Kontextsensitiven Zugriff bereitstellen

Reibungslose Einführung des kontextsensitiven Zugriffs vorbereiten 

Durch die erfolgreiche Bereitstellung des kontextsensitiven Zugriffs werden Workspace-Daten vor riskanten Nutzern geschützt, ohne legitime Nutzer zu blockieren. Mit diesen Empfehlungen zur Einführung reduzieren Sie das Risiko, dass eine Vielzahl von Nutzern blockiert werden:

Zugriffsebenen im Monitormodus testen

Sie können eine Zugriffsebene anfangs im Monitormodus anstatt im Aktivmodus zuweisen. Im Monitormodus können Sie die Auswirkungen der Erzwingung einer Zugriffsebene simulieren, ohne den Nutzerzugriff tatsächlich zu blockieren.

Wenn Sie eine neue Zugriffsebene anwenden, sollten Sie sie mindestens eine Woche im Monitormodus belassen. In diesem Zeitraum sehen Sie anhand der protokollierten Ereignisse im Protokoll für den kontextsensitiven Zugriff, welche Nutzer blockiert worden wären, wenn die Zugriffsebene im aktiven Modus gewesen wäre. Nachdem Sie geprüft haben, ob die Zugriffsebene wie gewünscht funktioniert, können Sie die tatsächliche Erzwingung aktivieren, indem Sie die Zugriffsebene in den Aktivmodus versetzen.

Eine ausführliche Anleitung zur Verwendung des Monitormodus finden Sie unter Apps kontextsensitive Zugriffsebenen zuweisen.

Weitere Empfehlungen zur Einführung

  • Einführung graduell durchführen: Beginnen Sie mit einer Organisationseinheit oder Gruppe als Pilotgruppe und beobachten Sie, wie die Richtlinie für sie funktioniert. Wenn diese Nutzer erfolgreich auf Apps zugreifen können, fügen Sie die nächste Nutzergruppe hinzu. Wenn dann alles gut funktioniert, implementieren Sie die Zugriffsrichtlinien für alle Nutzer.
  • Ausgewählten Apps Zugriffsrichtlinien zuweisen. Stellen Sie Richtlinien für Apps bereit, die in Ihrer Umgebung nicht stark genutzt werden. Beobachten Sie das Ergebnis und wenden Sie die Richtlinien dann auf häufiger verwendete Apps an.
  • Vermeiden, dass Nutzer oder Partner gesperrt werden. Blockieren Sie nicht den Zugriff auf Google Workspace-Dienste wie Gmail, über die Sie mit Ihren Nutzern kommunizieren möchten und über die diese auch Sie erreichen können. Ermitteln Sie die von Nutzern und Partnern benötigten IP-Bereiche.
  • Keine Zugriffsebenen mithilfe der Google Cloud Platform (GCP) hinzufügen oder ändern, wenn Sie ausschließlich Workspace-Kunde sind. Wenn Sie Zugriffsebenen nicht mit der Oberfläche für den kontextsensitiven Zugriff hinzufügen oder ändern, kann dies zur Fehlermeldung In Google Workspace werden nicht unterstützte Attribute verwendet führen und Nutzer können blockiert werden.
  • Helpdesk-Support für Nutzer planen, die während der Einführung Hilfe benötigen.

Einführung beobachten

Unabhängig von der verwendeten Methode sollten Sie die Ergebnisse der Implementierung immer im Blick behalten. Dazu können Sie Nutzerfeedback einholen und in den Protokollereignissen für den kontextsensitiven Zugriff nach Einträgen zu abgelehnten Nutzern suchen.

Bereitstellung vorbereiten

Damit die Bereitstellung reibungslos verläuft, sollten Sie vor dem Erstellen oder Implementieren neuer Zugriffsrichtlinien die folgenden Schritte ausführen.

1. Nutzer informieren

Sprechen Sie mit Ihren Nutzern, um herauszufinden, was in ihrer Arbeitsumgebung geschützt werden muss. Da Sie den kontextsensitiven Zugriff für eine Organisationseinheit oder Gruppe implementieren, können die Anforderungen der verschiedenen Nutzer in Ihrer Organisation variieren. Erläutern Sie, welche Konsequenzen die von Ihnen erstellten und zugewiesenen Richtlinien haben können, z. B. dass Nutzer zu verschiedenen Zeiten aus unterschiedlichen Gründen eventuell blockiert werden. Verbesserte Kommunikation trägt zur Förderung der Akzeptanz der Nutzer bei.

2. Nutzer in Organisationseinheiten oder Gruppen einteilen

Sie können Zugriffsebenen über Organisationseinheiten zuweisen. Wenn Sie bereits Organisationseinheiten für andere Zwecke eingerichtet haben, können Sie auch Konfigurationsgruppen erstellen und diesen Ebenen zuweisen. In beiden Fällen müssen Sie darauf achten, dass die Nutzer, denen Sie Zugriff gewähren möchten, den betreffenden Organisationseinheiten oder Gruppen angehören.

3. Befragung zu Geräten im Unternehmen

Achten Sie vor der Implementierung gerätebasierter Richtlinien darauf, dass die Geräte in Ihrem Unternehmen ordnungsgemäß von der IT verwaltet werden und den Unternehmensstandards entsprechen. Prüfen Sie, ob Geräte verschlüsselt sind, ein aktuelles Betriebssystem verwenden und ob es sich um unternehmenseigene oder private Geräte handelt.

4. Mobilgeräte mit Endpunktverwaltung registrieren

Mobilgeräte müssen mit der Google-Endpunktverwaltung (einfach oder erweitert) verwaltet werden.

Bei der einfachen Verwaltung kann es einige Tage dauern, bis die Betriebssystemversion und der Verschlüsselungsstatus eines Geräts synchronisiert werden. Während dieser Zeit kann der Zugriff auf Google Workspace-Dienste über diese Geräte beeinträchtigt sein, wenn Sie den kontextsensitiven Zugriff verwenden.

5. Endpunktprüfung vor dem Erstellen von Richtlinien erzwingen

Erzwingen Sie die Endpunktprüfung, damit Sie wissen, welche Geräte auf Google Workspace-Daten zugreifen (und welche künftig auf sie zugreifen werden). In Chrome-Erweiterungen müssen Sie die Option „Installation erzwingen“ für die Endpunktprüfung festlegen sowie einen Zugriffsschlüssel anfordern. Weitere Informationen finden Sie im Hilfeartikel Endpunktprüfung einrichten.

Endpunktprüfung einrichten und kontextsensitiven Zugriff aktivieren

Hier finden Sie Informationen zur Einrichtung für Computer oder Mobilgeräte.

Endpunktprüfung einrichten

Wenn Sie für eine Zugriffsebene Geräterichtlinien erzwingen möchten, müssen Sie und Ihre Nutzer die Endpunktprüfung einrichten. Die entsprechende Einstellung finden Sie in der Admin-Konsole. Eine Anleitung finden Sie im Hilfeartikel Endpunktprüfung aktivieren oder deaktivieren.

Hinweis:Wenn Sie eine kontextsensitive Geräterichtlinie erzwingen, bevor Nutzer sich für die Endpunktprüfung anmelden können, wird diesen unter Umständen der Zugriff verwehrt, auch wenn das Gerät nicht gegen diese erzwungene kontextsensitive Richtlinie verstößt. Dies liegt daran, dass die Synchronisierung der Geräteattribute über die Endpunktprüfung einige Sekunden dauern kann. Um dies zu vermeiden, sollten Sie die Nutzer auffordern, sich bei der Endpunktprüfung anzumelden und ihre Browserseite zu aktualisieren, bevor Sie eine kontextsensitive Geräterichtlinie erzwingen.

Prüfen, welche Geräte eine Endpunktprüfung haben

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Geräteund dannÜbersicht

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Klicken Sie auf Endpunkte.
  3. Klicken Sie auf Filter hinzufügen.
  4. Wählen Sie Verwaltungsmodusund dannEndpunktprüfung aus.
  5. Klicken Sie auf Übernehmen.

Mobilgeräte einrichten (Google-Endpunktverwaltung)

Um Zugriffsebenen für Mobilgeräte zu erzwingen, muss für den Nutzer des Geräts entweder die einfache oder die erweiterte Mobilgeräteverwaltung ausgeführt werden.

Weitere Schritte

Liste unternehmenseigener Geräte hochladen

Wenn Sie Geräterichtlinien erzwingen möchten, für die unternehmenseigene Geräte erforderlich sind, benötigt Google eine Liste der Seriennummern Ihrer unternehmenseigenen Geräte.

Eine Anleitung dazu finden Sie im entsprechenden Abschnitt des Hilfeartikels Dem Bestand unternehmenseigene Geräte hinzufügen.

Hinweis: Geräte mit Android 12 oder höher und einem Arbeitsprofil werden immer als nutzereigene Geräte behandelt, auch wenn Sie sie dem Bestand unternehmenseigener Geräte hinzufügen. Für diese Geräte gilt: Wenn gemäß einer Zugriffsebene ein unternehmenseigenes Gerät erforderlich ist, wird die Aktion nicht ausgeführt, und wenn gemäß einer Zugriffsebene ein nutzereigenes Gerät notwendig ist, wird die Aktion ausgeführt. Weitere Informationen finden Sie unter Details zu Mobilgeräten abrufen, Informationen zu Gerätedetails und in der Tabelle Geräteinformationen unten in der Zeile Inhaber.

Geräte genehmigen oder blockieren

Wenn Sie eine Geräterichtlinie erzwingen möchten, für die genehmigte Geräte erforderlich sind, müssen Sie die Geräte zuerst wie hier beschrieben genehmigen oder blockieren.

Kontextsensitiven Zugriff aktivieren und deaktivieren

Sie können den kontextsensitiven Zugriff während der Einführung jederzeit aktivieren. Das geht, bevor Sie Zugriffsebenen erstellen und Apps zuweisen, sodass Zugriffsebenen, die Sie Apps zuweisen, sofort erzwungen werden.

Sie können die erste Einrichtung und Überprüfung (Zugriffsebene erstellen und zuweisen, Endpunktprüfung) auch vornehmen, ohne den kontextsensitiven Zugriff zu aktivieren. In diesem Zeitraum werden keine Zuweisungen für Zugriffsebenen erzwungen. Sobald die Konfiguration abgeschlossen ist, können Sie den kontextsensitiven Zugriff aktivieren.

Der kontextsensitive Zugriff lässt sich deaktivieren, wenn Nutzer Probleme haben und Sie die App anhalten möchten, um herauszufinden, durch welche Richtlinien die Probleme verursacht werden. Sobald Sie wissen, welche Zugriffsebene für die Probleme verantwortlich ist, können Sie die Richtlinie ändern oder nach Bedarf für bestimmte Organisationseinheiten oder Gruppen entfernen.

Wichtig: Es kann bis zu 24 Stunden dauern, bis der kontextsensitive Zugriff vollständig deaktiviert ist, nachdem Sie ihn deaktiviert haben. In dieser Zeit sind Nutzer möglicherweise weiterhin von den vorherigen Zugriffsebenen betroffen. Gelöschte Zugriffsebenen gelten nicht mehr.

So aktivieren Sie den kontextsensitiven Zugriff:

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Prüfen Sie, ob der kontextsensitive Zugriff aktiviert ist. Falls nicht, klicken Sie auf Aktivieren.

So deaktivieren Sie den kontextsensitiven Zugriff:

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Deaktivieren.

Nächste Schritte:

Zugriffsebenen erstellen und zuweisen

In diesen Artikeln erfahren Sie, wie Sie Zugriffsebenen erstellen und sie Apps zuweisen:

Anwendungsfälle ansehen

In den folgenden Artikeln finden Sie gängige Anwendungsfälle für die Implementierung des kontextsensitiven Zugriffs in Ihrer Umgebung: