the recipient is given a special type of account called a visitor account . Learn more about sharing with visitor accounts .

    To allow sharing with people who don't have a Google Account, in the Conditions settings for the rule, select the Include visitors option. This option applies only to rules that allow users to share externally, with either an external domain or all external users.

    Примечание: Вы не можете разрешить доступ к контенту для гостевой учетной записи, добавив ее в группу, для которой разрешен внешний доступ.

    Правила, блокирующие обмен информацией

    Any rules that block users from sharing outside your organization always apply to visitors, even if the Include visitors option isn't selected for the condition.

    However, if there's another rule that allows sharing with visitor accounts, a blocking rule doesn't apply to visitor accounts in groups. For example, if you have the following rules:

    • Правило 1 — Разрешить обмен файлами любому пользователю с учетной записью Google , выбрав опцию «Включить посетителей» .
    • Правило 2 — Запретите делиться информацией с группами рассылки, в которые входят пользователи с гостевыми учетными записями.

    Block actions don't apply to the visitor accounts in the group. Users in rule 2's scope can still provide the visitor accounts with access to their files.

    People with an unmanaged Google Account

    Rules that allow sharing

    If you create a rule that allows users to share externally with a specific domain or organization, users can't share with unmanaged Google accounts at that domain or organization. These accounts include consumer accounts and email-verified Google Workspace accounts.

    You can, however, allow users to share with specific unmanaged accounts: Add the accounts to a group and create a rule that allows sharing with that group.

    Правила, блокирующие обмен информацией

    Любые правила, запрещающие пользователям делиться информацией за пределами вашей организации, всегда применяются к неуправляемым учетным записям.

    Как применяются правила доверия к общим дискам

    If a trust rule's scope includes an organizational unit, the rule applies to any shared drives in that organizational unit. For example, if you create a rule that allows your Manufacturing team's organizational unit to share files with Legal, users in Legal can access Manufacturing's shared drives.

    Чтобы создать правила доверия для общих дисков, убедитесь, что общие диски настроены в соответствующих организационных подразделениях.

    Приоритет правил доверия: как обрабатываются противоречащие друг другу правила.

    Если область действия, триггер и условия нескольких правил доверия соответствуют событию совместного доступа, то для компонента действия правил применяется следующий порядок приоритета:

    1. Block sharing
    2. Разрешить совместное использование
    3. Разрешить обмен информацией с предупреждением

    Вот несколько примеров того, как обрабатываются конфликты правил. В этих примерах:

    • "your-organization.com" is the organization's top-level organizational unit.
    • «Отдел маркетинга» — это дочернее организационное подразделение, находящееся на уровне высшего руководства.

    Пример 1

    Правило Объем Состояние Курок Действие
    1 your-organization.com Anyone in the world Совместное использование файлов Позволять
    2 Отдел маркетинга Домен, включенный в список разрешенных Sharing files Позволять

    Result: Because the Marketing department is a subset of your entire organization, Rule 1 also applies to them. Therefore, they can share with anyone in the world, not just allowlisted domains. Example 2 below shows you how to create rules to restrict Marketing to sharing only with allowlisted domains.

    Пример 2

    Правило Объем Состояние Курок Действие
    1

    your-organization.com

    За исключением отдела маркетинга.

    		 Anyone in the world Sharing files Позволять
    2 Отдел маркетинга Домен, включенный в список разрешенных Совместное использование файлов Позволять

    Result: Because Rule 1 excludes the Marketing department, only Rule 2 applies to them. Therefore, they can share only with allowlisted domains. All other users can share with anyone in the world.

    Пример 3

    Правило Объем Состояние Курок Действие
    1 your-organization.com Домен, включенный в список разрешенных Sharing files Позволять
    2 Отдел маркетинга Любой человек в мире Sharing files Позволять

    Результат: Правило 2 более либеральное, поэтому отдел маркетинга может делиться информацией с кем угодно в мире. Все остальные пользователи могут делиться информацией только с доменами из списка разрешенных.

    Пример 4

    Правило Объем Состояние Курок Действие
    1 your-organization.com Любой человек в мире Совместное использование файлов Позволять
    2 Отдел маркетинга other-company.com Sharing files Блокировать

    Result: Because Rule 2 blocks sharing, it takes precedence over the sharing allowed by Rule 1. Therefore, the Marketing department can share with anyone in the world, except other-company.com.

    Вы можете в любое время деактивировать и повторно активировать правила доверия.

    По умолчанию статус новых создаваемых вами правил установлен на «Активный» . Однако вы можете установить для любого нового или существующего правила статус «Неактивный» . Например, вы можете создать новое правило и деактивировать его до тех пор, пока не будете готовы его использовать.

    Trust rules FAQ

    How long do changes to a trust rule take to apply?

    If a trust rule's scope or conditions don't include any organizational units, it can take up to 24 hours for the trust rule to apply to Drive sharing. However, if a trust rule's scope or conditions do include one or more organizational units, it can take up to 48 hours for the rule to apply, depending on the size of the organizational units.

    What are the limits for trust rules and rule conditions?

    You can have a maximum of:

    • 200 действующих правил доверия
    • 2,000 trust rules (active + inactive)
    • Правило 150 условий на один траст
    • 500 conditions of the following types across all your organization's trust rules:
      • organizational units
      • группы
      • allowlisted (trusted) domains
      • внешние домены
      • specific users—1-200 users counts as 1 condition, 201-400 users counts as 2 conditions, and so on

      Примечание: Количество условий следующих типов, которые могут быть включены во все ваши правила доверия, не ограничено :

      • Организация
      • Anyone with a Google Account
    • Согласно правилам, в сферу действия было включено и исключено 500 организационных единиц или групп.

    Which types of groups can I select for a rule's scope or condition?

    You can choose admin- or user-created groups in your Groups list in the Admin console. Group addresses must end with your organization's domain—you can't choose external groups for a rule's scope or conditions.

    Here are some types of groups to consider for trust rules:

    • Dynamic groups —Manage memberships automatically when users join, move within, or leave your organization. Available in the Admin console or with the Cloud Identity API, dynamic groups help you reduce time spent managing group membership manually. To use a dynamic group for a trust rules policy, make sure it's also a security group (which has the Security label). Learn more about dynamic groups .

    • Security groups —Convert a standard or dynamic group to a security group, which helps you regulate, audit, and monitor the group for permission and access control. You can create security groups in the Admin console or with the Cloud Identity Groups API, by adding the Security label to them. Learn more about security groups .

    • Migrated groups —Use Google Cloud Directory Sync (GCDS) to sync groups you create in Microsoft Active Directory or other tools with Google Workspace. Then, you use those synced groups in trust rules. Learn more about GCDS .

    Как применить правила доверия к внешним пользователям?

    To apply trust rules to external users, you can create a group with external addresses (including external group or individual addresses). For example, if your organization's Legal team needs to share their files with specific attorneys at your outside council's firm, you can create a group with the attorneys' addresses. Then create a rule, such as:

    • Сфера деятельности — Организационное подразделение юридической команды
    • Trigger —Sharing files and Receiving files
    • Condition —Group with specific attorneys' addresses
    • Действие — Разрешить

    Если в учетной записи пользователя больше нет Google Диска, будут ли по-прежнему применяться правила доверия к его общим файлам?

    If a user no longer has the Google Drive and Docs service for their account—for example, the Google Workspace license was removed from their account—files they own can be shared only within your organization , even if the trust rules applied to their files allow external sharing. Internal sharing rules, such as those restricting sharing to specific organizational units, will no longer apply to user files. However, rules that prevent other licensed users from receiving files will still be enforced.

    To remove the external sharing restriction from the user's files, you can add the Archived User (AU) license to their account. For details, go to Add Archived User licenses .

    Если правило разрешает пользователю предоставлять доступ к файлам извне, и я впоследствии удаляю этого пользователя из правила, будет ли доступ к его файлам по-прежнему возможен извне?

    If you created a rule that allows a group to share files externally, and then remove a user from the group, any files that user shared externally can no longer be accessed outside of your organization.

    Могу ли я применять правила доверия к пользователям, у которых есть лицензия Google Workspace, не включающая эти правила?

    If your organization includes some users who have a Google Workspace license that doesn't include trust rules, you can still apply trust rules to those users and their files. Also, if a user has a Google Workspace license that does include trust rules, and their account is switched to a license that doesn't include the feature, trust rules still apply to the user and their files.

    Почему Google Диск позволяет мне делиться файлами с внешними группами? Разве правила доверия не препятствуют обмену файлами?

    Trust rules are applied to users, not groups, because a group can include members who aren't blocked by trust rules. So while you can share Drive files with external groups, access is blocked for group members according to your trust rules.

    Что произойдет с правилами доверия, если моя организация перейдет на версию Google Workspace, в которой правила доверия не включены?

    If your organization switches to a Google Workspace edition that doesn't include trust rules, your organization's active trust rules remain active and enforced. You can view trust rules but can't edit or delete them. If you're a super admin, you can turn off trust rules to use Drive sharing settings instead.

    If you turn off trust rules: Your organization's Drive sharing settings become active again and revert to their state when you turned on trust rules. Any trust rules you created are permanently deleted.

    If you cancel your Google Workspace subscription and have only Cloud Identity licenses, you can't use Drive sharing settings.

    When sharing a file, users can choose the Anyone with the link option if all of the following are true:

    • Trust rules that apply to the users' files let them share with everyone in your organization, anyone with a Google Account, and visitor accounts .
    • There are no trust rules applied to the users' files that block them from sharing files.
    • The following Drive sharing setting is turned on: When sharing outside of your domain is allowed, users can make files and published content available to anyone with the link . For details about this setting, go to Set users' Drive sharing permissions .

    Работают ли правила доверия с учетными записями служб?

    Yes, service accounts are included in the condition Anyone with a Google Account . For example, if you create a trust rule to block users at your organization from collaborating with Anyone with a Google Account, the rule also prevents service accounts from accessing files protected by the rule.

    Почему правила доверия блокируют доступ респондентов к формам?

    Trust rules only block respondents from accessing a Form when the form contains a file upload question and the trust rule has a file sharing restriction. Users within the scope of a trust rule are not restricted from responding to Forms that do not prompt the respondents to upload files.

    Trust rules known issues

    Known issues list

    Проблема Подробности
    Logs for trust rules don't include some details Admin logs for trust rules include who made a change and the type of change (create, update, or delete). However, the logs don't yet include what the change was and which setting was changed.
    An admin with insufficient privileges to open a rule's "quick view" doesn't receive an informative message

    If a delegated admin clicks the Quick view link for a trust rule in the Rules list, the rule's details won't open if the admin doesn't have all the privileges needed to view them (such as the Organizational units > Read privilege). However, the admin doesn't receive a message that they need additional privileges.

    Users can't access shared drives owned by email-verified organizations

    If you turn on trust rules, users can no longer collaborate with shared drives owned by another organization that has an email-verified Google Workspace account.