Kontextsensitiven Zugriff mit Konfigurationsgruppen nutzen

Mit Konfigurationsgruppen können Sie kontextbezogene Zugriffsebenen auf Nutzergruppen statt auf Organisationseinheiten anwenden. Für solche Konfigurationsgruppen kommen Nutzer aus allen Organisationseinheiten in Ihrem Unternehmen infrage. Beispiel: Ein Team von Auftragnehmern soll nur in Ihrem Unternehmensnetzwerk auf Gmail zugreifen.

So funktionieren Konfigurationsgruppen

  • Konfigurationsgruppen können beliebige Nutzer in Ihrer Organisation enthalten. Sie haben die Möglichkeit, eine Konfigurationsgruppe zu erstellen, die als Container für Zugriffsebenen dient, und anschließend Ihre Nutzergruppen (verschachtelte Gruppen) hinzuzufügen.
  • Ein Nutzer kann mehreren Konfigurationsgruppen angehören, jedoch nicht mehreren Organisationseinheiten. Die Priorität der Konfigurationsgruppen legen Sie fest und für Nutzer gilt die Einstellung der Gruppe mit der höchsten Priorität.
  • Die Gruppenzugriffsebene eines Nutzers für eine App überschreibt immer die Zugriffsebene der Organisationseinheit.
  • Wenn in einer Konfigurationsgruppe keine Zugriffsebene für eine App angegeben ist, wird die von der Organisationseinheit des Nutzers festgelegte verwendet.

Konfigurationsgruppen für den kontextsensitiven Zugriff gestalten

Konfigurationsgruppen funktionieren im Hinblick auf den kontextsensitiven Zugriff etwas anders als andere Google Workspace-Einstellungen. Beachten Sie beim Entwerfen Ihrer Gruppen und Richtlinien die folgenden Informationen und Tipps:

Optionen für Konfigurationsgruppen

Normalerweise definieren Sie Zugriffsebenen für Organisationseinheiten und legen dann benutzerdefinierte Zugriffsebenen für Konfigurationsgruppen fest. Beispiel: Sie haben Konfigurationsgruppen zum „Zugriff öffnen“ oder „Zugriff sperren“, sodass Sie schnell Zugriff für bestimmte Nutzer gewähren oder einschränken können.

In der Regel verwenden Sie eine Kombination aus Konfigurationsgruppen:

Vorhandene Nutzergruppen verwenden

Sie legen die Zugriffsebene für jede App in der Nutzergruppe fest, z. B. für Gmail oder Google Drive. Wenn ein Nutzer mehreren Gruppen angehört, legen Sie fest, welche Gruppe die Einstellungen für ihn bestimmt. Das wird weiter unten im Abschnitt Priorität näher beschrieben.

Zugriffsebenen direkt auf Nutzergruppen anzuwenden, ist eine gute Option, wenn Sie Folgendes tun möchten:

  • Kontextbasierten Zugriff testen
  • Zugriff für bestimmte Nutzergruppen verwalten, z. B. für IT-Mitarbeiter oder ein Außenteam
  • Zugriff für Organisationen mit weniger als 50 Nutzern oder einer geringen Anzahl von Zugriffsebenen verwalten. Sie müssen keine weiteren Gruppen erstellen und können Einstellungen für jede Nutzergruppe genau abstimmen.

 Konfigurationsgruppen basierend auf Zugriffsebenen erstellen

Alternativ können Sie Gruppen auch Zugriffsebenen zuweisen. Sie erstellen eine Konfigurationsgruppe und weisen Zugriffsebenen für eine oder mehrere Apps zu. Anschließend fügen Sie ihr Nutzergruppen als Mitglieder hinzu.

Für größere Organisationen ist dieser Ansatz womöglich hilfreich bei der Verwaltung von Zugriffsgruppenrichtlinien und -prioritäten (wie unten beschrieben).

So funktioniert die Priorität mit Zugriffsebenen

Wenn ein Nutzer zu mehreren Konfigurationsgruppen gehört, legen Sie fest, welche davon den App-Zugriff des Nutzers bestimmt.

In der Admin-Konsole müssen Sie zuerst eine Anwendung auswählen, damit die entsprechende Gruppenprioritätsliste angezeigt wird. Gruppen werden von der höchsten bis zur niedrigsten Priorität aufgelistet. Eine neue Konfigurationsgruppe hat immer die niedrigste Priorität und wird in einer Konfigurationsgruppenliste an unterster Stelle aufgeführt.

Priorität für den kontextsensitiven Zugriff

Ein Nutzer erhält die App-Einstellungen der Gruppe mit der höchsten Priorität,der er angehört. Wenn die Gruppe keine Zugriffsebene für eine bestimmte App hat, wird die Zugriffsebene der Gruppe mit der nächsthöheren Priorität verwendet usw.

In der Admin-Konsole können Sie nachsehen, welche Gruppe oder Organisationseinheit die App-Zugriffsebene eines Nutzers bestimmt hat. Im Beispiel unten wurde mit der Gruppe Drive-Sicherheit der Google Drive-Zugriff des Nutzers festgelegt.

Apps des Nutzers Zugriffsebenen Übernommen von
Google Kalender Unternehmensnetzwerk Organisationseinheit: Vertrieb
Drive Unternehmensnetzwerk, Gerätesicherheit Gruppe: Drive-Sicherheit
Gmail Gerätesicherheit Organisationseinheit: Vertrieb
Google Vault <keine> <keine>

Wenn Sie detailliertere Einstellungen brauchen, können Sie die Zugriffsebenen für jede App mithilfe von Gruppen anpassen. Beispiel:

Apps des Nutzers Zugriffsebenen Übernommen von
 Kalender Unternehmensnetzwerk Organisationseinheit: Vertrieb
Drive Unternehmensnetzwerk, Gerätesicherheit Gruppe: Drive-Sicherheit
Gmail Gerätesicherheit, Geografie Kanada Gruppe: Nordamerika
Vault Geräteeinschränkung, Unternehmensnetzwerk Gruppe: Vault-Prüfer

Priorität auf Konfigurationsgruppen anwenden

  • Sie können kritische oder sensible Konfigurationsgruppen mit hoher Priorität einrichten. Ihre Gruppe mit der höchsten Priorität ist dann beispielsweise eine Gruppe mit dem Status „Dringender Zugriff“, die alle Gruppen überschreibt, die den Zugriff beschränken.

  • Zugriffsebenen werden nicht gruppenübergreifend hinzugefügt. In diesem Beispiel gehört ein Nutzer zu drei Nutzergruppen, die Zugriffsebene wird aber nur von der Konfigurationsgruppe mit der höchsten Priorität Gerät festgelegt.

Konfigurationsgruppen planen und entwerfen

Die Struktur Ihrer Konfigurationsgruppen zu planen, ist zeitaufwendig und muss gut durchdacht sein.

Gruppen benennen und suchen

Mit einer Namenskonvention lassen sich Gruppen leichter suchen, priorisieren und prüfen. Beispielsweise können Sie eine kontextsensitive Konfigurationsgruppe mit einem Präfix wie ksk kennzeichnen. Außerdem sollten Sie Dezimalstellen verwenden, damit Sie vorhandene Gruppennamen nicht umbenennen müssen, wenn Sie eine neue Konfigurationsgruppe einfügen.

1. Nach Gruppenadresse suchen

2. Liste der Gruppen ansehen
  • Nach einer Gruppe suchen:Es kann hilfreich sein, einen Standard für die Namensgebung festzulegen, z. B. die Verwendung des Namens für die Einstellung und der Prioritätsnummer. Beispiel:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • Gruppen abrufen:Im Steuerfeld „Gruppen“ wird der Gruppenname (maximal 37 Zeichen) in der Reihenfolge der Priorität angezeigt. Wenn Sie den Mauszeiger auf eine Gruppe bewegen, ist der vollständige Name zu sehen. Beispiel:

KBK p0.0 – Uneingeschränkter Zugriff auf alle Apps
KBK p1.0 – Sperrzugriff
KBK p3.0 – Gmail IP-Corp- und Gerätesicherheit
KBK p3.1 – Gmail IP-Corp

Gruppen sortieren

So behalten Sie den Überblick über Priorität und Einstellungen:

  • Gruppen, in denen nur wenige Nutzer Mitglied sind, weiter unten platzieren oder wichtige Richtlinien als höchste Priorität festlegen, z. B. "Sperrzugriff" oder "Gesamtzugriff".
  • Prüfen Sie Ihre Gruppenstruktur auf stark verschachtelte Gruppen. Diese erschweren es nämlich, den Überblick darüber zu behalten, welche Einstellungen für wen gelten.

Gruppen erstellen

Sie können nur Gruppen nutzen, die in der Admin-Konsole, mit der Directory API oder in Google Cloud Directory Sync erstellt wurden. In Google Groups erstellte Gruppen können nicht als Konfigurationsgruppen verwendet werden. In der Admin-Konsole ist nicht zu sehen, ob eine Gruppe in Google Groups erstellt wurde.

Konfigurationsgruppen lassen sich mit jedem beliebigen Tool verwalten. Sie können strenge Berechtigungen zum Hinzufügen oder Löschen von Nutzern festlegen, das Posten in der Gruppe deaktivieren oder verhindern, dass Nutzer die Gruppe verlassen (nur in der Gruppen-API verfügbar).

Konfigurationsgruppen einrichten

Bevor Sie beginnen:Definieren Sie die kontextbezogenen Zugriffsebenen und erstellen Sie Konfigurationsgruppen, die vorzugsweise ein oder zwei Testkonten enthalten.

Schritt 1: Konfigurationsgruppe anwenden

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen, um die Liste der Apps aufzurufen.
  3. Klicken Sie im Bereich Kontextsensitiver Zugriff auf Gruppen.
  4. Wählen Sie eine Option aus:
    • Klicken Sie auf eine App. Alle vorhandenen Konfigurationsgruppen, denen eine Zugriffsebene für Ihre App zugewiesen ist, werden nach Priorität geordnet aufgeführt.
    • Klicken Sie auf Nach einer Gruppe suchen, um eine Liste aller Gruppen aufzurufen, nicht nur der Konfigurationsgruppen. Sie können Text eingeben, um die Ergebnisse zu filtern.
  5. Klicken Sie auf die Gruppe. In der Anwendungstabelle werden alle Anwendungen samt ihren Zuweisungen von Zugriffsebenen aufgeführt.
    • Wenn Sie Ihre Gruppe nicht finden, wurde sie möglicherweise in Google Groups erstellt. Sie müssen Konfigurationsgruppen in der Admin-Konsole, in der Directory API oder in Google Cloud Directory Sync erstellen.
    • Fügen Sie zuerst die Konfigurationsgruppen nach absteigender Priorität hinzu. Wenn Sie eine neue Gruppenrichtlinie für eine App hinzufügen, erhält sie die niedrigste Priorität.
  6. Klicken Sie auf eine oder mehrere Apps und dann auf Zuweisen.
  7. Wählen Sie die Zugriffsebenen für die App in der Gruppe aus und klicken Sie auf Speichern. Standardmäßig sind einer neuen Gruppe keine Zugriffsebenen zugewiesen.



    Für Organisationen mit mehreren Arten von Google Workspace-Lizenzen: Die Zugriffsebenen für Gruppen gelten nur für Nutzer, denen eine Google Workspace-Version mit kontextbezogener Zugriffssteuerung zugewiesen wurde.

Schritt 2: Zugriffsebenen für einen Nutzer prüfen

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Rufen Sie in der Admin-Konsole die Seite mit den Einstellungen für die App auf.
  3. Klicken Sie links oben auf Nutzer.
  4. Klicken Sie auf Nutzer auswählen und geben Sie die E-Mail-Adresse des Nutzers (nicht den Namen) ein.
  5. Wählen Sie den Nutzer aus, dessen App-Einstellungen angezeigt werden sollen. In der Spalte Übernommen von sehen Sie die Konfigurationsgruppe oder Organisationseinheit, die die Einstellungen des Nutzers bestimmt hat.
  6. Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Anzeigen, um Details zu den Zugriffsebenen des Nutzers abzurufen.

Hinweis: Wenn Sie sich eine Organisationseinheit ansehen, beziehen sich die Angaben der übernommenen Ebenen nur auf die Einstellungen einer Organisationseinheit, nicht auf Konfigurationsgruppen.

Konfigurationsgruppe entfernen

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen, um die Liste der Apps aufzurufen.
  3. Klicken Sie links auf Gruppen.
  4. Klicken Sie auf die Gruppe, die Sie entfernen möchten.
  5. Zuerst heben Sie die Zuweisung der Zugriffsebene für alle Apps aus der Gruppe auf. Prüfen Sie im Bereich Apps der Reihe nach, ob die Zuweisung der Zugriffsebene für alle Anwendungen aufgehoben wurde.

  6. Klicken Sie auf Zuweisen.
  7. Klicken Sie auf Alle deaktivieren.
  8. Klicken Sie auf Speichern.
Die Konfigurationsgruppe wird nicht mehr in der Gruppenliste angezeigt. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden –, normalerweise geschieht dies jedoch eher. Weitere Informationen

Konfigurationsgruppe bearbeiten

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Sicherheit und dann Zugriffs- und Datenkontrolle und dann Kontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen, um die Liste der Apps aufzurufen.
  3. Klicken Sie links auf Gruppen.
  4. Suchen Sie nach der Gruppe, die Sie bearbeiten möchten.
  5. Wählen Sie rechts Apps aus, die bearbeitet, hinzugefügt oder entfernt werden sollen.
  6. Klicken Sie auf Zuweisen.
  7. Aktualisieren Sie die Ebenenzuweisungen für die Gruppe.
  8. Klicken Sie auf Speichern.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, meistens geht es jedoch schneller. Weitere Informationen

Fehlerbehebung

Ich sehe die Konfigurationsgruppe nicht in der Gruppenliste.

  • Die Gruppe wurde möglicherweise in Google Groups erstellt. Richten Sie eine Gruppe über die Admin-Konsole ein.
  • Suchen Sie nach der E-Mail-Adresse der Gruppe, nicht nach ihrem Namen.
  • Aktualisieren Sie die Seite „Einstellungen“. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden –, normalerweise geschieht dies jedoch eher. Weitere Informationen
  • Prüfen Sie, ob Sie Administratorberechtigungen für Google Groups haben.

Ein Nutzer hat nicht die richtige Zugriffsebene

  • Überprüfen Sie die Gruppenmitgliedschaften des Nutzers. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden –, normalerweise geschieht dies jedoch eher. Weitere Informationen
  • Suchen Sie die Konfigurationsgruppe, die die Einstellungen des Nutzers bestimmt. Wenn der Nutzer mehreren Konfigurationsgruppen angehört, müssen Sie unter Umständen dessen Gruppenpriorität oder ‑mitgliedschaft ändern.
  • Möglicherweise hat der Nutzer keine Produktlizenz für die Funktion. Der kontextsensitive Zugriff ist nur für bestimmte Versionen von Google Workspace verfügbar.
  • Wenn der Nutzer nicht auf eine App zugreifen kann, wurde ihr möglicherweise eine gelöschte Zugriffsebene zugewiesen. Klicken Sie das Kästchen Gelöschte Zugriffsebene entfernen an.

