Bağlama duyarlı erişimi yapılandırma gruplarıyla kullanma

Yapılandırma gruplarını kullanarak kuruluş birimleri yerine kullanıcı gruplarına bağlama duyarlı erişim düzeyleri uygulayabilirsiniz. Yapılandırma gruplarında, işletmenizdeki kuruluş birimlerinin herhangi birinden kullanıcılar bulunabilir. Örneğin, yüklenicilerden oluşan bir ekibin Gmail'e yalnızca kurumsal ağınızdan erişmesine izin verebilirsiniz.

Yapılandırma gruplarının işleyiş şekli

  • Yapılandırma gruplarında, kuruluşunuzdaki çeşitli kullanıcılar bulunabilir. Ayrıca, erişim düzeyleri için kapsayıcı görevi gören bir yapılandırma grubu oluşturabilir ve ardından kullanıcı gruplarınızı (iç içe gruplar) ekleyebilirsiniz.
  • Kuruluş birimlerinden farklı olarak, bir kullanıcı birden çok yapılandırma grubuna ait olabilir. Yapılandırma gruplarının önceliğini ayarlarsınız ve kullanıcı, ait olduğu en yüksek öncelikli grubun ayarını alır.
  • Bir kullanıcının bir uygulamaya erişim düzeyi, kullanıcının kuruluş biriminin erişim düzeyini her zaman geçersiz kılar.
  • Yapılandırma grubunda bir uygulamanın erişim düzeyi belirtilmemişse uygulama, kullanıcının kuruluş birimi tarafından belirlenen erişim düzeyini kullanır.

Bağlama duyarlı erişim için yapılandırma grupları tasarlama

Bağlama duyarlı erişimde yapılandırma gruplarının işleyiş şekli, diğer Google Workspace ayarlarına göre biraz farklıdır. Gruplarınızı ve politikalarınızı tasarlarken işinize yarayacak bilgi ve ipuçları:

Yapılandırma gruplarıyla ilgili seçenekler

Genellikle kuruluş birimleri için erişim düzeyleri tanımlar ve ardından yapılandırma grupları için özel erişim düzeyleri belirlersiniz. Örneğin, "Açık erişim" veya "Kapalı erişim" için yapılandırma gruplarınız olabilir. Böylece belirli kullanıcılara hızlıca erişim verebilir ya da erişimi kısıtlayabilirsiniz.

Genellikle yapılandırma gruplarının bir kombinasyonunu kullanırsınız:

Mevcut kullanıcı gruplarınızı kullanma

Kullanıcı grubundaki her uygulama (ör. Gmail veya Google Drive) için erişim düzeyini ayarlarsınız. Bir kullanıcı birden çok gruba aitse kullanıcının ayarlarını hangi grubun belirleyeceğini ayarlarsınız (aşağıdaki Öncelik bölümünde açıklanmıştır).

Erişim düzeylerini doğrudan kullanıcı gruplarına uygulamak aşağıdakiler için iyi bir seçenektir:

  • Bağlama duyarlı erişimi test etme.
  • BT ekibi veya uzaktan atama ekibi gibi belirli kullanıcı grupları için erişimi yönetme.
  • 50'den az kullanıcısı veya az sayıda erişim düzeyi olan kuruluşlar için erişimi yönetme. Daha fazla grup oluşturmanız gerekmez ve ayarları her kullanıcı grubu için hassas şekilde uyarlayabilirsiniz.

Erişim düzeylerini temel alan yapılandırma grupları oluşturma

Dilerseniz gruplara erişim düzeyleri de atayabilirsiniz. Bir veya daha fazla uygulama için bir yapılandırma grubu oluşturup erişim düzeyleri atarsınız. Ardından, kullanıcı gruplarınızı yapılandırma grubunun üyeleri olarak ekleyin.

Büyük kuruluşlar bu yaklaşımı, erişim grubu politikalarını ve önceliklerini yönetmek için yararlı bulabilir (aşağıda açıklanmıştır).

Öncelikler, erişim düzeyleriyle birlikte nasıl kullanılır?

Bir kullanıcı birden çok yapılandırma grubuna aitse, kullanıcının uygulama erişimini belirlemede hangi yapılandırma grubunun öncelikli olduğuna siz karar verirsiniz.

Google Yönetici Konsolunda, ilgili grup öncelik listesini görüntülemek için öncelikle bir uygulamayı seçmelisiniz. Gruplar en yüksek öncelikten en düşük önceliğe sahip olana doğru listelenir. Yeni yapılandırma grupları her zaman en düşük önceliğe sahiptir ve yapılandırma grubu listelerinin en altına eklenir.

Bağlama Duyarlı Erişim için öncelik

Bir kullanıcı, ait olduğu en yüksek önceliğe sahip grubun uygulama ayarlarını alır. Grubun belirli bir uygulama için bir erişim düzeyi yoksa kullanıcının sonraki en yüksek öncelikli grubunun erişim düzeyi kullanılır ve sıralama bu şekilde devam eder.

Yönetici Konsolu'nda, bir kullanıcının uygulama erişim düzeyini hangi grup veya kuruluş biriminin belirlediğini öğrenebilirsiniz. Aşağıdaki örnekte, kullanıcının Drive erişimini "Drive Güvenliği" adlı grup belirlemiştir.

Kullanıcının uygulamaları Erişim düzeyleri Devralındığı kaynak
Google Takvim Şirket ağı Kuruluş birimi: Satış
Drive Şirket ağı, Cihaz güvenliği Grup: Drive Güvenliği
Gmail Cihaz güvenliği Kuruluş birimi: Satış
Google Apps Kasası <yok> <yok>

Ayrıntılı bir denetime sahip olmak istiyorsanız her uygulamanın erişim düzeylerini özelleştirmek için grupları kullanabilirsiniz. Örneğin:

Kullanıcının uygulamaları Erişim düzeyleri Devralındığı kaynak
Takvim Şirket ağı Kuruluş birimi: Satış
Drive Şirket ağı, Cihaz güvenliği Grup: Drive Güvenliği
Gmail Cihaz güvenliği, Kanada Coğrafi Bölgesi Grup: Kuzey Amerika
Apps Kasası Cihaz kısıtlı, Şirket ağı Grup: Apps Kasası İnceleme Görevlisi

Önceliği yapılandırma gruplarına uygulama

  • Kritik veya hassas yapılandırma gruplarını yüksek önceliğe yerleştirmeyi düşünebilirsiniz. Örneğin, en yüksek öncelikli grubunuz, erişimi kısıtlayan grupları geçersiz kılan bir "Acil Erişim" grubu olabilir.

  • Erişim düzeyleri bir kullanıcının tüm gruplarına eklenmez. Bu örnekte, bir kullanıcı 3 kullanıcı grubuna aittir, ancak yalnızca bunların en yüksek öncelikli yapılandırma grubu olan "Cihaz" kullanıcının erişim düzeyini belirlemektedir.

Yapılandırma gruplarını planlama ve tasarlama

Yapılandırma grubu yapınızı planlamak genellikle en çok zaman alan ve en fazla inceleme gerektiren adımdır.

Grupları adlandırma ve arama

Arama, öncelik belirleme ve denetleme işlemlerini kolaylaştırmak için grup adlandırma standardı belirleyin. Örneğin, bağlama duyarlı yapılandırma gruplarını belirtmek için "bdyg" gibi bir önek ekleyin. Ayrıca, bir yapılandırma grubu eklediğinizde mevcut grup adlarınızı düzenlemekten kaçınmak için bir ondalık basamak kullanın.

1. Grup adresine göre arama yapma

2. Grup listesini görüntüleme
  • Grup arama: Ayar adını ve öncelik numarasını içeren bir adlandırma standardı belirlemek isteyebilirsiniz. Örneğin:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • Grupları görüntüleme: Gruplar paneli, grup adını (en fazla 37 karakter) öncelik sırasına göre görüntüler. Fare imlecini bir grubun üzerine getirdiğinizde grubun tam adı gösterilir. Örneğin:

BDYG p0.0 - Tüm uygulamalara kısıtlamasız erişim
BDYG p1.0 - Erişim kapalı
BDYG p3.0 - Gmail IP şirket ve cihaz güvenliği
BDYG p3.1 - Gmail IP şirket

Grupları sıralama

Önceliği ve ayarları takip etmek için:

  • En az kullanıcı için geçerli olan veya kritik politikalar ("Erişim kapalı" ya da "Tam erişim" gibi) tanımlayan grupları en yüksek önceliğe yerleştirebilirsiniz.
  • Grup yapınızda önceliği hesaba katın ve derinlemesine iç içe geçmiş gruplar konusunda dikkatli olun. Bu tür grupların ayarlarda izlenmesi güç olabilir.

Grup oluşturma

Yönetici Konsolu, Directory API veya Google Cloud Directory Sync'te oluşturulan grupları kullanmanız gerekir. Google Gruplar'da oluşturulan gruplar yapılandırma grupları olarak kullanılamaz. (Yönetici Konsolu, bir grubun Google Gruplar'da oluşturulup oluşturulmadığını göstermez.)

Yapılandırma grubunu herhangi bir araçta yönetebilirsiniz. Kullanıcı ekleme/silme, gruba yayın yapmayı devre dışı bırakma veya kullanıcıların gruptan ayrılmasını engelleme ile ilgili katı izinler belirleyebilirsiniz (yalnızca Groups API'de kullanılabilir).

Yapılandırma gruplarını ayarlama

Başlamadan önce: Bağlama duyarlı erişim düzeylerini tanımlayın ve yapılandırma gruplarınızı oluşturun (Grupların 1 veya 2 test hesabı içermesi tercih edilir).

1. Adım Yapılandırma grubu uygulama

Gruplar, Kuruluş Birimleri (üst düzey) ve Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi için yönetici ayrıcalıklarına sahip olmanız gerekir.

  1. Google Yönetici Konsolu'nda Menü ardından Güvenlik ardından Erişim ve veri denetimi ardından Bağlama Duyarlı Erişim'e gidin.

    Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi ayrıcalıkları ile Admin API grupları ve kullanıcıları okuma ayrıcalıklarını gerektirir.

  2. Uygulamaların listesini görmek için Erişim düzeyleri atayın'ı tıklayın.
  3. Bağlama Duyarlı Erişim bölümünde Gruplar'ı tıklayın.
  4. Bir seçim yapın:
    • Bir uygulamayı tıklayın. Uygulamanız için atanmış bir erişim düzeyi olan mevcut yapılandırma grupları, öncelik sıralarına göre listelenir.
    • Yalnızca yapılandırma gruplarının değil, tüm grupların listesini incelemek için Grup arayın'ı tıklayın. Sonuçları filtrelemek için metin girin.
  5. Grubu tıklayın. Uygulama tablosunda, erişim düzeyi atamalarıyla tüm uygulamalar listelenir.
    • Grubunuzu bulamıyorsanız grubunuz Google Gruplar'da oluşturulmuş olabilir. Bu grupları Yönetici Konsolu, Directory API veya Google Cloud Directory Sync'te oluşturmanız gerekir.
    • Yapılandırma gruplarınızı en yüksek öncelikli olandan en düşük öncelikli olana doğru ekleyin. Bir uygulama için yeni bir grup ilkesi eklediğinizde uygulama en düşük önceliğe yerleştirilir.
  6. Bir veya daha fazla uygulamayı, ardından Ata'yı tıklayın.
  7. Gruptaki uygulama için erişim düzeylerini seçin ve Kaydet'i tıklayın. Varsayılan olarak, yeni grupların atanmış erişim düzeyi yoktur.



    Birden fazla türde Google Workspace lisansı olan kuruluşlar için: Grup erişim düzeyleri yalnızca bağlama duyarlı erişim denetimi içeren bir Google Workspace sürümü atanmış kullanıcılar için geçerlidir.

2. Adım: Kullanıcının erişim düzeylerini kontrol etme

Gruplar, Kuruluş Birimleri (üst düzey) ve Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi için yönetici ayrıcalıklarına sahip olmanız gerekir.

  1. Google Yönetici Konsolu'nda Menü ardından Güvenlik ardından Erişim ve veri denetimi ardından Bağlama Duyarlı Erişim'e gidin.

    Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi ayrıcalıkları ile Admin API grupları ve kullanıcıları okuma ayrıcalıklarını gerektirir.

  2. Yönetici konsolunda uygulamanın ayarlar sayfasına gidin.
  3. Sol üstte, Kullanıcılar'ı tıklayın.
  4. Kullanıcı seç'i tıklayın ve kullanıcının adresini (adını değil) girin.
  5. Ayarlarını görüntülemek için kullanıcıyı seçin. Devralındığı kaynak sütunu, kullanıcının ayarlarını belirleyen yapılandırma grubunu veya kuruluş birimini gösterir.
  6. Fare imlecini bir uygulamanın üzerine getirin ve kullanıcının erişim düzeyleriyle ilgili ayrıntılar için Görüntüle'yi tıklayın.

Not: Bir kuruluş birimini görüntülediğinizde devralınan düzeyler, yapılandırma gruplarının değil, yalnızca bir kuruluş biriminin ayarını temel alır.

Yapılandırma grubunu kaldırma

Gruplar, Kuruluş Birimleri (üst düzey) ve Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi için yönetici ayrıcalıklarına sahip olmanız gerekir.

  1. Google Yönetici Konsolu'nda Menü ardından Güvenlik ardından Erişim ve veri denetimi ardından Bağlama Duyarlı Erişim'e gidin.

    Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi ayrıcalıkları ile Admin API grupları ve kullanıcıları okuma ayrıcalıklarını gerektirir.

  2. Uygulamaların listesini görmek için Erişim düzeyleri atayın'ı tıklayın.
  3. Sol tarafta, Gruplar'ı tıklayın.
  4. Kaldırmak istediğiniz grubu tıklayın.
  5. Öncelikle, gruptaki tüm uygulamalardan tüm erişim düzeylerini kaldırın. Tüm erişim düzeylerinin kaldırıldığından emin olmak için Uygulamalar panelindeki her uygulamayı tek tek kontrol edin.

  6. Ata'yı tıklayın.
  7. Tümünün İşaretini Kaldır'ı tıklayın.
  8. Kaydet'i tıklayın.
Yapılandırma grubu artık Gruplar listesinde görünmez. Değişikliklerin geçerlilik kazanması 24 saati bulabilir ancak genellikle daha kısa sürer. Daha fazla bilgi

Yapılandırma grubunu düzenleme

Gruplar, Kuruluş Birimleri (üst düzey) ve Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi için yönetici ayrıcalıklarına sahip olmanız gerekir.

  1. Google Yönetici Konsolu'nda Menü ardından Güvenlik ardından Erişim ve veri denetimi ardından Bağlama Duyarlı Erişim'e gidin.

    Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi ayrıcalıkları ile Admin API grupları ve kullanıcıları okuma ayrıcalıklarını gerektirir.

  2. Uygulamaların listesini görmek için Erişim düzeyleri atayın'ı tıklayın.
  3. Sol tarafta, Gruplar'ı tıklayın.
  4. Düzenlenecek grubu arayın.
  5. Sağ tarafta düzenlenecek, eklenecek veya kaldırılacak uygulamaları seçin.
  6. Ata'yı tıklayın.
  7. Grubun düzey atamalarını güncelleyin.
  8. Kaydet'i tıklayın.
Değişikliklerin geçerlilik kazanması 24 saati bulabilir ancak genellikle daha kısa sürer. Daha fazla bilgi

Sorun giderme

Yapılandırma grubunu Gruplar listesinde görmüyorum

  • Grup, Google Gruplar'da oluşturulmuş olabilir. Grubu Yönetici konsolunda oluşturmayı deneyin.
  • Grubun adı yerine grubun e-posta adresini arayın.
  • Ayar sayfasını yenilemeyi deneyin. Değişikliklerin geçerlilik kazanması 24 saati bulabilir ancak genellikle daha kısa sürer. Daha fazla bilgi
  • Gruplar için yönetici ayrıcalıklarına sahip olduğunuzdan emin olun.

Kullanıcının erişim düzeyi doğru değil

  • Kullanıcının grup üyeliğini kontrol edin. Değişikliklerin geçerlilik kazanması 24 saati bulabilir ancak genellikle daha kısa sürer. Daha fazla bilgi
  • Kullanıcının ayarlarını belirleyen yapılandırma grubunu bulun. Kullanıcı birden çok yapılandırma grubuna aitse grup önceliğini veya kullanıcının grup üyeliğini değiştirmeniz gerekebilir.
  • Kullanıcı, söz konusu özelliğin ürün lisansına sahip olmayabilir. Bağlama duyarlı erişim yalnızca belirli Google Workspace sürümlerinde sunulmaktadır.
  • Kullanıcı bir uygulamaya erişemiyorsa uygulamaya, silinmiş bir erişim düzeyi atanmış olabilir. Silinen erişim düzeyini kaldırma sayfasına göz atın.

Denetleme günlüğünde değişiklikleri inceleme

Yapılandırma grubu ayarlarında yapılan değişiklikler için yönetici denetleme günlüğünde şu etkinlikleri inceleyin:

ETKİNLİK: Bağlama Duyarlı Erişim Düzeyi Uygulamaya Özel Atamalarında Değişiklik

Bir yapılandırma grubu uyguladığınızda veya kaldırdığınızda bu işlem günlüğe kaydedilir. Etkinlik, grup adınıkullanır. Bu nedenle, grup adı ve adresi için benzer bir adlandırma standardı kullanmak isteyebilirsiniz.

Bir grup etkinliğinde yer alan veriler:

[]
olan Erişim Düzeyi atamaları [erişim düzeyleri] olarak değiştirildi. (application_name: {app}, group_name: {configuration group})

Örneğin, BDYG.02 yerel erişim adında bir yapılandırma grubunu bir uygulamaya uygularsınız:

[] olan Erişim Düzeyi atamaları [Şirket IP, Cihaz] olarak değiştirildi.
(uygulama_adı: {GMAIL}, grup_adı: {BDYG.02 yerel erişim}

Bir uygulamadan yapılandırma grubunu kaldırdığınızda:

[Şirket IP, Cihaz] olan Erişim Düzeyi atamaları [] olarak değiştirildi.
(uygulama_adı: {GMAIL}, grup_adı: {BDYG.02 Yerel Erişim}

Kuruluş birimleri, yapılandırma grupları ve grupları devralma

Bir alt kuruluş biriminde veya grupta herhangi bir yerel erişim düzeyi değişikliği yaparsanız alt kuruluş birimi veya grup yalnızca yerel olarak uygulanan erişim düzeylerine sahip olur ve üst kuruluştaki erişim düzeylerini devralmaz.

Başlangıçta devralınan erişim düzeylerini geri yüklemek için yerel olarak atanan tüm erişim düzeylerini kaldırırsanız alt kuruluş birimi yalnızca devralınan erişim düzeylerine sahip olur.

Örneğin, kuruluş birimleri söz konusu olduğunda, üst düzey kuruluş birimindeki bir uygulamaya atanmış 3 erişim düzeyi varsa ve alt kuruluş biriminde yerel atama yoksa bu erişim düzeyleri devralma yoluyla alt kuruluş birimindeki uygulamaya da atanır. Daha sonra yalnızca alt kuruluş birimine bir erişim düzeyi eklerseniz bu, alt kuruluş birimine uygulanan tek erişim düzeyi olur.

Boş bir politikaya sahip, devralınan erişim düzeyi atamalarını geçersiz kılma

Belli bir alt kuruluş biriminde hiçbir bir kullanıcı erişiminin engellenmemesini (erişim düzeyi atamaları olmamasını) istediğinizi varsayalım. İki adet IP alt ağ koşulu kullanarak "Yok" adında bir erişim düzeyi oluşturun ve bu koşulları VEYA ile birleştirin:

  • IPv4 alt ağ aralığı 0.0.0.0/0
    VEYA
  • IPv6 alt ağ aralığı 0::/0

Kuruluştaki bir kullanıcı herhangi bir IPv4 veya IPv6 adresinden erişebilir.

Erişim düzeyi atamalarını yapılandırma gruplarıyla geçersiz kılma

Kuruluş birimleri yerine kullanıcı gruplarına erişim düzeyleri atamak için yapılandırma gruplarını kullanabilirsiniz. Bir kullanıcının grup erişim düzeyi, kullanıcının kuruluş birimi erişim düzeyini her zaman geçersiz kılar. Bu gruplarda, hesabınızdaki herhangi bir kuruluş biriminden kullanıcılar bulunabilir.

Örneğin, bir kullanıcı hem kuruluş biriminin hem de Grup1'in üyesidir. ÜstKB adlı bu kuruluş biriminde hem Gmail hem de Takvim için atanmış X erişim düzeyi bulunur. Grup1'de Gmail için atanmış bir erişim düzeyi yoktur. Ancak Grup1'de Takvim için atanmış Y erişim düzeyi vardır. Bu durumda kullanıcının Gmail için (devralma yoluyla) atanmış X erişim düzeyi ve Takvim için (yerel politikayı geçersiz kılarak) atanmış Y erişim düzeyi vardır.