Gebruik contextbewuste toegang met configuratiegroepen.

Met configuratiegroepen kunt u contextbewuste toegangsrechten toepassen op groepen gebruikers in plaats van op organisatie-eenheden. Configuratiegroepen kunnen gebruikers uit elke organisatie-eenheid binnen uw bedrijf omvatten. U kunt bijvoorbeeld een team van externe medewerkers alleen toegang geven tot Gmail op uw bedrijfsnetwerk.

Hoe configuratiegroepen werken

  • Configuratiegroepen kunnen alle gebruikers in uw organisatie bevatten. U kunt ook een configuratiegroep maken die fungeert als container voor toegangsniveaus en vervolgens uw gebruikersgroepen (geneste groepen) toevoegen.
  • Een gebruiker kan, in tegenstelling tot organisatie-eenheden, tot meerdere configuratiegroepen behoren. U stelt de prioriteit van de configuratiegroepen in en de gebruiker krijgt de instellingen van de groep met de hoogste prioriteit waartoe hij of zij behoort.
  • Het toegangsniveau van een gebruikersgroep voor een app heeft altijd voorrang op het toegangsniveau van de organisatie-eenheid waartoe een gebruiker behoort.
  • Als een configuratiegroep geen toegangsniveau voor een app specificeert, gebruikt de app het toegangsniveau dat is ingesteld door de organisatie-eenheid van de gebruiker.

Ontwerp configuratiegroepen voor contextbewuste toegang.

Configuratiegroepen werken iets anders voor contextbewuste toegang dan voor andere Google Workspace-instellingen. Houd bij het ontwerpen van uw groepen en beleidsregels rekening met deze informatie en de tips:

Opties voor configuratiegroepen

Je definieert doorgaans toegangsniveaus voor organisatie-eenheden en bepaalt vervolgens aangepaste toegangsniveaus voor configuratiegroepen. Je kunt bijvoorbeeld configuratiegroepen hebben voor 'Open toegang' of 'Beperkte toegang', zodat je snel toegang kunt verlenen aan of beperken voor specifieke gebruikers.

Doorgaans gebruikt u een combinatie van configuratiegroepen:

Gebruik je bestaande gebruikersgroepen

Je stelt het toegangsniveau in voor elke app (bijvoorbeeld Gmail of Google Drive) in de gebruikersgroep. Als een gebruiker tot meerdere groepen behoort, stel je in welke groep de instellingen van de gebruiker bepaalt (dit wordt later beschreven in het gedeelte Prioriteit ).

Het rechtstreeks toewijzen van toegangsniveaus aan gebruikersgroepen is een goede optie voor:

  • Het testen van contextbewuste toegang.
  • Toegang beheren voor specifieke groepen gebruikers, zoals IT-personeel of een team dat op afstand werkt.
  • Beheer de toegang voor organisaties met minder dan 50 gebruikers of een klein aantal toegangsniveaus. U hoeft geen extra groepen aan te maken en u kunt de instellingen voor elke gebruikersgroep nauwkeurig afstemmen.

Maak configuratiegroepen aan op basis van toegangsniveaus.

Als alternatief kunt u toegangsniveaus toewijzen aan groepen. U maakt een configuratiegroep aan en wijst toegangsniveaus toe aan een of meer apps. Vervolgens voegt u gebruikersgroepen toe als leden van de configuratiegroep.

Grotere organisaties kunnen deze aanpak nuttig vinden voor het beheren van toegangsbeleid en prioriteiten voor groepen (zie hieronder).

Hoe prioriteit werkt in combinatie met toegangsniveaus

Wanneer een gebruiker tot meerdere configuratiegroepen behoort, stelt u in welke configuratiegroep prioriteit heeft bij het bepalen van de app-toegang van de gebruiker.

In de Google Admin-console moet u eerst een toepassing selecteren om de bijbehorende lijst met groepsprioriteiten weer te geven. Groepen worden weergegeven van hoogste naar laagste prioriteit. Een nieuwe configuratiegroep heeft altijd de laagste prioriteit en wordt onderaan de lijst met configuratiegroepen toegevoegd.

Prioriteit voor contextbewuste toegang

Een gebruiker krijgt de app-instellingen met de hoogste prioriteit. groep waartoe ze behoren. Als de groep geen toegangsniveau heeft voor een bepaalde app, wordt het toegangsniveau van de groep met de op één na hoogste prioriteit van de gebruiker gebruikt, enzovoort.

In de beheerdersconsole kunt u controleren welke groep of organisatie-eenheid het toegangsniveau van een gebruiker tot apps heeft bepaald. In het onderstaande voorbeeld heeft de groep ' Drive Security ' de Drive-toegang van de gebruiker ingesteld.

Apps van de gebruiker Toegangsniveaus Overgeërfd van
Google Agenda Bedrijfsnetwerk Organisatie-eenheid : Verkoop
Drijfveer Bedrijfsnetwerk, apparaatbeveiliging Groep : Drive Security
Gmail Apparaatbeveiliging Organisatie-eenheid : Verkoop
Google Vault <geen> <geen>

Voor nauwkeurige controle kunt u groepen gebruiken om de toegangsniveaus voor elke app aan te passen. Bijvoorbeeld:

Apps van de gebruiker Toegangsniveaus Overgeërfd van
Kalender Bedrijfsnetwerk Organisatie-eenheid : Verkoop
Drijfveer Bedrijfsnetwerk, apparaatbeveiliging Groep : Drive Security
Gmail Apparaatbeveiliging, Geo Canada Groep : Noord-Amerika
Kluis Apparaat beperkt, bedrijfsnetwerk Groep : Kluisonderzoeker

Geef prioriteit aan configuratiegroepen

  • Overweeg om kritieke of gevoelige configuratiegroepen een hoge prioriteit te geven. Zo zou uw groep met de hoogste prioriteit bijvoorbeeld een 'Dringende toegang'-groep kunnen zijn die alle groepen met beperkte toegang overschrijft.

  • Toegangsniveaus worden niet bij elkaar opgeteld voor de groepen waartoe een gebruiker behoort. In dit voorbeeld behoort een gebruiker tot 3 gebruikersgroepen, maar alleen de configuratiegroep met de hoogste prioriteit, " Apparaat" , bepaalt het toegangsniveau van de gebruiker.

Planning en ontwerp van configuratiegroepen

Het plannen van de structuur van uw configuratiegroepen is waarschijnlijk de stap die de meeste tijd en controle vergt.

Groepen benoemen en zoeken

Stel een standaard voor groepsnamen in voor eenvoudiger zoeken, prioriteren en controleren . Voeg bijvoorbeeld een voorvoegsel zoals ' caa ' toe om contextbewuste configuratiegroepen aan te duiden. Gebruik ook een decimaal om te voorkomen dat u bestaande groepsnamen moet wijzigen wanneer u een configuratiegroep toevoegt.

1. Zoeken op groepsadres

2. Bekijk de lijst met groepen

  • Een groep zoeken: U kunt bijvoorbeeld een naamgevingsstandaard instellen die de instellingsnaam en het prioriteitsnummer bevat:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • De groepen bekijken: In het paneel Groepen wordt de groepsnaam weergegeven. (maximaal 37 tekens) in prioriteitsvolgorde. Als je naar een groep verwijst, wordt de volledige naam weergegeven. Bijvoorbeeld:

CAA p0.0 - Onbeperkte toegang tot alle apps
CAA p1.0 - Toegang tijdens lockdown
CAA p3.0 ​​- Gmail IP-bedrijfs- en apparaatbeveiliging
CAA p3.1 - Gmail IP corp

Groepen ordenen

Om prioriteiten en instellingen bij te houden:

  • U kunt groepen die van toepassing zijn op de minste gebruikers instellen of kritieke beleidsregels (zoals 'Toegang beperken' of 'Alle toegang') de hoogste prioriteit geven.
  • Houd rekening met de prioriteiten in je groepsstructuur en let op diep geneste groepen, die mogelijk lastig te herleiden zijn naar de instellingen.

Groepen maken

U moet groepen gebruiken die zijn aangemaakt in de beheerdersconsole, de Directory API of Google Cloud Directory Sync. Groepen die zijn aangemaakt in Google Groepen kunnen niet als configuratiegroepen worden gebruikt. (De beheerdersconsole geeft niet aan of een groep in Google Groepen is aangemaakt.)

Je kunt de configuratiegroep beheren in elke tool. Je kunt bijvoorbeeld strikte machtigingen instellen voor het toevoegen of verwijderen van gebruikers, het plaatsen van berichten in de groep uitschakelen of voorkomen dat gebruikers de groep verlaten (alleen beschikbaar in de Groepen-API).

Configuratiegroepen instellen

Voordat u begint: definieer de contextbewuste toegangsniveaus en maak uw configuratiegroepen aan (bij voorkeur met 1 of 2 testaccounts).

Stap 1. Een configuratiegroep toepassen

Je hebt beheerdersrechten nodig voor groepen, organisatie-eenheden (op het hoogste niveau) en het beheer van toegangsrechten en regels voor gegevensbeveiliging .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan Contextbewuste toegang .

    Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .

  2. Klik op Toegangsniveaus toewijzen om de lijst met apps te bekijken.
  3. Klik in het gedeelte Contextbewuste toegang op Groepen .
  4. Kies een optie:
    • Klik op een app. Alle bestaande configuratiegroepen waaraan een toegangsniveau voor uw app is toegewezen, worden in volgorde van prioriteit weergegeven.
    • Klik op 'Zoek naar een groep' om een ​​lijst van alle groepen te bekijken, niet alleen configuratiegroepen. U kunt tekst invoeren om de resultaten te filteren.
  5. Klik op de groep. In de toepassingstabel worden alle toepassingen met hun toegangsrechten weergegeven.
    • Als je je groep niet kunt vinden, is deze mogelijk aangemaakt in Google Groepen . Je moet configuratiegroepen aanmaken in de beheerdersconsole , de Directory API of Google Cloud Directory Sync.
    • Begin met het toevoegen van uw configuratiegroepen, van hoogste naar laagste prioriteit. Wanneer u een nieuw groepsbeleid voor een app toevoegt, krijgt dit de laagste prioriteit.
  6. Klik op een of meer apps en vervolgens op 'Toewijzen'.
  7. Selecteer de toegangsniveaus voor de app in de groep en klik op Opslaan . Standaard heeft een nieuwe groep geen toegewezen toegangsniveaus.



    Voor organisaties met meerdere typen Google Workspace-licenties : de groepstoegangsniveaus zijn alleen van toepassing op gebruikers aan wie een Google Workspace-editie is toegewezen die contextbewust toegangsbeheer omvat.

Stap 2. Controleer de toegangsniveaus voor een gebruiker.

Je hebt beheerdersrechten nodig voor groepen, organisatie-eenheden (op het hoogste niveau) en het beheer van toegangsrechten en regels voor gegevensbeveiliging .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan Contextbewuste toegang .

    Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .

  2. Ga in de beheerdersconsole naar de instellingenpagina van de app.
  3. Klik linksboven op Gebruikers .
  4. Klik op 'Selecteer een gebruiker' en voer het e-mailadres van de gebruiker in (niet de naam).
  5. Selecteer de gebruiker om diens app-instellingen te bekijken. In de kolom 'Overgenomen van' wordt de configuratiegroep of organisatie-eenheid weergegeven die de instellingen van de gebruiker heeft bepaald.
  6. Wijs naar een app en klik op 'Bekijken' voor details over de toegangsniveaus van de gebruiker.

Opmerking : Wanneer u een organisatie-eenheid bekijkt, zijn de overgeërfde niveaus alleen gebaseerd op de instellingen van de organisatie-eenheid, niet op configuratiegroepen.

Een configuratiegroep verwijderen

Je hebt beheerdersrechten nodig voor groepen, organisatie-eenheden (op het hoogste niveau) en het beheer van toegangsrechten en regels voor gegevensbeveiliging .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan Contextbewuste toegang .

    Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .

  2. Klik op Toegangsniveaus toewijzen om de lijst met apps te bekijken.
  3. Klik aan de linkerkant op Groepen .
  4. Klik op de groep die u wilt verwijderen.
  5. Verwijder eerst alle toegangsrechten van alle apps in de groep. Controleer in het deelvenster Apps elke applicatie afzonderlijk om er zeker van te zijn dat alle toegangsrechten zijn verwijderd.

  6. Klik op Toewijzen .
  7. Klik op Alles deselecteren
  8. Klik op Opslaan .
De configuratiegroep wordt niet langer weergegeven in de lijst met groepen. Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Meer informatie

Een configuratiegroep bewerken

Je hebt beheerdersrechten nodig voor groepen, organisatie-eenheden (op het hoogste niveau) en het beheer van toegangsrechten en regels voor gegevensbeveiliging .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Toegangs- en gegevensbeheer en dan Contextbewuste toegang .

    Vereist toegangsniveaus voor gegevensbeveiliging en beheerrechten voor regels , evenals leesrechten voor beheerders-API-groepen en -gebruikers .

  2. Klik op Toegangsniveaus toewijzen om de lijst met apps te bekijken.
  3. Klik aan de linkerkant op Groepen .
  4. Zoek de groep die je wilt bewerken.
  5. Aan de rechterkant kunt u apps selecteren die u wilt bewerken, toevoegen of verwijderen.
  6. Klik op Toewijzen .
  7. Werk de niveau-indeling voor de groep bij.
  8. Klik op Opslaan .
Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller doorgevoerd. Lees meer .

Probleemoplossing

Ik zie de configuratiegroep niet in de lijst met groepen.

  • De groep is mogelijk aangemaakt in Google Groepen. Probeer een groep aan te maken in het beheerderspaneel .
  • Zoek naar het e-mailadres van de groep in plaats van naar de naam van de groep.
  • Probeer de instellingenpagina te vernieuwen. Wijzigingen kunnen tot 24 uur duren, maar worden meestal sneller doorgevoerd. Meer informatie
  • Controleer of u beheerdersrechten hebt voor groepen.

Een gebruiker heeft niet het juiste toegangsniveau.

  • Controleer het groepslidmaatschap van een gebruiker. Wijzigingen kunnen tot 24 uur duren, maar worden doorgaans sneller verwerkt. Meer informatie
  • Zoek de configuratiegroep die de instellingen van de gebruiker bepaalt. Als de gebruiker tot meerdere configuratiegroepen behoort, moet u mogelijk de prioriteit van de groep of het groepslidmaatschap van de gebruiker wijzigen.
  • De gebruiker beschikt mogelijk niet over de productlicentie voor deze functie. Contextbewuste toegang is beschikbaar in specifieke edities van Google Workspace.
  • Als de gebruiker geen toegang heeft tot een app, kan aan die app een verwijderd toegangsniveau zijn toegewezen. Vink ' Verwijder een verwijderd toegangsniveau' aan .

Controleer de wijzigingen in het auditlogboek.

Controleer deze gebeurtenissen in het beheerdersauditlogboek op wijzigingen in de instellingen van configuratiegroepen:

GEBEURTENIS: Contextbewust toegangsniveau App-specifieke toewijzingen wijzigen

Deze gebeurtenis wordt geregistreerd wanneer u een configuratiegroep toepast of verwijdert. De gebeurtenis gebruikt de groepsnaam , dus u kunt een vergelijkbare naamgevingsstandaard gebruiken voor zowel uw groepsnaam als het adres.

De gegevens die bij een groepsevenement zijn inbegrepen:

De toewijzing van toegangsniveaus is gewijzigd van []
naar [ toegangsniveaus ]. (applicatienaam: { app }, groepsnaam: { configuratiegroep })

U kunt bijvoorbeeld de configuratiegroep CAA.02 lokale toegang toepassen op een app:

De toewijzing van toegangsniveaus is gewijzigd van [] naar [ Bedrijfs-IP, Apparaat ].
(applicatienaam: { GMAIL }, groepsnaam: { CAA.02 lokale toegang}

Wanneer u de configuratiegroep verwijdert vanuit een app:

De toewijzing van toegangsniveaus is gewijzigd van [ Bedrijfs-IP, Apparaat ] naar [].
(applicatienaam: { GMAIL }, groepsnaam: { CAA.02 Lokale toegang}

Inzicht in organisatorische eenheden, groepsovererving en configuratiegroepen.

Als u lokale wijzigingen aanbrengt in het toegangsniveau van een onderliggende organisatie-eenheid of -groep, heeft deze alleen de lokaal toegepaste toegangsniveaus en erft deze geen toegangsniveaus van de bovenliggende organisatie.

Als u alle lokaal toegewezen toegangsniveaus verwijdert om de oorspronkelijk overgeërfde toegangsniveaus te herstellen, heeft de onderliggende organisatie-eenheid alleen de overgeërfde toegangsniveaus.

Bijvoorbeeld, voor organisatie-eenheden geldt dat als er 3 toegangsniveaus zijn toegewezen aan een app in de organisatie-eenheid op het hoogste niveau, diezelfde toegangsniveaus via overerving worden toegewezen aan de app in een onderliggende organisatie-eenheid als die onderliggende organisatie-eenheid geen lokale toewijzing heeft. Als u vervolgens alleen in de onderliggende organisatie-eenheid een toegangsniveau toevoegt, is dat het enige toegangsniveau dat op die onderliggende organisatie-eenheid van toepassing is.

Overschrijf overgeërfde toegangsrechten met een null-beleid.

Stel dat u geen enkele gebruikerstoegang in een onderliggende organisatie-eenheid wilt blokkeren, dus geen toegangsrechten wilt toewijzen. U kunt een toegangsniveau aanmaken met de geavanceerde expressie: true . Zie Toegangsniveaus definiëren - Geavanceerde modus voor meer informatie.

Overschrijf toegangsrechten met configuratiegroepen

U kunt configuratiegroepen gebruiken om toegangsniveaus toe te wijzen aan groepen gebruikers in plaats van aan organisatie-eenheden. Het toegangsniveau van een gebruiker per groep heeft altijd voorrang op het toegangsniveau van de gebruiker per organisatie-eenheid. De groepen kunnen gebruikers van elke organisatie-eenheid in uw account omvatten.

Een gebruiker behoort bijvoorbeeld tot een organisatie-eenheid en Groep1. De organisatie-eenheid is ParentOU, waaraan toegangsniveau X is toegekend voor zowel Gmail als Agenda. Er is geen toegangsniveau toegekend aan Groep1 voor Gmail. Er is wel toegangsniveau Y toegekend aan Groep1 voor Agenda. In dit geval heeft de gebruiker toegangsniveau X voor Gmail (via overerving) en toegangsniveau Y voor Agenda (door het lokale beleid te overschrijven).