Wdrażanie dostępu zależnego od kontekstu

Przygotuj się na bezproblemowe wdrożenie dostępu zależnego od kontekstu. 

Skuteczne wdrożenie dostępu zależnego od kontekstu chroni dane Workspace przed niebezpiecznymi działaniami użytkowników, jednocześnie zapewniając, że uprawnieni użytkownicy nie zostaną zablokowani. Zapoznaj się z tymi zaleceniami, aby ograniczyć ryzyko zablokowania dużej liczby użytkowników.

Używanie trybu monitorowania do testowania poziomów dostępu

Początkowo możesz przypisać poziom dostępu w trybie monitorowania zamiast w trybie aktywnym. Tryb monitorowania pozwala symulować efekty egzekwowania poziomu dostępu bez blokowania dostępu użytkowników.

Gdy stosujesz nowy poziom dostępu, najlepiej pozostawić go w trybie monitorowania przez co najmniej tydzień. W tym okresie zdarzenia zarejestrowane w dzienniku dostępu zależnego od kontekstu pokazują, którzy użytkownicy zostaliby zablokowani, gdyby poziom dostępu znajdował się w trybie aktywnym. Gdy upewnisz się, że poziom dostępu działa zgodnie z oczekiwaniami, możesz włączyć rzeczywiste wymuszanie, przełączając poziom dostępu na tryb aktywny.

Szczegółowe informacje na temat korzystania z trybu monitorowania znajdziesz w artykule Przypisywanie poziomów dostępu zależnego od kontekstu do aplikacji.

Inne zalecenia dotyczące wdrażania

  • Przeprowadź wdrażanie w etapach. Zacznij od jednej jednostki organizacyjnej lub grupy jako grupy pilotażowej i sprawdź, jak zasady sprawdzają się w ich przypadku.  Jeśli ci użytkownicy mogą bez problemu korzystać z aplikacji, przejdź do następnej grupy. Jeśli wyniki są zadowalające, zastosuj zasady dostępu do wszystkich użytkowników.
  • Przypisz zasady dostępu do wybranych aplikacji. Spróbuj wdrożyć zasady w aplikacjach, które nie są często używane w Twoim środowisku.  Obserwuj, co się z nimi dzieje, a potem zastosuj zasady do aplikacji, które są częściej używane.
  • Unikaj blokowania użytkowników lub partnerów. Nie blokuj dostępu do usług Google Workspace, takich jak Gmail, z których korzystasz do komunikowania się z użytkownikami (i których oni potrzebują do utrzymywania z Tobą kontaktu). Ustal zakresy adresów IP, których potrzebują użytkownicy i partnerzy.
  • Nie używaj Google Cloud Platform (GCP) do dodawania lub zmieniania poziomów dostępu, jeśli jesteś klientem korzystającym tylko z Workspace. Jeśli dodasz lub zmienisz poziomy dostępu inaczej niż za pomocą interfejsu dostępu zależnego od kontekstu, może pojawić się komunikat o błędzie „W Google Workspace używane są nieobsługiwane atrybuty”, a użytkownicy mogą zostać zablokowani.
  • Zaplanuj kontakt z zespołem pomocy dla użytkowników, którzy mogą potrzebować wsparcia podczas wdrożenia.

Monitorowanie wdrażania

Niezależnie od używanej metody wdrożenia sprawdzaj wyniki, zasięgając opinii użytkowników i monitorując odrzucone konta w dziennikach zdarzeń dostępu zależnego od kontekstu.

Przygotowanie do wdrożenia

Aby zapewnić bezproblemowe wdrożenie, wykonaj te czynności, zanim utworzysz lub wdrożysz nowe zasady dostępu.

1. Poinformuj użytkowników

Porozmawiaj z użytkownikami, aby dowiedzieć się, co muszą chronić w swoim środowisku pracy. Dostęp zależny od kontekstu będziesz wdrażać w różnych jednostkach organizacyjnych i grupach, których potrzeby mogą się różnić. Poinformuj użytkowników o możliwych konsekwencjach utworzonych i przypisanych przez Ciebie zasad (np. wyjaśnij, że dostęp może być od czasu do czasu blokowany z różnych powodów). Zaawansowana komunikacja zwiększy zaangażowanie użytkowników.

2. Dzielenie użytkowników na jednostki organizacyjne lub grupy

Poziomy dostępu możesz przypisać do poszczególnych jednostek organizacyjnych. Jeśli używasz już jednostek organizacyjnych do innych celów, utworzone poziomy możesz przypisać do grup konfiguracji. W obu przypadkach sprawdź, czy użytkownicy, którym chcesz przyznać dostęp, należą do odpowiednich jednostek organizacyjnych lub grup.

3. Badanie dotyczące urządzeń firmowych

Przed wdrożeniem zasad dotyczących urządzeń upewnij się, że urządzenia firmowe są objęte zarządzaniem IT i spełniają wymagania obowiązujące w firmie. Sprawdź, czy urządzenia są zaszyfrowane i mają aktualny system operacyjny oraz czy są urządzeniami prywatnymi czy należącymi do firmy.

4. Rejestrowanie urządzeń mobilnych za pomocą funkcji zarządzania punktami końcowymi

Urządzenia mobilne muszą być zarządzane za pomocą podstawowych lub zaawansowanych funkcji zarządzania punktami końcowymi Google.

W przypadku podstawowych funkcji zarządzania synchronizacja wersji systemu operacyjnego i stanu szyfrowania urządzenia może potrwać kilka dni. Jeśli używasz dostępu zależnego od kontekstu, w tym czasie dostęp do usług Google Workspace z tych urządzeń może być ograniczony.

5. Wymuszanie weryfikacji punktów końcowych przed utworzeniem zasad

Wymuś używanie weryfikacji punktów końcowych, aby dowiedzieć się, które urządzenia korzystają (lub będą korzystać) z dostępu do danych w Google Workspace. W przypadku rozszerzeń do Chrome musisz wymusić w ustawieniach instalację rozszerzenia Endpoint Verification i wymóg posiadania klucza dostępu. Więcej informacji znajdziesz w artykule Konfigurowanie weryfikacji punktów końcowych.

Konfigurowanie weryfikacji punktów końcowych i włączanie dostępu zależnego od kontekstu

Konfiguracja oprogramowania na komputerach lub urządzeniach mobilnych.

Konfigurowanie weryfikacji punktów końcowych

Jeśli utworzony przez Ciebie poziom dostępu wymaga stosowania zasad dotyczących urządzeń, Ty i Twoi użytkownicy musicie skonfigurować weryfikację punktów końcowych. Włączysz ją w konsoli administracyjnej. Instrukcje znajdziesz w artykule Włączanie i wyłączanie weryfikacji punktów końcowych.

Uwaga: jeśli wymusisz stosowanie zależnych od kontekstu zasad dotyczących urządzeń, zanim użytkownik będzie mógł się zalogować w systemie weryfikacji punktów końcowych, może nastąpić odmowa dostępu, nawet jeśli urządzenie jest zgodne z wymuszonymi zasadami. Dzieje się tak dlatego, że zsynchronizowanie atrybutów urządzeń przez weryfikację punktów końcowych może potrwać kilka sekund. Aby uniknąć tego problemu, poproś użytkowników o zalogowanie się w systemie weryfikacji punktów końcowych i odświeżenie strony w przeglądarce, zanim wymusisz stosowanie zależnych od kontekstu zasad dotyczących urządzeń.

Sprawdzanie urządzeń, dla których skonfigurowano weryfikację punktów końcowych

  1. W konsoli administracyjnej Google otwórz Menu a potem Urządzeniaa potemPrzegląd

    Wymaga uprawnień administratora Ustawienia urządzeń udostępnionych.

  2. Kliknij Punkty końcowe.
  3. Kliknij Dodaj filtr.
  4. Wybierz Typ zarządzaniaa potemWeryfikacja punktów końcowych.
  5. Kliknij Zastosuj.

Konfigurowanie urządzeń mobilnych (funkcje zarządzania punktami końcowymi Google)

Aby wymusić stosowanie poziomów dostępu dla urządzeń mobilnych, konto użytkownika urządzenia musi być zarządzane w ramach podstawowych lub zaawansowanych funkcji zarządzania urządzeniami mobilnymi.

Dodatkowe czynności

Przesyłanie spisu urządzeń należących do firmy

Aby wymusić stosowanie zasad dotyczących urządzeń należących do firmy, Google musi otrzymać listę numerów seryjnych tych urządzeń.

Instrukcje znajdziesz w artykule Dodawanie urządzeń należących do firmy do spisu.

Uwaga: wszystkie urządzenia z systemem Android 12 lub nowszym i profilem służbowym są traktowane jako należące do użytkownika, nawet jeśli dodasz je do spisu urządzeń należących do firmy. Jeśli poziom dostępu wymaga, aby takie urządzenia stanowiły własność firmy, wybrane działania nie będą na nich wykonywane. Jeśli natomiast poziom dostępu wymaga, aby takie urządzenia były własnością użytkownika, wybrane działania będą na nich wykonywane. Więcej informacji znajdziesz w artykule Wyświetlanie informacji o urządzeniu mobilnym – w sekcji Informacje na temat urządzeń rozwiń tabelę Informacje o urządzeniu i znajdź wiersz Własność.

Zatwierdzanie i blokowanie urządzeń

Aby wymusić stosowanie zasad dotyczących zatwierdzonych urządzeń, musisz najpierw zatwierdzić lub zablokować odpowiednie urządzenia.

Włączanie i wyłączanie dostępu zależnego od kontekstu

Dostęp zależny od kontekstu możesz włączyć na różnych etapach procesu wdrażania. Możesz to zrobić przed utworzeniem poziomów dostępu i przypisaniem ich do aplikacji – w takiej sytuacji poziomy dostępu przypisywane do aplikacji są stosowane natychmiast.

Możesz też przeprowadzić wstępną konfigurację i sprawdzić działanie funkcji (tworzenie poziomu dostępu, przypisywanie poziomu dostępu, weryfikacja punktów końcowych) bez włączania dostępu zależnego od kontekstu. W tym czasie przypisania poziomów dostępu nie są stosowane. Po zakończeniu konfiguracji możesz włączyć dostęp zależny od kontekstu.

Dostęp zależny od kontekstu możesz wyłączyć, np. jeśli występują problemy z użytkownikami i chcesz wstrzymać działanie aplikacji na czas sprawdzania, które zasady powodują problemy. Po określeniu poziomu dostępu powodującego problemy możesz zmodyfikować zasadę lub usunąć ją z określonych jednostek organizacyjnych lub grup.

Ważne: całkowite wyłączenie dostępu zależnego od kontekstu może potrwać do 24 godzin. W tym czasie użytkownicy mogą nadal podlegać poprzednim poziomom dostępu. Usunięte poziomy dostępu przestaną obowiązywać natychmiast.

Włączanie dostępu zależnego od kontekstu

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Sprawdź, czy dostęp zależny od kontekstu jest włączony. Jeśli nie, kliknij Włącz.

Wyłączanie dostępu zależnego od kontekstu

  1. W konsoli administracyjnej Google otwórz Menu a potem Bezpieczeństwoa potemDostęp do danych i kontrola nad nimia potemDostęp zależny od kontekstu.

    Wymagane są uprawnienia do zarządzania poziomem dostępu i regułami związane z bezpieczeństwem danych oraz obowiązujące w interfejsie Admin API uprawnienia do odczytu dotyczące grup i użytkowników.

  2. Kliknij Wyłącz.

Co dalej?

Tworzenie i przypisywanie poziomów dostępu

Z tych artykułów dowiesz się, jak tworzyć poziomy dostępu i przypisywać je do aplikacji:

Poznaj przypadki użycia

W tych artykułach znajdziesz typowe przypadki użycia dostępu zależnego od kontekstu w środowisku: