Korzystanie z dostępu zależnego od kontekstu przy użyciu grup konfiguracji

Za pomocą grup konfiguracji możesz zastosować poziomy dostępu zależnego od kontekstu do grup użytkowników zamiast do całych jednostek organizacyjnych. Grupy konfiguracji mogą obejmować użytkowników z dowolnej jednostki organizacyjnej w Twojej firmie. Możesz na przykład zezwolić kontrahentom na dostęp do Gmaila tylko w Twojej sieci firmowej.

Jak działają grupy konfiguracji

  • Grupy konfiguracji mogą obejmować dowolnych użytkowników w organizacji. Możesz też utworzyć grupę konfiguracji, która będzie działać jako kontener poziomów dostępu, a następnie dodać do niej grupy użytkowników (grupy zagnieżdżone).
  • W przeciwieństwie do jednostek organizacyjnych użytkownicy mogą należeć do wielu grup konfiguracji. W takiej sytuacji określasz priorytety grup konfiguracji, a użytkownik uzyskuje ustawienie z grupy o najwyższym priorytecie wśród grup, do których należy.
  • Poziom dostępu grupy użytkownika do aplikacji zawsze zastępuje poziom dostępu jednostki organizacyjnej.
  • Jeśli grupa konfiguracji nie określa poziomu dostępu do aplikacji, aplikacja korzysta z poziomu dostępu ustawionego przez jednostkę organizacyjną użytkownika.

Przygotowywanie grup konfiguracji pod kątem dostępu zależnego od kontekstu

W przypadku dostępu zależnego od kontekstu grupy konfiguracji działają nieco inaczej niż w innych ustawieniach Google Workspace. Przygotowując grupy i zasady, postępuj zgodnie z poniższymi informacjami i wskazówkami:

Opcje grup konfiguracji

Zazwyczaj definiuje się poziomy dostępu dla jednostek organizacyjnych, a następnie określa niestandardowe poziomy dostępu dla grup konfiguracji. Możesz na przykład utworzyć grupy konfiguracji z ustawieniem „Otwarty dostęp” lub „Dostęp awaryjny”, by szybko przyznać lub ograniczyć dostęp określonym użytkownikom.

Zwykle używa się kombinacji grup konfiguracji:

Używanie istniejących grup użytkowników

Ustaw poziom dostępu do każdej aplikacji (na przykład Gmaila lub Dysku Google) w grupie użytkowników. Jeśli użytkownik należy do wielu grup, zdecyduj, która z nich określa jego ustawienia (więcej informacji znajdziesz poniżej w sekcji Priorytet).

Stosowanie poziomów dostępu bezpośrednio do grup użytkowników to dobre rozwiązanie w przypadku:

  • testowania dostępu zależnego od kontekstu;
  • zarządzania dostępem określonych grup użytkowników, takich jak pracownicy działu IT czy zespół pracujący poza biurem;
  • Zarządzanie dostępem w organizacjach, które mają mniej niż 50 użytkowników lub niewielką liczbę poziomów dostępu. Nie musisz tworzyć więcej grup i możesz precyzyjnie dostosować ustawienia dla każdej grupy użytkowników.

Tworzenie grup konfiguracji na podstawie poziomów dostępu

Możesz też przypisać poziomy dostępu do grup. W takiej sytuacji tworzysz grupę konfiguracji i przypisujesz poziomy dostępu do aplikacji. Następnie dodajesz grupy użytkowników jako członków grupy konfiguracji.

W większych organizacjach to podejście może przydać się do zarządzania zasadami i priorytetami grup dostępu (więcej informacji poniżej).

Poziomy dostępu a priorytety

Gdy użytkownik należy do wielu grup konfiguracji, musisz wskazać, która grupa ma priorytet przy określaniu dostępu użytkownika do aplikacji.

Aby wyświetlić listę priorytetów grup dla danej aplikacji, musisz najpierw wybrać ją w konsoli administracyjnej Google. Grupy są wymienione od najwyższego do najniższego priorytetu. Nowe grupy konfiguracji mają zawsze najniższy priorytet i są dodawane u dołu listy.

Priorytet dostępu zależnego od kontekstu

Użytkownik otrzymuje ustawienia aplikacji z grupy o najwyższym priorytecie. Jeśli grupa nie określa poziomu dostępu do danej aplikacji, używany jest poziom dostępu następnej grupy o najwyższym priorytecie itd.

W konsoli administracyjnej możesz sprawdzić, która grupa lub jednostka organizacyjna określa poziom dostępu użytkownika do aplikacji. W poniższym przykładzie grupa „Zabezpieczenia Dysku” określa dostęp użytkownika do Dysku.

Aplikacje użytkownika Poziomy dostępu Odziedziczone z:
Kalendarz Google Sieć firmowa Jednostka organizacyjna: Sprzedaż
Dysk Sieć firmowa, Zabezpieczenia urządzenia Grupa: Zabezpieczenia Dysku
Gmail Zabezpieczenia urządzenia Jednostka organizacyjna: Sprzedaż
Google Vault <brak> <brak>

Aby zyskać większą kontrolę, możesz użyć grup i dostosować poziomy dostępu dla każdej aplikacji. Przykład:

Aplikacje użytkownika Poziomy dostępu Odziedziczone z:
 Kalendarz Sieć firmowa Jednostka organizacyjna: Sprzedaż
Dysk Sieć firmowa, Zabezpieczenia urządzenia Grupa: Zabezpieczenia Dysku
Gmail Zabezpieczenia urządzenia, Geo Kanada Grupa: Ameryka Północna
Vault Urządzenia z ograniczonym dostępem, Sieć firmowa Grupa: Vault dla audytorów

Stosowanie priorytetu do grup konfiguracji

  • Rozważ przyznanie najwyższego priorytetu kluczowym lub poufnym grupom konfiguracji. Na przykład grupa „Pilny dostęp” może mieć najwyższy priorytet i zastępować wszystkie grupy, w których istnieją ograniczenia dostępu.

  • Poziomy dostępu ze wszystkich grup użytkownika nie obowiązują jednocześnie. W tym przykładzie użytkownik należy do 3 grup użytkowników, ale tylko grupa konfiguracji o najwyższym priorytecie („Urządzenie”) określa jego poziom dostępu.

Planowanie i projektowanie grup konfiguracji

Planowanie struktury grup konfiguracji jest prawdopodobnie etapem, który wymaga najwięcej czasu i zastanowienia.

Nazywanie i wyszukiwanie grup

Aby ułatwić wyszukiwanie, ustalanie priorytetów i kontrolę, określ standard nazewnictwa grup. Możesz na przykład dodać prefiks dzok, aby wskazać grupę konfiguracji zależną od kontekstu. Możesz też użyć kropki i cyfry po niej, aby uniknąć edytowania dotychczasowych nazw grup podczas dodawania grupy konfiguracji.

1. Wyszukiwanie według adresu grupy

2. Wyświetlanie listy grup
  • Wyszukiwanie grupy: możesz skonfigurować standard nazw zawierający nazwę ustawienia i wartość priorytetu, na przykład:

dzok_p0.0_nieograniczony_dostep@example.com
dzok_p1.0_dostep_awaryjny@example.com
dzok_p3.0_IP_Gmaila_Urzadzenie@example.com
dzok_p3.1_IP_Gmaila@example.com

  • Wyświetlanie grup: w panelu Grupy nazwy grup (obowiązuje limit 37 znaków) wyświetlają się według priorytetu. Pełna nazwa jest wyświetlana po najechaniu na grupę kursorem. Przykład:

DZOK p0.0 – nieograniczony dostęp do wszystkich aplikacji
DZOK p1.0 – dostęp awaryjny
DZOK p3.0 – IP Gmaila firmy i zabezpieczenia urządzenia
DZOK p3.1 – IP Gmaila firmy

Ustalanie kolejności grup

Aby śledzić priorytet i ustawienia:

  • Możesz nadać najwyższy priorytet grupom, które dotyczą najmniejszej liczby użytkowników lub określają newralgiczne zasady (takie jak „Dostęp awaryjny” czy „Dostęp dla wszystkich”).
  • Zastanów się nad priorytetem w strukturze grup i zwróć uwagę na grupy głęboko zagnieżdżone, które mogą utrudniać śledzenie ustawień.

Tworzenie grup

Musisz użyć grup utworzonych w konsoli administracyjnej, w interfejsie Directory API lub w Google Cloud Directory Sync. Grup utworzonych w Grupach dyskusyjnych Google nie można używać jako grup konfiguracji. (W konsoli administracyjnej nie ma informacji o tym, czy grupa została utworzona w Grupach dyskusyjnych Google).

Grupą konfiguracji możesz zarządzać w dowolnym narzędziu. Możesz ustawić ścisłe uprawnienia dotyczące dodawania lub usuwania użytkowników, wyłączać publikowanie w grupie, a także uniemożliwiać użytkownikom opuszczanie grupy (dostępne tylko w interfejsie Groups API).

Konfigurowanie grup konfiguracji

Zanim rozpoczniesz: określ poziomy dostępu zależnego od kontekstu i utwórz grupy konfiguracji (najlepiej zawierające 1 lub 2 konta testowe).

Krok 1. Stosowanie grupy konfiguracji

Potrzebujesz uprawnień administratora obejmujących Grupy, Jednostki organizacyjne (najwyższego poziomu) oraz Zarządzanie poziomem dostępu i Zarządzanie regułami w sekcji Bezpieczeństwo danych.

  2. Kliknij Przypisywanie poziomów dostępu, aby wyświetlić listę aplikacji.
  3. W sekcji Dostęp zależny od kontekstu kliknij Grupy.
  4. Wykonaj jedną z podanych niżej czynności:
    • Kliknij aplikację. Zobaczysz uporządkowaną według priorytetu listę istniejących grup konfiguracji, które mają poziom dostępu przypisany do aplikacji.
    • Kliknij Wyszukaj grupę, aby wyświetlić listę wszystkich grup, a nie tylko grup konfiguracji. Możesz wpisać tekst, aby przefiltrować wyniki.
  5. Kliknij grupę. Tabela aplikacji zawiera listę wszystkich aplikacji z przypisanymi poziomami dostępu.
    • Jeśli nie możesz znaleźć grupy, być może utworzono ją w Grupach dyskusyjnych Google. Te grupy możesz utworzyć tylko w konsoli administracyjnej, przy użyciu interfejsu Directory API lub w Google Cloud Directory Sync.
    • Dodawanie grup konfiguracji zacznij od najwyższego do najniższego priorytetu. Gdy dodajesz nową zasadę grupy dla aplikacji, jest ona dodawana jako pozycja o najniższym priorytecie.
  6. Wybierz co najmniej 1 aplikację, a następnie kliknij Przypisz.
  7. Wybierz poziomy dostępu aplikacji w grupie i kliknij Zapisz. Domyślnie nowa grupa nie ma przypisanych poziomów dostępu.



    Organizacje z kilkoma typami licencji Google Workspace: poziomy dostępu grupy dotyczą tylko użytkowników, którym przypisano wersję Google Workspace z kontrolą dostępu zależnego od kontekstu.

Krok 2. Sprawdzanie poziomów dostępu użytkownika

Potrzebujesz uprawnień administratora obejmujących Grupy, Jednostki organizacyjne (najwyższego poziomu) oraz Zarządzanie poziomem dostępu i Zarządzanie regułami w sekcji Bezpieczeństwo danych.

  2. W konsoli administracyjnej otwórz stronę ustawień aplikacji.
  3. W lewym górnym rogu kliknij opcję Użytkownicy.
  4. Kliknij Wybierz użytkownika i wpisz adres użytkownika (a nie jego nazwę).
  5. Wybierz użytkownika, by wyświetlić jego ustawienia aplikacji. W kolumnie Odziedziczone z: jest podana grupa konfiguracji lub jednostka organizacyjna, która określa ustawienia użytkownika.
  6. Najedź kursorem na aplikację i kliknij Wyświetl, by zobaczyć szczegółowe informacje o poziomach dostępu użytkownika.

Uwaga: w przypadku jednostki organizacyjnej wyświetlane poziomy dziedziczone opierają się wyłącznie na ustawieniach jednostki organizacyjnej, a nie na grupach konfiguracji.

Usuwanie grupy konfiguracji

Potrzebujesz uprawnień administratora obejmujących Grupy, Jednostki organizacyjne (najwyższego poziomu) oraz Zarządzanie poziomem dostępu i Zarządzanie regułami w sekcji Bezpieczeństwo danych.

  2. Kliknij Przypisywanie poziomów dostępu, aby wyświetlić listę aplikacji.
  3. Po lewej stronie kliknij Grupy.
  4. Kliknij grupę, którą chcesz usunąć.
  5. Najpierw musisz anulować przypisanie wszystkich poziomów dostępu wszystkich aplikacji w grupie. W panelu Aplikacje sprawdź poszczególne aplikacje i upewnij się, że nie mają one przypisanych poziomów dostępu.

  6. Kliknij Przypisz.
  7. Kliknij Odznacz wszystko.
  8. Kliknij Zapisz.
Grupa konfiguracji nie znajduje się już na liście Grupy. Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Edytowanie grupy konfiguracji

Potrzebujesz uprawnień administratora obejmujących Grupy, Jednostki organizacyjne (najwyższego poziomu) oraz Zarządzanie poziomem dostępu i Zarządzanie regułami w sekcji Bezpieczeństwo danych.

  2. Kliknij Przypisywanie poziomów dostępu, aby wyświetlić listę aplikacji.
  3. Po lewej stronie kliknij Grupy.
  4. Wyszukaj grupę, którą chcesz edytować.
  5. Po prawej stronie wybierz aplikacje, które chcesz edytować, dodać lub usunąć.
  6. Kliknij Przypisz.
  7. Zaktualizuj przypisania poziomów dla grupy.
  8. Kliknij Zapisz.
Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

Rozwiązywanie problemów

Nie widzę grupy konfiguracji na liście Grupy

  • Grupa mogła zostać utworzona w Grupach dyskusyjnych Google. Spróbuj utworzyć grupę w konsoli administracyjnej.
  • Wyszukaj adres e-mail grupy, a nie jej nazwę.
  • Odśwież stronę ustawień. Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
  • Sprawdź, czy masz uprawnienia administratora w Grupach dyskusyjnych.

Użytkownik nie ma odpowiedniego poziomu dostępu

  • Sprawdź członkostwo użytkownika w grupie. Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji
  • Znajdź grupę konfiguracji decydującą o ustawieniach użytkownika. Jeśli użytkownik należy do wielu grup konfiguracji, konieczna może być zmiana priorytetu grup lub członkostwa użytkownika w grupach.
  • Użytkownik może nie mieć licencji na usługę obejmującej tę funkcję. Dostęp zależny od kontekstu jest dostępny tylko w niektórych wersjach Google Workspace.
  • Jeśli użytkownik nie może uzyskać dostępu do aplikacji, może być do niej przypisany usunięty poziom dostępu. Sprawdź, czy poziom dostępu został całkowicie usunięty.

Sprawdzanie zmian w dzienniku kontrolnym

Te zdarzenia w dzienniku kontrolnym administratora opisują zmiany w ustawieniach grupy konfiguracji:

ZDARZENIE: zmiana przypisania do aplikacji poziomów dostępu zależnego od kontekstu

Zdarzenie zostaje zapisane w dzienniku, gdy zastosujesz lub usuniesz grupę konfiguracji. Zdarzenie używa nazwy grupy, więc możesz użyć podobnego standardu nazewnictwa zarówno dla nazwy grupy, jak i jej adresu.

Dane uwzględnione w zdarzeniu grupy:

Zmieniono przypisanie poziomów dostępu z []
na [poziomy dostępu]. (application_name: {app}, group_name: {configuration group})

Możesz na przykład zastosować dla wybranej aplikacji grupę konfiguracji DZOK.02 dostęp lokalny:

Zmieniono przypisanie poziomów dostępu z [] na [IP firmy, Urządzenie].
(application_name: {GMAIL}, group_name: {DZOK.02 dostęp lokalny}

Gdy usuniesz grupę konfiguracji z aplikacji:

Zmieniono przypisanie poziomów dostępu z [IP firmy, Urządzenie] na [].
(application_name: {GMAIL}, group_name: {DZOK.02 dostęp lokalny}

Omówienie jednostek organizacyjnych oraz dziedziczenia i grup konfiguracji

Jeśli w podrzędnej jednostce organizacyjnej lub grupie wprowadzisz lokalne zmiany w poziomach dostępu, będzie ona miała tylko lokalnie zastosowane poziomy dostępu i nie będzie dziedziczyć żadnych poziomów dostępu z organizacji nadrzędnej.

Jeśli usuniesz wszystkie lokalnie przypisane poziomy dostępu, aby przywrócić pierwotnie odziedziczone poziomy dostępu, podrzędna jednostka organizacyjna będzie mieć tylko odziedziczone poziomy dostępu.

Jeśli na przykład w organizacji najwyższego poziomu aplikacja ma przypisane 3 poziomy dostępu, te same poziomy dostępu są przypisane do tej aplikacji w organizacji podrzędnej jednostce organizacyjnej, jeśli podrzędna jednostka organizacyjna nie ma lokalnie przypisanego poziomu dostępu. Jeśli wówczas dodasz poziom dostępu tylko w podrzędnej jednostce organizacyjnej, będzie to jedyny poziom dostępu w niej zastosowany.

Zastępowanie dziedziczonego przypisania poziomów dostępu pustymi zasadami

Załóżmy, że nie chcesz blokować dostępu użytkowników w podrzędnej jednostce organizacyjnej – nie chcesz tam stosować żadnych poziomów dostępu. Utwórz poziom dostępu o nazwie „Dowolnie” z 2 warunkami określającymi podsieci IP i połącz te warunki operatorem LUB:

  • Zakres podsieci IPv4 0.0.0.0/0
    LUB
  • Zakres podsieci IPv6 0::/0

Użytkownik w organizacji ma dostęp z dowolnego adresu IPv4 lub IPv6.

Zastępowanie przypisania poziomów dostępu grupami konfiguracji

Za pomocą grup konfiguracji możesz przypisać poziomy dostępu do grup użytkowników zamiast do jednostek organizacyjnych. Poziom dostępu jednostki organizacyjnej użytkownika jest zawsze zastępowany poziomem dostępu jego grupy. Grupy konfiguracji mogą obejmować użytkowników z dowolnej jednostki organizacyjnej na Twoim koncie.

Na przykład użytkownik należy do jednostki organizacyjnej i grupy 1. Jednostką organizacyjną jest parentOU, która ma poziom dostępu X przypisany zarówno do Gmaila, jak i do Kalendarza. W grupie 1 nie ma przypisanego poziomu dostępu do Gmaila. W grupie 1 jest przypisany poziom dostępu Y do Kalendarza. W tym przypadku użytkownik ma poziom dostępu X przypisany do Gmaila (przez dziedziczenie) oraz poziom Y do Kalendarza (przez zastąpienie zasad lokalnych).