Используйте контекстно-зависимый доступ с группами конфигурации.

С помощью групп конфигурации вы можете применять уровни доступа с учетом контекста к группам пользователей, а не к организационным подразделениям. Группы конфигурации могут включать пользователей из любого организационного подразделения вашей компании. Например, разрешить команде подрядчиков получать доступ к Gmail только в корпоративной сети.

Как работают группы конфигурации

  • Группы конфигурации могут содержать любых пользователей вашей организации. Кроме того, вы можете создать группу конфигурации, которая будет выступать в качестве контейнера для уровней доступа, а затем добавить в нее свои группы пользователей (вложенные группы).
  • В отличие от организационных подразделений, пользователь может принадлежать к нескольким группам конфигурации. Вы задаете приоритет групп конфигурации, и пользователь получает настройки той группы с самым высоким приоритетом, к которой он принадлежит.
  • Уровень доступа пользователя к приложению, установленный для определенной группы, всегда имеет приоритет над уровнем доступа его организационного подразделения.
  • Если в группе конфигураций не указан уровень доступа для приложения, то приложение использует уровень доступа, установленный организационным подразделением пользователя.

Группы конфигурации проектирования для контекстно-зависимого доступа

Работа групп конфигурации для контекстно-зависимого доступа несколько отличается от других настроек Google Workspace. При создании групп и политик следуйте приведенной ниже информации и советам:

Параметры для групп конфигурации

Обычно для организационных подразделений определяются уровни доступа, а затем задаются пользовательские уровни доступа для групп конфигурации. Например, могут быть группы конфигурации для «Открытого доступа» или «Заблокированного доступа», чтобы можно было быстро предоставлять или ограничивать доступ определенным пользователям.

Как правило, вы будете использовать комбинацию групп конфигурации:

Используйте существующие группы пользователей.

Вы устанавливаете уровень доступа для каждого приложения (например, Gmail или Google Drive) в группе пользователей. Если пользователь принадлежит к нескольким группам, вы указываете, какая группа будет определять настройки пользователя (подробнее об этом в разделе «Приоритет »).

Применение уровней доступа непосредственно к группам пользователей — хороший вариант для:

  • Тестирование доступа с учетом контекста.
  • Управление доступом для определенных групп пользователей, например, для ИТ-персонала или команды, работающей удаленно.
  • Управление доступом для организаций с числом пользователей менее 50 или небольшим количеством уровней доступа. Вам не нужно создавать дополнительные группы, и вы можете точно настроить параметры для каждой группы пользователей.

Создавайте группы конфигурации на основе уровней доступа.

В качестве альтернативы вы можете назначать уровни доступа группам. Вы создаете группу конфигурации и назначаете уровни доступа для одного или нескольких приложений. Затем вы добавляете группы пользователей в качестве членов этой группы конфигурации.

Крупным организациям этот подход может оказаться полезным для управления политиками и приоритетами групп доступа (описано ниже).

Как работает система приоритетов в зависимости от уровней доступа

Если пользователь принадлежит к нескольким группам конфигурации, вы указываете, какая группа конфигурации имеет приоритет при определении доступа пользователя к приложению.

В консоли администратора Google необходимо сначала выбрать приложение, чтобы отобразить соответствующий список приоритетов групп. Группы перечислены от наивысшего к наинизшему приоритету. Новая группа конфигурации всегда имеет самый низкий приоритет и добавляется в конец списка групп конфигурации.

Приоритет для контекстно-зависимого доступа

Пользователь получает доступ к настройкам приложения с наивысшим приоритетом. группа, к которой они принадлежат. Если у группы нет уровня доступа к конкретному приложению, то используется уровень доступа следующей по приоритету группы пользователя, и так далее.

В консоли администратора можно проверить, какая группа или организационное подразделение определило уровень доступа пользователя к приложению. В приведенном ниже примере группа « Безопасность диска » установила уровень доступа пользователя к Диску.

Приложения пользователей Уровни доступа Унаследовано от
Календарь Google Сеть компаний Организационное подразделение : Продажи
Водить машину Корпоративная сеть, безопасность устройств Группа : Безопасность дисков
Гмайл Безопасность устройства Организационное подразделение : Продажи
Хранилище Google <нет> <нет>

Для более точного управления можно использовать группы для настройки уровней доступа для каждого приложения. Например:

Приложения пользователей Уровни доступа Унаследовано от
Календарь Сеть компаний Организационное подразделение : Продажи
Водить машину Корпоративная сеть, безопасность устройств Группа : Безопасность дисков
Гмайл Безопасность устройств, Geo Canada Группа : Северная Америка
Сейф Доступ к устройствам ограничен, корпоративная сеть. Группа : Следователь Хранилища

Применить приоритет к группам конфигурации

  • Рекомендуется присваивать критически важным или конфиденциальным группам конфигураций высокий приоритет. Например, вашей группой с наивысшим приоритетом может быть группа «Срочный доступ», которая имеет приоритет над любыми группами, ограничивающими доступ.

  • Уровни доступа не суммируются между группами пользователей. В этом примере пользователь принадлежит к трем группам пользователей, но только группа с наивысшим приоритетом — « Устройство» — устанавливает для него уровень доступа.

Группы конфигураций планирования и проектирования

Планирование структуры групп конфигурации, вероятно, является этапом, требующим наибольшего времени и тщательного анализа.

Наименование и поиск групп

Установите стандарт именования групп для упрощения поиска, определения приоритетов и аудита . Например, добавьте префикс " caa ", чтобы обозначить контекстно-зависимые группы конфигурации. Также используйте десятичную точку, чтобы избежать редактирования существующих имен групп при добавлении группы конфигурации.

1. Поиск по адресу группы

2. Просмотреть список групп

  • Поиск группы: Возможно, вам потребуется установить стандарт именования, включающий имя параметра и номер приоритета, например:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • Просмотр групп: на панели «Группы» отображается название группы. (максимум 37 символов) в порядке приоритета. При указании группы отображается полное имя. Например:

CAA p0.0 - Неограниченный доступ ко всем приложениям
CAA стр. 1.0 - Доступ в условиях изоляции
CAA p3.0 ​​- Безопасность IP-адресов и устройств Gmail
CAA стр. 3.1 - Gmail IP corp

Группы упорядочивания

Чтобы отслеживать приоритеты и настройки:

  • Вы можете присвоить наивысший приоритет группам, которые применяются к наименьшему числу пользователей, или определить критически важные политики (например, «Блокировка доступа» или «Полный доступ»).
  • Учитывайте приоритеты в структуре групп и обращайте внимание на глубоко вложенные группы, отследить их до настроек может быть сложно.

Создание групп

Необходимо использовать группы, созданные в консоли администратора, через Directory API или Google Cloud Directory Sync. Группы, созданные в Google Groups, нельзя использовать в качестве групп конфигурации. (В консоли администратора не отображается информация о том, была ли группа создана в Google Groups.)

Вы можете управлять группой конфигурации в любом инструменте. Вы можете установить строгие права доступа для добавления или удаления пользователей, отключить публикацию сообщений в группе или запретить пользователям покидать группу (доступно только в API групп).

Настройка групп конфигурации

Перед началом работы: определите уровни доступа с учетом контекста и создайте группы конфигурации (желательно, содержащие 1 или 2 тестовые учетные записи).

Шаг 1. Примените группу конфигураций.

Для управления группами, организационными подразделениями (верхнего уровня), уровнем доступа к данным и правилами необходимы права администратора.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Нажмите «Назначить уровни доступа» , чтобы просмотреть список приложений.
  3. В разделе «Контекстно-зависимый доступ» нажмите «Группы» .
  4. Выберите вариант:
    • Щёлкните по приложению. Все существующие группы конфигурации, которым назначен уровень доступа для вашего приложения, будут перечислены в порядке приоритета.
    • Нажмите кнопку «Поиск группы» , чтобы просмотреть список всех групп, а не только групп конфигурации. Вы можете ввести текст для фильтрации результатов.
  5. Щёлкните по группе. В таблице приложений отобразятся все приложения с указанием назначенных им уровней доступа.
    • Если вы не нашли свою группу, возможно, она была создана в Google Groups . Вам необходимо создать группы конфигурации в консоли администратора , через Directory API или Google Cloud Directory Sync.
    • Для начала добавьте группы конфигурации, начиная с самой высокой и заканчивая самой низкой приоритетной. При добавлении новой групповой политики для приложения она размещается с самым низким приоритетом.
  6. Выберите одно или несколько приложений, а затем нажмите «Назначить».
  7. Выберите уровни доступа для приложения в группе и нажмите «Сохранить» . По умолчанию новой группе не назначаются никакие уровни доступа.



    Для организаций с несколькими типами лицензий Google Workspace : уровни доступа к группам применяются только к пользователям, которым назначена версия Google Workspace, включающая управление доступом с учетом контекста.

Шаг 2. Проверьте уровни доступа пользователя.

Для управления группами, организационными подразделениями (верхнего уровня), уровнем доступа к данным и правилами необходимы права администратора .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. В консоли администратора перейдите на страницу настроек приложения.
  3. В левом верхнем углу нажмите «Пользователи» .
  4. Нажмите «Выбрать пользователя» и введите адрес пользователя (не имя).
  5. Выберите пользователя, чтобы просмотреть его настройки приложения. В столбце « Унаследовано от» отображается группа конфигурации или организационное подразделение, определившее настройки пользователя.
  6. Наведите указатель мыши на нужное приложение и нажмите «Просмотреть» , чтобы получить подробную информацию об уровнях доступа пользователя.

Примечание : При просмотре организационной единицы унаследованные уровни основаны только на настройках этой единицы, а не на группах конфигурации.

Удалить группу конфигураций

Для управления группами, организационными подразделениями (верхнего уровня), уровнем доступа к данным и правилами необходимы права администратора .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Нажмите «Назначить уровни доступа» , чтобы просмотреть список приложений.
  3. Слева нажмите «Группы» .
  4. Нажмите на группу, чтобы удалить её.
  5. Сначала отмените назначение всех уровней доступа для всех приложений в группе. На панели «Приложения» отметьте каждое приложение по очереди, чтобы убедиться, что все уровни доступа отменены.

  6. Нажмите «Назначить» .
  7. Нажмите «Снять все флажки».
  8. Нажмите « Сохранить ».
Группа конфигурации больше не отображается в списке групп. Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Подробнее.

Редактировать группу конфигураций

Для управления группами, организационными подразделениями (верхнего уровня), уровнем доступа к данным и правилами необходимы права администратора .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Контроль доступа и данных а потом Доступ с учетом контекста .

    Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .

  2. Нажмите «Назначить уровни доступа» , чтобы просмотреть список приложений.
  3. Слева нажмите «Группы» .
  4. Найдите группу для редактирования.
  5. Справа выберите приложения для редактирования, добавления или удаления.
  6. Нажмите «Назначить» .
  7. Обновите присвоенные уровни для группы.
  8. Нажмите « Сохранить ».
Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Узнайте больше.

Поиск неисправностей

Я не вижу группу конфигурации в списке групп.

  • Возможно, группа была создана в Google Groups. Попробуйте создать группу в консоли администратора .
  • Ищите по адресу электронной почты группы, а не по названию группы.
  • Попробуйте обновить страницу настроек. Изменения могут вступить в силу в течение 24 часов, но обычно это происходит быстрее. Подробнее
  • Убедитесь, что у вас есть права администратора для групп.

У пользователя отсутствует необходимый уровень доступа.

  • Проверьте членство пользователя в группе. Изменения могут занять до 24 часов, но обычно происходят быстрее. Узнайте больше.
  • Найдите группу конфигурации, определяющую параметры пользователя . Если пользователь принадлежит к нескольким группам конфигурации, может потребоваться изменить приоритет группы или членство пользователя в группе.
  • У пользователя может отсутствовать лицензия на данную функцию. Доступ с учетом контекста доступен в определенных версиях Google Workspace.
  • Если пользователь не может получить доступ к приложению, возможно, приложению присвоен удаленный уровень доступа. Установите флажок «Удалить удаленный уровень доступа» .

Просмотрите изменения в журнале аудита.

Просмотрите следующие события в журнале аудита администратора , чтобы проверить изменения параметров групп конфигурации:

СОБЫТИЕ: Изменение уровня доступа с учетом контекста и назначений для конкретного приложения.

В журнале регистрируются события, возникающие при применении или удалении группы конфигурации. В событии используется имя группы , поэтому вы можете использовать аналогичный стандарт именования как для имени группы, так и для ее адреса.

Данные, включенные в групповое мероприятие:

Изменения в назначениях уровней доступа: вместо []
к [ уровни доступа ]. (application_name: { app }, group_name: { configuration group })

Например, вы применяете группу конфигурации CAA.02 «Локальный доступ» к приложению:

Назначения уровней доступа изменены с [] на [ IP-адрес компании, устройство ].
(application_name: { GMAIL }, group_name: { CAA.02 local access}

При удалении группы конфигурации из приложения:

Назначения уровней доступа изменены с [ IP-адрес компании, Устройство ] на [].
(application_name: { GMAIL }, group_name: { CAA.02 Local Access}

Понимание организационных единиц, наследования групп и групп конфигурации.

Если вы вносите какие-либо изменения в локальные уровни доступа в дочернем организационном подразделении или группе, то к ним применяются только локально заданные уровни доступа, и они не наследуются от родительской организации.

Если удалить все локально назначенные уровни доступа, чтобы восстановить исходные унаследованные уровни доступа, дочерняя организационная единица будет иметь только унаследованные уровни доступа.

Например, если в организационной единице верхнего уровня приложению назначено 3 уровня доступа, то эти же уровни доступа назначаются по наследству приложению в дочерней организационной единице, если в дочерней организационной единице нет локального назначения. Если затем добавить уровень доступа только в дочерней организационной единице, то это будет единственный уровень доступа, применяемый к дочерней организационной единице.

Переопределите унаследованные назначения уровней доступа с помощью политики с нулевым значением.

Допустим, вы не хотите блокировать доступ пользователей в дочернем организационном подразделении — никаких назначений уровней доступа. Создайте уровень доступа с именем «Любой» с двумя условиями для подсетей IP-адресов и объедините эти условия с помощью оператора ИЛИ:

  • Диапазон подсетей IPv4 0.0.0.0/0
    ИЛИ
  • Диапазон подсетей IPv6 0::/0

Пользователь в организации может получить доступ с любого адреса IPv4 или IPv6.

Переопределяйте назначения уровней доступа с помощью групп конфигурации.

Для назначения уровней доступа группам пользователей, а не организационным подразделениям, можно использовать группы конфигурации . Уровень доступа пользователя к группе всегда имеет приоритет над уровнем доступа пользователя к организационному подразделению. В группы могут входить пользователи из любого организационного подразделения вашей учетной записи.

Например, пользователь принадлежит к организационному подразделению и группе 1. Организационное подразделение — ParentOU, которому назначен уровень доступа X как для Gmail, так и для Календаря. Для группы 1 уровень доступа к Gmail не назначен. Для группы 1 назначен уровень доступа Y к Календарю. В этом случае пользователю назначен уровень доступа X к Gmail (посредством наследования) и уровень доступа Y к Календарю (путем переопределения локальной политики).