Een succesvolle implementatie van contextbewuste toegang beschermt Workspace-gegevens tegen risicovolle gebruikers en zorgt er tegelijkertijd voor dat legitieme gebruikers niet worden geblokkeerd. Houd rekening met deze implementatieaanbevelingen om het risico op een groot aantal geblokkeerde gebruikers te beperken.
Gebruik de monitormodus om de toegangsniveaus te testen.
Je kunt in eerste instantie een toegangsniveau toewijzen in de monitoringsmodus , in plaats van in de actieve modus. Met de monitoringsmodus kun je de effecten van het afdwingen van een toegangsniveau simuleren zonder de gebruikerstoegang daadwerkelijk te blokkeren.
Wanneer u een nieuw toegangsniveau toepast, is het raadzaam om dit minimaal een week in de monitoringsmodus te laten staan. Gedurende die periode tonen de gebeurtenissen in het contextbewuste toegangslogboek welke gebruikers geblokkeerd zouden worden als het toegangsniveau actief zou zijn . Nadat u hebt gecontroleerd of een toegangsniveau naar behoren werkt, kunt u de daadwerkelijke handhaving inschakelen door het toegangsniveau in de actieve modus te zetten.
Zie Contextbewuste toegangsniveaus toewijzen aan apps voor gedetailleerde instructies over het gebruik van de monitormodus.
Overige aanbevelingen voor de uitrol
- Voer de uitrol gefaseerd uit . Begin met één organisatie-eenheid of groep als pilotgroep en kijk hoe het beleid voor hen werkt. Als die gebruikers succesvol toegang hebben tot de apps, voeg dan de volgende groep gebruikers toe. Als ook zij tevreden zijn, implementeer dan toegangsbeleid voor al uw gebruikers.
- Wijs toegangsbeleid toe aan geselecteerde apps . Probeer beleid toe te passen op apps die niet veel gebruikt worden in uw omgeving. Houd bij wat er met die apps gebeurt en pas het beleid vervolgens geleidelijk toe op de apps die vaker gebruikt worden.
- Voorkom dat gebruikers of partners worden buitengesloten . Blokkeer geen toegang tot Google Workspace-services, zoals Gmail, die u gebruikt om met uw gebruikers te communiceren (en die zij ook nodig hebben om met u te communiceren). Identificeer de IP-bereiken die gebruikers en partners nodig hebben.
- Gebruik Google Cloud Platform (GCP) niet om toegangsniveaus toe te voegen of te wijzigen als u alleen een Workspace-abonnement hebt . Als u toegangsniveaus toevoegt of wijzigt via een andere methode dan de Context-Aware toegangsinterface, kan de volgende foutmelding verschijnen: Er worden niet-ondersteunde attributen gebruikt in Google Workspace en gebruikers kunnen worden geblokkeerd.
- Plan helpdeskondersteuning voor gebruikers die mogelijk hulp nodig hebben tijdens de uitrol.
Houd uw uitrol in de gaten.
Welke implementatiemethode u ook gebruikt, monitor de resultaten van uw implementatie door feedback van gebruikers te vragen en de gebeurtenissen in het contextbewuste toegangslogboek te raadplegen voor gegevens over geweigerde gebruikers.
Bereid je voor op de inzet.
Volg deze stappen voor een soepele implementatie voordat u nieuwe toegangsbeleidsregels aanmaakt of implementeert.
1. Informeer uw gebruikers
Overleg met je gebruikers om te achterhalen wat ze in hun werkomgeving willen beschermen. Omdat je contextbewuste toegang per organisatie-eenheid of groep implementeert, kunnen de behoeften van verschillende gebruikers binnen je organisatie variëren. Laat hen weten wat de mogelijke gevolgen zijn van het beleid dat je aanmaakt en toewijst: bijvoorbeeld dat ze op verschillende momenten om uiteenlopende redenen geblokkeerd kunnen worden. Goede communicatie vooraf bevordert de acceptatie door de gebruikers.
2. Organiseer uw gebruikers in organisatorische eenheden of groepen.
U kunt toegangsniveaus toewijzen per organisatie-eenheid. Of, als u al organisatie-eenheden voor andere doeleinden hebt ingesteld, kunt u niveaus aanmaken en vervolgens toewijzen aan configuratiegroepen. Zorg er in beide gevallen voor dat de gebruikers aan wie u toegang wilt verlenen zich in de juiste organisatie-eenheden of groepen bevinden.
3. Onderzoek bedrijfsapparaten
Voordat u apparaatgebonden beleid implementeert, moet u ervoor zorgen dat de apparaten binnen uw organisatie onder het juiste IT-beheer vallen en voldoen aan de bedrijfsnormen. Controleer of de apparaten versleuteld zijn, een actueel besturingssysteem hebben en of het bedrijfseigen of persoonlijke apparaten zijn.
4. Mobiele apparaten registreren bij endpointbeheer
Mobiele apparaten moeten worden beheerd met Google Endpoint Management ( basis- of geavanceerd beheer ).
Bij standaardbeheer kan het synchroniseren van de OS-versie en de versleutelingsstatus van een apparaat enkele dagen duren. Gedurende deze tijd kan de toegang tot Google Workspace-services vanaf deze apparaten worden beïnvloed als u Contextbewuste toegang gebruikt.
5. Voer eindpuntverificatie uit voordat u beleidsregels maakt.
Dwing het gebruik van eindpuntverificatie af, zodat u weet welke apparaten toegang hebben (of zullen krijgen) tot Google Workspace-gegevens. In Chrome-extensies moet u 'Installatie forceren voor eindpuntverificatie' opgeven en een toegangssleutel vereisen. Ga naar Eindpuntverificatie instellen voor meer informatie.
Stel eindpuntverificatie in en schakel contextbewuste toegang in.
Software-installaties voor desktop- of mobiele apparaten.
Stel eindpuntverificatie in
Als u een apparaatbeleid afdwingt op een bepaald toegangsniveau, moeten u en uw gebruikers eindpuntverificatie instellen. U schakelt eindpuntverificatie in via de beheerdersconsole. Zie Eindpuntverificatie in- of uitschakelen voor instructies.
Let op: als u een contextbewust apparaatbeleid afdwingt voordat de gebruiker zich kan aanmelden bij eindpuntverificatie, kan de gebruiker toegang worden geweigerd, zelfs als zijn of haar apparaat voldoet aan het afgedwongen contextbewuste beleid. Dit komt doordat het synchroniseren van de apparaatkenmerken via eindpuntverificatie enkele seconden kan duren. Om dit te voorkomen, moet u ervoor zorgen dat gebruikers zich aanmelden bij eindpuntverificatie en hun browserpagina vernieuwen voordat u een contextbewust apparaatbeleid afdwingt.
Controleer welke apparaten eindpuntverificatie ondersteunen.
Ga in de Google Admin-console naar Menu.
Apparaten Overzicht .Hiervoor is beheerdersrechten voor gedeelde apparaatinstellingen vereist.
- Klik op Eindpunten .
- Klik op ' Een filter toevoegen' .
- Selecteer het beheertype Eindpuntverificatie .
- Klik op Toepassen .
Mobiele apparaten instellen (Google-eindpuntbeheer)
Om toegangsniveaus voor mobiele apparaten af te dwingen, moet de gebruiker van het apparaat beheerd worden via basis- of geavanceerd mobiel beheer .
Aanvullende stappen
Upload uw inventaris van apparaten die eigendom zijn van het bedrijf.
Om een apparaatbeleid af te dwingen dat vereist dat apparaten eigendom zijn van het bedrijf, heeft Google een lijst met serienummers nodig van uw apparaten die eigendom zijn van het bedrijf.
Voor instructies ga naar Apparaten toevoegen aan uw inventaris in Bedrijfseigen apparaten toevoegen aan de inventaris .
Opmerking : Apparaten met Android 12 of hoger en een werkprofiel worden altijd als eigendom van de gebruiker gerapporteerd, zelfs als u ze toevoegt aan de inventaris van het bedrijf. Voor deze apparaten geldt dat als een toegangsniveau vereist dat een apparaat eigendom is van het bedrijf, de actie niet wordt uitgevoerd, en als een toegangsniveau vereist dat een apparaat eigendom is van de gebruiker, de actie wel wordt uitgevoerd. Ga voor meer informatie naar Details van mobiele apparaten bekijken , Meer informatie over apparaatdetails en scroll in de tabel Apparaatinformatie naar beneden naar de rij Eigendom .
Apparaten goedkeuren of blokkeren
Om een apparaatbeleid af te dwingen dat goedgekeurde apparaten vereist, moet u eerst apparaten goedkeuren of blokkeren .
Contextbewuste toegang in- en uitschakelen
Je kunt contextbewuste toegang op verschillende momenten tijdens het uitrolproces inschakelen. Je kunt het bijvoorbeeld inschakelen voordat je toegangsniveaus aanmaakt en aan apps toewijst. Dit betekent dat de toegangsniveaus die je aan apps toewijst, direct van kracht worden.
U kunt ook de initiële configuratie en controle (toegangsniveau aanmaken, toegangsniveau toewijzen, eindpuntverificatie) uitvoeren zonder Context-Aware Access in te schakelen. Gedurende deze tijd worden de toegewezen toegangsniveaus niet afgedwongen. Wanneer de configuratie is voltooid, kunt u Context-Aware Access inschakelen.
U kunt contextbewuste toegang uitschakelen als er problemen zijn met gebruikers en u de app wilt pauzeren terwijl u onderzoekt welke beleidsregels de problemen veroorzaken. Nadat u hebt vastgesteld welk toegangsniveau de problemen veroorzaakt, kunt u het beleid naar behoefte aanpassen of verwijderen voor specifieke organisatie-eenheden of groepen.
Belangrijk : Het kan tot 24 uur duren voordat contextbewuste toegang volledig is uitgeschakeld nadat u deze hebt uitgeschakeld. Gedurende deze tijd kunnen gebruikers nog steeds last hebben van eerdere toegangsniveaus. Verwijderde toegangsniveaus zijn dan direct niet meer van toepassing.
Om contextbewuste toegang in te schakelen
Ga in de Google Admin-console naar Menu.
Beveiliging Toegangs- en gegevensbeheer Contextbewuste toegang .Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .
- Controleer of Contextbewuste toegang is ingeschakeld. Zo niet, klik dan op Inschakelen .
Om contextbewuste toegang uit te schakelen
Ga in de Google Admin-console naar Menu.
Beveiliging Toegangs- en gegevensbeheer Contextbewuste toegang .Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .
- Klik op Uitschakelen .
Wat volgt:
Maak en wijs toegangsniveaus toe.
Deze artikelen begeleiden je bij het aanmaken van toegangsniveaus en het toewijzen ervan aan apps:
Verken toepassingsvoorbeelden
Deze artikelen tonen veelvoorkomende gebruiksscenario's voor het implementeren van contextbewuste toegang in uw omgeving: