Việc triển khai Quyền truy cập theo bối cảnh thành công sẽ giúp bảo vệ dữ liệu trong Workspace khỏi những người dùng có nguy cơ, đồng thời đảm bảo rằng người dùng hợp lệ không bị chặn. Hãy cân nhắc các đề xuất triển khai này để giảm thiểu nguy cơ nhiều người dùng bị chặn.
Sử dụng chế độ giám sát để kiểm thử các cấp truy cập
Ban đầu, bạn có thể chỉ định một cấp truy cập ở chế độ giám sát thay vì chế độ đang hoạt động. Chế độ giám sát cho phép bạn mô phỏng tác động của việc thực thi một cấp truy cập mà không thực sự chặn quyền truy cập của người dùng.
Khi áp dụng một cấp truy cập mới, bạn nên để cấp truy cập đó ở chế độ giám sát trong ít nhất một tuần. Trong khoảng thời gian đó, các sự kiện được ghi lại trong nhật ký Quyền truy cập theo bối cảnh sẽ cho biết những người dùng nào sẽ bị chặn nếu cấp truy cập ở chế độ đang hoạt động. Sau khi xác minh rằng một cấp truy cập đang hoạt động theo cách bạn muốn, bạn có thể bật chế độ thực thi thực tế bằng cách chuyển cấp truy cập đó sang chế độ đang hoạt động.
Để biết hướng dẫn chi tiết về cách sử dụng chế độ giám sát, hãy xem bài viết Chỉ định cấp truy cập theo bối cảnh cho ứng dụng.
Các đề xuất triển khai khác
- Triển khai theo giai đoạn. Bắt đầu với một đơn vị tổ chức hoặc nhóm làm nhóm thử nghiệm và xem chính sách hoạt động như thế nào đối với họ. Nếu những người dùng đó có thể truy cập vào ứng dụng thành công, thì hãy triển khai cho nhóm người dùng tiếp theo. Nếu họ hài lòng, hãy triển khai chính sách truy cập cho tất cả người dùng.
- Chỉ định chính sách truy cập cho các ứng dụng đã chọn. Hãy thử triển khai chính sách trên những ứng dụng không được sử dụng nhiều trong môi trường của bạn. Theo dõi những gì xảy ra với các ứng dụng đó, sau đó áp dụng chính sách cho những ứng dụng được sử dụng nhiều hơn.
- Tránh chặn người dùng hoặc đối tác. Không chặn quyền truy cập vào các dịch vụ của Google Workspace, chẳng hạn như Gmail, mà bạn dùng để chia sẻ thông tin liên lạc với người dùng (và họ cũng cần liên lạc với bạn). Xác định dải IP mà người dùng và đối tác cần.
- Không sử dụng Google Cloud Platform (GCP) để thêm hoặc thay đổi cấp truy cập nếu bạn chỉ là khách hàng của Workspace. Nếu bạn thêm hoặc thay đổi cấp truy cập bằng một phương thức khác ngoài giao diện Quyền truy cập theo bối cảnh, thì có thể bạn sẽ gặp thông báo lỗi sau: Unsupported attributes are being used on Google Workspace (Các thuộc tính không được hỗ trợ đang được sử dụng trên Google Workspace) và người dùng có thể bị chặn.
- Lập kế hoạch hỗ trợ bộ phận trợ giúp cho những người dùng có thể cần trợ giúp trong quá trình triển khai.
Giám sát quá trình triển khai
Bất kể bạn sử dụng phương thức triển khai nào, hãy giám sát kết quả triển khai của bạn bằng cách yêu cầu người dùng phản hồi và tham khảo các sự kiện trong nhật ký Quyền truy cập theo bối cảnh để xem hồ sơ của những người dùng bị từ chối.
Chuẩn bị triển khai
Để triển khai suôn sẻ, hãy làm theo các bước sau trước khi tạo hoặc triển khai chính sách truy cập mới.
1. Thông báo cho người dùng của bạn
Trao đổi với người dùng để tìm hiểu những gì họ cần bảo vệ trong môi trường làm việc. Vì bạn sẽ triển khai quyền truy cập dựa trên bối cảnh theo đơn vị tổ chức hoặc nhóm, nên nhu cầu của những người dùng khác nhau trong tổ chức có thể khác nhau. Hãy cho họ biết những hậu quả có thể xảy ra của các chính sách mà bạn tạo và chỉ định: ví dụ: họ có thể bị chặn vào những thời điểm khác nhau vì nhiều lý do. Việc thông báo trước giúp thúc đẩy người dùng chấp nhận.
2. Sắp xếp người dùng vào các đơn vị tổ chức hoặc nhóm
Bạn có thể chỉ định cấp truy cập theo đơn vị tổ chức. Hoặc nếu đã thiết lập các đơn vị tổ chức cho các mục đích khác, bạn có thể tạo rồi chỉ định cấp cho các nhóm cấu hình. Trong cả hai trường hợp, hãy đảm bảo rằng những người dùng mà bạn muốn cấp quyền truy cập nằm trong đúng đơn vị tổ chức hoặc nhóm.
3. Khảo sát thiết bị của doanh nghiệp
Trước khi triển khai chính sách dựa trên thiết bị, hãy đảm bảo rằng các thiết bị trong doanh nghiệp của bạn đang được quản lý đúng cách về CNTT và tuân thủ các tiêu chuẩn của công ty. Xác minh xem thiết bị có được mã hoá, đang chạy hệ điều hành mới nhất và là thiết bị thuộc sở hữu của công ty hay thiết bị cá nhân hay không.
4. Đăng ký thiết bị di động bằng giải pháp quản lý thiết bị đầu cuối
Thiết bị di động phải được quản lý bằng giải pháp quản lý thiết bị đầu cuối của Google (cơ bản hoặc nâng cao).
Với giải pháp quản lý cơ bản, quá trình đồng bộ hoá phiên bản hệ điều hành và trạng thái mã hoá của thiết bị có thể mất vài ngày. Trong thời gian này, quyền truy cập vào các dịch vụ của Google Workspace từ những thiết bị này có thể bị ảnh hưởng nếu bạn sử dụng quyền truy cập dựa trên bối cảnh.5. Thực thi quy trình xác minh điểm cuối trước khi tạo chính sách
Thực thi việc sử dụng tính năng Xác minh điểm cuối để bạn biết thiết bị nào đang truy cập (hoặc sẽ truy cập) vào dữ liệu của Google Workspace. Trong tiện ích của Chrome, bạn phải chỉ định buộc cài đặt cho tính năng xác minh điểm cuối và yêu cầu khoá truy cập. Hãy chuyển đến bài viết Thiết lập tính năng xác minh thiết bị đầu cuối để biết thông tin chi tiết.
Thiết lập tính năng xác minh điểm cuối và bật quyền truy cập dựa trên bối cảnh
Thiết lập phần mềm cho thiết bị di động hoặc máy tính.
Thiết lập tính năng xác minh điểm cuối
Nếu bạn thực thi một chính sách thiết bị ở một cấp truy cập, thì bạn và người dùng phải thiết lập tính năng xác minh điểm cuối. Bạn bật tính năng xác minh điểm cuối trong Bảng điều khiển dành cho quản trị viên. Để biết hướng dẫn, hãy xem bài viết Bật hoặc tắt tính năng xác minh điểm cuối.
Lưu ý: Nếu bạn thực thi một chính sách thiết bị theo bối cảnh trước khi người dùng có thể đăng nhập vào tính năng xác minh điểm cuối, thì người dùng có thể bị từ chối quyền truy cập ngay cả khi thiết bị của họ đáp ứng chính sách theo bối cảnh được thực thi. Điều này là do quá trình đồng bộ hoá các thuộc tính của thiết bị thông qua tính năng xác minh điểm cuối có thể mất vài giây. Để tránh điều này, hãy đảm bảo người dùng đăng nhập vào tính năng xác minh điểm cuối và làm mới trang trình duyệt trước khi bạn thực thi một chính sách thiết bị theo bối cảnh.
Xem xét những thiết bị có tính năng xác minh điểm cuối
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Thiết bị Tổng quan. Yêu cầu có đặc quyền của quản trị viên Cài đặt thiết bị dùng chung.
- Nhấp vào Thiết bị đầu cuối.
- Nhấp vào Thêm bộ lọc.
- Chọn Loại quản lý Xác minh thiết bị đầu cuối.
- Nhấp vào Áp dụng.
Thiết lập thiết bị di động (giải pháp quản lý thiết bị đầu cuối của Google)
Để thực thi các cấp truy cập cho thiết bị di động, người dùng thiết bị phải được quản lý theo chế độ quản lý thiết bị di động cơ bản hoặc nâng cao.
Các bước bổ sung
Tải danh sách thiết bị thuộc sở hữu của công ty lên
Để thực thi một chính sách thiết bị yêu cầu thiết bị thuộc sở hữu của công ty, Google cần có danh sách số sê-ri cho các thiết bị thuộc sở hữu của công ty.
Để biết hướng dẫn, hãy chuyển đến bài viết Thêm thiết bị vào danh sách thiết bị trong bài viết Thêm thiết bị thuộc sở hữu của công ty vào danh sách thiết bị.
Lưu ý: Các thiết bị chạy Android 12 trở lên và có hồ sơ công việc luôn được báo cáo là thuộc sở hữu của người dùng, ngay cả khi bạn thêm chúng vào danh sách thiết bị thuộc sở hữu của công ty. Đối với những thiết bị này, nếu một cấp truy cập yêu cầu thiết bị thuộc sở hữu của công ty, thì hành động không được thực hiện. Nếu một cấp truy cập yêu cầu thiết bị thuộc sở hữu của người dùng, thì hành động được thực hiện. Để biết thêm thông tin, hãy chuyển đến phần Xem thông tin chi tiết về thiết bị di động, Tìm hiểu về thông tin chi tiết về thiết bị và trong bảng Thông tin thiết bị, hãy di chuyển xuống hàng Quyền sở hữu.
Phê duyệt hoặc chặn thiết bị
Để thực thi một chính sách thiết bị yêu cầu thiết bị được phê duyệt, trước tiên, bạn phải phê duyệt hoặc chặn thiết bị.
Bật và tắt quyền truy cập dựa trên bối cảnh
Bạn có thể bật quyền truy cập dựa trên bối cảnh vào những thời điểm khác nhau trong quá trình phát hành. Bạn có thể bật tính năng này trước khi tạo cấp truy cập và chỉ định cấp truy cập cho ứng dụng. Điều này có nghĩa là các cấp truy cập mà bạn chỉ định cho ứng dụng sẽ được thực thi ngay lập tức.
Bạn cũng có thể thiết lập và xem xét ban đầu (tạo cấp truy cập, chỉ định cấp truy cập, xác minh điểm cuối) mà không cần bật quyền truy cập dựa trên bối cảnh. Trong thời gian này, các giá trị chỉ định cấp truy cập không được thực thi. Khi quá trình định cấu hình hoàn tất, bạn có thể bật quyền truy cập dựa trên bối cảnh.
Bạn có thể tắt quyền truy cập dựa trên bối cảnh nếu có vấn đề về người dùng và bạn muốn tạm dừng ứng dụng trong khi điều tra xem chính sách nào đang gây ra vấn đề. Sau khi xác định được cấp truy cập nào đang gây ra vấn đề, bạn có thể sửa đổi hoặc xoá chính sách đó nếu cần cho các đơn vị tổ chức hoặc nhóm cụ thể.
Quan trọng: Có thể mất đến 24 giờ để tắt hoàn toàn quyền truy cập dựa trên bối cảnh sau khi bạn tắt tính năng này. Trong thời gian này, người dùng vẫn có thể bị ảnh hưởng bởi các cấp truy cập trước đó. Các cấp truy cập đã xoá sẽ ngừng áp dụng ngay lập tức.
Cách bật quyền truy cập dựa trên bối cảnh
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Quyền truy cập theo bối cảnh.Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.
- Xác minh rằng quyền truy cập dựa trên bối cảnh đang BẬT. Nếu không, hãy nhấp vào Bật.
Cách tắt quyền truy cập dựa trên bối cảnh
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Quyền truy cập theo bối cảnh.Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.
- Nhấp vào Tắt.
Mục tiếp theo:
Tạo và chỉ định cấp truy cập
Các bài viết này sẽ hướng dẫn bạn cách tạo cấp truy cập và chỉ định cấp truy cập cho ứng dụng:
Tìm hiểu các trường hợp sử dụng
Các bài viết này trình bày các trường hợp sử dụng phổ biến để triển khai quyền truy cập dựa trên bối cảnh trong môi trường của bạn: