פריסה של בקרת גישה מבוססת-הקשר

הכנה לפריסה חלקה של בקרת גישה מבוססת-הקשר. 

פריסה מוצלחת של בקרת גישה מבוססת-הקשר מגנה על נתונים ב-Workspace מפני משתמשים מסוכנים, ומוודאת שמשתמשים לגיטימיים לא נחסמים. כדי לצמצם את הסיכון לחסימה של מספר רב של משתמשים, כדאי לפעול לפי ההמלצות הבאות להשקה.

שימוש במצב מעקב כדי לבדוק רמות גישה

אפשר להקצות רמת גישה בהתחלה במצב מעקב, ולא במצב פעיל. מצב ההדגמה מאפשר לכם לדמות את ההשפעות של אכיפת רמת גישה בלי לחסום בפועל את הגישה של המשתמשים.

כשמחילים רמת גישה חדשה, מומלץ להשאיר אותה במצב הדגמה למשך שבוע לפחות. במהלך התקופה הזו, אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר מראים אילו משתמשים ייחסמו אם רמת הגישה תהיה במצב פעיל. אחרי שמוודאים שרמת הגישה פועלת כמו שרוצים, אפשר להפעיל אכיפה בפועל על ידי העברת רמת הגישה למצב פעיל.

הוראות מפורטות לשימוש במצב מעקב מופיעות במאמר הקצאה של בקרת רמות גישה מבוססת-הקשר לאפליקציות.

המלצות נוספות להשקה

  • השקה מדורגת. מתחילים עם יחידה ארגונית אחת או קבוצה אחת כקבוצת פיילוט, ובודקים איך המדיניות פועלת עבורן. אם המשתמשים האלה מצליחים לגשת לאפליקציות, אפשר להוסיף את קבוצת המשתמשים הבאה. אם הם מרוצים, כדאי להטמיע מדיניות גישה לכל המשתמשים.
  • הקצאת מדיניות גישה לאפליקציות שנבחרו. כדאי לנסות לפרוס מדיניות באפליקציות שלא נעשה בהן שימוש רב בסביבה שלכם. לעקוב אחרי מה שקורה באפליקציות האלה, ואז להחיל את המדיניות על אפליקציות שנעשה בהן שימוש רב יותר.
  • איך למנוע נעילה של משתמשים או שותפים אל תחסמו את הגישה לשירותי Google Workspace, כמו Gmail, שבהם אתם משתמשים כדי לשתף תקשורת עם המשתמשים (ושגם הם צריכים כדי לתקשר איתכם). מזהים טווחי כתובות IP שהמשתמשים והשותפים צריכים.
  • אם אתם לקוחות של Workspace בלבד, אל תשתמשו ב-Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש בתכונות שלא נתמכות ב-Google Workspace, והמשתמשים עלולים להיחסם.
  • תכנון תמיכה במוקד העזרה למשתמשים שאולי יזדקקו לעזרה במהלך ההשקה.

מעקב אחר ההשקה

לא משנה באיזו שיטת הטמעה תשתמשו, כדאי לעקוב אחרי התוצאות של ההטמעה באמצעות משוב מהמשתמשים, וגם לעיין באירועים ביומן של בקרת גישה מבוססת-הקשר כדי לראות רשומות של משתמשים שהגישה שלהם נדחתה.

הכנה לפריסה

כדי שהפריסה תתבצע בצורה חלקה, צריך לפעול לפי השלבים הבאים לפני שיוצרים או מטמיעים מדיניות חדשה של גישה.

1. הודעה למשתמשים

כדאי לשוחח עם המשתמשים כדי להבין מה הם צריכים להגן בסביבת העבודה שלהם. מכיוון שתטמיעו את בקרת הגישה מבוססת-הקשר לפי יחידה ארגונית או קבוצה, הצרכים של משתמשים שונים בארגון יכולים להיות שונים. חשוב להסביר להם מהן ההשלכות האפשריות של כללי המדיניות שאתם יוצרים ומקצים: למשל, שהם עלולים להיחסם בזמנים שונים מסיבות שונות. תקשורת מראש עוזרת לקדם את ההסכמה של המשתמשים.

2. סידור המשתמשים ביחידות ארגוניות או בקבוצות

אפשר להקצות רמות גישה לפי יחידה ארגונית. לחלופין, אם כבר הגדרתם יחידות ארגוניות למטרות אחרות, אתם יכולים ליצור קבוצות הגדרה ולהקצות להן רמות. בכל מקרה, חשוב לוודא שהמשתמשים שרוצים להעניק להם גישה נמצאים ביחידות הארגוניות או בקבוצות הנכונות.

3. סקר מכשירי Enterprise

לפני שמטמיעים מדיניות שמבוססת על מכשירים, חשוב לוודא שהמכשירים בארגון נמצאים תחת ניהול IT מתאים ועומדים בתקנים של החברה. בודקים אם המכשירים מוצפנים, אם מותקנת בהם מערכת הפעלה עדכנית ואם הם בבעלות החברה או בבעלות אישית.

4. רישום מכשירים ניידים באמצעות ניהול נקודות קצה

המכשירים הניידים צריכים להיות מנוהלים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).

בניהול בסיסי, יכולים לחלוף כמה ימים עד שגרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יסתנכרנו. במהלך התקופה הזו, אם אתם משתמשים בבקרת גישה מבוססת-הקשר, יכול להיות שתהיה השפעה על הגישה לשירותי Google Workspace מהמכשירים האלה.

5. אכיפת אימות נקודות קצה לפני יצירת מדיניות

אכיפת השימוש באימות נקודת קצה (Endpoint) כדי לדעת אילו מכשירים ניגשים (או יגשו) לנתונים של Google Workspace. בתוספים ל-Chrome, צריך לציין התקנה לפי הגדרת האדמין עבור Endpoint Verification ולדרוש מפתח גישה. פרטים נוספים זמינים במאמר בנושא הגדרת אימות נקודות קצה.

הגדרה של אימות נקודות קצה והפעלה של בקרת גישה מבוססת-הקשר

הגדרות תוכנה למחשבים או למכשירים ניידים.

הגדרת אימות של נקודות קצה

אם אוכפים מדיניות מכשיר ברמת גישה, אתם והמשתמשים שלכם צריכים להגדיר אימות נקודות קצה. מפעילים את בדיקת נקודת הקצה במסוף Admin. הוראות מפורטות מופיעות במאמר בנושא הפעלה או השבתה של אימות נקודות קצה.

הערה: אם אוכפים מדיניות של בקרת גישה מבוססת-הקשר במכשיר לפני שהמשתמש יכול להיכנס לאימות נקודות קצה, יכול להיות שהמשתמש יקבל הודעה על דחיית הגישה גם אם המכשיר שלו עומד בדרישות המדיניות של בקרת הגישה מבוססת-הקשר. הסיבה לכך היא שסנכרון מאפייני המכשיר באמצעות בדיקה של נקודת קצה (endpoint) עשוי להימשך כמה שניות. כדי למנוע את זה, צריך לוודא שהמשתמשים נכנסים ל-Endpoint Verification ומרעננים את דף הדפדפן לפני שמפעילים מדיניות מכשיר מבוססת-הקשר.

בדיקה של המכשירים שבהם מופעלת בדיקת נקודת קצה

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואז סקירה כללית.

    נדרשת הרשאת אדמין להגדרות של מכשיר משותף.

  2. לוחצים על נקודות קצה.
  3. לוחצים על הוספת מסנן.
  4. בוחרים באפשרות סוג הניהול ואז אימות של נקודות קצה.
  5. לוחצים על אישור.

הגדרה של מכשירים ניידים (ניהול נקודות קצה ב-Google)

כדי לאכוף רמות גישה במכשירים ניידים, המשתמש במכשיר צריך להיות מנוהל באמצעות ניהול בסיסי או ניהול מתקדם של מכשירים ניידים.

שלבים נוספים

העלאה של מלאי המכשירים בבעלות החברה

כדי לאכוף מדיניות מכשירים שדורשת מכשירים בבעלות החברה, Google צריכה רשימה של מספרים סידוריים של המכשירים בבעלות החברה.

הוראות מפורטות זמינות במאמר הוספת מכשירים בבעלות החברה למלאי.

הערה: מכשירים עם Android מגרסה 12 ואילך ופרופיל עבודה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם מוסיפים אותם למלאי המכשירים בבעלות החברה. במכשירים האלה, אם רמת גישה דורשת שהמכשיר יהיה בבעלות החברה, הפעולה לא מתבצעת, ואם רמת גישה דורשת שהמכשיר יהיה בבעלות המשתמש, הפעולה מתבצעת. מידע נוסף מופיע במאמרים בנושא צפייה בפרטים של מכשיר נייד, מידע על פרטי מכשיר, ובטבלה פרטי מכשיר, גוללים למטה לשורה בעלות.

אישור או חסימה של מכשירים

כדי לאכוף מדיניות מכשירים שדורשת אישור מכשירים, קודם צריך לאשר או לחסום מכשירים.

הפעלה והשבתה של בקרת גישה מבוססת-הקשר

אפשר להפעיל את בקרת הגישה מבוססת-הקשר בשלבים שונים בתהליך ההשקה. אפשר להפעיל את האכיפה לפני שיוצרים רמות גישה ומקצים אותן לאפליקציות. המשמעות היא שרמות הגישה שמקצים לאפליקציות נאכפות באופן מיידי.

אפשר גם לבצע הגדרה ראשונית ובדיקה (יצירת רמת גישה, הקצאת רמת גישה, אימות נקודת קצה) בלי להפעיל בקרת גישה מבוססת-הקשר. במהלך התקופה הזו, לא מתבצעת אכיפה של הקצאות רמות הגישה. אחרי שההגדרה תסתיים, תוכלו להפעיל את בקרת הגישה מבוססת-הקשר.

אם יש בעיות שקשורות למשתמשים ואתם רוצים להשהות את האפליקציה בזמן שאתם בודקים אילו כללי מדיניות יוצרים את הבעיות, אתם יכולים להשבית את בקרת הגישה מבוססת-הקשר. אחרי שתזהו את רמת הגישה שגורמת לבעיות, תוכלו לשנות את המדיניות או להסיר אותה לפי הצורך עבור יחידות ארגוניות או קבוצות ספציפיות.

חשוב: יכול להיות שיחלפו עד 24 שעות עד שבקרת גישה מבוססת-הקשר תושבת באופן מלא אחרי שתשביתו אותה. במהלך הזמן הזה, יכול להיות שהמשתמשים עדיין יושפעו מרמות גישה קודמות. רמות גישה שנמחקו יפסיקו לחול באופן מיידי.

כדי להפעיל את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. מוודאים שבקרת הגישה מבוססת-הקשר מופעלת. אם לא, לוחצים על הפעלה.

כדי להשבית את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על השבתה.

מה השלב הבא:

יצירה והקצאה של רמות גישה

במאמרים הבאים מוסבר איך ליצור רמות גישה ולהקצות אותן לאפליקציות:

תרחישים לדוגמה

במאמרים הבאים מוצגים תרחישים נפוצים להטמעה של בקרת גישה מבוססת-הקשר בסביבה שלכם: