שימוש בבקרת גישה מבוססת-הקשר עם קבוצות הגדרות

קבוצות הגדרות מאפשרות להחיל רמות גישה מבוססות-הקשר על קבוצות של משתמשים ולא על יחידות ארגוניות. קבוצות ההגדרות יכולות לכלול משתמשים מכל יחידה ארגונית בעסק. לדוגמה, אפשר לאפשר לצוות של קבלנים גישה ל-Gmail רק ברשת הארגונית.

איך פועלות קבוצות הגדרות

  • קבוצות הגדרות יכולות לכלול כל משתמש בארגון. אפשר גם ליצור הגדרות לקבוצת משתמשים שמשמשת כמאגר לרמות גישה, ואז להוסיף את קבוצות המשתמשים (קבוצות שהן מרכיב בקבוצות אחרות).
  • משתמש יכול להיות חבר בכמה קבוצות הגדרות, בניגוד ליחידות ארגוניות. אתם קובעים את העדיפות של קבוצות ההגדרות, והמשתמש מקבל את ההגדרה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה.
  • רמת הגישה של משתמש לקבוצה באפליקציה תמיד מבטלת את רמת הגישה של היחידה הארגונית שלו.
  • אם הגדרות לקבוצת משתמשים לא מציינות רמת גישה לאפליקציה, האפליקציה משתמשת ברמת הגישה שהוגדרה על ידי היחידה הארגונית של המשתמש.

תכנון קבוצות הגדרות לבקרת גישה מבוססת-הקשר

קבוצות הגדרות פועלות בצורה קצת שונה בבקרת גישה מבוססת-הקשר בהשוואה להגדרות אחרות של Google Workspace. כשמעצבים את הקבוצות ואת כללי המדיניות, כדאי להיעזר במידע ובטיפים הבאים:

אפשרויות לקבוצות הגדרה

בדרך כלל מגדירים רמות גישה ליחידות ארגוניות, ואז קובעים רמות גישה מותאמות אישית לקבוצות הגדרות. לדוגמה, יכול להיות שיהיו לכם קבוצות הגדרות עם רמות גישה כמו 'גישה פתוחה' או 'גישה מוגבלת', כדי שתוכלו להעניק או להגביל במהירות את הגישה של משתמשים ספציפיים.

בדרך כלל משתמשים בשילוב של קבוצות הגדרות:

שימוש בקבוצות משתמשים קיימות

אתם קובעים את רמת הגישה לכל אפליקציה (לדוגמה, Gmail או Google Drive) בקבוצת המשתמשים. אם משתמש שייך לכמה קבוצות, אתם קובעים איזו קבוצה תקבע את ההגדרות של המשתמש (כפי שמתואר בהמשך בסעיף עדיפות).

החלת רמות גישה ישירות על קבוצות משתמשים היא אפשרות טובה במקרים הבאים:

  • בדיקה של בקרת גישה מבוססת-הקשר.
  • ניהול גישה לקבוצות ספציפיות של משתמשים, כמו צוות IT או צוות שמוקצה מרחוק.
  • ניהול גישה בארגונים עם פחות מ-50 משתמשים או עם מספר קטן של רמות גישה. אין צורך ליצור עוד קבוצות, ואפשר לשנות את ההגדרות של כל קבוצת משתמשים.

יצירת קבוצות הגדרות על סמך רמות גישה

לחלופין, אפשר להקצות רמות גישה לקבוצות. יוצרים הגדרות לקבוצת משתמשים ומקצים רמות גישה לאפליקציה או לאפליקציות. לאחר מכן מוסיפים קבוצות משתמשים כחברים בהגדרות לקבוצת משתמשים.

ארגונים גדולים יכולים להשתמש בגישה הזו כדי לנהל את המדיניות ואת סדרי העדיפויות של קבוצות הגישה (כפי שמתואר בהמשך).

איך עדיפות פועלת עם רמות גישה

כשמשתמש שייך לכמה הגדרות לקבוצת משתמשים, אתם קובעים לאיזו הגדרות לקבוצת משתמשים יש עדיפות בקביעת הגישה של המשתמש לאפליקציה.

במסוף Google Admin, קודם צריך לבחור אפליקציה כדי להציג את רשימת העדיפויות של הקבוצות שמתאימות לה. הקבוצות מופיעות בסדר יורד, מהעדיפות הגבוהה ביותר לנמוכה ביותר. לקבוצת הגדרות חדשה תמיד יש את העדיפות הכי נמוכה, והיא מתווספת לתחתית של רשימת קבוצות ההגדרות.

עדיפות לבקרת גישה מבוססת-הקשר

המשתמש מקבל את הגדרות האפליקציה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה. אם לקבוצה אין רמת גישה לאפליקציה מסוימת, המערכת משתמשת ברמת הגישה של הקבוצה הבאה עם העדיפות הכי גבוהה שהמשתמש שייך אליה, וכן הלאה.

במסוף Admin, אפשר לבדוק איזו קבוצה או יחידה ארגונית קבעה את רמת הגישה של המשתמש לאפליקציה. בדוגמה שלמטה, הקבוצה Drive Security קבעה את הגישה של המשתמש ל-Drive.

האפליקציות של המשתמש רמות הגישה בהורשה מ:
יומן Google רשת החברה יחידה ארגונית: מכירות
Drive רשת החברה, אבטחת המכשיר קבוצה: אבטחה ב-Drive
Gmail אבטחת המכשיר יחידה ארגונית: מכירות
Google Vault <none> <none>

כדי לשלוט ברמת דיוק גבוהה, אתם יכולים להשתמש בקבוצות כדי להתאים אישית את רמות הגישה לכל אפליקציה. לדוגמה:

האפליקציות של המשתמש רמות הגישה בהורשה מ:
יומן רשת החברה יחידה ארגונית: מכירות
Drive רשת החברה, אבטחת המכשיר קבוצה: אבטחה ב-Drive
Gmail אבטחת המכשיר, קנדה קבוצה: צפון אמריקה
Vault המכשיר מוגבל, הרשת של החברה קבוצה: חוקר Vault

הגדרת עדיפות לקבוצות משתמשים

  • כדאי להגדיר עדיפות גבוהה לקבוצות משתמשים עם הגדרות קריטיות או רגישות. לדוגמה, יכול להיות שהקבוצה בעדיפות הכי גבוהה היא קבוצת 'גישה דחופה' שמבטלת את ההגבלות של קבוצות אחרות.

  • רמות הגישה לא מתווספות בין הקבוצות של המשתמש. בדוגמה הזו, משתמש שייך ל-3 קבוצות משתמשים, אבל רק הגדרות לקבוצת משתמשים עם העדיפות הכי גבוהה, מכשיר, מגדירה את רמת הגישה שלו.

תכנון ועיצוב של קבוצות הגדרות

תכנון המבנה של הגדרות לקבוצת משתמשים הוא השלב שסביר להניח ייקח הכי הרבה זמן וידרוש הכי הרבה בדיקות.

מתן שמות לקבוצות וחיפוש קבוצות

כדאי להגדיר תקן למתן שמות לקבוצות כדי שיהיה קל יותר לחפש, לתעדף ולבצע ביקורת. לדוגמה, אפשר להוסיף תחילית כמו caa כדי לציין קבוצות הגדרות לקבוצת משתמשים שמותאמות להקשר. בנוסף, כדאי להשתמש במקום עשרוני כדי להימנע מעריכה של שמות הקבוצות הקיימים כשמוסיפים קבוצת הגדרות לקבוצת משתמשים.

1. חיפוש לפי כתובת אימייל של הקבוצה

2. הצגת רשימת הקבוצות
  • חיפוש קבוצה: כדאי להגדיר תקן למתן שמות שכולל את שם ההגדרה ומספר העדיפות, לדוגמה:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • הצגת הקבוצות: בחלונית Groups (קבוצות) מוצג שם הקבוצה (עד 37 תווים) לפי סדר העדיפות. כשמצביעים על קבוצה, השם המלא שלה מוצג. לדוגמה:

‫CAA p0.0 – גישה לא מוגבלת לכל האפליקציות
‫CAA p1.0 – גישה מוגבלת
‫CAA p3.0 – אבטחת מכשירים וכתובות IP של Gmail
‫CAA p3.1 – כתובות IP של Gmail

סידור קבוצות

כדי לעקוב אחרי העדיפות וההגדרות:

  • אפשר להגדיר את הקבוצות שחלות על הכי מעט משתמשים או להגדיר מדיניות קריטית (כמו 'גישה מוגבלת' או 'גישה מלאה') בעדיפות הכי גבוהה.
  • כדאי להביא בחשבון את העדיפות במבנה הקבוצות, ולשים לב לקבוצות שהן מרכיב בקבוצות אחרות ברמה עמוקה, כי יכול להיות שיהיה קשה לעקוב אחרי ההגדרות שלהן.

איך יוצרים קבוצות

אתם צריכים להשתמש בקבוצות שנוצרו במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync. אי אפשר להשתמש בקבוצות שנוצרו ב-Google Groups בתור הגדרות לקבוצת משתמשים. (במסוף Admin לא מוצג אם קבוצה נוצרה בקבוצות Google).

אתם יכולים לנהל את הגדרות לקבוצת משתמשים בכל כלי. אתם יכולים להגדיר הרשאות מחמירות כדי להוסיף או למחוק משתמשים, להשבית את הפרסום בקבוצה או למנוע ממשתמשים לעזוב את הקבוצה (האפשרות הזו זמינה רק ב-Groups API).

הגדרת קבוצות הגדרות

לפני שמתחילים: מגדירים את רמות הגישה לפי הקשר ויוצרים קבוצות הגדרות (רצוי להוסיף לקבוצות האלה חשבון בדיקה אחד או שניים).

שלב 1. החלת הגדרות לקבוצת משתמשים

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. בקטע גישה מודעת-הקשר, לוחצים על קבוצות.
  4. בוחרים אפשרות:
    • לוחצים על אפליקציה. כל ההגדרות של קבוצות משתמשים קיימות שהוקצתה להן רמת גישה לאפליקציה מופיעות לפי סדר העדיפות.
    • לוחצים על חיפוש של קבוצה כדי לעיין ברשימה של כל הקבוצות, לא רק בקבוצות של הגדרות. אפשר להזין טקסט כדי לסנן את התוצאות.
  5. לוחצים על הקבוצה. בטבלת האפליקציות מפורטות כל האפליקציות עם הקצאות רמות הגישה שלהן.
    • אם אתם לא מוצאים את הקבוצה שחיפשתם, יכול להיות שהיא נוצרה בקבוצות Google. צריך ליצור קבוצות הגדרה במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync.
    • מתחילים בהוספת קבוצות ההגדרות מהעדיפות הגבוהה ביותר ועד לעדיפות הנמוכה ביותר. כשמוסיפים מדיניות חדשה לקבוצה עבור אפליקציה, היא ממוקמת בעדיפות הנמוכה ביותר.
  6. לוחצים על אפליקציה אחת או יותר ואז על הקצאה.
  7. בוחרים את רמות הגישה לאפליקציה בקבוצה ולוחצים על שמירה. כברירת מחדל, לקבוצות חדשות לא מוקצות רמות גישה.



    בארגונים עם כמה סוגים של רישיונות ל-Google Workspace: רמות הגישה לקבוצות חלות רק על משתמשים שהוקצתה להם מהדורת Google Workspace שכוללת בקרת גישה מודעת-הקשר.

שלב 2. בדיקת רמות הגישה של משתמש

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. במסוף Admin, עוברים לדף ההגדרות של האפליקציה.
  3. בצד ימין למעלה, לוחצים על משתמשים.
  4. לוחצים על בחירת משתמש ומזינים את הכתובת של המשתמש (לא את השם שלו).
  5. בוחרים את המשתמש כדי לראות את הגדרות האפליקציה שלו. בעמודה התקבל בירושה מ מוצגת קבוצת המשתמשים או היחידה הארגונית שקבעו את ההגדרות של המשתמש.
  6. מצביעים על אפליקציה ולוחצים על הצגה כדי לראות פרטים על רמות הגישה של המשתמש.

הערה: כשמציגים יחידה ארגונית, הרמות עברו בירושה מבוססות רק על ההגדרה של היחידה הארגונית, ולא על קבוצות הגדרה.

הסרה של קבוצת הגדרות לקבוצת משתמשים

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. מימין, לוחצים על קבוצות.
  4. לוחצים על הקבוצה שרוצים להסיר.
  5. קודם מבטלים את ההקצאה של כל רמות הגישה מכל האפליקציות בקבוצה. בחלונית אפליקציות, בודקים כל אפליקציה בנפרד כדי לוודא שכל רמות הגישה לא הוקצו.

  6. לוחצים על הקצאה.
  7. לוחצים על ביטול הסימון של הכול.
  8. לוחצים על שמירה.
הגדרות לקבוצת משתמשים לא מופיעה יותר ברשימת הקבוצות. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

עריכה של קבוצת הגדרות

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. מימין, לוחצים על קבוצות.
  4. מחפשים את הקבוצה שרוצים לערוך.
  5. בצד שמאל, בוחרים את האפליקציות שרוצים לערוך, להוסיף או להסיר.
  6. לוחצים על הקצאה.
  7. מעדכנים את הקצאות הרמות לקבוצה.
  8. לוחצים על שמירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

פתרון בעיות

הגדרות לקבוצת משתמשים לא מופיעות ברשימת הקבוצות

  • יכול להיות שהקבוצה נוצרה בקבוצות Google. כדאי לנסות ליצור קבוצה במסוף Admin.
  • מחפשים את כתובת האימייל של הקבוצה ולא את השם שלה.
  • מנסים לרענן את דף ההגדרות. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף
  • צריכות להיות לכם הרשאות אדמין ב-Groups.

למשתמש אין את רמת הגישה הנכונה

  • בודקים את חברי הקבוצה של משתמש. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף
  • מחפשים את הגדרות לקבוצת משתמשים שקובעת את ההגדרות של המשתמש. אם המשתמש שייך לכמה הגדרות לקבוצת משתמשים, יכול להיות שתצטרכו לשנות את העדיפות של הקבוצה או את חברי קבוצה.
  • יכול להיות שלמשתמש אין רישיון למוצר שכולל את התכונה. בקרת גישה מבוססת-הקשר זמינה במהדורות מסוימות של Google Workspace.
  • אם למשתמש אין גישה לאפליקציה, יכול להיות שהוקצתה לאפליקציה רמת גישה שנמחקה. כדאי לעיין במאמר בנושא הסרת רמת גישה שנמחקה.

בדיקת השינויים ביומן הביקורת

כדי לראות שינויים בהגדרות לקבוצת משתמשים, בודקים את האירועים האלה ביומן הביקורת של האדמין:

אירוע: שינוי בהקצאות ספציפיות לאפליקציות ברמה של בקרת גישה מבוססת הקשר

מתועד כשמחילים או מסירים הגדרות לקבוצת משתמשים. האירוע משתמש בשם הקבוצה, ולכן כדאי להשתמש באותו תקן למתן שמות גם לשם הקבוצה וגם לכתובת.

הנתונים שכלולים באירוע קבוצתי:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: []
ההקצאות החדשות: [access levels]. (application_name: {app}, group_name: {configuration group})

לדוגמה, אתם מחילים את הגדרות לקבוצת משתמשים CAA.02 local access על אפליקציה:

השתנו ההקצאות של רמת גישה. הקצאות ישנות: [] הקצאות חדשות: [Company IP, Device].
(application_name: {GMAIL}, group_name: {CAA.02 local access}

כשמסירים את קבוצת ההגדרות מאפליקציה:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: [Company IP, Device] ההקצאות החדשות: [].
(application_name: {GMAIL}, group_name: {CAA.02 Local Access}

הסבר על יחידות ארגוניות, על קבוצות, על קבוצות הגדרה ועל ירושה

אם מבצעים שינויים ברמת הגישה המקומית ביחידת בת ארגונית או בקבוצה, הן יקבלו רק את רמות הגישה שחלות באופן מקומי ולא יקבלו בירושה רמות גישה מהארגון האב.

אם מסירים את כל רמות הגישה שהוקצו באופן מקומי כדי לשחזר את רמות הגישה שהתקבלו בירושה במקור, ליחידת בת ארגונית יהיו רק רמות הגישה שהתקבלו בירושה.

לדוגמה, ביחידות ארגוניות, אם יש 3 רמות גישה שמוקצות לאפליקציה ביחידה ארגונית ברמה העליונה, אותן רמות גישה מוקצות לאפליקציה ביחידת בת ארגונית באמצעות ירושה, אם לא הוקצו רמות גישה באופן מקומי ליחידת הבת הארגונית. אם לאחר מכן מוסיפים רמת גישה רק ביחידת הבת הארגונית, זו רמת הגישה היחידה שמוחלת על יחידת הבת הארגונית.

ביטול ההקצאות של רמות הגישה שעברו בירושה באמצעות מדיניות null

נניח שאתם לא רוצים לחסום את הגישה של משתמשים ביחידה ארגונית צאצא – כלומר, לא להקצות רמות גישה. אתם יכולים ליצור רמת גישה עם הביטוי המתקדם: true. פרטים נוספים זמינים במאמר בנושא הגדרת רמות גישה – מצב מתקדם.

שינוי ההקצאות של רמות הגישה באמצעות הגדרות לקבוצת משתמשים

אתם יכולים להשתמש בקבוצות הגדרה כדי להקצות רמות גישה לקבוצות של משתמשים במקום ליחידות ארגוניות. רמת הגישה של משתמש לקבוצה תמיד מבטלת את רמת הגישה של המשתמש ליחידה הארגונית. הקבוצות יכולות לכלול משתמשים מכל יחידה ארגונית בחשבון.

לדוגמה, משתמש ששייך ליחידה ארגונית ולקבוצה Group1. היחידה הארגונית היא ParentOU, ומוקצית לה רמת גישה X גם ל-Gmail וגם ליומן Google. אין הקצאה של רמת גישה לקבוצה Group1 ל-Gmail. הוקצתה רמת גישה Y לקבוצה Group1 ליומן. במקרה הזה, למשתמש מוקצית רמת גישה X ל-Gmail (דרך ירושה) ורמת גישה Y ליומן (על ידי ביטול של המדיניות המקומית).