Triển khai tính năng Quyền truy cập theo bối cảnh

Việc triển khai thành công tính năng Truy cập dựa trên bối cảnh sẽ bảo vệ dữ liệu trên Workspace khỏi những người dùng có hành vi rủi ro, đồng thời đảm bảo rằng người dùng hợp pháp không bị chặn. Hãy cân nhắc những đề xuất triển khai này để giảm thiểu nguy cơ có nhiều người dùng bị chặn.

Sử dụng chế độ giám sát để kiểm thử cấp truy cập

Ban đầu, bạn có thể chỉ định cấp truy cập ở chế độ giám sát thay vì chế độ đang hoạt động. Chế độ giám sát giúp bạn mô phỏng các tác động của việc thực thi một cấp truy cập mà không thực sự chặn quyền truy cập của người dùng.

Khi áp dụng một cấp truy cập mới, bạn nên để cấp truy cập đó ở chế độ giám sát trong ít nhất một tuần. Trong khoảng thời gian đó, các sự kiện được ghi lại trong nhật ký Quyền truy cập theo ngữ cảnh cho biết những người dùng nào sẽ bị chặn nếu cấp truy cập đang ở chế độ hoạt động. Sau khi xác minh rằng một cấp truy cập đang hoạt động theo cách bạn muốn, bạn có thể bật chế độ thực thi thực tế bằng cách chuyển cấp truy cập sang chế độ đang hoạt động.

Để biết hướng dẫn chi tiết về cách sử dụng chế độ giám sát, hãy xem bài viết Chỉ định cấp truy cập theo bối cảnh cho ứng dụng.

Các đề xuất khác về việc phát hành

• Phân giai đoạn triển khai. Bắt đầu với một đơn vị tổ chức hoặc nhóm làm nhóm thí điểm và xem chính sách này hoạt động như thế nào đối với họ. Nếu những người dùng đó có thể truy cập vào ứng dụng thành công, hãy chuyển sang nhóm người dùng tiếp theo. Nếu họ hài lòng, hãy triển khai các chính sách truy cập cho tất cả người dùng.
• Chỉ định chính sách truy cập cho các ứng dụng đã chọn. Hãy thử triển khai các chính sách trên những ứng dụng không được sử dụng nhiều trong môi trường của bạn. Theo dõi những gì xảy ra với các ứng dụng đó, sau đó áp dụng các chính sách cho những ứng dụng được dùng nhiều hơn.
• Tránh chặn người dùng hoặc đối tác. Đừng chặn quyền truy cập vào các dịch vụ của Google Workspace (chẳng hạn như Gmail) mà bạn dùng để chia sẻ thông tin liên lạc với người dùng (và họ cũng cần liên lạc với bạn). Xác định dải IP mà người dùng và đối tác cần.
• Không sử dụng Google Cloud Platform (GCP) để thêm hoặc thay đổi cấp độ truy cập nếu bạn chỉ là khách hàng Workspace. Nếu bạn thêm hoặc thay đổi cấp truy cập bằng một phương thức khác ngoài giao diện Cấp truy cập theo bối cảnh, thì có thể bạn sẽ gặp thông báo lỗi này: Các thuộc tính không được hỗ trợ đang được dùng trên Google Workspace và người dùng có thể bị chặn.
• Lập kế hoạch hỗ trợ của bộ phận trợ giúp cho những người dùng có thể cần trợ giúp trong quá trình triển khai.

Theo dõi hoạt động phát hành

Bất kể bạn sử dụng phương thức triển khai nào, hãy theo dõi kết quả triển khai bằng cách thu thập ý kiến phản hồi của người dùng và tham khảo các sự kiện nhật ký về Quyền truy cập dựa trên bối cảnh để xem hồ sơ của những người dùng bị từ chối.

Chuẩn bị triển khai

Để triển khai suôn sẻ, hãy làm theo các bước sau trước khi tạo hoặc triển khai các chính sách truy cập mới.

1. Thông báo cho người dùng

Trao đổi với người dùng để tìm hiểu những gì họ cần bảo vệ trong môi trường làm việc. Vì bạn sẽ triển khai tính năng Truy cập dựa trên bối cảnh theo đơn vị tổ chức hoặc nhóm, nên nhu cầu của người dùng trong tổ chức có thể khác nhau. Cho họ biết những hậu quả có thể xảy ra của các chính sách mà bạn tạo và chỉ định: ví dụ: họ có thể bị chặn vào những thời điểm khác nhau vì nhiều lý do. Việc thông báo trước giúp tăng khả năng người dùng chấp nhận.

2. Sắp xếp người dùng thành các đơn vị tổ chức hoặc nhóm

Bạn có thể chỉ định cấp truy cập theo đơn vị tổ chức. Hoặc nếu đã thiết lập các đơn vị tổ chức cho những mục đích khác, bạn có thể tạo rồi chỉ định cấp độ cho các nhóm cấu hình. Trong cả hai trường hợp, hãy đảm bảo rằng những người dùng mà bạn muốn cấp quyền truy cập nằm trong đúng đơn vị tổ chức hoặc nhóm.

3. Khảo sát thiết bị doanh nghiệp

Trước khi triển khai các chính sách dựa trên thiết bị, hãy đảm bảo rằng các thiết bị trong doanh nghiệp của bạn đang được bộ phận CNTT quản lý đúng cách và tuân thủ các tiêu chuẩn của công ty. Xác minh xem thiết bị có được mã hoá hay không, có đang chạy hệ điều hành mới nhất hay không và là thiết bị thuộc sở hữu của công ty hay thiết bị cá nhân.

4. Đăng ký thiết bị di động bằng tính năng quản lý thiết bị đầu cuối

Bạn phải quản lý thiết bị di động bằng giải pháp quản lý thiết bị đầu cuối của Google (cơ bản hoặc nâng cao).

Với tính năng quản lý cơ bản, quá trình đồng bộ hoá phiên bản hệ điều hành và trạng thái mã hoá của thiết bị có thể mất vài ngày. Trong thời gian này, quyền truy cập vào các dịch vụ của Google Workspace trên những thiết bị này có thể bị ảnh hưởng nếu bạn sử dụng tính năng Quyền truy cập theo bối cảnh.

5. Thực thi quy trình xác minh thiết bị đầu cuối trước khi tạo chính sách

Thực thi việc sử dụng tính năng Xác minh thiết bị đầu cuối để biết những thiết bị nào đang truy cập (hoặc sẽ truy cập) vào dữ liệu trên Google Workspace. Trong tiện ích Chrome, bạn phải chỉ định chế độ Cài đặt bắt buộc cho Xác minh điểm cuối và yêu cầu khoá truy cập. Hãy xem bài viết Thiết lập tính năng xác minh điểm cuối để biết thông tin chi tiết.

Thiết lập quy trình xác minh thiết bị đầu cuối và bật Quyền truy cập theo bối cảnh

Thiết lập phần mềm cho máy tính hoặc thiết bị di động.

Thiết lập tính năng xác minh thiết bị đầu cuối

Nếu thực thi một chính sách thiết bị ở một cấp truy cập, thì bạn và người dùng phải thiết lập quy trình xác minh điểm cuối. Bạn bật tính năng xác minh thiết bị đầu cuối trong Bảng điều khiển dành cho quản trị viên. Để biết hướng dẫn, hãy xem bài viết Bật hoặc tắt tính năng xác minh điểm cuối.

Lưu ý: Nếu bạn thực thi chính sách thiết bị Nhận biết bối cảnh trước khi người dùng có thể đăng nhập vào quy trình Xác minh điểm cuối, thì người dùng có thể bị từ chối quyền truy cập ngay cả khi thiết bị của họ đáp ứng chính sách Nhận biết bối cảnh được thực thi. Lý do là vì quá trình đồng bộ hoá các thuộc tính của thiết bị thông qua tiện ích Xác minh thiết bị đầu cuối có thể mất vài giây. Để tránh trường hợp này, hãy đảm bảo người dùng đăng nhập vào quy trình Xác minh điểm cuối và làm mới trang trình duyệt trước khi bạn thực thi chính sách thiết bị Dựa trên bối cảnh.

Xem xét những thiết bị có tiện ích xác minh thiết bị đầu cuối

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn Thiết bịTổng quan. 

   Chuyển đến trang Tổng quan

   Bạn phải có đặc quyền của quản trị viên đối với Cài đặt thiết bị dùng chung.

2. Nhấp vào Thiết bị đầu cuối.
3. Nhấp vào Thêm bộ lọc.
4. Chọn Loại quản lýXác minh thiết bị đầu cuối.
5. Nhấp vào Áp dụng.

Thiết lập thiết bị di động (Giải pháp quản lý thiết bị đầu cuối của Google)

Để thực thi cấp truy cập cho thiết bị di động, người dùng thiết bị phải được quản lý theo chế độ quản lý thiết bị di động cơ bản hoặc nâng cao.

Các bước bổ sung

Bật và tắt tính năng Quyền truy cập theo bối cảnh

Bạn có thể bật tính năng Quyền truy cập theo bối cảnh vào những thời điểm khác nhau trong quá trình triển khai. Bạn có thể bật chế độ này trước khi tạo cấp truy cập và chỉ định cấp truy cập cho các ứng dụng. Điều này có nghĩa là các cấp truy cập mà bạn chỉ định cho ứng dụng sẽ được thực thi ngay lập tức.

Bạn cũng có thể thiết lập và xem xét ban đầu (tạo cấp truy cập, chỉ định cấp truy cập, xác minh điểm cuối) mà không cần bật tính năng Quyền truy cập theo bối cảnh. Trong thời gian này, các chế độ chỉ định cấp truy cập sẽ không được thực thi. Sau khi hoàn tất việc định cấu hình, bạn có thể bật chế độ Quyền truy cập nhận biết theo bối cảnh.

Bạn có thể tắt Quyền truy cập theo bối cảnh nếu người dùng gặp vấn đề và bạn muốn tạm dừng ứng dụng trong khi điều tra xem chính sách nào đang gây ra vấn đề. Sau khi xác định được cấp truy cập gây ra vấn đề, bạn có thể sửa đổi hoặc xoá chính sách đó nếu cần cho các đơn vị tổ chức hoặc nhóm cụ thể.

Lưu ý quan trọng: Có thể mất đến 24 giờ để tính năng Truy cập dựa trên bối cảnh bị vô hiệu hoá hoàn toàn sau khi bạn tắt tính năng này. Trong thời gian này, người dùng vẫn có thể chịu ảnh hưởng của các cấp truy cập trước đó. Các cấp truy cập đã bị xoá sẽ ngừng áp dụng ngay lập tức.

Bước tiếp theo:

Tạo và chỉ định cấp truy cập

Các bài viết này sẽ hướng dẫn bạn từng bước tạo cấp truy cập và chỉ định cấp truy cập cho các ứng dụng:

• Tạo cấp truy cập dựa trên bối cảnh
• Chỉ định cấp truy cập theo bối cảnh cho ứng dụng

Khám phá các trường hợp sử dụng

Các bài viết này trình bày những trường hợp sử dụng phổ biến để triển khai tính năng Quyền truy cập theo bối cảnh trong môi trường của bạn:

• Ví dụ về việc thực thi địa chỉ IP
• Ví dụ về hoạt động thực thi chính sách đối với thiết bị
• Ví dụ về việc thực thi trình duyệt Chrome được quản lý