Успешное внедрение контекстно-зависимого доступа защищает данные рабочей области от пользователей с рисками, одновременно гарантируя, что законные пользователи не будут заблокированы. Рассмотрите следующие рекомендации по внедрению, чтобы снизить риск блокировки большого количества пользователей.
Используйте режим мониторинга для проверки уровней доступа.
Изначально уровень доступа можно назначить в режиме мониторинга , а не в активном режиме. Режим мониторинга позволяет имитировать эффект принудительного применения уровня доступа без фактической блокировки доступа пользователей.
При применении нового уровня доступа рекомендуется оставить его в режиме мониторинга как минимум на неделю. В течение этого периода в журнале контекстно-зависимого доступа будут регистрироваться события, показывающие, какие пользователи были бы заблокированы, если бы уровень доступа находился в активном режиме. После проверки корректной работы уровня доступа можно включить фактическое применение, переведя уровень доступа в активный режим.
Подробные инструкции по использованию режима мониторинга см. в разделе «Назначение контекстно-зависимых уровней доступа приложениям» .
Другие рекомендации по внедрению
- Внедрение должно быть поэтапным . Начните с одного организационного подразделения или группы в качестве пилотной группы и посмотрите, как политика работает для них. Если эти пользователи могут успешно получать доступ к приложениям, то постепенно внедряйте следующую группу пользователей. Если они удовлетворены, то внедрите политики доступа для всех ваших пользователей.
- Назначьте политики доступа выбранным приложениям . Попробуйте применить политики к приложениям, которые не часто используются в вашей среде. Отслеживайте, что происходит с этими приложениями, а затем применяйте политики к более часто используемым приложениям по мере необходимости.
- Избегайте блокировки пользователей или партнеров . Не блокируйте доступ к сервисам Google Workspace, таким как Gmail, которые вы используете для обмена сообщениями с пользователями (и которые также необходимы им для общения с вами). Определите диапазоны IP-адресов, которые необходимы пользователям и партнерам.
- Не используйте Google Cloud Platform (GCP) для добавления или изменения уровней доступа, если вы являетесь клиентом, использующим только Workspace . Если вы добавляете или изменяете уровни доступа с помощью метода, отличного от интерфейса доступа с учетом контекста, может появиться следующее сообщение об ошибке: « В Google Workspace используются неподдерживаемые атрибуты , и пользователи могут быть заблокированы».
- Организуйте поддержку пользователей, которым может потребоваться помощь во время внедрения.
Отслеживайте процесс внедрения.
Независимо от используемого метода внедрения, отслеживайте результаты, запрашивая отзывы пользователей и анализируя журналы событий контекстно-зависимого доступа на предмет записей о пользователях, которым было отказано в доступе.
Подготовка к развертыванию
Для беспроблемного развертывания выполните следующие шаги, прежде чем создавать или внедрять новые политики доступа.
1. Проинформируйте своих пользователей.
Поговорите со своими пользователями, чтобы выяснить, что им нужно защитить в своей рабочей среде. Поскольку вы будете внедрять контекстно-зависимый доступ по подразделениям или группам организации, потребности разных пользователей в вашей организации могут различаться. Сообщите им о возможных последствиях создаваемых и назначаемых вами политик: например, что их могут блокировать в разное время по разным причинам. Предварительное информирование способствует принятию системы пользователями.
2. Организуйте пользователей в подразделения или группы.
Вы можете назначать уровни доступа по организационным подразделениям. Или, если у вас уже есть организационные подразделения, настроенные для других целей, вы можете создать их и затем назначить уровни группам конфигурации. В любом случае убедитесь, что пользователи, которым вы хотите предоставить доступ, входят в соответствующие организационные подразделения или группы.
3. Проведите обследование корпоративных устройств.
Прежде чем внедрять политики на основе устройств, убедитесь, что устройства в вашей компании находятся под надлежащим ИТ-управлением и соответствуют стандартам компании. Проверьте, зашифрованы ли устройства, работают ли на них с актуальной операционной системой и являются ли они корпоративными или личными устройствами.
4. Регистрация мобильных устройств в системе управления конечными точками.
Для управления мобильными устройствами необходимо использовать средства управления конечными точками Google ( базовый или расширенный режим ).
При базовом управлении синхронизация версии ОС и статуса шифрования устройства может занять несколько дней. В течение этого времени доступ к сервисам Google Workspace с этих устройств может быть ограничен, если вы используете контекстно-зависимый доступ.5. Перед созданием политик необходимо обеспечить проверку конечных точек.
Включите проверку конечных точек, чтобы знать, какие устройства получают доступ (или будут получать доступ) к данным Google Workspace. В расширениях Chrome необходимо указать «Принудительная установка» для проверки конечных точек и запросить ключ доступа. Подробности см. в разделе «Настройка проверки конечных точек» .
Настройте проверку конечных точек и включите контекстно-зависимый доступ.
Настройка программного обеспечения для настольных или мобильных устройств.
Настройка проверки конечной точки
Если вы применяете политику устройства к уровню доступа, вам и вашим пользователям необходимо настроить проверку конечных точек. Включить проверку конечных точек можно в консоли администратора. Инструкции см. в разделе «Включение или отключение проверки конечных точек» .
Примечание: Если вы примените политику контекстно-зависимых устройств до того, как пользователь сможет войти в систему проверки конечной точки, ему может быть отказано в доступе, даже если его устройство соответствует применяемой политике контекстно-зависимых устройств. Это связано с тем, что синхронизация атрибутов устройства через проверку конечной точки может занять несколько секунд. Чтобы избежать этого, убедитесь, что пользователи вошли в систему проверки конечной точки и обновили страницу в браузере перед применением политики контекстно-зависимых устройств.
Проверьте, какие устройства поддерживают проверку конечных точек.
В консоли администратора Google перейдите в меню.
Устройства Обзор .Для этого требуются права администратора настроек общего доступа к устройству .
- Нажмите «Конечные точки» .
- Нажмите «Добавить фильтр» .
- Выберите тип управления Проверка конечной точки .
- Нажмите «Применить» .
Настройка мобильных устройств (управление конечными точками Google)
Для обеспечения уровней доступа к мобильным устройствам необходимо, чтобы управление пользователем устройства осуществлялось либо в рамках базового , либо расширенного режима управления мобильными устройствами .
Дополнительные шаги
Загрузите список принадлежащих компании устройств.
Для обеспечения соблюдения политики использования корпоративных устройств Google требуется список серийных номеров этих устройств.
Инструкции см. в разделе «Добавление устройств в инвентарь» в меню «Добавление принадлежащих компании устройств в инвентарь» .
Примечание : Устройства с Android 12 или более поздней версии и рабочим профилем всегда отображаются как принадлежащие пользователю, даже если вы добавляете их в список принадлежащих компании устройств. Для таких устройств, если уровень доступа требует, чтобы устройство принадлежало компании, действие не выполняется, а если уровень доступа требует, чтобы устройство принадлежало пользователю, действие выполняется . Для получения дополнительной информации перейдите в раздел «Просмотр сведений о мобильном устройстве» , «Узнать больше о сведениях об устройстве» и в таблице «Информация об устройстве» прокрутите вниз до строки «Владение» .
Одобрить или заблокировать устройства
Для обеспечения соблюдения политики в отношении устройств, требующей одобрения устройств, сначала необходимо одобрить или заблокировать устройства .
Включение и выключение контекстно-зависимого доступа
Включить контекстно-зависимый доступ можно на разных этапах процесса развертывания. Вы можете включить его до создания уровней доступа и их назначения приложениям, что означает, что назначенные приложениям уровни доступа будут применяться немедленно.
Вы также можете выполнить первоначальную настройку и проверку (создание уровней доступа, назначение уровней доступа, проверка конечных точек) без включения контекстно-зависимого доступа. В это время назначение уровней доступа не применяется. После завершения настройки вы можете включить контекстно-зависимый доступ.
Вы можете отключить контекстно-зависимый доступ, если у пользователей возникают проблемы, и вы хотите приостановить работу приложения, пока вы выясняете, какие политики вызывают эти проблемы. После того, как вы определите, какой уровень доступа вызывает проблемы, вы можете изменить политику или удалить ее по мере необходимости для конкретных организационных подразделений или групп.
Важно : Полное отключение контекстно-зависимого доступа может занять до 24 часов после его выключения. В течение этого времени на пользователей могут по-прежнему влиять предыдущие уровни доступа. Удаленные уровни доступа перестанут действовать немедленно.
Чтобы включить контекстно-зависимый доступ
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Убедитесь, что функция контекстно-зависимого доступа включена. Если нет, нажмите « Включить» .
Чтобы отключить контекстно-зависимый доступ
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Нажмите « Выключить» .
Что дальше:
Создавайте и назначайте уровни доступа.
В этих статьях вы найдете пошаговые инструкции по созданию уровней доступа и их назначению приложениям:
- Создавайте уровни доступа с учетом контекста.
- Назначайте приложениям уровни доступа с учетом контекста.
Изучите варианты использования.
В этих статьях показаны распространенные сценарии использования контекстно-зависимого доступа в вашей среде: