פריסה של בקרת גישה מבוססת-הקשר

הכנה לפריסה חלקה של בקרת גישה מבוססת-הקשר. 

פריסה מוצלחת של גישה מודעת-הקשר מגנה על נתוני Workspace מפני משתמשים מסוכנים, ומוודאת שמשתמשים לגיטימיים לא נחסמים. כדי לצמצם את הסיכון לחסימה של מספר רב של משתמשים, כדאי לפעול לפי ההמלצות הבאות להשקה.

שימוש במצב מעקב כדי לבדוק רמות גישה

אפשר להקצות רמת גישה בהתחלה במצב מעקב ולא במצב פעיל. מצב המעקב מאפשר לכם לדמות את ההשפעות של אכיפת רמת גישה בלי לחסום בפועל את הגישה של המשתמשים.

כשמחילים רמת גישה חדשה, מומלץ להשאיר אותה במצב הדגמה למשך שבוע לפחות. במהלך התקופה הזו, אירועים שנרשמים ביומן של בקרת גישה מבוססת-הקשר מראים אילו משתמשים ייחסמו אם רמת הגישה תהיה במצב פעיל. אחרי שמוודאים שרמת הגישה פועלת כמו שרוצים, אפשר להפעיל את האכיפה בפועל על ידי העברת רמת הגישה למצב פעיל.

הוראות מפורטות לשימוש במצב מעקב מופיעות במאמר הקצאה של רמות גישה מבוססת-הקשר לאפליקציות.

המלצות נוספות להשקה

  • השקה מדורגת. מתחילים עם יחידה ארגונית אחת או קבוצה אחת כקבוצת פיילוט, ובודקים איך המדיניות פועלת עבורן. אם המשתמשים האלה מצליחים לגשת לאפליקציות, אפשר להוסיף את קבוצת המשתמשים הבאה. אם אתם מרוצים, כדאי להטמיע מדיניות גישה לכל המשתמשים.
  • הקצאת מדיניות גישה לאפליקציות שנבחרו. כדאי לנסות לפרוס מדיניות באפליקציות שלא נעשה בהן שימוש רב בסביבה שלכם. עוקבים אחרי מה שקורה עם האפליקציות האלה, ואז מיישמים את המדיניות על אפליקציות שנעשה בהן שימוש רב יותר.
  • איך מונעים נעילה של משתמשים או שותפים אל תחסמו את הגישה לשירותי Google Workspace, כמו Gmail, שבהם אתם משתמשים כדי לשתף תקשורת עם המשתמשים (ושגם הם צריכים כדי לתקשר איתכם). מזהים את טווחי כתובות ה-IP שהמשתמשים והשותפים צריכים.
  • אם אתם לקוחות של Workspace בלבד, אל תשתמשו ב-Google Cloud Platform ‏ (GCP) כדי להוסיף או לשנות רמות גישה. אם מוסיפים או משנים רמות גישה באמצעות שיטה אחרת מלבד הממשק של בקרת רמות גישה מבוססת-הקשר, יכול להיות שתופיע הודעת השגיאה הבאה: נעשה שימוש במאפיינים לא נתמכים ב-Google Workspace, והמשתמשים עלולים להיחסם.
  • תכנון תמיכה במוקד העזרה למשתמשים שאולי יזדקקו לעזרה במהלך ההשקה.

מעקב אחר ההשקה

לא משנה באיזו שיטת הטמעה תשתמשו, כדאי לעקוב אחרי התוצאות של ההטמעה באמצעות משוב מהמשתמשים ועיון באירועים ביומן של בקרת גישה מבוססת-הקשר כדי לראות רשומות של משתמשים שהגישה שלהם נדחתה.

הכנה לפריסה

כדי שהפריסה תתבצע בצורה חלקה, חשוב לפעול לפי השלבים הבאים לפני שיוצרים או מטמיעים מדיניות גישה חדשה.

1. הודעה למשתמשים

כדאי לדבר עם המשתמשים כדי להבין מה הם צריכים להגן עליו בסביבת העבודה שלהם. מכיוון שתטמיעו את הגישה לפי הקשר לפי יחידה ארגונית או קבוצה, יכול להיות שהצרכים של משתמשים שונים בארגון יהיו שונים. חשוב להסביר להם מהן ההשלכות האפשריות של המדיניות שאתם יוצרים ומקצים: למשל, שהם עלולים להיחסם בזמנים שונים מסיבות שונות. תקשורת מראש עוזרת לקדם את קבלת השינוי על ידי המשתמשים.

2. סידור המשתמשים ביחידות ארגוניות או בקבוצות

אפשר להקצות רמות גישה לפי יחידה ארגונית. לחלופין, אם כבר הגדרתם יחידות ארגוניות למטרות אחרות, אתם יכולים ליצור קבוצות הגדרה ולהקצות להן רמות. בכל מקרה, חשוב לוודא שהמשתמשים שרוצים להעניק להם גישה נמצאים ביחידות הארגוניות או בקבוצות הנכונות.

3. סקר מכשירי Enterprise

לפני שמטמיעים מדיניות שמבוססת על מכשירים, חשוב לוודא שהמכשירים בארגון נמצאים תחת ניהול IT מתאים ועומדים בתקנים של החברה. בודקים אם המכשירים מוצפנים, אם מותקנת בהם מערכת הפעלה עדכנית ואם הם בבעלות החברה או בבעלות אישית.

4. רישום מכשירים ניידים באמצעות ניהול נקודות קצה

המכשירים הניידים צריכים להיות מנוהלים באמצעות ניהול נקודות קצה ב-Google (בסיסי או מתקדם).

בניהול בסיסי, יכולים לחלוף כמה ימים עד שגרסת מערכת ההפעלה וסטטוס ההצפנה של המכשיר יסתנכרנו. במהלך הזמן הזה, יכול להיות שתהיה השפעה על הגישה לשירותי Google Workspace מהמכשירים האלה אם אתם משתמשים בבקרת גישה מבוססת-הקשר.

5. אכיפת אימות נקודות קצה לפני יצירת כללי מדיניות

אכיפת השימוש באימות נקודת קצה כדי לדעת אילו מכשירים ניגשים (או יגשו) לנתונים של Google Workspace. בתוספים ל-Chrome, צריך לציין התקנה לפי הגדרת האדמין עבור Endpoint Verification ולדרוש מפתח גישה. פרטים נוספים זמינים במאמר בנושא הגדרת אימות נקודות קצה.

הגדרה של אימות נקודות קצה (endpoint) והפעלה של בקרת גישה מבוססת-הקשר

הגדרות תוכנה למחשבים או למכשירים ניידים.

הגדרת אימות של נקודות קצה

אם אוכפים מדיניות מכשיר ברמת גישה, אתם והמשתמשים שלכם צריכים להגדיר אימות נקודות קצה. מפעילים את בדיקת נקודת הקצה במסוף Admin. הוראות מפורטות מופיעות במאמר בנושא הפעלה או השבתה של אימות נקודות קצה.

הערה: אם אתם אוכפים מדיניות של בקרת גישה מבוססת-הקשר במכשיר לפני שהמשתמש יכול להיכנס לאימות נקודות קצה, יכול להיות שהמשתמש יקבל הודעה על דחיית הגישה גם אם המכשיר שלו עומד בדרישות המדיניות של בקרת הגישה מבוססת-הקשר. הסיבה לכך היא שסנכרון מאפייני המכשיר באמצעות בדיקה של נקודת קצה (endpoint) עשוי להימשך כמה שניות. כדי למנוע את הבעיה הזו, חשוב לוודא שהמשתמשים נכנסים לאימות נקודות קצה ומרעננים את דף הדפדפן לפני שמחילים מדיניות מכשירים מבוססת-הקשר.

בדיקת המכשירים שבהם מופעלת בדיקת נקודת קצה

  1. במסוף Google Admin, נכנסים לתפריט ואז מכשיריםואזמסכים אחרונים

    כדי לעשות את זה צריך הרשאת אדמין להגדרות של מכשיר משותף.

  2. לוחצים על נקודות קצה.
  3. לוחצים על הוספת מסנן.
  4. בוחרים באפשרות סוג הניהולואזאימות נקודת קצה.
  5. לוחצים על אישור.

הגדרה של מכשירים ניידים (ניהול נקודות קצה ב-Google)

כדי לאכוף רמות גישה למכשירים ניידים, המשתמש במכשיר צריך להיות מנוהל באמצעות ניהול בסיסי או מתקדם של מכשירים ניידים.

שלבים נוספים

העלאה של מלאי המכשירים בבעלות החברה

כדי לאכוף מדיניות מכשירים שדורשת מכשירים בבעלות החברה, Google צריכה רשימה של מספרים סידוריים של המכשירים בבעלות החברה.

הוראות מפורטות זמינות במאמר הוספת מכשירים בבעלות החברה למלאי.

הערה: מכשירים עם Android מגרסה 12 ואילך ופרופיל עבודה תמיד מדווחים כמכשירים בבעלות המשתמש, גם אם מוסיפים אותם למלאי המכשירים בבעלות החברה. במכשירים האלה, אם רמת גישה דורשת שהמכשיר יהיה בבעלות החברה, הפעולה לא מתבצעת, ואם רמת גישה דורשת שהמכשיר יהיה בבעלות המשתמש, הפעולה מתבצעת. מידע נוסף מופיע במאמרים בנושא צפייה בפרטים של מכשיר נייד, מידע על פרטי המכשיר, ובטבלה פרטי המכשיר, גוללים למטה לשורה בעלות.

אישור או חסימה של מכשירים

כדי לאכוף מדיניות מכשירים שדורשת אישור מכשירים, קודם צריך לאשר או לחסום מכשירים.

הפעלה והשבתה של בקרת גישה מבוססת-הקשר

אפשר להפעיל את בקרת הגישה מבוססת-הקשר בשלבים שונים בתהליך ההשקה. אפשר להפעיל את האכיפה לפני שיוצרים רמות גישה ומקצים אותן לאפליקציות, כלומר רמות הגישה שאתם מקצים לאפליקציות נאכפות באופן מיידי.

אפשר גם לבצע הגדרה ראשונית ובדיקה (יצירת רמת גישה, הקצאת רמת גישה, אימות נקודת קצה) בלי להפעיל בקרת גישה מבוססת-הקשר. במהלך התקופה הזו, לא מתבצעת אכיפה של הקצאות רמות הגישה. אחרי שמסיימים את ההגדרה, אפשר להפעיל את בקרת הגישה מבוססת-הקשר.

אם יש בעיות שקשורות למשתמשים, ואתם רוצים להשהות את האפליקציה בזמן שאתם בודקים אילו כללי מדיניות יוצרים את הבעיות, אתם יכולים להשבית את בקרת הגישה מבוססת-הקשר. אחרי שתזהו את רמת הגישה שגורמת לבעיות, תוכלו לשנות את המדיניות או להסיר אותה לפי הצורך עבור יחידות ארגוניות או קבוצות ספציפיות.

חשוב: יכול להיות שיחלפו עד 24 שעות עד שהגישה מודעת-ההקשר תושבת באופן מלא אחרי שתשביתו אותה. במהלך הזמן הזה, יכול להיות שהמשתמשים עדיין יושפעו מרמות גישה קודמות. רמות גישה שנמחקו יפסיקו לחול באופן מיידי.

כדי להפעיל את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. מוודאים שבקרת הגישה מבוססת-הקשר מופעלת. אם לא, לוחצים על הפעלה.

כדי להשבית את בקרת הגישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהand thenשליטה בגישה ובנתוניםואזגישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על כיבוי.

השלב הבא:

יצירה והקצאה של רמות גישה

במאמרים הבאים מוסבר איך ליצור רמות גישה ולהקצות אותן לאפליקציות:

עיון בתרחישים לדוגמה

במאמרים הבאים מפורטים תרחישי שימוש נפוצים להטמעה של בקרת גישה מבוססת-הקשר בסביבה שלכם: