Kontextsensitiven Zugriff bereitstellen

Reibungslose Einführung des kontextsensitiven Zugriffs vorbereiten

Durch die erfolgreiche Bereitstellung des kontextsensitiven Zugriffs werden Workspace-Daten vor riskanten Nutzern geschützt, ohne legitime Nutzer zu blockieren. Mit diesen Empfehlungen zur Einführung reduzieren Sie das Risiko, dass eine Vielzahl von Nutzern blockiert werden:

Zugriffsebenen im Monitormodus testen

Sie können eine Zugriffsebene zunächst im Monitormodus zuweisen, anstatt im Aktivmodus. Im Monitormodus können Sie die Auswirkungen der Erzwingung einer Zugriffsebene simulieren, ohne den Nutzerzugriff tatsächlich zu blockieren.

Wenn Sie eine neue Zugriffsebene anwenden, sollten Sie sie mindestens eine Woche im Monitormodus belassen. In diesem Zeitraum sehen Sie anhand der protokollierten Ereignisse im Protokoll für den kontextsensitiven Zugriff, welche Nutzer blockiert worden wären, wenn die Zugriffsebene im Aktivmodus gewesen wäre. Nachdem Sie geprüft haben, ob die Zugriffsebene wie gewünscht funktioniert, können Sie die tatsächliche Erzwingung aktivieren, indem Sie die Zugriffsebene in den Aktivmodus versetzen.

Eine ausführliche Anleitung zur Verwendung des Monitormodus finden Sie unter Apps kontextsensitive Zugriffsebenen zuweisen.

Weitere Empfehlungen zur Einführung

  • Einführung graduell durchführen : Beginnen Sie mit einer Organisationseinheit oder Gruppe als Pilotgruppe und beobachten Sie, wie die Richtlinie für sie funktioniert. Wenn diese Nutzer erfolgreich auf Apps zugreifen können, fügen Sie die nächste Nutzergruppe hinzu. Wenn dann alles gut funktioniert, implementieren Sie die Zugriffsrichtlinien für alle Nutzer.
  • Ausgewählten Apps Zugriffsrichtlinien zuweisen : Testen Sie die Bereitstellung von Richtlinien für Apps, die in Ihrer Umgebung nicht stark genutzt werden. Beobachten Sie das Ergebnis und wenden Sie die Richtlinien dann auf häufiger verwendete Apps an.
  • Vermeiden, dass Nutzer oder Partner gesperrt werden : Blockieren Sie nicht den Zugriff auf Google Workspace-Dienste wie Gmail, über die Sie und Ihre Nutzer miteinander kommunizieren. Ermitteln Sie die von Nutzern und Partnern benötigten IP-Bereiche.
  • Keine Zugriffsebenen mithilfe der Google Cloud Platform (GCP) hinzufügen oder ändern, wenn Sie ausschließlich Workspace-Kunde sind. Wenn Sie Zugriffsebenen nicht mit einer Methode hinzufügen oder ändern, die nicht die Oberfläche für den kontextsensitiven Zugriff ist, kann dies zur Fehlermeldung führen: In Google Workspace werden nicht unterstützte Attribute verwendet, und Nutzer können blockiert werden.
  • Helpdesk-Support planen für Nutzer, die während der Einführung Hilfe benötigen.

Einführung beobachten

Unabhängig von der verwendeten Methode sollten Sie die Ergebnisse der Implementierung immer im Blick behalten. Dazu können Sie Nutzerfeedback einholen und in den Protokollereignissen für den kontextsensitiven Zugriff nach Einträgen zu abgelehnten Nutzern suchen.

Bereitstellung vorbereiten

Für eine reibungslose Bereitstellung führen Sie die folgenden Schritte aus, bevor Sie neue Zugriffsrichtlinien erstellen oder implementieren.

1. Nutzer informieren

Sprechen Sie mit Ihren Nutzern, um herauszufinden, was in ihrer Arbeitsumgebung geschützt werden muss. Da Sie den kontextsensitiven Zugriff für eine Organisationseinheit oder Gruppe implementieren, können die Anforderungen der verschiedenen Nutzer in Ihrer Organisation variieren. Informieren Sie sie über die möglichen Folgen der von Ihnen erstellten und zugewiesenen Richtlinien. Sie könnten beispielsweise aus verschiedenen Gründen zu unterschiedlichen Zeiten blockiert werden. Verbesserte Kommunikation trägt zur Förderung der Akzeptanz der Nutzer bei.

2. Nutzer in Organisationseinheiten oder Gruppen einteilen

Sie können Zugriffsebenen über Organisationseinheiten zuweisen. Wenn Sie bereits Organisationseinheiten für andere Zwecke eingerichtet haben, können Sie auch Konfigurationsgruppen erstellen und diesen Ebenen zuweisen. In beiden Fällen müssen Sie darauf achten, dass die Nutzer, denen Sie Zugriff gewähren möchten, den betreffenden Organisationseinheiten oder Gruppen angehören.

3. Befragung zu Geräten im Unternehmen

Achten Sie vor der Implementierung von gerätebasierten Richtlinien darauf, dass die Geräte in Ihrem Unternehmen ordnungsgemäß von der IT verwaltet werden und den Unternehmensstandards entsprechen. Prüfen Sie, ob die Geräte verschlüsselt sind, ein aktuelles Betriebssystem verwenden und ob es sich um unternehmenseigene oder private Geräte handelt.

4. Mobilgeräte mit Endpunktverwaltung registrieren

Für Mobilgeräte muss die Google-Endpunktverwaltung (entweder einfach oder erweitert) ausgeführt werden.

Bei der einfachen Verwaltung kann die Synchronisierung der Betriebssystemversion und des Verschlüsselungsstatus eines Geräts einige Tage dauern. Während dieser Zeit kann der Zugriff auf Google Workspace-Dienste von diesen Geräten aus beeinträchtigt sein, wenn Sie den kontextsensitiven Zugriff verwenden.

5. Endpunktprüfung vor dem Erstellen von Richtlinien erzwingen

Erzwingen Sie die Endpunktprüfung, damit Sie wissen, welche Geräte auf Google Workspace-Daten zugreifen (und welche künftig auf sie zugreifen werden). In Chrome-Erweiterungen müssen Sie die Option „Installation erzwingen“ für die Endpunktprüfung festlegen sowie einen Zugriffsschlüssel anfordern. Weitere Informationen finden Sie im Hilfeartikel Endpunkt prüfung einrichten.

Endpunktprüfung einrichten und kontextsensitiven Zugriff aktivieren

Hier finden Sie Informationen zur Einrichtung für Computer oder Mobilgeräte.

Endpunktprüfung einrichten

Wenn Sie für eine Zugriffsebene Geräterichtlinien erzwingen möchten, müssen Sie und Ihre Nutzer die Endpunktprüfung einrichten. Sie aktivieren die Endpunktprüfung in der Admin-Konsole. Eine Anleitung erhalten Sie im Hilfeartikel Endpunktprüfung aktivieren oder deaktivieren.

Hinweis:Wenn Sie eine kontextsensitive Geräterichtlinie erzwingen, bevor Nutzer sich für die Endpunktprüfung anmelden können, wird diesen unter Umständen der Zugriff verwehrt, auch wenn das Gerät nicht gegen diese erzwungene kontextsensitive Richtlinie verstößt. Dies liegt daran, dass die Synchronisierung der Geräteattribute über die Endpunktprüfung einige Sekunden dauern kann. Um dies zu vermeiden, sollten Sie die Nutzer auffordern, sich bei der Endpunktprüfung anzumelden und ihre Browserseite zu aktualisieren, bevor Sie eine kontextsensitive Geräterichtlinie erzwingen.

Prüfen, welche Geräte eine Endpunktprüfung haben

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Geräte und dann Übersicht.

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Klicken Sie auf Endpunkte.
  3. Klicken Sie auf Filter hinzufügen.
  4. Wählen Sie Verwaltungsmodus und dann Endpunktprüfung aus.
  5. Klicken Sie auf Übernehmen.

Mobilgeräte einrichten (Google-Endpunktverwaltung)

Um Zugriffsebenen für Mobilgeräte zu erzwingen, muss für den Nutzer des Geräts entweder die einfache oder die erweiterte Mobilgeräteverwaltung ausgeführt werden.

Weitere Schritte

Liste unternehmenseigener Geräte hochladen

Wenn Sie Geräterichtlinien erzwingen möchten, für die unternehmenseigene Geräte erforderlich sind, benötigt Google eine Liste der Seriennummern Ihrer unternehmenseigenen Geräte.

Eine Anleitung dazu finden Sie im entsprechenden Abschnitt des Hilfeartikels Dem Bestand unternehmenseigene Geräte hinzufügen.

Hinweis: Geräte mit Android 12 oder höher und einem Arbeitsprofil werden immer als nutzereigene Geräte behandelt, auch wenn Sie sie dem Bestand unternehmenseigener Geräte hinzufügen. Für diese Geräte gilt: Wenn gemäß einer Zugriffsebene ein unternehmenseigenes Gerät erforderlich ist, wird die Aktion nicht ausgeführt, und wenn gemäß einer Zugriffsebene ein nutzereigenes Gerät notwendig ist, wird die Aktion ausgeführt. Weitere Informationen finden Sie unter Details zu Mobilgeräten abrufen, Informationen zu Gerätedetails und in der Tabelle Geräteinformationen unten in der Zeile Inhaber.

Geräte genehmigen oder blockieren

Wenn Sie eine Geräterichtlinie erzwingen möchten, für die genehmigte Geräte erforderlich sind, müssen Sie die Geräte zuerst wie hier beschrieben genehmigen oder blockieren.

Kontextsensitiven Zugriff aktivieren und deaktivieren

Sie können den kontextsensitiven Zugriff während der Einführung jederzeit aktivieren. Das geht, bevor Sie Zugriffsebenen erstellen und Apps zuweisen, sodass Zugriffsebenen, die Sie Apps zuweisen, sofort erzwungen werden.

Sie können die erste Einrichtung und Überprüfung (Zugriffsebene erstellen und zuweisen, Endpunktprüfung) auch vornehmen, ohne den kontextsensitiven Zugriff zu aktivieren. Während dieser Zeit werden Zuweisungen von Zugriffsebenen nicht erzwungen. Sobald die Konfiguration abgeschlossen ist, können Sie den kontextsensitiven Zugriff aktivieren.

Der kontextsensitive Zugriff lässt sich deaktivieren, wenn Nutzer Probleme haben und Sie die App anhalten möchten, um herauszufinden, durch welche Richtlinien die Probleme verursacht werden. Sobald Sie wissen, welche Zugriffsebene für die Probleme verantwortlich ist, können Sie die Richtlinie ändern oder nach Bedarf für bestimmte Organisationseinheiten oder Gruppen entfernen.

Wichtig: Es kann bis zu 24 Stunden dauern, bis der kontextsensitive Zugriff nach dem Deaktivieren vollständig deaktiviert ist. Während dieser Zeit können Nutzer weiterhin von früheren Zugriffsebenen betroffen sein. Gelöschte Zugriffsebenen werden sofort nicht mehr angewendet.

So aktivieren Sie den kontextsensitiven Zugriff:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Zugriffsebene „Datensicherheit“ mit Regelverwaltungsberechtigungen sowie die Berechtigung für die Admin API „Gruppen“ mit Leseberechtigung für „Nutzer“.

  2. Prüfen Sie, ob der kontextsensitive Zugriff aktiviert ist. Falls nicht, klicken Sie auf Aktivieren.

So deaktivieren Sie den kontextsensitiven Zugriff:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Zugriffsebene „Datensicherheit“ mit Regelverwaltungsberechtigungen sowie die Berechtigung für die Admin API „Gruppen“ mit Leseberechtigung für „Nutzer“.

  2. Klicken Sie auf Deaktivieren.

Wie geht es weiter?

Zugriffsebenen erstellen und zuweisen

In diesen Artikeln erfahren Sie, wie Sie Zugriffsebenen erstellen und sie Apps zuweisen:

Anwendungsfälle ansehen

In den folgenden Artikeln finden Sie gängige Anwendungsfälle für die Implementierung des kontextsensitiven Zugriffs in Ihrer Umgebung: