פריסה של בקרת גישה מבוססת-הקשר

הכנה לפריסה חלקה של בקרת גישה מבוססת-הקשר. 

פריסה מוצלחת של בקרת גישה מבוססת-הקשר מגנה על נתונים ב-Workspace מפני משתמשים מסוכנים, ומוודאת שמשתמשים לגיטימיים לא ייחסמו. כדי לצמצם את הסיכון לחסימה של מספר רב של משתמשים, כדאי לפעול לפי ההמלצות הבאות להשקה.

שימוש במצב מעקב כדי לבדוק רמות גישה

אפשר להקצות רמת גישה במצב מעקב ולא במצב פעיל. מצב ההדגמה מאפשר לכם לדמות את ההשפעות של אכיפת רמת גישה בלי לחסום בפועל את הגישה של המשתמשים.

כשמחילים רמת גישה חדשה, מומלץ להשאיר אותה במצב הדגמה למשך שבוע לפחות. במהלך התקופה הזו, אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר מראים אילו משתמשים ייחסמו אם רמת הגישה תהיה במצב פעיל. אחרי שמוודאים שרמת הגישה פועלת כמו שרוצים, אפשר להפעיל את האכיפה בפועל על ידי העברת רמת הגישה למצב פעיל.

הוראות מפורטות לשימוש במצב מעקב מופיעות במאמר הקצאה של בקרת רמות גישה מבוססת-הקשר לאפליקציות.

המלצות נוספות להשקה

  • השקה מדורגת. מתחילים עם יחידה ארגונית אחת או קבוצה אחת כקבוצת פיילוט, ובודקים איך המדיניות פועלת עבורן. אם המשתמשים האלה מצליחים לגשת לאפליקציות, אפשר להוסיף את קבוצת המשתמשים הבאה. אם הם מרוצים, כדאי להטמיע מדיניות גישה לכל המשתמשים.
  • הקצאת מדיניות גישה לאפליקציות שנבחרו. כדאי לנסות לפרוס מדיניות באפליקציות שלא נעשה בהן שימוש רב בסביבה שלכם. לעקוב אחרי מה שקורה עם האפליקציות האלה, ואז להחיל את המדיניות על אפליקציות שנעשה בהן שימוש רב יותר.
  • איך למנוע נעילה של משתמשים או שותפים אל תחסמו את הגישה לשירותי Google Workspace, כמו Gmail, שבהם אתם משתמשים כדי לשתף תקשורת עם המשתמשים (ושגם הם צריכים כדי לתקשר איתכם). מזהים טווחי כתובות IP שהמשתמשים והשותפים צריכים.
  • אם אתם לקוחות של Workspace בלבד, אל תשתמשו ב-Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש במאפיינים לא נתמכים ב-Google Workspace, והמשתמשים עלולים להיחסם.
  • תכנון תמיכה במחלקת התמיכה למשתמשים שאולי יזדקקו לעזרה במהלך ההשקה.

מעקב אחר ההשקה

לא משנה באיזו שיטת הטמעה תשתמשו, כדאי לעקוב אחרי התוצאות של ההטמעה באמצעות משוב מהמשתמשים, וגם לעיין באירועים ביומן של בקרת גישה מבוססת-הקשר כדי לראות רשומות של משתמשים שהגישה שלהם נדחתה.

הכנה לפריסה

כדי שהפריסה תתבצע בצורה חלקה, צריך לבצע את השלבים הבאים לפני שיוצרים או מטמיעים מדיניות חדשה של גישה.

1. הודעה למשתמשים

כדאי לשאול את המשתמשים מה הם צריכים כדי להגן על סביבת העבודה שלהם. מכיוון שתטמיעו את בקרת הגישה מבוססת-הקשר לפי יחידה ארגונית או קבוצה, הצרכים של משתמשים שונים בארגון יכולים להיות שונים. חשוב להסביר להם מהן ההשלכות האפשריות של כללי המדיניות שיוצרים ומקצים: למשל, שהם עלולים להיחסם בזמנים שונים מסיבות שונות. תקשורת מוקדמת עוזרת לקדם את קבלת השינוי על ידי המשתמשים.

2. סידור המשתמשים ביחידות ארגוניות או בקבוצות

אפשר להקצות רמות גישה לפי יחידה ארגונית. לחלופין, אם כבר הגדרתם יחידות ארגוניות למטרות אחרות, אתם יכולים ליצור קבוצות הגדרה ולהקצות להן רמות. בכל מקרה, חשוב לוודא שהמשתמשים שרוצים להעניק להם גישה נמצאים ביחידות הארגוניות או בקבוצות הנכונות.

3. סקר מכשירי Enterprise

לפני שמטמיעים מדיניות שמבוססת על מכשירים, חשוב לוודא שהמכשירים בארגון מנוהלים בצורה נכונה על ידי צוות ה-IT ועומדים בתקנים של החברה. בודקים אם המכשירים מוצפנים, אם מותקנת בהם מערכת הפעלה עדכנית ואם הם בבעלות החברה או בבעלות אישית.

4. רישום מכשירים ניידים באמצעות ניהול נקודות קצה

המכשירים הניידים צריכים להיות מנוהלים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).

בניהול בסיסי, יכולים לחלוף כמה ימים עד שגרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יסתנכרנו. במהלך הזמן הזה, יכול להיות שתהיה השפעה על הגישה לשירותי Google Workspace מהמכשירים האלה אם אתם משתמשים בבקרת גישה מבוססת-הקשר.

5. אכיפת בדיקה של נקודת קצה (endpoint) לפני יצירת כללי מדיניות

אכיפת השימוש באימות נקודת קצה (Endpoint) כדי לדעת אילו מכשירים ניגשים (או יגשו) לנתונים של Google Workspace. בתוספים ל-Chrome, צריך לציין התקנה לפי הגדרת האדמין עבור Endpoint Verification ולדרוש מפתח גישה. פרטים נוספים זמינים במאמר בנושא הגדרת אימות נקודות קצה.

הגדרה של אימות נקודות קצה (endpoint) והפעלה של בקרת גישה מבוססת-הקשר

הגדרות תוכנה למחשבים או למכשירים ניידים.

הגדרת בדיקה של נקודת קצה (endpoint)

אם אוכפים מדיניות מכשיר ברמת גישה, אתם והמשתמשים שלכם צריכים להגדיר בדיקה של נקודת קצה (endpoint). מפעילים את בדיקה של נקודת קצה (endpoint) במסוף Admin. הוראות מפורטות מופיעות במאמר בנושא הפעלה או השבתה של בדיקה של נקודת קצה (endpoint).

הערה: אם אתם אוכפים מדיניות מכשיר של בקרת גישה מבוססת-הקשר לפני שהמשתמש יכול להיכנס לבדיקה של נקודת קצה (endpoint), יכול להיות שהמשתמש יקבל הודעה על דחיית הגישה גם אם המכשיר שלו עומד בדרישות המדיניות של בקרת הגישה מבוססת-הקשר. הסיבה לכך היא שסנכרון מאפייני המכשיר באמצעות Endpoint Verification עשוי להימשך כמה שניות. כדי למנוע את זה, חשוב לוודא שהמשתמשים נכנסים ל-Endpoint Verification ומרעננים את דף הדפדפן שלהם לפני שמפעילים מדיניות מכשיר מבוססת-הקשר.

בדיקת המכשירים שבהם מופעלת בדיקה של נקודת קצה (endpoint)

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשירים ואז סקירה כללית

    נדרשת הרשאת אדמין להגדרות של מכשיר משותף.

  2. לוחצים על נקודות קצה.
  3. לוחצים על הוספת מסנן.
  4. בוחרים באפשרות סוג הניהול ואז אימות של נקודות קצה.
  5. לוחצים על אישור.

הגדרה של מכשירים ניידים (ניהול נקודות קצה ב-Google)

כדי לאכוף רמות גישה למכשירים ניידים, המשתמש במכשיר צריך להיות מנוהל באמצעות ניהול בסיסי או ניהול מתקדם של מכשירים ניידים.

שלבים נוספים

העלאה של מלאי המכשירים בבעלות החברה

כדי לאכוף מדיניות מכשירים שדורשת מכשירים בבעלות החברה, Google צריכה רשימה של מספרים סידוריים של המכשירים בבעלות החברה.

הוראות מפורטות זמינות במאמר הוספת מכשירים בבעלות החברה למלאי.

הערה: מכשירים עם Android מגרסה 12 ואילך ופרופיל עבודה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם מוסיפים אותם למלאי המכשירים בבעלות החברה. במכשירים האלה, אם רמת הגישה מחייבת שהמכשיר יהיה בבעלות החברה, הפעולה לא מתבצעת, ואם רמת הגישה מחייבת שהמכשיר יהיה בבעלות המשתמש, הפעולה מתבצעת. מידע נוסף מופיע במאמרים בנושא צפייה בפרטים של מכשיר נייד, מידע על פרטי המכשיר, ובטבלה פרטי המכשיר, גוללים למטה לשורה בעלות.

אישור או חסימה של מכשירים

כדי לאכוף מדיניות מכשירים שמחייבת אישור מכשירים, קודם צריך לאשר או לחסום מכשירים.

הפעלה והשבתה של בקרת גישה מבוססת-הקשר

אפשר להפעיל את בקרת הגישה מבוססת-הקשר בשלבים שונים בתהליך ההשקה. אפשר להפעיל אותו לפני שיוצרים רמות גישה ומקצים אותן לאפליקציות. המשמעות היא שרמות הגישה שמקצים לאפליקציות נאכפות באופן מיידי.

אפשר גם לבצע הגדרה ראשונית ובדיקה (יצירת רמת גישה, הקצאת רמת גישה, בדיקה של נקודת קצה (endpoint)) בלי להפעיל בקרת גישה מבוססת-הקשר. במהלך התקופה הזו, לא תהיה אכיפה של הקצאות רמות הגישה. אחרי שההגדרה תושלם, תוכלו להפעיל את בקרת הגישה מבוססת-הקשר.

אם יש בעיות שקשורות למשתמשים ואתם רוצים להשהות את האפליקציה בזמן שאתם בודקים אילו כללי מדיניות יוצרים את הבעיות, אתם יכולים להשבית את בקרת הגישה מבוססת-הקשר. אחרי שתקבעו איזו רמת גישה גורמת לבעיות, תוכלו לשנות את המדיניות או להסיר אותה לפי הצורך ביחידות ארגוניות או בקבוצות ספציפיות.

חשוב: יכול להיות שיחלפו עד 24 שעות עד שבקרת גישה מבוססת-הקשר תושבת באופן מלא אחרי שתשביתו אותה. במהלך הזמן הזה, יכול להיות שהמשתמשים עדיין יושפעו מרמות גישה קודמות. רמות גישה שנמחקו יפסיקו לחול באופן מיידי.

כדי להפעיל את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. מוודאים שבקרת הגישה מבוססת ההקשר מופעלת. אם לא, לוחצים על הפעלה.

כדי להשבית את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על השבתה.

מה השלב הבא:

יצירה והקצאה של רמות גישה

במאמרים הבאים מוסבר איך ליצור רמות גישה ולהקצות אותן לאפליקציות:

עיון בתרחישים לדוגמה

במאמרים הבאים מוצגות דוגמאות נפוצות לשימוש בבקרת גישה מבוססת-הקשר בסביבה שלכם: