Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

פריסה של בקרת גישה מבוססת-הקשר

הכנה לפריסה חלקה של בקרת גישה מבוססת-הקשר.

פריסה מוצלחת של גישה מודעת-הקשר מגנה על נתונים ב-Workspace מפני משתמשים מסוכנים, ומוודאת שמשתמשים לגיטימיים לא נחסמים. כדי לצמצם את הסיכון לחסימה של מספר רב של משתמשים, כדאי לפעול לפי ההמלצות הבאות להשקה.

שימוש במצב מעקב כדי לבדוק רמות גישה

אפשר להקצות רמת גישה בהתחלה במצב מעקב, ולא במצב פעיל. מצב ההדגמה מאפשר לכם לדמות את ההשפעות של אכיפת רמת גישה בלי לחסום בפועל את הגישה של המשתמשים.

כשמחילים רמת גישה חדשה, מומלץ להשאיר אותה במצב מעקב למשך שבוע לפחות. במהלך התקופה הזו, אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר מראים אילו משתמשים ייחסמו אם רמת הגישה תהיה במצב פעיל. אחרי שמוודאים שרמת הגישה פועלת כמו שרוצים, אפשר להפעיל אכיפה בפועל על ידי העברת רמת הגישה למצב פעיל.

הוראות מפורטות לשימוש במצב מעקב מופיעות במאמר הקצאה של בקרת רמות גישה מבוססת-הקשר לאפליקציות.

המלצות נוספות להשקה

השקה מדורגת. מתחילים עם יחידה ארגונית אחת או קבוצה אחת כקבוצת פיילוט, ובודקים איך המדיניות פועלת עבורן. אם המשתמשים האלה מצליחים לגשת לאפליקציות, אפשר להוסיף את קבוצת המשתמשים הבאה. אם הם מרוצים, כדאי להטמיע מדיניות גישה לכל המשתמשים.
הקצאת מדיניות גישה לאפליקציות שנבחרו. כדאי לנסות לפרוס מדיניות באפליקציות שלא נעשה בהן שימוש רב בסביבה שלכם. לעקוב אחרי מה שקורה באפליקציות האלה, ואז להחיל את המדיניות על אפליקציות שנעשה בהן שימוש רב יותר.
מומלץ להימנע מנעילת משתמשים או שותפים. אל תחסמו את הגישה לשירותי Google Workspace, כמו Gmail, שאתם משתמשים בהם כדי לשתף תקשורת עם המשתמשים שלכם (ושגם הם צריכים לתקשר איתכם). כדאי לזהות טווחי כתובות IP שהמשתמשים והשותפים צריכים.
אם אתם לקוחות של Workspace בלבד, אל תשתמשו ב-Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש בתכונות שלא נתמכות ב-Google Workspace, והמשתמשים עלולים להיחסם.
תכנון תמיכה במחלקת התמיכה למשתמשים שאולי יזדקקו לעזרה במהלך ההשקה.

מעקב אחר ההשקה

לא משנה באיזו שיטת הטמעה תשתמשו, כדאי לעקוב אחרי התוצאות של ההטמעה באמצעות משוב מהמשתמשים, וגם לעיין באירועים ביומן של בקרת גישה מבוססת-הקשר כדי לראות רשומות של משתמשים שהגישה שלהם נדחתה.

הכנה לפריסה

כדי שהפריסה תתבצע בצורה חלקה, צריך לפעול לפי השלבים הבאים לפני שיוצרים או מטמיעים מדיניות חדשה של גישה.

1. הודעה למשתמשים

כדאי לשוחח עם המשתמשים כדי להבין מה הם צריכים להגן בסביבת העבודה שלהם. מכיוון שתטמיעו את הגישה בהתאם להקשר לפי יחידה ארגונית או קבוצה, הצרכים של משתמשים שונים בארגון יכולים להיות שונים. חשוב להסביר להם מהן ההשלכות האפשריות של כללי המדיניות שאתם יוצרים ומקצים: למשל, שהם עלולים להיחסם בזמנים שונים מסיבות שונות. תקשורת מראש עוזרת לקדם את ההסכמה של המשתמשים.

2. סידור המשתמשים ביחידות ארגוניות או בקבוצות

אפשר להקצות רמות גישה לפי יחידה ארגונית. לחלופין, אם כבר הגדרתם יחידות ארגוניות למטרות אחרות, אתם יכולים ליצור קבוצות הגדרה ולהקצות להן רמות. בכל מקרה, חשוב לוודא שהמשתמשים שרוצים להעניק להם גישה נמצאים ביחידות הארגוניות או בקבוצות הנכונות.

3. סקר מכשירי Enterprise

לפני שמטמיעים מדיניות שמבוססת על מכשירים, חשוב לוודא שהמכשירים בארגון נמצאים תחת ניהול IT מתאים ועומדים בתקנים של החברה. בודקים אם המכשירים מוצפנים, אם מותקנת בהם מערכת הפעלה עדכנית ואם הם בבעלות החברה או בבעלות אישית.

4. רישום מכשירים ניידים באמצעות ניהול נקודות קצה

המכשירים הניידים צריכים להיות מנוהלים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).

בניהול בסיסי, סנכרון של גרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יכול להימשך כמה ימים. במהלך הזמן הזה, הגישה לשירותי Google Workspace מהמכשירים האלה עשויה להיות מושפעת אם משתמשים בבקרת גישה מבוססת-הקשר.

5. אכיפת בדיקה של נקודת קצה לפני יצירת כללי מדיניות

אכיפת השימוש בבדיקה של נקודת קצה כדי לדעת אילו מכשירים ניגשים (או יגשו) לנתונים של Google Workspace. בתוספים ל-Chrome, צריך לציין התקנה לפי הגדרת האדמין עבור בדיקה של נקודת קצה ולדרוש מפתח גישה. פרטים נוספים זמינים במאמר בנושא הגדרת אימות נקודות קצה.

הגדרה של בדיקה של נקודת קצה והפעלה של בקרת גישה מבוססת-הקשר

הגדרות תוכנה למחשבים או למכשירים ניידים.

הגדרת בדיקה של נקודת קצה

אם אוכפים מדיניות מכשיר ברמת גישה, אתם והמשתמשים שלכם צריכים להגדיר בדיקה של נקודת קצה. מפעילים את בדיקה של נקודת קצה במסוף Admin. הוראות מפורטות מופיעות במאמר בנושא הפעלה או השבתה של בדיקה של נקודת קצה.

הערה: אם אתם אוכפים מדיניות מכשיר מבוססת-הקשר לפני שהמשתמש יכול להיכנס לבדיקה של נקודת קצה, יכול להיות שהמשתמש יקבל הודעה על דחיית הגישה גם אם המכשיר שלו עומד בדרישות המדיניות מבוססת-הקשר. הסיבה לכך היא שסנכרון מאפייני המכשיר באמצעות בדיקה של נקודת קצה (endpoint) עשוי להימשך כמה שניות. כדי למנוע את זה, חשוב לוודא שהמשתמשים נכנסים ל-בדיקה של נקודת קצה ומרעננים את דף הדפדפן שלהם לפני שמפעילים מדיניות מכשיר מבוססת-הקשר.

בדיקה של המכשירים שבהם מופעלת בדיקת נקודת קצה

במסוף Google Admin, נכנסים לתפריט מכשירים סקירה כללית.

לסקירה הכללית

נדרשת הרשאת אדמין להגדרות של מכשיר משותף.
לוחצים על נקודות קצה.
לוחצים על הוספת מסנן.
בוחרים באפשרות סוג הניהול אימות של נקודות קצה.
לוחצים על אישור.

