Sử dụng tính năng Quyền truy cập theo bối cảnh với các nhóm cấu hình

Với nhóm cấu hình,bạn có thể áp dụng các cấp độ quyền truy cập dựa trên bối cảnh cho các nhóm người dùng thay vì đơn vị tổ chức. Nhóm cấu hình có thể bao gồm người dùng thuộc mọi đơn vị tổ chức trong doanh nghiệp của bạn. Ví dụ: chỉ cho phép một nhóm nhân viên hợp đồng truy cập vào Gmail trên mạng nội bộ của công ty.

Cách hoạt động của nhóm cấu hình

Nhóm cấu hình có thể chứa bất kỳ người dùng nào trong tổ chức của bạn. Ngoài ra, bạn có thể tạo một nhóm cấu hình đóng vai trò là vùng chứa cho các cấp truy cập, sau đó thêm các nhóm người dùng (nhóm con).
Người dùng có thể thuộc nhiều nhóm cấu hình, không giống như đơn vị tổ chức. Bạn đặt mức độ ưu tiên cho các nhóm cấu hình và người dùng sẽ nhận được chế độ cài đặt của nhóm có mức độ ưu tiên cao nhất mà họ thuộc về.
Cấp truy cập theo nhóm của người dùng đối với một ứng dụng luôn ghi đè cấp truy cập của đơn vị tổ chức.
Nếu một nhóm cấu hình không chỉ định cấp truy cập cho một ứng dụng, thì ứng dụng đó sẽ sử dụng cấp truy cập do đơn vị tổ chức của người dùng đặt.

Thiết kế nhóm cấu hình cho tính năng quyền truy cập dựa trên bối cảnh

Các nhóm cấu hình hoạt động hơi khác đối với tính năng Quyền truy cập dựa trên bối cảnh so với các chế độ cài đặt khác của Google Workspace. Khi thiết kế các nhóm và chính sách, hãy làm theo thông tin và các mẹo sau:

Các lựa chọn cho nhóm cấu hình

Thông thường, bạn sẽ xác định cấp độ truy cập cho các đơn vị tổ chức, sau đó xác định cấp độ truy cập tuỳ chỉnh cho các nhóm cấu hình. Ví dụ: bạn có thể có các nhóm cấu hình cho "Quyền truy cập mở" hoặc "Quyền truy cập hạn chế" để nhanh chóng cấp hoặc hạn chế quyền truy cập của một số người dùng cụ thể.

Thông thường, bạn sẽ sử dụng kết hợp các nhóm cấu hình:

Sử dụng nhóm người dùng hiện có

Bạn thiết lập cấp truy cập cho từng ứng dụng (ví dụ: Gmail hoặc Google Drive) trong nhóm người dùng. Nếu người dùng thuộc nhiều nhóm, bạn có thể đặt nhóm nào sẽ xác định chế độ cài đặt của người dùng (được mô tả sau trong phần Mức độ ưu tiên).

Việc áp dụng trực tiếp cấp độ truy cập cho nhóm người dùng là một lựa chọn phù hợp cho:

Kiểm thử tính năng Quyền truy cập dựa trên bối cảnh.
Quản lý quyền truy cập cho một số nhóm người dùng cụ thể, chẳng hạn như nhân viên CNTT hoặc một nhóm được giao nhiệm vụ từ xa.
Quản lý quyền truy cập cho những tổ chức có ít hơn 50 người dùng hoặc có một số ít cấp truy cập. Bạn không cần tạo thêm nhóm và có thể tinh chỉnh chế độ cài đặt cho từng nhóm người dùng.

Tạo nhóm cấu hình dựa trên cấp truy cập

Ngoài ra, bạn có thể chỉ định cấp truy cập cho các nhóm. Bạn tạo một nhóm cấu hình và chỉ định cấp truy cập cho một hoặc nhiều ứng dụng. Sau đó, bạn thêm nhóm người dùng làm thành viên của nhóm cấu hình.

Các tổ chức lớn hơn có thể thấy phương pháp này hữu ích cho việc quản lý các chính sách và mức độ ưu tiên của nhóm quản lý quyền truy cập (được mô tả bên dưới).

Cách hoạt động của mức độ ưu tiên đối với cấp truy cập

Khi người dùng thuộc nhiều nhóm cấu hình, bạn có thể đặt nhóm cấu hình nào có quyền ưu tiên trong việc xác định quyền truy cập của người dùng vào ứng dụng.

Trong Bảng điều khiển dành cho quản trị viên của Google, trước tiên, bạn phải chọn một ứng dụng để hiển thị danh sách ưu tiên của nhóm tương ứng. Các nhóm được liệt kê theo thứ tự ưu tiên từ cao nhất đến thấp nhất. Một nhóm cấu hình mới luôn có mức độ ưu tiên thấp nhất và được thêm vào cuối danh sách nhóm cấu hình.

Mức độ ưu tiên cho Quyền truy cập dựa trên bối cảnh

Người dùng sẽ nhận được chế độ cài đặt ứng dụng của nhóm có mức độ ưu tiên cao nhất mà họ thuộc về. Nếu nhóm không có cấp độ truy cập cho một ứng dụng cụ thể, thì cấp độ truy cập của nhóm có mức độ ưu tiên cao tiếp theo của người dùng sẽ được sử dụng, v.v.

Trong Bảng điều khiển dành cho quản trị viên, bạn có thể kiểm tra nhóm hoặc đơn vị tổ chức nào đã xác định cấp truy cập ứng dụng của người dùng. Trong ví dụ bên dưới, nhóm "Bảo mật Drive" đặt quyền truy cập Drive của người dùng.

Các ứng dụng của người dùng	Cấp truy cập	Được kế thừa từ
Lịch Google	Mạng lưới công ty	Đơn vị tổ chức: Bán hàng
Drive	Mạng công ty, Bảo mật thiết bị	Nhóm: Bảo mật Drive
Gmail	Bảo mật thiết bị	Đơn vị tổ chức: Bán hàng
Google Vault	<none>	<none>

Để kiểm soát chi tiết, bạn có thể sử dụng các nhóm để tuỳ chỉnh cấp truy cập cho từng ứng dụng. Ví dụ:

Các ứng dụng của người dùng	Cấp truy cập	Được kế thừa từ
Lịch	Mạng lưới công ty	Đơn vị tổ chức: Bán hàng
Drive	Mạng công ty, Bảo mật thiết bị	Nhóm: Bảo mật Drive
Gmail	Bảo mật thiết bị, Geo Canada	Nhóm: Bắc Mỹ
Vault	Thiết bị bị hạn chế, Mạng công ty	Nhóm: Điều tra viên Vault

Áp dụng mức độ ưu tiên cho các nhóm cấu hình

Hãy cân nhắc đặt các nhóm cấu hình quan trọng hoặc nhạy cảm ở mức độ ưu tiên cao. Ví dụ: nhóm ưu tiên hàng đầu của bạn có thể là nhóm "Quyền truy cập khẩn cấp" ghi đè mọi nhóm hạn chế quyền truy cập.
Các cấp truy cập không được thêm vào các nhóm của người dùng. Trong ví dụ này, một người dùng thuộc 3 nhóm người dùng, nhưng chỉ nhóm cấu hình có mức độ ưu tiên cao nhất của họ ("Thiết bị") mới đặt cấp độ truy cập của họ.

Lập kế hoạch và thiết kế các nhóm cấu hình

Lập kế hoạch cho cấu trúc nhóm cấu hình có thể là bước tốn nhiều thời gian và công sức xem xét nhất.

Đặt tên và tìm kiếm nhóm

Đặt tiêu chuẩn đặt tên nhóm để dễ dàng tìm kiếm, ưu tiên và kiểm tra. Ví dụ: thêm tiền tố như "caa" để cho biết các nhóm cấu hình nhận biết ngữ cảnh. Ngoài ra, hãy sử dụng dấu thập phân để tránh chỉnh sửa tên nhóm hiện có khi bạn thêm một nhóm cấu hình.

			Tìm kiếm theo địa chỉ nhóm
			Xem danh sách nhóm

<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>

<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>

<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>

<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>

<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>

<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Thiết lập nhóm cấu hình

Trước khi bắt đầu: Xác định các cấp độ của tính năng quyền truy cập dựa trên bối cảnh và tạo nhóm cấu hình (tốt nhất là chứa 1 hoặc 2 tài khoản thử nghiệm).

Bước 1. Áp dụng một nhóm cấu hình

Bạn cần có đặc quyền quản trị đối với Nhóm, Đơn vị tổ chức (cấp cao nhất) và Quản lý cấp truy cập bảo mật dữ liệu và Quản lý quy tắc.

Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn Bảo mật Quyền truy cập và chế độ kiểm soát dữ liệu Quyền truy cập dựa trên bối cảnh.

Chuyển đến phần Quyền truy cập dựa trên bối cảnh

Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.
Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.
Trong phần Quyền truy cập dựa trên bối cảnh, hãy nhấp vào Nhóm.
Chọn một hành động:
- Nhấp vào một ứng dụng. Mọi nhóm cấu hình hiện có đã được chỉ định cấp truy cập cho ứng dụng của bạn sẽ được liệt kê theo thứ tự ưu tiên.
- Nhấp vào Tìm kiếm nhóm để xem danh sách tất cả các nhóm, không chỉ nhóm cấu hình. Bạn có thể nhập văn bản để lọc kết quả.
Nhấp vào nhóm. Bảng ứng dụng liệt kê tất cả ứng dụng cùng với các chỉ định cấp truy cập.
- Nếu bạn không tìm thấy nhóm của mình, thì có thể nhóm đó được tạo trong Google Groups. Bạn phải tạo nhóm cấu hình trong Bảng điều khiển dành cho quản trị viên, API Thư mục hoặc Google Cloud Directory Sync.
- Bắt đầu bằng cách thêm các nhóm cấu hình từ mức độ ưu tiên cao nhất đến thấp nhất. Khi bạn thêm một chính sách nhóm mới cho một ứng dụng, chính sách đó sẽ được đặt ở mức độ ưu tiên thấp nhất.
Nhấp vào một hoặc nhiều ứng dụng, rồi nhấp vào Chỉ định.
Chọn cấp truy cập cho ứng dụng trong nhóm rồi nhấp vào Lưu. Theo mặc định, một nhóm mới sẽ không có cấp truy cập được chỉ định.

Đối với những tổ chức có nhiều loại giấy phép Google Workspace: Các cấp truy cập theo nhóm chỉ áp dụng cho những người dùng được chỉ định một phiên bản Google Workspace có bao gồm chế độ kiểm soát Quyền truy cập dựa trên bối cảnh.

Bước 2. Kiểm tra cấp truy cập của người dùng

<div>
  <p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu    Security  Access and data control  Context-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

Trong Bảng điều khiển dành cho quản trị viên, hãy chuyển đến trang cài đặt của ứng dụng.

Ở trên cùng bên trái, hãy nhấp vào Người dùng.

Nhấp vào Chọn người dùng rồi nhập địa chỉ (không phải tên) của người dùng.

Chọn người dùng để xem chế độ cài đặt ứng dụng của họ. Cột Kế thừa từ cho biết nhóm cấu hình hoặc đơn vị tổ chức đã xác định chế độ cài đặt của người dùng.

Trỏ vào một ứng dụng rồi nhấp vào Xem để biết thông tin chi tiết về cấp truy cập của người dùng.

  <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

Xoá một nhóm cấu hình

<div>
  <p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu    Security  Access and data control  Context-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.

Ở bên trái, hãy nhấp vào Nhóm.

Nhấp vào nhóm cần xoá.

Trước tiên, bạn bỏ chỉ định tất cả cấp truy cập khỏi mọi ứng dụng trong nhóm. Trong bảng điều khiển Ứng dụng, hãy kiểm tra từng ứng dụng một để đảm bảo rằng bạn đã huỷ chỉ định tất cả các cấp truy cập.

Nhấp vào Giao bài.

Nhấp vào Bỏ chọn tất cả

Nhấp vào Lưu.

Nhóm cấu hình sẽ không còn xuất hiện trong danh sách Nhóm nữa. Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Chỉnh sửa một nhóm cấu hình

<div>
  <p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu    Security  Access and data control  Context-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.

Ở bên trái, hãy nhấp vào Nhóm.

Tìm nhóm cần chỉnh sửa.

Ở bên phải, hãy chọn ứng dụng để chỉnh sửa, thêm hoặc xoá.

Nhấp vào Giao bài.

Cập nhật việc chỉ định cấp độ cho nhóm.

Nhấp vào Lưu.

  <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

Khắc phục sự cố

<div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="/admin/users/make-a-user-an-admin" target="_blank">admin privileges</a> for Groups.</li>

  <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="/admin/security/assign-context-aware-access-levels-to-apps" target="_blank">remove a deleted access level</a>.</li>

Xem xét các thay đổi trong Nhật ký kiểm tra

<div>
  <p>Review these events in the <a href="/admin/reports/admin-log-events" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>

        <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>

        <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

Tìm hiểu về các đơn vị tổ chức và nhóm kế thừa cũng như nhóm cấu hình

Nếu bạn thực hiện bất kỳ thay đổi nào về cấp truy cập cục bộ trong một đơn vị tổ chức con hoặc nhóm, thì đơn vị tổ chức đó chỉ có các cấp truy cập được áp dụng cục bộ và không kế thừa bất kỳ cấp truy cập nào từ tổ chức mẹ.

Nếu bạn xoá tất cả cấp truy cập được chỉ định cục bộ để khôi phục cấp truy cập được kế thừa ban đầu, thì đơn vị tổ chức con sẽ chỉ có cấp truy cập được kế thừa.

Ví dụ: đối với các đơn vị tổ chức, nếu có 3 cấp truy cập được chỉ định cho một ứng dụng trong đơn vị tổ chức cấp cao nhất, thì các cấp truy cập đó cũng được chỉ định thông qua tính năng kế thừa cho ứng dụng trong một đơn vị tổ chức con nếu đơn vị tổ chức con đó không có chỉ định cục bộ. Nếu sau đó bạn chỉ thêm một cấp truy cập vào đơn vị tổ chức con, thì đó là cấp truy cập duy nhất được áp dụng cho đơn vị tổ chức con.

Ghi đè các chỉ định cấp truy cập được kế thừa bằng chính sách rỗng

Giả sử bạn không muốn chặn quyền truy cập của bất kỳ người dùng nào trong một đơn vị tổ chức con – không có chỉ định cấp truy cập. Tạo cấp truy cập có tên "Bất kỳ" với 2 điều kiện mạng con IP và kết hợp các điều kiện bằng OR:

Phạm vi mạng con IPv4 0.0.0.0/0
HOẶC
Phạm vi mạng con IPv6 0::/0

Người dùng trong tổ chức có quyền truy cập từ mọi địa chỉ IPv4 hoặc IPv6.

Ghi đè thông tin chỉ định cấp truy cập bằng nhóm cấu hình

Bạn có thể sử dụng nhóm cấu hình để chỉ định cấp truy cập cho các nhóm người dùng thay vì đơn vị tổ chức. Cấp truy cập của nhóm người dùng luôn ghi đè cấp truy cập của đơn vị tổ chức của người dùng. Các nhóm này có thể bao gồm người dùng thuộc mọi đơn vị tổ chức trong tài khoản của bạn.

Ví dụ: một người dùng thuộc một đơn vị tổ chức và Nhóm 1. Đơn vị tổ chức là ParentOU, được chỉ định cấp truy cập X cho cả Gmail và Lịch. Không có cấp truy cập nào được chỉ định cho Nhóm 1 đối với Gmail. Có cấp truy cập Y được chỉ định cho Nhóm 1 đối với Lịch. Trong trường hợp này, người dùng có cấp truy cập X được chỉ định cho Gmail (thông qua tính năng kế thừa) và cấp truy cập Y được chỉ định cho Lịch (bằng cách ghi đè chính sách cục bộ).

Sử dụng tính năng Quyền truy cập theo bối cảnh với các nhóm cấu hình Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.