Änderungen im Audit-Log nachvollziehen

Prüfen Sie die folgenden Ereignisse im Audit-Log für Administratoren auf Änderungen an den Einstellungen der Konfigurationsgruppe:

EREIGNIS: Änderung der App-spezifischen Zuweisung der kontextsensitiven Zugriffsebene

Protokolliert, wenn Sie eine Konfigurationsgruppe übernehmen oder entfernen. Das Ereignis verwendet den Gruppennamen. Sie können also einen ähnlichen Namensstandard für Gruppennamen und E-Mail-Adresse verwenden.

In einem Gruppenereignis enthaltene Daten:

Zuweisungen der Zugriffsebene wurden von []
in [Zugriffsebenen] geändert. (application_name: {App}, group_name: {Konfigurationsgruppe})

Beispiel: Sie wenden die Konfigurationsgruppe CAA.02 lokaler Zugriff auf eine App an:

Zugriffsebenenzuweisungen wurden von [] in [Unternehmens-IP, Gerät] geändert.
(application_name: {GMAIL}, group_name: {KBK.02 lokaler Zugriff}

Wenn Sie die Konfigurationsgruppe aus einer App entfernen, geschieht Folgendes:

Zugriffsebenenzuweisungen wurden von [Unternehmens-IP, Gerät] in [] geändert.
(Anwendungsname: {GMAIL}, Gruppenname: {KBK.02 lokaler Zugriff}

Informationen zu Organisationseinheiten, Gruppenübernahme und Konfigurationsgruppen

Wenn Sie Änderungen an lokalen Zugriffsebenen einer untergeordneten Organisationseinheit oder Gruppe vornehmen, gelten nur die lokal angewendeten Zugriffsebenen. Es werden keine Zugriffsebenen von der übergeordneten Organisation übernommen.

Wenn Sie alle lokal zugewiesenen Zugriffsebenen entfernen, um die ursprünglich übernommenen Zugriffsebenen wiederherzustellen, hat die untergeordnete Organisationseinheit nur die übernommenen Zugriffsebenen.

Beispiel für Organisationseinheiten: Wenn einer App der obersten Organisationseinheit 3 Zugriffsebenen zugewiesen sind, werden diese Zugriffsebenen durch Übernahme auch der App einer untergeordneten Organisationseinheit zugewiesen, sofern die untergeordnete Organisationseinheit keine lokale Zuweisung hat. Wenn Sie dann nur in der untergeordneten Organisationseinheit eine Zugriffsebene hinzufügen, ist das die einzige Zugriffsebene, die auf die untergeordnete Organisationseinheit angewendet wird.

Übernommene Zuweisungen für Zugriffsebenen mit einer Nullrichtlinie überschreiben

Ein Beispiel: Sie möchten in einer untergeordneten Organisationseinheit keinen Nutzerzugriff blockieren – also keine Zugriffsebenen zuweisen. Sie können eine Zugriffsebene mit dem erweiterten Ausdruck true erstellen. Weitere Informationen finden Sie unter Zugriffsebenen definieren – erweiterter Modus.

Zuweisungen für Zugriffsebenen mit Konfigurationsgruppen überschreiben

Über Konfigurationsgruppen können Sie Zugriffsebenen auf Nutzergruppen statt auf Organisationseinheiten anwenden. Die Gruppenzugriffsebene eines Nutzers hat immer Vorrang vor der Zugriffsebene der Organisationseinheit des Nutzers. Die Gruppen können Nutzer aus jeder Organisationseinheit in Ihrem Konto enthalten.

Beispiel: Ein Nutzer gehört zu einer Organisationseinheit und zu Gruppe1. Der übergeordneten Organisationseinheit ParentOU wurde für Gmail wie für Google Kalender die Zugriffsebene X zugewiesen. Für Gmail gibt es für Gruppe1 keine zugewiesene Zugriffsebene. Für Google Kalender erhält Gruppe1 die Zugriffsebene Y. In diesem Fall hat der Nutzer die Zugriffsebene X für Gmail (übernommen) und die Zugriffsebene Y für Google Kalender (durch Überschreiben der lokalen Richtlinie).