תרחיש לדוגמה: אכיפה בדפדפן Chrome מנוהל

בדוגמה הזו מוסבר איך ליצור רמת גישה מבוססת-הקשר כדי לתמוך במדיניות מנוהלת של דפדפן Chrome בארגון, ואז להקצות את המדיניות הזו לאפליקציות.

לפני שמתחילים

  • (למשתמשים ב-Workspace בלבד) מומלץ לא להוסיף או לשנות רמות של בקרת גישה מבוססת-הקשר באמצעות מסוף Google Cloud. פעולה כזו עלולה לגרום לשגיאה הבאה: נעשה שימוש ב-Google Workspace במאפיינים שאינם נתמכים, ולחסימת משתמשים.
  • (למשתמשים ב-Windows) כדי לשפר את האבטחה של נתוני Chrome, חשוב לוודא ששירות ההרשאות של Google Chrome Elevation Service מופעל עבור הצפנה שקשורה לאפליקציה.

הגדרת רמת גישה מבוססת-הקשר

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. בוחרים באפשרות רמות גישה.
  3. לוחצים על יצירה של רמת גישה.
  4. מוסיפים שם לרמת הגישה (בדוגמה הזו, שם כמו דפדפן Chrome מנוהל) ותיאור אופציונלי.
  5. לוחצים על הכרטיסייהמתקדם. בכרטיסייה הזו, יוצרים את רמת הגישה המותאמת אישית בחלון עריכה באמצעות Common Expressions Language ‏(CEL). פרטים נוספים זמינים במאמרים בנושא יצירת בקרות גישה מבוססות-הקשר והגדרת בקרות גישהמצב מתקדם.

  6. מוסיפים את הקוד של רמת הגישה:

    device.chrome.management_state == ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED && device.chrome.versionAtLeast("94.0.4606.81").

  7. לוחצים על יצירה. עכשיו אפשר להקצות את רמת הגישה הזו לאפליקציות.

  8. לוחצים על הקצאת רמות גישה לאפליקציות. הקישור הזה מופיע אחרי שיוצרים רמת גישה. אם רוצים להקצות את רמת הגישה מאוחר יותר, עוברים אל אבטחה ואז בקרת גישה ובחירת הנתונים לדוח ואז בקרת גישה מבוססת-הקשר ובוחרים באפשרות הקצאת רמות גישה לאפליקציות.

  9. בוחרים יחידה ארגונית. המשתמשים ביחידה הארגונית הזו הם המשתמשים שיש להם גישה לאפליקציות שציינתם, ברמה שהוגדרה ברמת הגישה שיצרתם. לדוגמה, בוחרים באפשרות משאבי אנוש כדי לתת גישה לקבוצה של משתמשים במשאבי אנוש.

  10. בוחרים באילו אפליקציות המשתמשים יוכלו לגשת, למשל Drive ו-Docs,‏ Gmail ו-Google Chat.

  11. לוחצים על הקצאה. יכול להיות שתצטרכו לגלול כדי לראות את לחצן ההקצאה של האפליקציה הרצויה. חשוב להקצות את רמת הגישה לאפליקציה הנכונה. אל תקצו את רמת הגישה למסוף Admin.

  12. בוחרים את רמת הגישה שרוצים להשתמש בה. בדוגמה הזו, בוחרים באפשרות דפדפן Chrome מנוהל.

    אם צריך, אפשר לבחור יותר מרמת גישה אחת. המשתמשים מקבלים גישה לאפליקציה כשהם עומדים בתנאים שצוינו רק באחת מרמות הגישה שבוחרים (זהו OR לוגי של רמות הגישה ברשימה).

    אם רוצים שהמשתמשים יעמדו בתנאים של יותר מרמת גישה אחת (פעולת AND לוגית של רמות גישה), צריך ליצור רמת גישה שמכילה כמה רמות גישה.

    הערה: חשוב להשאיר את התיבה החלה על אפליקציות של Google לנייד ולאינטרנט מסומנת.

  13. לוחצים על שמירה. שימו לב: אם מקצים רמת גישה ליחידה ארגונית או לקבוצה עם מספר גדול של משתמשים, יכולות לחלוף עד 24 שעות עד שהקצאת רמת הגישה תופיע.

  14. כדי לוודא שההקצאה מתבצעת בצורה תקינה, מחפשים את:

    • נקודה אפורה לצד השם של היחידה הארגונית.
    • השם של רמת הגישה שמופיעה עבור האפליקציה.

  15. כדי להתאים אישית את ההודעות שמשתמשים מקבלים כשהגישה לאפליקציה חסומה, עוברים אל אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר ולוחצים על הודעה למשתמש. הודעות למשתמשים כוללות:

    • הודעות על תיקון – ההודעות האלה נוצרות על ידי המערכת ומתייחסות להפרת המדיניות הספציפית שגרמה לחסימת המשתמש. הודעות התיקון מציגות למשתמשים אפשרויות לתיקון כדי שהם יוכלו לבטל את החסימה של הגישה לאפליקציה.
    • הודעות מותאמות אישית – הודעות שאתם מוסיפים ומציעות עזרה ספציפית למשתמש, כמו עצות נוספות לביטול החסימה או קישור מועיל שאפשר ללחוץ עליו.

    • הודעת ברירת מחדל – דוגמה להודעת ברירת מחדל: הגישה נחסמה על פי המדיניות שקבע הארגון שלך ביחס לאפליקציה הזו. ההודעה הזו מוצגת אם לא ציינתם הודעת תיקון או הודעה מותאמת אישית.

      לפרטים נוספים, אפשר לעבור אל המאמר בנושא מתן אפשרות למשתמשים לבטל חסימה של אפליקציות באמצעות הודעות תיקון בבקרת גישה מבוססת-הקשר.