Tạo và quản lý quy tắc tin cậy đối với việc chia sẻ trên Drive

Giả sử Nhóm tiếp thị của tổ chức bạn cần chia sẻ tệp với một số người dùng cụ thể tại tổ chức đối tác. Để giữ bí mật thông tin của tổ chức, bạn có thể tạo các quy tắc để thiết lập những ranh giới cộng tác bên ngoài sau đây:

• Cho phép chia sẻ các tệp thuộc sở hữu của nhóm Tiếp thị với những người cụ thể tại tổ chức đối tác.
• Ngăn chặn việc chia sẻ tệp thuộc sở hữu của các nhóm khác trong tổ chức của bạn với tổ chức đối tác.
• Chặn các nhóm khác trong tổ chức đối tác chia sẻ tệp của họ với bất kỳ ai trong tổ chức của bạn.

Giả sử nhóm Tài chính của tổ chức chỉ được phép chia sẻ tệp với nhóm Điều hành. Để ngăn các nhóm khác nhận được thông tin tài chính bí mật, bạn có thể tạo các quy tắc để thiết lập những ranh giới cộng tác nội bộ sau đây:

• Cho phép chia sẻ các tệp thuộc quyền sở hữu của nhóm Tài chính với nhóm Tài chính và Ban điều hành.
• Ngăn chặn việc chia sẻ tệp mà nhóm Tài chính sở hữu với bất kỳ nhóm nào khác trong tổ chức của bạn.

Drive cố gắng ngăn người dùng bên ngoài chia sẻ nội dung rác hoặc nội dung lừa đảo với người dùng của bạn. Tuy nhiên, nếu muốn thực hiện các bước bổ sung để giảm nguy cơ, bạn có thể tạo một quy tắc chỉ cho phép người dùng bên ngoài thuộc các miền đáng tin cậy chia sẻ tệp với người dùng nội bộ. Để đảm bảo người dùng vẫn có thể cộng tác, bạn chỉ có thể áp dụng quy tắc này cho những đơn vị tổ chức có người dùng thường không nhận tệp từ người dùng bên ngoài.

Chế độ cài đặt chia sẻ trên Drive sẽ tự động chuyển đổi thành quy tắc tin cậy

Quy tắc tin cậy sẽ thay thế các chế độ cài đặt Drive trong phần Lựa chọn chia sẻChia sẻ ra bên ngoài tổ chức của bạn.

Bạn có thể xem trước các quy tắc được chuyển đổi từ chế độ cài đặt của Drive

Cách xem trước các quy tắc được tạo tự động từ chế độ cài đặt Drive:

Trên trang chủ của Bảng điều khiển dành cho quản trị viên, hãy chuyển đến mục Quy tắc. Bạn có thể lọc các quy tắc theo loại bằng cách nhấp vào Thêm bộ lọcLoại quy tắcTin cậy.

Trong danh sách Quy tắc, bạn sẽ thấy:

• Hai quy tắc mặc định để chia sẻ ra bên ngoài tổ chức

  Sau khi được thực thi, các quy tắc này sẽ ở trạng thái hoạt động hoặc không hoạt động, tuỳ thuộc vào trạng thái của chế độ cài đặt cách chia sẻ tương đương trên Drive.

• Mọi quy tắc khác cần thiết để khớp với ranh giới chia sẻ của chế độ cài đặt hiện tại trên Drive

Quan trọng: Các quy tắc này sẽ không được thực thi cho đến khi bạn bật quy tắc tin cậy.

Các chế độ cài đặt chia sẻ tương đương trên Drive sẽ không hoạt động

Sau khi bật quy tắc tin cậy, bạn sẽ không thể sử dụng chế độ cài đặt Drive để chia sẻ ra bên ngoài tổ chức của mình nữa. Để biết thông tin chi tiết về chế độ cài đặt chia sẻ trên Drive, hãy xem bài viết Thiết lập quyền chia sẻ của người dùng trên Drive.

Bạn có thể tắt các quy tắc tin cậy

Bạn có thể tắt quy tắc tin cậy và quay lại sử dụng chế độ cài đặt cách chia sẻ trên Drive bất cứ lúc nào. Để biết thông tin chi tiết, hãy chuyển đến phần Bật hoặc tắt quy tắc tin cậy bên dưới.

Với các thành phần phạm vi và điều kiện của quy tắc tin cậy, bạn có thể kiểm soát việc chia sẻ tệp một cách chính xác hơn so với khi dùng chế độ cài đặt cách chia sẻ trên Drive. Để biết thông tin chi tiết về các thành phần của quy tắc, hãy chuyển đến phần Tìm hiểu các thành phần của quy tắc tin cậy ở phần sau trên trang này.

Các biểu đồ sau đây so sánh các chế độ kiểm soát hiện có trong chế độ cài đặt chia sẻ trên Drive và quy tắc tin cậy.

Chế độ kiểm soát phạm vi

Kiểm soát điều kiện

Để tạo quy tắc tin cậy, bạn phải xác định các thành phần phạm vi, điều kiện kích hoạt, điều kiện và hành động của quy tắc đó. Khi sử dụng các thành phần này, bạn có thể tạo một quy tắc cho biết nếu x xảy ra, hãy thực hiện y.

Ví dụ: nếu bạn tạo một quy tắc cho phép chia sẻ tệp thuộc sở hữu của bộ phận Bán hàng trong tổ chức của bạn với bất kỳ ai trong tổ chức của khách hàng (other-company.com), thì các thành phần của quy tắc sẽ là:

• Phạm vi là đơn vị tổ chức cho bộ phận Bán hàng của bạn.
• Điều kiện kích hoạt là khi có người cố gắng chia sẻ một tệp thuộc sở hữu của người dùng trong phạm vi.
• Điều kiện là other-company.com.
• Hành động là cho phép chia sẻ tệp.

Xác định phạm vi

Phạm vi là người dùng trong tổ chức của bạn mà điều kiện kích hoạt của một quy tắc áp dụng:

• Nếu điều kiện kích hoạt của một quy tắc là Chia sẻ tệp, thì phạm vi là người dùng sở hữu tệp mà bạn muốn kiểm soát việc chia sẻ.

  Quan trọng: Quy tắc chia sẻ cũng kiểm soát việc chia sẻ của những người dùng có đặc quyền Chỉnh sửa đối với tệp do một người dùng trong phạm vi sở hữu.

• Nếu điều kiện kích hoạt của một quy tắc là Nhận tệp, thì phạm vi sẽ là người nhận dự kiến của tệp.

Đối với phạm vi, bạn có thể:

• Bao gồm toàn bộ tổ chức của bạn.
• Bao gồm hoặc loại trừ đơn vị tổ chức (có thể chứa người dùng và bộ nhớ dùng chung).
• Thêm hoặc loại trừ nhóm trong dịch vụ Nhóm Google của tổ chức.

Xác định điều kiện kích hoạt

Điều kiện kích hoạt là hoạt động mà một quy tắc cho phép hoặc chặn. Bạn có thể chọn một trong các điều kiện kích hoạt sau:

• Chia sẻ tệp
• Đang nhận tệp

Xác định các điều kiện

Điều kiện là những người dùng mà bạn dự định chia sẻ hoặc nhận tệp từ:

• Nếu điều kiện kích hoạt của một quy tắc là Chia sẻ tệp, thì điều kiện sẽ là người nhận dự kiến của tệp.
• Nếu điều kiện kích hoạt của quy tắc là Nhận tệp, thì điều kiện là người dùng sở hữu tệp.

Bạn có thể chỉ định nhiều điều kiện cho một quy tắc, cả trong và ngoài tổ chức của mình, bao gồm:

• Đơn vị tổ chức
• Nhóm trong dịch vụ Google Groups của tổ chức (có thể bao gồm cả người dùng bên ngoài)
• Các miền có trong danh sách cho phép (tất cả người dùng ở tất cả các miền bên ngoài có trong danh sách cho phép của bạn)
• Các miền bên ngoài không có trong danh sách cho phép (phải sử dụng Google Workspace và được xác minh miền)
• Một số người dùng cụ thể trong tổ chức của bạn
• Bất cứ ai có Tài khoản Google

Lưu ý: Bạn chỉ cần đáp ứng một điều kiện để quy tắc có hiệu lực.

Xác định hành động

Hành động là kết quả mà bạn muốn xảy ra khi một quy tắc được kích hoạt. Bạn có thể:

• Cho phép chia sẻ
• Cho phép chia sẻ kèm theo cảnh báo

  Lưu ý: Nếu bạn chọn chế độ này, người dùng sẽ thấy cảnh báo khi chia sẻ tệp nhưng không thấy cảnh báo khi nhận tệp.

• Chặn chia sẻ

Bạn có 2 quy tắc mặc định chỉ định việc chia sẻ ra bên ngoài tổ chức của bạn:

Bạn không thể chỉnh sửa quy tắc mặc định, nhưng có thể tắt hoặc bật lại các quy tắc này (trừ phi bạn đang sử dụng Cloud Identity).

* Nếu bạn đã thiết lập chế độ cài đặt chia sẻ ra bên ngoài trên Drive: Trạng thái của các quy tắc mặc định phụ thuộc vào chế độ cài đặt chia sẻ tương đương trên Drive đã được chuyển đổi thành quy tắc tin cậy.

Cách cho phép hoặc chặn việc chia sẻ theo phòng ban hoặc nhóm

Hãy nhớ tạo các đơn vị tổ chức và nhóm mà bạn muốn tạo quy tắc tin cậy:

• Để biết thông tin chi tiết về cách tạo đơn vị tổ chức, hãy xem bài viết Thêm một đơn vị tổ chức.
• Để biết thông tin chi tiết về cách tạo nhóm, hãy xem phần Tạo nhóm.

Cách chỉ cho phép chia sẻ với các miền đáng tin cậy

Đảm bảo rằng các miền đáng tin cậy nằm trong danh sách cho phép của bạn. Các miền đáng tin cậy phải sử dụng Google Workspace và được xác minh bằng miền. Để biết thông tin chi tiết, hãy chuyển đến phần Chỉ cho phép chia sẻ ra bên ngoài với các miền đáng tin cậy.

Khách hàng Cloud Identity: Nếu tổ chức của bạn có cả giấy phép Cloud Identity và Google Workspace, thì các miền trong danh sách cho phép của Google Workspace cũng áp dụng cho người dùng có giấy phép Cloud Identity.

Trước khi tạo quy tắc tin cậy, hãy cân nhắc loại hình chia sẻ mà bạn muốn cho phép hoặc chặn trong cơ cấu tổ chức của mình. Đảm bảo các quy tắc của bạn không cho phép người dùng chia sẻ với những người mà họ không muốn hoặc ngăn họ chia sẻ với những người mà họ muốn.

Ví dụ: giả sử bạn có 4 đơn vị tổ chức là Kinh doanh, Pháp lý, Nghiên cứu và Tất cả các nhóm khác, đồng thời bạn muốn hạn chế các loại hoạt động chia sẻ sau:

• Không thể chia sẻ nội bộ các tệp thuộc sở hữu của nhóm Bán hàng với nhóm Nghiên cứu.
• Những tệp mà nhóm Pháp lý sở hữu không được chia sẻ ra bên ngoài, trừ trường hợp chia sẻ với luật sư bên ngoài của bạn.
• Các tệp thuộc quyền sở hữu của nhóm Nghiên cứu chỉ có thể được chia sẻ nội bộ giữa nhóm Nghiên cứu và nhóm Pháp lý.
• Bạn không thể chia sẻ tệp thuộc sở hữu của tất cả các nhóm khác với bất kỳ ai bên ngoài.

Sau đây là các bước được đề xuất để triển khai mô hình chia sẻ của bạn.

Bước 1: Lập ranh giới cộng tác trên bản đồ

Bạn có thể muốn sử dụng một ma trận để lập bản đồ những nội dung được phép chia sẻ cho từng người dùng, chẳng hạn như:

Bước 2: Tạo các quy tắc sau:

Bước 3: Huỷ kích hoạt 2 quy tắc mặc định

Các quy tắc mặc định cho phép chia sẻ rộng rãi cả trong và ngoài tổ chức của bạn; trong ví dụ này, các quy tắc đó sẽ xung đột với mô hình chia sẻ cụ thể hơn mà bạn muốn sử dụng.

Nếu bạn cần có thêm đặc quyền để quản lý quy tắc tin cậy, hãy liên hệ với quản trị viên.

Lưu ý: Nếu là quản trị viên cấp cao, bạn có thể tạo một vai trò quản trị viên tuỳ chỉnh để quản lý các quy tắc tin cậy và chỉ định vai trò đó cho một quản trị viên được uỷ quyền. Để biết thông tin chi tiết, hãy xem bài viết Tạo, chỉnh sửa và xoá vai trò quản trị viên tuỳ chỉnh.

Nếu bạn bật quy tắc tin cậy:

• Các quy tắc hiện có trong danh sách Quy tắc sẽ được thực thi và chế độ cài đặt của Drive cho việc chia sẻ bên ngoài tổ chức của bạn sẽ bị vô hiệu hoá. Để biết thông tin chi tiết, hãy xem phần Cách quy tắc tin cậy thay thế chế độ cài đặt Drive ở trên.
• Nếu bạn thay đổi bất kỳ chế độ cài đặt chia sẻ nào trong Drive ngay trước khi bật quy tắc tin cậy, thì các quy tắc của bạn có thể tạm thời thực thi trạng thái trước đó của chế độ cài đặt trong Drive. Có thể mất đến 48 giờ để các quy tắc tin cậy đồng bộ hoá với những thay đổi gần đây đối với chế độ cài đặt chia sẻ trên Drive.

Cách bật quy tắc tin cậy:

1. Chuyển đến phần Trình đơn  Quy tắc.

   Bạn phải có đặc quyền Xem quy tắc tin cậy của quản trị viên.

2. Trong thẻ Cộng tác an toàn ở đầu trang, hãy nhấp vào Bật cho Drive. Bạn phải có đặc quyền của quản trị viên đối với Quản lý quy tắc tin cậy và Drive và Tài liệuCài đặt.

   Danh sách việc cần làm của bạn sẽ tự động mở ra để cho thấy tiến trình kích hoạt quy tắc tin cậy.

Nếu bạn tắt quy tắc tin cậy:

• Các chế độ cài đặt chia sẻ trong Drive của tổ chức bạn sẽ hoạt động trở lại và quay về trạng thái khi bạn bật quy tắc tin cậy.
• Mọi quy tắc tin cậy mà bạn đã tạo đều sẽ bị xoá vĩnh viễn.

Cách tắt quy tắc tin cậy:

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn Ứng dụngGoogle WorkspaceDrive và Tài liệu.

   Chuyển đến phần Drive và Tài liệu

   Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

2. Nhấp vào Cài đặt cách chia sẻ.
3. Trong phần Chia sẻ ra bên ngoài tổ chức của bạn, hãy nhấp vào Tắt quy tắc tin cậy. Bạn phải có đặc quyền của quản trị viên đối với Quản lý quy tắc tin cậy và Drive và Tài liệuCài đặt.

   Danh sách việc cần làm sẽ mở ra và cho thấy tiến trình vô hiệu hoá quy tắc tin cậy.

Sau khi tạo quy tắc tin cậy, bạn có thể:

• Bạn có thể chỉnh sửa quy tắc này bất cứ lúc nào để thay đổi các chế độ cài đặt (chẳng hạn như điều kiện và hành động) hoặc để tắt/bật quy tắc.
• Xoá quy tắc tin cậy bất cứ lúc nào.

1. Chuyển đến phần Trình đơn  Quy tắc.

   Bạn phải có đặc quyền Xem quy tắc tin cậy của quản trị viên.

2. Nhấp vào Tạo quy tắcTin cậy. Bạn phải có các đặc quyền của quản trị viên đối với Xem quy tắc tin cậy, Quản lý quy tắc tin cậy, Drive và Tài liệuCài đặt, NhómĐọc và Đơn vị tổ chứcĐọc.
3. Trong mục Tên, hãy nhập tên và nội dung mô tả (không bắt buộc) cho quy tắc của bạn.
4. Trong mục Phạm vi, hãy chọn một trong các lựa chọn sau:

   Theo mặc định, quy tắc này áp dụng cho mọi người trong tổ chức của bạn.

   Cách áp dụng quy tắc chỉ cho một số người dùng cụ thể:

   • Đối với quy tắc chia sẻ, hãy chọn tệp của người dùng mà quy tắc sẽ áp dụng. Quy tắc tin cậy chỉ áp dụng cho những tệp thuộc quyền sở hữu của người dùng hoặc bộ nhớ dùng chung trong phạm vi áp dụng của quy tắc. Xem chi tiết.
   • Đối với quy tắc nhận, hãy chọn những người dùng là người nhận dự kiến của một tệp được chia sẻ.
   1. Nhấp vào Chỉ định đơn vị tổ chức hoặc nhóm.
   2. Chọn một lựa chọn để thêm hoặc loại trừ đơn vị tổ chức hoặc nhóm.
   3. Chọn đơn vị tổ chức hoặc nhóm cần đưa vào hoặc loại trừ.
   4. (Không bắt buộc) Thêm hoặc loại trừ các đơn vị tổ chức hoặc nhóm khác.

      Ví dụ: để áp dụng một quy tắc cho mọi người trong tổ chức của bạn, ngoại trừ một nhóm, hãy thêm đơn vị tổ chức cấp cao nhất và loại trừ nhóm được miễn trừ đó.

      Để xoá một đơn vị tổ chức hoặc nhóm, hãy nhấp vào biểu tượng Xoá bên cạnh đơn vị tổ chức hoặc nhóm đó.

5. Nhấp vào Tiếp tục.
6. Trong mục Điều kiện kích hoạt, hãy chọn một hoặc cả hai sự kiện mà bạn muốn áp dụng quy tắc:
   • Chia sẻ tệp – Quy tắc sẽ kích hoạt khi tệp thuộc sở hữu của những người trong phạm vi của bạn được chia sẻ với người dùng mà bạn chọn trong Điều kiện.
   • Nhận tệp – Quy tắc sẽ kích hoạt khi người dùng trong phạm vi của bạn nhận được tệp thuộc quyền sở hữu của người dùng hoặc bộ nhớ dùng chung mà bạn chọn trong Điều kiện, hoặc khi người dùng được thêm làm thành viên vào bộ nhớ dùng chung trong Điều kiện.
7. Trong phần Điều kiện, hãy nhấp vào Thêm điều kiện, rồi chọn người dùng nội bộ hoặc bên ngoài mà bạn muốn cho phép/chặn chia sẻ tệp với người dùng trong phạm vi của bạn hoặc nhận tệp từ họ.

   Các lựa chọn nội bộ:

   • Người dùng – Bắt đầu nhập tên hoặc địa chỉ email của người dùng.
   • Đơn vị tổ chức – Nhấp vào Chọn một đơn vị tổ chức.
   • Nhóm – Bắt đầu nhập tên hoặc địa chỉ email của nhóm.
   • Tổ chức của tôi

   Các lựa chọn bên ngoài:

   (Không bắt buộc) Để cho phép người dùng chia sẻ ra bên ngoài với những người không có Tài khoản Google, hãy đánh dấu vào hộp Bao gồm cả khách truy cập. Lựa chọn này không áp dụng cho một số loại điều kiện. Tìm hiểu về tính năng chia sẻ với khách truy cập.

   • Tổ chức bên ngoài – Nhập tên miền của tổ chức (chẳng hạn như congtykhac.com). Tổ chức phải có tài khoản Google Workspace được xác minh bằng miền, trừ phi bạn đang sử dụng tính năng chia sẻ cho khách.
   • Miền có trong danh sách cho phép – Bạn có thể kiểm tra những miền có trong danh sách cho phép bằng cách nhấp vào Xem miền có trong danh sách cho phép.
   • Bất kỳ ai có Tài khoản Google (bao gồm cả người dùng nội bộ và bên ngoài)
8. Nhấp vào Tiếp tục.
9. Trong mục Thao tác, hãy chọn điều gì sẽ xảy ra khi quy tắc của bạn được kích hoạt: Cho phép, Cho phép kèm cảnh báo hoặc Chặn.
10. Nhấp vào Hoàn tất.
11. Chọn bật hoặc tắt quy tắc, sau đó nhấp vào Hoàn tất.

Có thể mất đến 48 giờ để bạn thấy các thay đổi. Trong thời gian này, các chế độ cài đặt cũ và mới có thể được thực thi không liên tục.

Bạn có thể chỉnh sửa quy tắc tin cậy bất cứ lúc nào để thay đổi các chế độ cài đặt, chẳng hạn như điều kiện và hành động, hoặc để tắt hoặc bật lại quy tắc đó.

1. Chuyển đến phần Trình đơn  Quy tắc.

   Bạn phải có đặc quyền Xem quy tắc tin cậy của quản trị viên.

2. Tìm quy tắc trong danh sách Quy tắc.

   Lưu ý: Bạn có thể sắp xếp danh sách theo loại quy tắc bằng cách nhấp vào tiêu đề cột Loại quy tắc. Hoặc lọc danh sách bằng cách nhấp vào Thêm bộ lọcLoại quy tắcĐộ tin cậy.

3. (Không bắt buộc) Để xem phạm vi, điều kiện, điều kiện kích hoạt và hành động của quy tắc, hãy trỏ đến quy tắc trong danh sách rồi nhấp vào Xem nhanh.
4. (Không bắt buộc) Nhấp vào quy tắc để mở trang chi tiết và xem chế độ cài đặt.
5. (Không bắt buộc) Cách chỉnh sửa chế độ cài đặt:
   1. Ở bên trái trang chi tiết, hãy nhấp vào Chỉnh sửa quy tắc. Hoặc nhấp vào một phần cài đặt. Bạn phải có các đặc quyền của quản trị viên đối với Xem quy tắc tin cậy, Quản lý quy tắc tin cậy, Drive và Tài liệuCài đặt, NhómĐọc và Đơn vị tổ chứcĐọc.
   2. Chỉnh sửa chế độ cài đặt.

      Để chuyển đến các chế độ cài đặt khác, hãy nhấp vào Tiếp tục. Để đóng một phần, hãy nhấp vào HuỷHuỷ và thoát.

   3. Khi bạn chỉnh sửa xong các chế độ cài đặt, hãy nhấp vào Hoàn tất.

Có thể mất đến 48 giờ để bạn thấy các thay đổi. Trong thời gian này, các chế độ cài đặt cũ và mới có thể được thực thi không liên tục.

Nếu bạn xoá một quy tắc tin cậy, quy tắc đó sẽ bị xoá vĩnh viễn khỏi dịch vụ của Google. Ngoài ra, bạn có thể chỉnh sửa một quy tắc để huỷ kích hoạt quy tắc đó trong trường hợp muốn kích hoạt lại sau này. Chuyển đến phần Xem hoặc chỉnh sửa thông tin chi tiết về quy tắc tin cậy.

1. Chuyển đến phần Trình đơn  Quy tắc.

   Bạn phải có đặc quyền Xem quy tắc tin cậy của quản trị viên.

2. Trong phần Quy tắc, hãy nhấp vào Thêm bộ lọcLoại quy tắcĐộ tin cậy.
3. Trong danh sách Quy tắc, hãy trỏ vào quy tắc bạn muốn xoá rồi nhấp vào biểu tượng Xoá. Bạn phải có các đặc quyền Xem quy tắc tin cậy, Quản lý quy tắc tin cậy và Drive và Tài liệuCài đặt của quản trị viên.

   Bạn cũng có thể tìm thấy lựa chọn Xoá ở bên trái trên trang chi tiết của quy tắc (nhấp vào quy tắc để mở trang chi tiết của quy tắc đó).

4. Trong thông báo xác nhận, hãy nhấp vào Xoá.

Có thể mất đến 48 giờ để bạn thấy các thay đổi. Trong thời gian này, các chế độ cài đặt cũ và mới có thể được thực thi không liên tục.

Bạn có thể xem nhật ký chi tiết cho biết hoạt động của quản trị viên đối với các quy tắc tin cậy. Có 3 loại nhật ký:

• Tạo quy tắc
• Xoá quy tắc
• Quy tắc cập nhật

Bạn có thể xem nhật ký chi tiết cho biết hoạt động của người dùng đối với các quy tắc tin cậy khi chia sẻ tệp trên Drive. Có 3 loại nhật ký:

• Người nhận bị chặn
• Đã chặn hoạt động chia sẻ tệp
• Đã chặn người dùng xem tệp

Để biết các bước về cách xem những loại sự kiện mà bạn có thể xem, hãy chuyển đến phần Sự kiện trong nhật ký của quản trị viên và Sự kiện trong nhật ký quy tắc.

Để cho phép chia sẻ tệp của một nhóm hoặc người dùng với một nhóm hoặc người dùng nội bộ khác, bạn cần có 2 quy tắc: một quy tắc để chia sẻ và một quy tắc để nhận.

Ví dụ: Cho phép chia sẻ tệp của một nhóm với một nhóm khác

Giả sử bạn muốn cho phép Nhóm bán hàng chia sẻ các tệp mà họ sở hữu với Nhóm tiếp thị. Trong trường hợp này, bạn cần có một quy tắc cho phép nhóm Bán hàng chia sẻ tệp với nhóm Tiếp thị và một quy tắc khác cho phép nhóm Tiếp thị nhận tệp từ nhóm Bán hàng:

Ví dụ: Cho phép hai nhóm chia sẻ tệp với nhau

Giả sử bạn muốn cho phép hai nhóm Bán hàng và Tiếp thị chia sẻ các tệp mà họ sở hữu. Giống như ví dụ trên, bạn sẽ cần 2 quy tắc; tuy nhiên, trong trường hợp này, điều kiện kích hoạt của mỗi quy tắc cần bao gồm cả việc chia sẻ và nhận:

Nếu một quy tắc chỉ định điều gì sẽ xảy ra khi một tệp được chia sẻ, thì quy tắc đó chỉ áp dụng cho những tệp thuộc quyền sở hữu của người dùng (và mọi bộ nhớ dùng chung) trong phạm vi của quy tắc. Quy tắc này không áp dụng cho những tệp mà người dùng trong phạm vi có quyền Chỉnh sửa nhưng không sở hữu.

Ví dụ: nếu bạn tạo một quy tắc để ngăn việc chia sẻ tệp mà nhóm Nghiên cứu sở hữu với nhóm Bán hàng, thì nhóm Nghiên cứu vẫn có thể chia sẻ mọi tệp khác mà họ có đặc quyền Chỉnh sửa với nhóm Bán hàng. Để ngăn nhóm Bán hàng nhận tệp từ một nhóm khác, bạn có thể tạo quy tắc chặn.

Lưu ý:

• Nếu chủ sở hữu tệp chuyển sang một đơn vị tổ chức hoặc nhóm khác, thì các quy tắc chia sẻ của tệp đó sẽ thay đổi thành quy tắc của đơn vị tổ chức hoặc nhóm mới. Thay đổi này về quy tắc cũng áp dụng nếu quyền sở hữu tệp được chuyển cho người dùng ở một đơn vị tổ chức hoặc nhóm khác.

• Đối với những tệp không thuộc quyền sở hữu của họ, người dùng không thể chia sẻ tệp vượt quá phạm vi được phép đối với chủ sở hữu tệp. Hạn chế này vẫn áp dụng ngay cả khi người dùng thuộc các đơn vị tổ chức hoặc nhóm có quy tắc chia sẻ cho phép nhiều hơn.

Sau đây là cách hoạt động của quy tắc tin cậy đối với những người không có Tài khoản Google hoặc có Tài khoản Google nhưng không do quản trị viên quản lý.

Người không có Tài khoản Google (khách)

Quy tắc cho phép chia sẻ

Nếu bạn tạo một quy tắc cho phép người dùng chia sẻ tệp ra bên ngoài, thì theo mặc định, bạn chỉ có thể chia sẻ với những người có Tài khoản Google do tổ chức quản lý. Tuy nhiên, bạn cũng có thể cho phép người dùng chia sẻ tệp với những người không có Tài khoản Google. Trong trường hợp này, người nhận sẽ được cấp một loại tài khoản đặc biệt gọi là tài khoản khách. Tìm hiểu thêm về cách chia sẻ với tài khoản khách.

Để cho phép chia sẻ với những người không có Tài khoản Google, trong chế độ cài đặt Điều kiện của quy tắc, hãy chọn mục Bao gồm khách truy cập. Lựa chọn này chỉ áp dụng cho những quy tắc cho phép người dùng chia sẻ ra bên ngoài, với một miền bên ngoài hoặc tất cả người dùng bên ngoài.

Lưu ý: Bạn không thể cho phép chia sẻ với tài khoản khách bằng cách thêm tài khoản đó vào một nhóm mà bạn cho phép chia sẻ bên ngoài.

Quy tắc chặn hoạt động chia sẻ

Mọi quy tắc ngăn người dùng chia sẻ bên ngoài tổ chức của bạn luôn áp dụng cho khách truy cập, ngay cả khi bạn không chọn chế độ Bao gồm khách truy cập cho điều kiện.

Tuy nhiên, nếu có một quy tắc khác cho phép chia sẻ với tài khoản khách, thì quy tắc chặn sẽ không áp dụng cho tài khoản khách trong các nhóm. Ví dụ: nếu bạn có các quy tắc sau:

• Quy tắc 1 – Cho phép chia sẻ tệp với Bất cứ ai có Tài khoản Google, có chọn Bao gồm khách truy cập.
• Quy tắc 2 – Chặn việc chia sẻ với một nhóm trong danh sách gửi thư có cả những người có tài khoản khách.

Các hành động chặn không áp dụng cho tài khoản khách trong nhóm. Người dùng thuộc phạm vi của quy tắc 2 vẫn có thể cấp cho tài khoản khách quyền truy cập vào tệp của họ.

Người dùng có Tài khoản Google không được quản lý

Quy tắc cho phép chia sẻ

Nếu bạn tạo một quy tắc cho phép người dùng chia sẻ bên ngoài với một miền hoặc tổ chức cụ thể, thì người dùng sẽ không thể chia sẻ với các Tài khoản Google không được quản lý tại miền hoặc tổ chức đó. Những tài khoản này bao gồm tài khoản người tiêu dùng và tài khoản Google Workspace đã xác minh bằng email.

Tuy nhiên, bạn có thể cho phép người dùng chia sẻ với một số tài khoản không được quản lý: Thêm các tài khoản đó vào một nhóm rồi tạo quy tắc cho phép chia sẻ với nhóm đó.

Quy tắc chặn hoạt động chia sẻ

Mọi quy tắc chặn người dùng chia sẻ ra bên ngoài tổ chức của bạn luôn áp dụng cho các tài khoản chưa được quản lý.

Nếu phạm vi của một quy tắc tin cậy bao gồm một đơn vị tổ chức, thì quy tắc đó sẽ áp dụng cho mọi bộ nhớ dùng chung trong đơn vị tổ chức đó. Ví dụ: nếu bạn tạo một quy tắc cho phép đơn vị tổ chức của nhóm Sản xuất chia sẻ tệp với nhóm Pháp lý, thì người dùng trong nhóm Pháp lý có thể truy cập vào bộ nhớ dùng chung của nhóm Sản xuất.

Để tạo quy tắc tin cậy cho bộ nhớ dùng chung, hãy đảm bảo bạn thiết lập bộ nhớ dùng chung trong các đơn vị tổ chức phù hợp.

Nếu phạm vi, điều kiện kích hoạt và điều kiện của nhiều quy tắc tin cậy khớp với một sự kiện chia sẻ, thì thành phần hành động của các quy tắc sẽ tuân theo thứ tự ưu tiên sau:

1. Chặn chia sẻ
2. Cho phép chia sẻ
3. Cho phép chia sẻ kèm theo cảnh báo

Sau đây là một số ví dụ về cách xử lý xung đột quy tắc. Trong những ví dụ này:

• "your-organization.com" là đơn vị tổ chức cấp cao nhất của tổ chức.
• "Phòng tiếp thị" là một đơn vị tổ chức con thuộc cấp cao nhất.

Ví dụ 1

Kết quả: Vì bộ phận Tiếp thị là một nhóm nhỏ trong toàn bộ tổ chức của bạn, nên Quy tắc 1 cũng áp dụng cho bộ phận này. Do đó, họ có thể chia sẻ với bất kỳ ai trên thế giới, chứ không chỉ các miền có trong danh sách cho phép. Ví dụ 2 dưới đây cho bạn thấy cách tạo quy tắc để hạn chế Nhóm tiếp thị chỉ chia sẻ với các miền trong danh sách cho phép.

Ví dụ 2

Kết quả: Vì Quy tắc 1 loại trừ bộ phận Tiếp thị, nên chỉ có Quy tắc 2 áp dụng cho bộ phận này. Do đó, họ chỉ có thể chia sẻ với các miền có trong danh sách cho phép. Tất cả người dùng khác đều có thể chia sẻ với bất kỳ ai trên thế giới.

Ví dụ 3

Kết quả: Quy tắc 2 có phạm vi rộng hơn, nên bộ phận Tiếp thị có thể chia sẻ với bất kỳ ai trên thế giới. Tất cả người dùng khác chỉ có thể chia sẻ với các miền có trong danh sách cho phép.

Ví dụ 4

Kết quả: Vì Quy tắc 2 chặn việc chia sẻ nên quy tắc này được ưu tiên hơn việc chia sẻ được phép theo Quy tắc 1. Do đó, bộ phận Tiếp thị có thể chia sẻ với bất kỳ ai trên thế giới, ngoại trừ other-company.com.

Theo mặc định, trạng thái của các quy tắc mới mà bạn tạo được đặt thành Đang hoạt động. Tuy nhiên, bạn có thể đặt mọi quy tắc mới hoặc hiện có thành Không hoạt động. Ví dụ: bạn có thể tạo một quy tắc mới và huỷ kích hoạt quy tắc đó cho đến khi sẵn sàng sử dụng.

Nếu phạm vi hoặc điều kiện của một quy tắc tin cậy không bao gồm bất kỳ đơn vị tổ chức nào, thì quy tắc tin cậy đó có thể mất đến 24 giờ mới áp dụng cho hoạt động chia sẻ trên Drive. Tuy nhiên, nếu phạm vi hoặc điều kiện của một quy tắc tin cậy bao gồm một hoặc nhiều đơn vị tổ chức, thì quy tắc đó có thể mất đến 48 giờ để áp dụng, tuỳ thuộc vào quy mô của các đơn vị tổ chức.

Bạn có thể có tối đa:

• 200 quy tắc tin cậy đang hoạt động
• 2.000 quy tắc tin cậy (đang hoạt động + không hoạt động)
• 150 điều kiện cho mỗi quy tắc tin cậy
• 500 điều kiện thuộc các loại sau trong tất cả quy tắc tin cậy của tổ chức:
  • đơn vị tổ chức
  • nhóm
  • miền trong danh sách cho phép (đáng tin cậy)
  • các miền bên ngoài
  • người dùng cụ thể – 1 đến 200 người dùng được tính là 1 điều kiện, 201 đến 400 người dùng được tính là 2 điều kiện, v.v.

  Lưu ý: Không có giới hạn về số lượng các loại điều kiện sau đây mà bạn có thể có trong tất cả các quy tắc tin cậy:

  • Tổ chức
  • Bất cứ ai có Tài khoản Google
• 500 đơn vị tổ chức hoặc nhóm được đưa vào và loại trừ cho phạm vi, theo mỗi quy tắc

Bạn có thể chọn nhóm do quản trị viên hoặc người dùng tạo trong danh sách nhóm trên Bảng điều khiển dành cho quản trị viên. Địa chỉ nhóm phải kết thúc bằng miền của tổ chức bạn. Bạn không thể chọn nhóm bên ngoài cho phạm vi hoặc điều kiện của quy tắc.

Sau đây là một số loại nhóm bạn nên cân nhắc cho quy tắc tin cậy:

• Nhóm động – Tự động quản lý thành viên khi người dùng tham gia, chuyển đổi trong hoặc rời khỏi tổ chức của bạn. Có trong Bảng điều khiển dành cho quản trị viên hoặc Cloud Identity API, nhóm động giúp bạn giảm thời gian quản lý tư cách thành viên của nhóm theo cách thủ công. Để sử dụng một nhóm động cho chính sách quy tắc tin cậy, hãy đảm bảo rằng nhóm đó cũng là một nhóm bảo mật (có nhãn Bảo mật). Tìm hiểu thêm về nhóm động.

• Nhóm bảo mật – Chuyển đổi một nhóm chuẩn hoặc nhóm động thành nhóm bảo mật. Nhóm này giúp bạn điều chỉnh, kiểm tra và giám sát nhóm để kiểm soát quyền và quyền truy cập. Bạn có thể tạo nhóm bảo mật trong Bảng điều khiển dành cho quản trị viên hoặc bằng Cloud Identity Groups API bằng cách thêm nhãn Bảo mật vào các nhóm đó. Tìm hiểu thêm về nhóm bảo mật.

• Nhóm đã di chuyển – Sử dụng Google Cloud Directory Sync (GCDS) để đồng bộ hoá các nhóm bạn tạo trong Microsoft Active Directory hoặc các công cụ khác với Google Workspace. Sau đó, bạn sử dụng các nhóm đã đồng bộ hoá đó trong quy tắc tin cậy. Tìm hiểu thêm về GCDS.

Để áp dụng quy tắc tin cậy cho người dùng bên ngoài, bạn có thể tạo một nhóm có địa chỉ bên ngoài (bao gồm cả địa chỉ nhóm hoặc địa chỉ cá nhân bên ngoài). Ví dụ: nếu Nhóm pháp lý của tổ chức bạn cần chia sẻ tệp với một số luật sư tại công ty luật bên ngoài, bạn có thể tạo một nhóm có địa chỉ của các luật sư đó. Sau đó, hãy tạo một quy tắc, chẳng hạn như:

• Phạm vi – Đơn vị tổ chức của nhóm pháp lý
• Điều kiện kích hoạt – Chia sẻ tệp và Nhận tệp
• Điều kiện – Nhóm có địa chỉ cụ thể của luật sư
• Hành động – Cho phép

Nếu người dùng không còn sử dụng dịch vụ Google Drive và Tài liệu cho tài khoản của họ (ví dụ: giấy phép Google Workspace đã bị xoá khỏi tài khoản của họ), thì họ chỉ có thể chia sẻ trong tổ chức của bạn đối với các tệp mà họ sở hữu, ngay cả khi các quy tắc tin cậy được áp dụng cho tệp của họ cho phép chia sẻ bên ngoài. Các quy tắc chia sẻ nội bộ (chẳng hạn như những quy tắc hạn chế việc chia sẻ với các đơn vị tổ chức cụ thể) sẽ không còn áp dụng cho các tệp của người dùng nữa. Tuy nhiên, những quy tắc ngăn người dùng được cấp phép khác nhận tệp vẫn sẽ được thực thi.

Để xoá hạn chế chia sẻ bên ngoài đối với các tệp của người dùng, bạn có thể thêm giấy phép Người dùng lưu trữ (AU) vào tài khoản của họ. Để biết thông tin chi tiết, hãy xem bài viết Thêm giấy phép Người dùng lưu trữ.

Nếu bạn tạo một quy tắc cho phép một nhóm chia sẻ tệp ra bên ngoài, rồi xoá một người dùng khỏi nhóm đó, thì mọi tệp mà người dùng đó chia sẻ ra bên ngoài sẽ không còn truy cập được bên ngoài tổ chức của bạn nữa.

Nếu tổ chức của bạn có một số người dùng có giấy phép Google Workspace không bao gồm quy tắc tin cậy, thì bạn vẫn có thể áp dụng quy tắc tin cậy cho những người dùng đó và tệp của họ. Ngoài ra, nếu người dùng có giấy phép Google Workspace có bao gồm quy tắc tin cậy và tài khoản của họ được chuyển sang giấy phép không bao gồm tính năng này, thì quy tắc tin cậy vẫn áp dụng cho người dùng và tệp của họ.

Quy tắc tin cậy được áp dụng cho người dùng chứ không áp dụng cho nhóm, vì một nhóm có thể bao gồm những thành viên không bị quy tắc tin cậy chặn. Vì vậy, mặc dù bạn có thể chia sẻ tệp trên Drive với các nhóm bên ngoài, nhưng các thành viên nhóm sẽ không thể truy cập theo quy tắc tin cậy của bạn.

Nếu tổ chức của bạn chuyển sang một phiên bản Google Workspace không có quy tắc tin cậy, thì các quy tắc tin cậy đang hoạt động của tổ chức vẫn sẽ hoạt động và được thực thi. Bạn có thể xem các quy tắc tin cậy nhưng không thể chỉnh sửa hoặc xoá các quy tắc đó. Nếu là quản trị viên cấp cao, bạn có thể tắt quy tắc tin cậy để sử dụng chế độ cài đặt chia sẻ trên Drive.

Nếu bạn tắt quy tắc tin cậy: Chế độ cài đặt cách chia sẻ trên Drive của tổ chức bạn sẽ hoạt động trở lại và quay về trạng thái khi bạn bật quy tắc tin cậy. Mọi quy tắc tin cậy mà bạn đã tạo đều sẽ bị xoá vĩnh viễn.

Nếu huỷ gói thuê bao Google Workspace và chỉ có giấy phép Cloud Identity, bạn sẽ không thể sử dụng chế độ cài đặt chia sẻ trên Drive.

Khi chia sẻ tệp, người dùng có thể chọn chế độ Bất kỳ ai có đường liên kết nếu tất cả các điều kiện sau đây đều đúng:

• Các quy tắc tin cậy áp dụng cho tệp của người dùng cho phép họ chia sẻ với mọi người trong tổ chức của bạn, bất kỳ ai có Tài khoản Google và tài khoản khách.
• Không có quy tắc tin cậy nào được áp dụng cho các tệp của người dùng để ngăn họ chia sẻ tệp.
• Chế độ cài đặt chia sẻ sau đây của Drive đang bật: Khi được phép chia sẻ ra bên ngoài miền của bạn, người dùng có thể đặt tệp và nội dung đã xuất bản ở chế độ hiển thị với bất cứ người nào có đường liên kết. Để biết thông tin chi tiết về chế độ cài đặt này, hãy xem bài viết Đặt quyền chia sẻ của người dùng trên Drive.

Có, tài khoản dịch vụ cũng thuộc điều kiện Bất kỳ ai có Tài khoản Google. Ví dụ: nếu bạn tạo một quy tắc tin cậy để chặn người dùng trong tổ chức cộng tác với Bất kỳ ai có Tài khoản Google, thì quy tắc đó cũng sẽ ngăn các tài khoản dịch vụ truy cập vào những tệp được quy tắc bảo vệ.

Quy tắc tin cậy chỉ chặn người trả lời truy cập vào Biểu mẫu khi biểu mẫu đó có câu hỏi tải tệp lên và quy tắc tin cậy có hạn chế về việc chia sẻ tệp. Người dùng thuộc phạm vi của một quy tắc tin cậy sẽ không bị hạn chế trả lời những Biểu mẫu không yêu cầu người trả lời tải tệp lên.