הגדרה של מכשירים ניידים (ניהול נקודות קצה ב-Google)

כדי לאכוף רמות גישה במכשירים ניידים, המשתמש במכשיר צריך להיות מנוהל באמצעות ניהול בסיסי או ניהול מתקדם של מכשירים ניידים.

שלבים נוספים

העלאה של מלאי המכשירים בבעלות החברה

כדי לאכוף מדיניות מכשירים שנדרשים בה מכשירים בבעלות החברה, Google צריכה לקבל רשימה של מספרים סידוריים של המכשירים בבעלות החברה.

הוראות מפורטות זמינות במאמר הוספת מכשירים בבעלות החברה למלאי.
הערה: מכשירים עם Android בגרסה 12 ואילך ופרופיל עבודה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם מוסיפים אותם למלאי המכשירים בבעלות החברה. במכשירים האלה, אם רמת הגישה דורשת שהמכשיר יהיה בבעלות החברה, הפעולה לא מתבצעת, ואם רמת הגישה דורשת שהמכשיר יהיה בבעלות המשתמש, הפעולה מתבצעת. מידע נוסף זמין במאמרים צפייה בפרטי מכשירים ניידים, מידע על פרטי מכשירים, ובטבלה פרטי המכשיר, גוללים למטה לשורה בעלות.

אישור או חסימה של מכשירים

כדי לאכוף מדיניות מכשירים שדורשת אישור מכשירים, קודם צריך לאשר או לחסום מכשירים.

הפעלה והשבתה של בקרת גישה מבוססת-הקשר

אפשר להפעיל את בקרת הגישה מבוססת-הקשר בשלבים שונים בתהליך ההשקה. אפשר להפעיל אותו לפני שיוצרים רמות גישה ומקצים אותן לאפליקציות. המשמעות היא שרמות הגישה שמקצים לאפליקציות נאכפות באופן מיידי.

אפשר גם לבצע הגדרה ראשונית ובדיקה (יצירת רמת גישה, הקצאת רמת גישה, בדיקה של נקודת קצה) בלי להפעיל בקרת גישה מבוססת-הקשר. במהלך התקופה הזו, לא תהיה אכיפה של הקצאות רמות הגישה. אחרי שההגדרה תסתיים, תוכלו להפעיל את בקרת הגישה מבוססת-הקשר.

אם יש בעיות שקשורות למשתמשים, אפשר להשבית את בקרת הגישה מבוססת-הקשר כדי להשהות את האפליקציה בזמן שבודקים אילו כללי מדיניות יוצרים את הבעיות. אחרי שמגלים איזו רמת גישה גורמת לבעיות, אפשר לשנות את המדיניות או להסיר אותה לפי הצורך ביחידות ארגוניות או בקבוצות ספציפיות.

חשוב: יכול להיות שיחלפו עד 24 שעות עד שההשבתה של בקרת הגישה מבוססת-הקשר תושלם. במהלך הזמן הזה, יכול להיות שרמות הגישה הקודמות עדיין ישפיעו על המשתמשים. רמות גישה שנמחקו יפסיקו לחול באופן מיידי.

כדי להפעיל את בקרת הגישה מבוססת-הקשר

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים גישה מודעת-הקשר.

אל בקרת גישה מבוססת-הקשר

נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.
מוודאים שבקרת הגישה מבוססת ההקשר מופעלת. אם לא, לוחצים על הפעלה.

כדי להשבית את בקרת הגישה מבוססת-הקשר

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים גישה מודעת-הקשר.

אל בקרת גישה מבוססת-הקשר

נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.
לוחצים על השבתה.

מה השלב הבא:

יצירה והקצאה של רמות גישה

במאמרים הבאים מוסבר איך ליצור רמות גישה ולהקצות אותן לאפליקציות:

עיון בתרחישים לדוגמה

במאמרים הבאים מוצגים תרחישים נפוצים להטמעה של בקרת גישה מבוססת-הקשר בסביבה שלכם:

פריסה של בקרת גישה מבוססת-הקשר קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.