פריסה של בקרת גישה מבוססת-הקשר

הכנה לפריסה חלקה של בקרת גישה מבוססת-הקשר. 

פריסה מוצלחת של גישה מבוססת-הקשר מגנה על נתוני Workspace מפני משתמשים מסוכנים, ומוודאת שמשתמשים לגיטימיים לא ייחסמו. כדי לצמצם את הסיכון לחסימה של מספר רב של משתמשים, כדאי לפעול לפי ההמלצות הבאות להשקה.

שימוש במצב מעקב כדי לבדוק רמות גישה

אפשר להקצות רמת גישה במצב מעקב ולא במצב פעיל. מצב ההדגמה מאפשר לכם לדמות את ההשפעות של אכיפת רמת גישה בלי לחסום בפועל את הגישה של המשתמשים.

כשמחילים רמת גישה חדשה, מומלץ להשאיר אותה במצב הדגמה למשך שבוע לפחות. במהלך התקופה הזו, אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר מראים אילו משתמשים ייחסמו אם רמת הגישה תהיה במצב פעיל. אחרי שמוודאים שרמת הגישה פועלת כמו שרוצים, אפשר להפעיל את האכיפה בפועל על ידי העברת רמת הגישה למצב פעיל.

הוראות מפורטות לשימוש במצב מעקב מופיעות במאמר הקצאה של בקרת רמות גישה מבוססת-הקשר לאפליקציות.

המלצות נוספות להשקה

  • השקה מדורגת. מתחילים עם יחידה ארגונית או קבוצה אחת כקבוצת פיילוט, ובודקים איך המדיניות פועלת עבורן. אם המשתמשים האלה מצליחים לגשת לאפליקציות, אפשר להוסיף את קבוצת המשתמשים הבאה. אם הם מרוצים, כדאי להטמיע מדיניות גישה לכל המשתמשים.
  • הקצאת מדיניות גישה לאפליקציות שנבחרו. כדאי לנסות לפרוס מדיניות באפליקציות שלא נמצאות בשימוש נרחב בסביבה שלכם. כדאי לעקוב אחרי מה שקורה עם האפליקציות האלה, ואז להחיל את המדיניות על אפליקציות שנעשה בהן שימוש רב יותר.
  • איך למנוע נעילה של משתמשים או שותפים אל תחסמו את הגישה לשירותי Google Workspace, כמו Gmail, שבהם אתם משתמשים כדי לשתף תקשורת עם המשתמשים (ושגם הם צריכים כדי לתקשר איתכם). מזהים את טווחי כתובות ה-IP שהמשתמשים והשותפים צריכים.
  • אם אתם לקוחות של Workspace בלבד, אל תשתמשו ב-Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש במאפיינים לא נתמכים ב-Google Workspace, והמשתמשים עלולים להיחסם.
  • תכנון תמיכה במחלקת התמיכה למשתמשים שאולי יזדקקו לעזרה במהלך ההשקה.

מעקב אחר ההשקה

לא משנה באיזו שיטת הטמעה תשתמשו, כדאי לעקוב אחרי התוצאות של ההטמעה באמצעות משוב מהמשתמשים ועיון באירועים ביומן של בקרת גישה מבוססת-הקשר כדי לראות רשומות של משתמשים שנדחתה בקשת הגישה שלהם.

הכנה לפריסה

כדי שהפריסה תתבצע בצורה חלקה, צריך לבצע את השלבים הבאים לפני שיוצרים או מטמיעים מדיניות חדשה של גישה.

1. הודעה למשתמשים

כדאי לשוחח עם המשתמשים כדי להבין מה הם צריכים להגן בסביבת העבודה שלהם. מכיוון שתטמיעו את הגישה מודעת-ההקשר לפי יחידה ארגונית או קבוצה, הצרכים של משתמשים שונים בארגון יכולים להיות שונים. חשוב להסביר להם מהן ההשלכות האפשריות של כללי המדיניות שיוצרים ומקצים: למשל, שהם עלולים להיחסם בזמנים שונים מסיבות שונות. תקשורת מוקדמת עוזרת לקדם את קבלת השינוי על ידי המשתמשים.

2. סידור המשתמשים ביחידות ארגוניות או בקבוצות

אפשר להקצות רמות גישה לפי יחידה ארגונית. לחלופין, אם כבר הגדרתם יחידות ארגוניות למטרות אחרות, אתם יכולים ליצור קבוצות הגדרה ולהקצות להן רמות. בכל מקרה, חשוב לוודא שהמשתמשים שרוצים להעניק להם גישה נמצאים ביחידות הארגוניות או בקבוצות הנכונות.

3. סקר מכשירי Enterprise

לפני שמטמיעים מדיניות שמבוססת על מכשירים, חשוב לוודא שהמכשירים בארגון נמצאים תחת ניהול IT מתאים ועומדים בתקנים של החברה. בודקים אם המכשירים מוצפנים, אם מותקנת בהם מערכת הפעלה עדכנית, ואם הם בבעלות החברה או בבעלות אישית.

4. רישום מכשירים ניידים באמצעות ניהול נקודות קצה

המכשירים הניידים צריכים להיות מנוהלים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).

בניהול בסיסי, יכולים לחלוף כמה ימים עד שגרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יסתנכרנו. במהלך התקופה הזו, הגישה לשירותי Google Workspace מהמכשירים האלה עשויה להיות מושפעת אם אתם משתמשים בבקרת גישה מבוססת-הקשר.

5. אכיפת בדיקה של נקודת קצה (endpoint) לפני יצירת כללי מדיניות

אכיפת השימוש באימות נקודת קצה כדי לדעת אילו מכשירים ניגשים (או יגשו) לנתונים של Google Workspace. בתוספים ל-Chrome, צריך לציין התקנה לפי הגדרת האדמין עבור Endpoint Verification ולדרוש מפתח גישה. פרטים נוספים זמינים במאמר בנושא הגדרת אימות נקודות קצה.

הגדרה של אימות נקודות קצה (endpoint) והפעלה של בקרת גישה מבוססת-הקשר

הגדרות תוכנה למחשבים או למכשירים ניידים.

הגדרת בדיקה של נקודת קצה (endpoint)

אם אוכפים מדיניות מכשיר ברמת גישה, אתם והמשתמשים שלכם צריכים להגדיר אימות נקודות קצה. מפעילים את בדיקת נקודת הקצה במסוף Admin. הוראות מפורטות מופיעות במאמר בנושא הפעלה או השבתה של אימות נקודות קצה.

הערה: אם אוכפים מדיניות של בקרת גישה מבוססת-הקשר במכשיר לפני שהמשתמש יכול להיכנס לאימות נקודות קצה, יכול להיות שהמשתמש יקבל הודעה על דחיית הגישה גם אם המכשיר שלו עומד בדרישות המדיניות של בקרת הגישה מבוססת-הקשר. הסיבה לכך היא שסנכרון מאפייני המכשיר באמצעות בדיקה של נקודת קצה (endpoint) עשוי להימשך כמה שניות. כדי למנוע את זה, חשוב לוודא שהמשתמשים נכנסים ל-Endpoint Verification ומרעננים את דף הדפדפן שלהם לפני שמפעילים מדיניות מכשיר מבוססת-הקשר.

בדיקת המכשירים שבהם מופעלת בדיקה של נקודת קצה (endpoint)

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואז מסכים אחרונים

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. לוחצים על נקודות קצה.
  3. לוחצים על הוספת מסנן.
  4. בוחרים באפשרות סוג הניהול ואז אימות של נקודות קצה.
  5. לוחצים על אישור.

הגדרה של מכשירים ניידים (ניהול נקודות קצה ב-Google)

כדי לאכוף רמות גישה למכשירים ניידים, המשתמש במכשיר צריך להיות מנוהל באמצעות ניהול בסיסי או ניהול מתקדם של מכשירים ניידים.

שלבים נוספים

העלאה של מלאי המכשירים בבעלות החברה

כדי לאכוף מדיניות מכשירים שדורשת מכשירים בבעלות החברה, Google צריכה רשימה של מספרים סידוריים של המכשירים בבעלות החברה.

הוראות מפורטות זמינות במאמר הוספת מכשירים בבעלות החברה למלאי.

הערה: מכשירים עם Android מגרסה 12 ואילך ופרופיל עבודה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם מוסיפים אותם למלאי המכשירים בבעלות החברה. במכשירים האלה, אם רמת הגישה מחייבת שהמכשיר יהיה בבעלות החברה, הפעולה לא מתבצעת, ואם רמת הגישה מחייבת שהמכשיר יהיה בבעלות המשתמש, הפעולה מתבצעת. מידע נוסף מופיע במאמרים בנושא צפייה בפרטים של מכשיר נייד, מידע על פרטי המכשיר, ובטבלה פרטי המכשיר, גוללים למטה לשורה בעלות.

אישור או חסימה של מכשירים

כדי לאכוף מדיניות מכשירים שמחייבת אישור מכשירים, קודם צריך לאשר או לחסום מכשירים.

הפעלה והשבתה של בקרת גישה מבוססת-הקשר

אפשר להפעיל את בקרת הגישה מבוססת-הקשר בשלבים שונים בתהליך ההשקה. אפשר להפעיל אותו לפני שיוצרים רמות גישה ומקצים אותן לאפליקציות. המשמעות היא שרמות הגישה שאתם מקצים לאפליקציות נאכפות באופן מיידי.

אפשר גם לבצע הגדרה ראשונית ובדיקה (יצירת רמת גישה, הקצאת רמת גישה, אימות נקודת קצה) בלי להפעיל את בקרת הגישה מבוססת-הקשר. במהלך התקופה הזו, לא מתבצעת אכיפה של הקצאות רמות הגישה. אחרי שההגדרה תושלם, תוכלו להפעיל את בקרת הגישה מבוססת-הקשר.

אם יש בעיות שקשורות למשתמשים ואתם רוצים להשהות את האפליקציה בזמן שאתם בודקים אילו כללי מדיניות יוצרים את הבעיות, אתם יכולים להשבית את בקרת הגישה מבוססת-הקשר. אחרי שתקבעו איזו רמת גישה גורמת לבעיות, תוכלו לשנות את המדיניות או להסיר אותה לפי הצורך עבור יחידות ארגוניות או קבוצות ספציפיות.

חשוב: יכול להיות שיחלפו עד 24 שעות עד שהגישה לפי הקשר תושבת באופן מלא אחרי שתשביתו אותה. במהלך הזמן הזה, יכול להיות שהמשתמשים עדיין יושפעו מרמות גישה קודמות. רמות גישה שנמחקו יפסיקו לחול באופן מיידי.

כדי להפעיל את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. מוודאים שבקרת הגישה מבוססת-הקשר מופעלת. אם לא, לוחצים על הפעלה.

כדי להשבית את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על כיבוי.

השלב הבא:

יצירה והקצאה של רמות גישה

במאמרים הבאים מוסבר איך ליצור רמות גישה ולהקצות אותן לאפליקציות:

עיון בתרחישים לדוגמה

במאמרים הבאים מוצגים תרחישי שימוש נפוצים להטמעה של בקרת גישה מבוססת-הקשר בסביבה שלכם: