Distribuera kontextmedveten åtkomst

Förbered dig för en smidig utrullning av kontextmedveten åtkomst.

En lyckad implementering av kontextmedveten åtkomst skyddar arbetsytedata från riskfyllda användare, samtidigt som det säkerställs att legitima användare inte blockeras. Överväg dessa implementeringsrekommendationer för att minska risken för många blockerade användare.

Använd övervakningsläge för att testa åtkomstnivåer

Du kan initialt tilldela en åtkomstnivå i övervakningsläge , snarare än aktivt läge. I övervakningsläge kan du simulera effekterna av att tillämpa en åtkomstnivå utan att faktiskt blockera användaråtkomsten.

När du tillämpar en ny åtkomstnivå är det en bra idé att låta den vara i övervakningsläge i minst en vecka. Under den perioden visar loggade händelser i loggen för kontextmedveten åtkomst vilka användare som skulle blockeras om åtkomstnivån var i aktivt läge. Efter att ha verifierat att en åtkomstnivå fungerar som du vill kan du aktivera faktisk tillämpning genom att ändra åtkomstnivån till aktivt läge.

Detaljerade instruktioner om hur du använder övervakningsläge finns i Tilldela kontextmedvetna åtkomstnivåer till appar .

Andra utrullningsrekommendationer

  • Fasa in din utrullning . Börja med en organisationsenhet eller grupp som pilotgrupp och se hur policyn fungerar för dem. Om dessa användare har tillgång till appar utan problem, fasa sedan in nästa grupp användare. Om de är nöjda, implementera sedan åtkomstpolicyer för alla dina användare.
  • Tilldela åtkomstpolicyer till valda appar . Försök att distribuera policyer på appar som inte används flitigt i din miljö. Spåra vad som händer med dessa appar och använd sedan policyerna på mer flitigt använda appar allt eftersom.
  • Undvik att låsa ute användare eller partners . Blockera inte åtkomst till Google Workspace-tjänster, till exempel Gmail, som du använder för att dela kommunikation med dina användare (och som de också behöver kommunicera med dig). Identifiera IP-intervall som användare och partners behöver.
  • Använd inte Google Cloud Platform (GCP) för att lägga till eller ändra åtkomstnivåer om du är en Workspace-only-kund . Om du lägger till eller ändrar åtkomstnivåer med en annan metod än det kontextmedvetna åtkomstgränssnittet kan det här felmeddelandet visas: Attribut som inte stöds används i Google Workspace och användare kan blockeras.
  • Planera helpdesksupport för användare som kan behöva hjälp under utrullningen.

Övervaka din utrullning

Oavsett vilken implementeringsmetod du använder, övervaka resultaten av implementeringen genom att söka användarfeedback och konsultera händelserna i loggen för kontextkänslig åtkomst för att se om det finns nekade användare.

Förbered dig för utplacering

För en smidig distribution, följ dessa steg innan du skapar eller implementerar nya åtkomstpolicyer.

1. Informera dina användare

Prata med dina användare för att ta reda på vad de behöver skydda i sin arbetsmiljö. Eftersom du kommer att implementera kontextmedveten åtkomst per organisationsenhet eller grupp kan behoven hos olika användare i din organisation variera. Berätta för dem om de möjliga konsekvenserna av de policyer du skapar och tilldelar: till exempel att de kan blockeras vid olika tidpunkter av olika anledningar. Förhandskommunikation hjälper till att främja användaracceptans.

2. Organisera dina användare i organisationsenheter eller grupper

Du kan tilldela åtkomstnivåer per organisationsenhet. Eller om du redan har organisationsenheter konfigurerade för andra ändamål kan du skapa och sedan tilldela nivåer till konfigurationsgrupper. I båda fallen, se till att de användare du vill ge åtkomst till finns i rätt organisationsenheter eller grupper.

3. Undersök företagets enheter

Innan du implementerar enhetsbaserade policyer, se till att enheterna i ditt företag hanteras korrekt av IT och följer företagets standarder. Kontrollera om enheterna är krypterade, kör ett uppdaterat operativsystem och är företagsägda eller personliga enheter.

4. Registrera mobila enheter med endpoint management

Mobila enheter måste hanteras med Googles slutpunktshantering (antingen grundläggande eller avancerad ).

Med grundläggande hantering kan det ta några dagar att synkronisera en enhets operativsystemversion och krypteringsstatus. Under denna tid kan åtkomsten till Google Workspace-tjänster från dessa enheter påverkas om du använder kontextmedveten åtkomst.

5. Framtvinga slutpunktsverifiering innan policyer skapas

Tvinga fram användning av slutpunktsverifiering så att du vet vilka enheter som har åtkomst till (eller kommer att ha åtkomst till) Google Workspace-data. I Chrome-tillägg måste du ange tvångsinstallation för slutpunktsverifiering och kräva en åtkomstnyckel. Gå till Konfigurera slutpunktsverifiering för mer information.

Konfigurera slutpunktsverifiering och aktivera kontextmedveten åtkomst

Programvaruinställningar för stationära eller mobila enheter.

Konfigurera slutpunktsverifiering

Om du tillämpar en enhetspolicy på en åtkomstnivå måste du och dina användare konfigurera slutpunktsverifiering. Du aktiverar slutpunktsverifiering i administratörskonsolen. Instruktioner finns i Aktivera eller inaktivera slutpunktsverifiering .

Obs! Om du tillämpar en kontextmedveten enhetspolicy innan användaren kan logga in på slutpunktsverifiering kan användaren få åtkomst nekad även om deras enhet uppfyller den tillämpade kontextmedvetna policyn. Detta beror på att synkronisering av enhetsattributen via slutpunktsverifiering kan ta några sekunder. För att undvika detta, se till att användarna loggar in på slutpunktsverifiering och uppdaterar sin webbläsarsida innan du tillämpar en kontextmedveten enhetspolicy.

Granska vilka enheter som har slutpunktsverifiering

  1. I Googles administratörskonsol går du till Meny och sedan Enheter och sedan Översikt .

    Kräver administratörsbehörighet för inställningar för delade enheter .

  2. Klicka på Slutpunkter .
  3. Klicka på Lägg till ett filter .
  4. Välj hanteringstyp och sedan Slutpunktsverifiering .
  5. Klicka på Verkställ .

Konfigurera mobila enheter (Googles slutpunktshantering)

För att tillämpa åtkomstnivåer för mobila enheter måste enhetens användare hanteras under antingen grundläggande eller avancerad mobilhantering .

Ytterligare steg

Ladda upp din enhetsinventering av företagsägda enheter

För att tillämpa en enhetspolicy som kräver företagsägda enheter behöver Google en lista med serienummer för dina företagsägda enheter.

För instruktioner, gå till Lägg till enheter i ditt lager i Lägg till företagsägda enheter i lagret .

Obs ! Enheter med Android 12 eller senare och en arbetsprofil rapporteras alltid som användarägda, även om du lägger till dem i det företagsägda lagret. För dessa enheter, om en åtkomstnivå kräver att en enhet är företagsägd, vidtas inte åtgärden, och om en åtkomstnivå kräver att en enhet är användarägd, vidtas åtgärden. För mer information, gå till Visa information om mobila enheter , Läs mer om enhetsinformation och i tabellen Enhetsinformation , skrolla ner till raden Ägande .

Godkänn eller blockera enheter

För att tillämpa en enhetspolicy som kräver godkända enheter måste du först godkänna eller blockera enheter .

Slå på och av kontextmedveten åtkomst

Du kan aktivera kontextmedveten åtkomst vid olika tidpunkter under utrullningsprocessen. Du kan aktivera den innan du skapar åtkomstnivåer och tilldelar dem till appar, vilket innebär att åtkomstnivåer som du tilldelar appar tillämpas omedelbart.

Du kan också göra den initiala konfigurationen och granskningen (skapande av åtkomstnivå, tilldelning av åtkomstnivå, verifiering av slutpunkt) utan att aktivera kontextmedveten åtkomst. Under denna tid tillämpas inte tilldelningar av åtkomstnivåer. När konfigurationen är klar kan du aktivera kontextmedveten åtkomst.

Du kan inaktivera kontextmedveten åtkomst om det finns användarproblem och du vill pausa appen medan du undersöker vilka policyer som skapar problemen. När du har fastställt vilken åtkomstnivå som orsakar problemen kan du ändra policyn eller ta bort den efter behov för specifika organisationsenheter eller grupper.

Viktigt : Det kan ta upp till 24 timmar innan kontextmedveten åtkomst är helt inaktiverad efter att du har stängt av den. Under denna tid kan användare fortfarande påverkas av tidigare åtkomstnivåer. Borttagna åtkomstnivåer upphör att gälla omedelbart.

Så här aktiverar du kontextmedveten åtkomst

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. Kontrollera att kontextmedveten åtkomst är PÅ. Om inte, klicka på Aktivera .

Så här inaktiverar du kontextmedveten åtkomst

  1. I Googles administratörskonsol går du till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. Klicka på Stäng av .

Vad händer härnäst:

Skapa och tilldela åtkomstnivåer

De här artiklarna vägleder dig genom att skapa åtkomstnivåer och tilldela dem till appar:

Utforska användningsfall

Dessa artiklar visar vanliga användningsområden för att implementera kontextmedveten åtkomst i din miljö: