استفاده از دسترسی آگاه از متن با گروه‌های پیکربندی

با گروه‌های پیکربندی، می‌توانید سطوح دسترسی Context-Aware را به گروه‌هایی از کاربران به جای واحدهای سازمانی اعمال کنید. گروه‌های پیکربندی می‌توانند شامل کاربرانی از هر واحد سازمانی در کسب و کار شما باشند. به عنوان مثال، به تیمی از پیمانکاران اجازه دهید فقط در شبکه شرکتی شما به Gmail دسترسی داشته باشند.

نحوه کار گروه‌های پیکربندی

  • گروه‌های پیکربندی می‌توانند شامل هر کاربری در سازمان شما باشند. همچنین، می‌توانید یک گروه پیکربندی ایجاد کنید که به عنوان ظرفی برای سطوح دسترسی عمل کند و سپس گروه‌های کاربری خود (گروه‌های تو در تو) را اضافه کنید.
  • برخلاف واحدهای سازمانی، یک کاربر می‌تواند به چندین گروه پیکربندی تعلق داشته باشد. شما اولویت گروه‌های پیکربندی را تعیین می‌کنید و کاربر تنظیمات مربوط به گروهی با بالاترین اولویت را که به آن تعلق دارد، دریافت می‌کند.
  • سطح دسترسی گروه یک کاربر برای یک برنامه همیشه بر سطح دسترسی واحد سازمانی او اولویت دارد.
  • اگر یک گروه پیکربندی سطح دسترسی برای یک برنامه مشخص نکند، برنامه از سطح دسترسی تعیین شده توسط واحد سازمانی کاربر استفاده می‌کند.

طراحی گروه‌های پیکربندی برای دسترسی آگاه از متن

گروه‌های پیکربندی برای دسترسی آگاه از متن (Context-Aware Access) در مقایسه با سایر تنظیمات Google Workspace کمی متفاوت عمل می‌کنند. هنگام طراحی گروه‌ها و خط‌مشی‌های خود، این اطلاعات و نکات را دنبال کنید:

گزینه‌های مربوط به گروه‌های پیکربندی

شما معمولاً سطوح دسترسی را برای واحدهای سازمانی تعریف می‌کنید و سپس سطوح دسترسی سفارشی را برای گروه‌های پیکربندی تعیین می‌کنید. به عنوان مثال، ممکن است گروه‌های پیکربندی برای «دسترسی آزاد» یا «دسترسی محدود» داشته باشید تا بتوانید به سرعت دسترسی کاربران خاص را اعطا یا محدود کنید.

معمولاً از ترکیبی از گروه‌های پیکربندی استفاده خواهید کرد:

از گروه‌های کاربری موجود خود استفاده کنید

شما سطح دسترسی را برای هر برنامه (مثلاً Gmail یا Google Drive) در گروه کاربری تعیین می‌کنید. اگر یک کاربر به چندین گروه تعلق دارد، شما تعیین می‌کنید که کدام گروه تنظیمات کاربر را تعیین کند (که بعداً در بخش اولویت توضیح داده خواهد شد).

اعمال مستقیم سطوح دسترسی به گروه‌های کاربری، گزینه خوبی برای موارد زیر است:

  • آزمایش دسترسی آگاه از متن.
  • مدیریت دسترسی برای گروه‌های خاصی از کاربران، مانند کارکنان فناوری اطلاعات یا تیمی که از راه دور مأموریت دارند.
  • مدیریت دسترسی برای سازمان‌هایی با کمتر از ۵۰ کاربر یا تعداد کمی سطح دسترسی. نیازی به ایجاد گروه‌های بیشتر نیست و می‌توانید تنظیمات را برای هر گروه کاربری به طور دقیق تنظیم کنید.

ایجاد گروه‌های پیکربندی بر اساس سطوح دسترسی

همچنین، می‌توانید سطوح دسترسی را به گروه‌ها اختصاص دهید. یک گروه پیکربندی ایجاد می‌کنید و سطوح دسترسی را برای یک یا چند برنامه اختصاص می‌دهید. سپس گروه‌های کاربری را به عنوان اعضای گروه پیکربندی اضافه می‌کنید.

سازمان‌های بزرگ‌تر ممکن است این رویکرد را برای مدیریت سیاست‌ها و اولویت‌های گروه‌های دسترسی (که در زیر توضیح داده شده است) مفید بیابند.

نحوه‌ی عملکرد اولویت با سطوح دسترسی

وقتی یک کاربر به چندین گروه پیکربندی تعلق دارد، شما تعیین می‌کنید که کدام گروه پیکربندی در تعیین دسترسی کاربر به برنامه اولویت دارد.

در کنسول مدیریت گوگل، ابتدا باید یک برنامه را انتخاب کنید تا لیست اولویت گروه مربوطه نمایش داده شود. گروه‌ها از بالاترین به پایین‌ترین اولویت فهرست شده‌اند. یک گروه پیکربندی جدید همیشه کمترین اولویت را دارد و به پایین لیست گروه پیکربندی اضافه می‌شود.

اولویت دسترسی آگاه از متن

کاربر تنظیمات برنامه با بالاترین اولویت را دریافت می‌کند گروهی که به آن تعلق دارند. اگر گروه هیچ سطح دسترسی برای یک برنامه خاص نداشته باشد، از سطح دسترسی گروه اولویت‌دار بعدی کاربر استفاده می‌شود و به همین ترتیب ادامه می‌یابد.

در کنسول مدیریت، می‌توانید بررسی کنید که کدام گروه یا واحد سازمانی سطح دسترسی کاربر به برنامه را تعیین کرده است. در مثال زیر، گروه « Drive Security » دسترسی کاربر به Drive را تعیین کرده است.

برنامه‌های کاربر سطوح دسترسی به ارث رسیده از
تقویم گوگل شبکه شرکت واحد سازمانی : فروش
رانندگی شبکه شرکت، امنیت دستگاه گروه : امنیت درایو
جیمیل امنیت دستگاه واحد سازمانی : فروش
گوگل والت هیچ کدام هیچ کدام

برای کنترل دقیق‌تر، می‌توانید از گروه‌ها برای سفارشی‌سازی سطوح دسترسی برای هر برنامه استفاده کنید. برای مثال:

برنامه‌های کاربر سطوح دسترسی به ارث رسیده از
تقویم شبکه شرکت واحد سازمانی : فروش
رانندگی شبکه شرکت، امنیت دستگاه گروه : امنیت درایو
جیمیل امنیت دستگاه، جیو کانادا گروه : آمریکای شمالی
خزانه محدودیت دستگاه، شبکه شرکت گروه : بازرس خزانه

اعمال اولویت به گروه‌های پیکربندی

  • قرار دادن گروه‌های پیکربندی حیاتی یا حساس در اولویت بالا را در نظر بگیرید. برای مثال، گروه اولویت‌دار شما می‌تواند یک گروه «دسترسی فوری» باشد که بر هر گروه محدودکننده دسترسی غلبه می‌کند.

  • سطوح دسترسی بین گروه‌های کاربری اضافه نمی‌شوند. در این مثال، یک کاربر به ۳ گروه کاربری تعلق دارد، اما فقط گروه پیکربندی با بالاترین اولویت او، " دستگاه"، سطح دسترسی او را تعیین می‌کند.

برنامه‌ریزی و طراحی گروه‌های پیکربندی

برنامه‌ریزی ساختار گروه پیکربندی شما احتمالاً گامی است که بیشترین زمان و بررسی را می‌طلبد.

نامگذاری و جستجوی گروه‌ها

برای جستجوی آسان‌تر، اولویت‌بندی و حسابرسی، یک استاندارد نامگذاری گروه تعیین کنید . به عنوان مثال، پیشوندی مانند " caa " را برای نشان دادن گروه‌های پیکربندی آگاه از متن اضافه کنید. همچنین، هنگام اضافه کردن یک گروه پیکربندی، از یک رقم اعشار استفاده کنید تا از ویرایش نام گروه‌های موجود خود جلوگیری کنید.

۱. جستجو بر اساس آدرس گروه

۲. مشاهده لیست گروه‌ها

  • جستجوی یک گروه: شاید بخواهید یک استاندارد نامگذاری تنظیم کنید که شامل نام تنظیمات و شماره اولویت باشد، برای مثال:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • مشاهده گروه‌ها: پنل گروه‌ها نام گروه را نمایش می‌دهد. (حداکثر ۳۷ کاراکتر) به ترتیب اولویت. اشاره به یک گروه، نام کامل را نشان می‌دهد. برای مثال:

CAA p0.0 - دسترسی نامحدود به همه برنامه‌ها
CAA p1.0 - دسترسی در دوران قرنطینه
CAA p3.0 ​​- امنیت دستگاه و شرکت IP جیمیل
CAA صفحه ۳.۱ - شرکت آی‌پی جیمیل

گروه‌های سفارش‌دهی

برای پیگیری اولویت و تنظیمات:

  • شما می‌توانید گروه‌هایی را که به کمترین تعداد کاربران اعمال می‌شوند یا سیاست‌های حیاتی (مانند «دسترسی محدود» یا «همه دسترسی‌ها») را در بالاترین اولویت قرار دهید.
  • اولویت را در ساختار گروه خود در نظر بگیرید و مراقب گروه‌های تو در تو باشید، که ردیابی آنها تا تنظیمات ممکن است چالش برانگیز باشد.

ایجاد گروه‌ها

شما باید از گروه‌هایی که در کنسول مدیریت، API دایرکتوری یا همگام‌سازی دایرکتوری گوگل کلود ایجاد شده‌اند استفاده کنید. گروه‌های ایجاد شده در گروه‌های گوگل را نمی‌توان به عنوان گروه‌های پیکربندی استفاده کرد. (کنسول مدیریت نشان نمی‌دهد که آیا گروهی در گروه‌های گوگل ایجاد شده است یا خیر.)

شما می‌توانید گروه پیکربندی را در هر ابزاری مدیریت کنید. می‌توانید مجوزهای سختگیرانه‌ای برای اضافه یا حذف کاربران، غیرفعال کردن ارسال پست به گروه یا جلوگیری از خروج کاربران از گروه (فقط در Groups API موجود است) تنظیم کنید.

گروه‌های پیکربندی را تنظیم کنید

قبل از شروع: سطوح دسترسی Context-Aware را تعریف کنید و گروه‌های پیکربندی خود را ایجاد کنید (ترجیحاً شامل ۱ یا ۲ حساب آزمایشی).

مرحله ۱. اعمال یک گروه پیکربندی

برای مدیریت گروه‌ها، واحدهای سازمانی (سطح بالا) و مدیریت سطح دسترسی به امنیت داده‌ها و مدیریت قوانین، به امتیازات مدیریتی نیاز دارید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس دسترسی آگاه از متن .

    به سطح دسترسی امنیت داده‌ها و امتیازات مدیریت قوانین و همچنین گروه‌های API ادمین و امتیازات خواندن کاربران نیاز دارد.

  2. برای مشاهده لیست برنامه‌ها ، روی «اختصاص سطوح دسترسی» کلیک کنید.
  3. در بخش دسترسی آگاه از متن ، روی گروه‌ها کلیک کنید.
  4. یک گزینه را انتخاب کنید:
    • روی یک برنامه کلیک کنید. هر گروه پیکربندی موجود که سطح دسترسی به برنامه شما اختصاص داده شده است، به ترتیب اولویت فهرست شده است.
    • برای مشاهده‌ی فهرستی از تمام گروه‌ها، نه فقط گروه‌های پیکربندی، روی «جستجوی گروه» کلیک کنید. می‌توانید برای فیلتر کردن نتایج، متن وارد کنید.
  5. روی گروه کلیک کنید. جدول برنامه‌ها، تمام برنامه‌ها را به همراه سطح دسترسی‌هایشان فهرست می‌کند.
    • اگر گروه خود را پیدا نمی‌کنید، ممکن است در Google Groups ایجاد شده باشد. شما باید گروه‌های پیکربندی را در کنسول مدیریت ، API دایرکتوری یا همگام‌سازی دایرکتوری Google Cloud ایجاد کنید.
    • با اضافه کردن گروه‌های پیکربندی خود از بالاترین اولویت به پایین‌ترین اولویت شروع کنید. وقتی یک خط‌مشی گروهی جدید برای یک برنامه اضافه می‌کنید، آن برنامه در پایین‌ترین اولویت قرار می‌گیرد.
  6. روی یک یا چند برنامه کلیک کنید و سپس Assign را انتخاب کنید.
  7. سطوح دسترسی برای برنامه در گروه را انتخاب کنید و روی ذخیره کلیک کنید. به طور پیش‌فرض، یک گروه جدید هیچ سطح دسترسی اختصاصی ندارد.



    برای سازمان‌هایی که انواع مختلفی از مجوزهای Google Workspace دارند : سطوح دسترسی گروهی فقط برای کاربرانی اعمال می‌شود که به آنها نسخه Google Workspace که شامل کنترل دسترسی Context-Aware است، اختصاص داده شده است.

مرحله ۲. بررسی سطوح دسترسی برای یک کاربر

برای مدیریت گروه‌ها، واحدهای سازمانی (سطح بالا) و مدیریت سطح دسترسی به امنیت داده‌ها و مدیریت قوانین، به امتیازات مدیریتی نیاز دارید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس دسترسی آگاه از متن .

    به سطح دسترسی امنیت داده‌ها و امتیازات مدیریت قوانین و همچنین گروه‌های API ادمین و امتیازات خواندن کاربران نیاز دارد.

  2. در کنسول مدیریت، به صفحه تنظیمات برنامه بروید.
  3. در بالا سمت چپ، روی «کاربران» کلیک کنید.
  4. روی «انتخاب کاربر» کلیک کنید و آدرس کاربر (نه نام) را وارد کنید.
  5. کاربر را برای مشاهده تنظیمات برنامه‌اش انتخاب کنید. ستون «به ارث رسیده از » گروه پیکربندی یا واحد سازمانی که تنظیمات کاربر را تعیین کرده است را نشان می‌دهد.
  6. برای جزئیات مربوط به سطوح دسترسی کاربر، به یک برنامه اشاره کنید و روی «مشاهده» کلیک کنید.

توجه : وقتی یک واحد سازمانی را مشاهده می‌کنید، سطوح ارث‌بری‌شده فقط بر اساس تنظیمات آن واحد سازمانی هستند، نه بر اساس گروه‌های پیکربندی.

حذف یک گروه پیکربندی

برای مدیریت گروه‌ها، واحدهای سازمانی (سطح بالا) و مدیریت سطح دسترسی به امنیت داده‌ها و مدیریت قوانین، به امتیازات مدیریتی نیاز دارید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس دسترسی آگاه از متن .

    به سطح دسترسی امنیت داده‌ها و امتیازات مدیریت قوانین و همچنین گروه‌های API ادمین و امتیازات خواندن کاربران نیاز دارد.

  2. برای مشاهده لیست برنامه‌ها ، روی «اختصاص سطوح دسترسی» کلیک کنید.
  3. در سمت چپ، روی گروه‌ها کلیک کنید.
  4. برای حذف، روی گروه کلیک کنید.
  5. ابتدا، تمام سطوح دسترسی را از همه برنامه‌های موجود در گروه لغو می‌کنید. در پنل برنامه‌ها ، هر برنامه را یک به یک بررسی کنید تا مطمئن شوید که همه سطوح دسترسی لغو شده‌اند.

  6. روی اختصاص دادن کلیک کنید.
  7. روی لغو انتخاب همه کلیک کنید
  8. روی ذخیره کلیک کنید.
گروه پیکربندی دیگر در فهرست گروه‌ها نمایش داده نمی‌شود. تغییرات می‌توانند تا ۲۴ ساعت طول بکشند اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر

ویرایش یک گروه پیکربندی

برای مدیریت گروه‌ها، واحدهای سازمانی (سطح بالا) و مدیریت سطح دسترسی به امنیت داده‌ها و مدیریت قوانین، به امتیازات مدیریتی نیاز دارید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس دسترسی آگاه از متن .

    به سطح دسترسی امنیت داده‌ها و امتیازات مدیریت قوانین و همچنین گروه‌های API ادمین و امتیازات خواندن کاربران نیاز دارد.

  2. برای مشاهده لیست برنامه‌ها ، روی «اختصاص سطوح دسترسی» کلیک کنید.
  3. در سمت چپ، روی گروه‌ها کلیک کنید.
  4. برای ویرایش، گروه را جستجو کنید.
  5. در سمت راست، برنامه‌ها را برای ویرایش، اضافه کردن یا حذف کردن انتخاب کنید.
  6. روی اختصاص دادن کلیک کنید.
  7. تکالیف سطح را برای گروه به‌روزرسانی کنید.
  8. روی ذخیره کلیک کنید.
تغییرات می‌توانند تا ۲۴ ساعت طول بکشند اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر

عیب‌یابی

من گروه پیکربندی را در لیست گروه‌ها نمی‌بینم

  • ممکن است این گروه در Google Groups ایجاد شده باشد. سعی کنید در کنسول مدیریت یک گروه ایجاد کنید.
  • به جای نام گروه، آدرس ایمیل آن را جستجو کنید.
  • صفحه تنظیمات را رفرش کنید. تغییرات ممکن است تا ۲۴ ساعت طول بکشد اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر
  • بررسی کنید که آیا برای گروه‌ها دسترسی مدیر دارید یا خیر.

کاربر سطح دسترسی صحیحی ندارد

  • عضویت گروه کاربر را بررسی کنید. تغییرات ممکن است تا ۲۴ ساعت طول بکشد اما معمولاً سریع‌تر اتفاق می‌افتد. اطلاعات بیشتر
  • گروه پیکربندی که تنظیمات کاربر را تعیین می‌کند، پیدا کنید. اگر کاربر به چندین گروه پیکربندی تعلق دارد، ممکن است لازم باشد اولویت گروه یا عضویت گروه کاربر را تغییر دهید.
  • ممکن است کاربر مجوز محصول برای این ویژگی را نداشته باشد. دسترسی آگاه از متن با نسخه‌های خاصی از Google Workspace در دسترس است.
  • اگر کاربر نتواند به برنامه‌ای دسترسی پیدا کند، ممکن است به برنامه یک سطح دسترسی حذف‌شده اختصاص داده شود. گزینه remove a deleted access level را تیک بزنید.

بررسی تغییرات در گزارش حسابرسی

برای مشاهده‌ی تغییرات در تنظیمات گروه پیکربندی، این رویدادها را در گزارش حسابرسی مدیریت بررسی کنید:

رویداد: تغییر سطح دسترسی آگاه از متن، تکالیف مختص برنامه

هنگام اعمال یا حذف یک گروه پیکربندی، گزارش‌هایی ثبت می‌شود. این رویداد از نام گروه استفاده می‌کند ، بنابراین می‌توانید از یک استاندارد نامگذاری مشابه برای نام و آدرس گروه خود استفاده کنید.

داده‌های موجود در یک رویداد گروهی:

تخصیص سطح دسترسی از [] تغییر یافته است
به [ سطوح دسترسی ]. (نام_برنامه: { برنامه }، نام_گروه: { گروه پیکربندی })

برای مثال، شما دسترسی محلی گروه پیکربندی CAA.02 را به یک برنامه اعمال می‌کنید:

تخصیص سطح دسترسی از [] به [ آدرس شرکت، دستگاه ] تغییر یافته است.
(نام_برنامه: { GMAIL }، نام_گروه: { دسترسی محلی CAA.02}

وقتی گروه پیکربندی را حذف می‌کنید از یک برنامه:

تخصیص سطح دسترسی از [ آدرس شرکت، دستگاه ] به [] تغییر یافته است.
(نام برنامه: { GMAIL }، نام گروه: { CAA.02 دسترسی محلی}

درک واحدهای سازمانی و وراثت گروهی و پیکربندی گروه‌ها

اگر هرگونه تغییر سطح دسترسی محلی را در یک واحد یا گروه سازمانی فرزند ایجاد کنید، آن واحد یا گروه فقط سطوح دسترسی اعمال‌شده محلی را دارد و هیچ سطح دسترسی از سازمان والد به ارث نمی‌برد.

اگر تمام سطوح دسترسی اختصاص داده شده محلی را حذف کنید تا سطوح دسترسی ارثی اولیه بازیابی شوند، واحد سازمانی فرزند فقط سطوح دسترسی ارثی را خواهد داشت.

برای مثال، برای واحدهای سازمانی، اگر ۳ سطح دسترسی به یک برنامه در واحد سازمانی سطح بالا اختصاص داده شده باشد، همان سطوح دسترسی از طریق ارث‌بری به برنامه در یک واحد سازمانی فرزند اختصاص داده می‌شوند اگر واحد سازمانی فرزند تخصیص محلی نداشته باشد. اگر سپس یک سطح دسترسی فقط در واحد سازمانی فرزند اضافه کنید، آن تنها سطح دسترسی اعمال شده به واحد سازمانی فرزند خواهد بود.

نادیده گرفتن تخصیص‌های سطح دسترسی موروثی با سیاست تهی

فرض کنید نمی‌خواهید دسترسی هیچ کاربری را در یک واحد سازمانی فرزند مسدود کنید - هیچ سطح دسترسی‌ای تعیین نکنید. یک سطح دسترسی به نام "Any" با دو شرط زیرشبکه IP ایجاد کنید و شرط‌ها را با استفاده از OR به هم متصل کنید:

  • محدوده زیرشبکه IPv4 0.0.0.0/0
    یا
  • محدوده زیرشبکه IPv6 0::/0

یک کاربر در سازمان از هر آدرس IPv4 یا IPv6 دسترسی پیدا می‌کند.

نادیده گرفتن تخصیص‌های سطح دسترسی با گروه‌های پیکربندی

شما می‌توانید از گروه‌های پیکربندی برای اختصاص سطوح دسترسی به گروه‌های کاربران به جای واحدهای سازمانی استفاده کنید. سطح دسترسی گروه کاربر همیشه بر سطح دسترسی واحد سازمانی کاربر اولویت دارد. گروه‌ها می‌توانند شامل کاربرانی از هر واحد سازمانی در حساب شما باشند.

برای مثال، یک کاربر متعلق به یک واحد سازمانی و گروه ۱ است. واحد سازمانی ParentOU است که سطح دسترسی X برای Gmail و Calendar به آن اختصاص داده شده است. هیچ سطح دسترسی برای Group1 برای Gmail تعیین نشده است. سطح دسترسی Y برای Group1 برای Calendar تعیین شده است. در این حالت، کاربر سطح دسترسی X را به Gmail (از طریق ارث بری) و Y را به Calendar (با لغو سیاست محلی) اختصاص داده است.