שימוש בבקרת גישה מבוססת-הקשר עם קבוצות הגדרות

קבוצות הגדרות מאפשרות להחיל רמות גישה מודעות-הקשר על קבוצות של משתמשים ולא על יחידות ארגוניות. קבוצות ההגדרות יכולות לכלול משתמשים מכל יחידה ארגונית בעסק. לדוגמה, אפשר לאפשר לצוות של קבלנים לגשת ל-Gmail רק ברשת הארגונית.

איך פועלות קבוצות הגדרות

  • קבוצות הגדרות יכולות לכלול כל משתמש בארגון. אפשר גם ליצור קבוצת הגדרות שמשמשת כמאגר לרמות גישה, ואז להוסיף את קבוצות המשתמשים (קבוצות שהן מרכיב בקבוצות אחרות).
  • משתמש יכול להיות חבר בכמה קבוצות הגדרות, בניגוד ליחידות ארגוניות. אתם קובעים את העדיפות של קבוצות ההגדרות, והמשתמש מקבל את ההגדרה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה.
  • רמת הגישה של משתמש לקבוצה באפליקציה תמיד מבטלת את רמת הגישה של היחידה הארגונית שלו.
  • אם קבוצת הגדרות לא מציינת רמת גישה לאפליקציה, האפליקציה משתמשת ברמת הגישה שהוגדרה על ידי היחידה הארגונית של המשתמש.

תכנון של קבוצות הגדרה לבקרת גישה מבוססת-הקשר

קבוצות הגדרות פועלות בצורה קצת שונה בבקרת גישה מבוססת-הקשר בהשוואה להגדרות אחרות של Google Workspace. כשמעצבים את הקבוצות ואת כללי המדיניות, כדאי להיעזר במידע ובטיפים הבאים:

אפשרויות להגדרת קבוצות

בדרך כלל מגדירים רמות גישה ליחידות ארגוניות, ואז קובעים רמות גישה מותאמות אישית לקבוצות הגדרה. לדוגמה, יכול להיות שיש לכם קבוצות הגדרות ל'גישה פתוחה' או ל'גישה מוגבלת', כדי שתוכלו להעניק או להגביל במהירות את הגישה של משתמשים ספציפיים.

בדרך כלל משתמשים בשילוב של קבוצות הגדרות:

שימוש בקבוצות משתמשים קיימות

אתם קובעים את רמת הגישה לכל אפליקציה (לדוגמה, Gmail או Google Drive) בקבוצת המשתמשים. אם משתמש שייך לכמה קבוצות, אתם יכולים להגדיר איזו קבוצה תקבע את ההגדרות של המשתמש (כפי שמתואר בהמשך בקטע עדיפות).

החלת רמות גישה ישירות על קבוצות משתמשים היא אפשרות טובה במקרים הבאים:

  • בדיקה של בקרת גישה מבוססת-הקשר.
  • ניהול גישה לקבוצות ספציפיות של משתמשים, כמו צוות IT או צוות שמוקצה מרחוק.
  • ניהול גישה בארגונים עם פחות מ-50 משתמשים או עם מספר קטן של רמות גישה. אין צורך ליצור עוד קבוצות, ואפשר לשנות את ההגדרות של כל קבוצת משתמשים.

יצירת קבוצות הגדרות על סמך רמות גישה

אפשר גם להקצות רמות גישה לקבוצות. יוצרים קבוצת הגדרות ומקצים רמות גישה לאפליקציה אחת או יותר. לאחר מכן מוסיפים קבוצות משתמשים כחברים בקבוצת ההגדרות.

ארגונים גדולים יכולים להשתמש בגישה הזו כדי לנהל את המדיניות ואת סדרי העדיפויות של קבוצות הגישה (כפי שמתואר בהמשך).

איך עדיפות פועלת עם רמות גישה

אם משתמש שייך לכמה קבוצות הגדרות, אתם יכולים להגדיר לאיזו קבוצת הגדרות יש עדיפות בקביעת הגישה של המשתמש לאפליקציה.

במסוף Google Admin, קודם צריך לבחור אפליקציה כדי להציג את רשימת העדיפויות של הקבוצות שמתאימות לה. הקבוצות מופיעות בסדר יורד, מהעדיפות הגבוהה ביותר לנמוכה ביותר. לקבוצת הגדרות חדשה תמיד יש את העדיפות הכי נמוכה, והיא מתווספת לתחתית של רשימת קבוצות ההגדרות.

עדיפות לבקרת גישה מבוססת-הקשר

המשתמש מקבל את הגדרות האפליקציה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה. אם לקבוצה אין רמת גישה לאפליקציה מסוימת, המערכת משתמשת ברמת הגישה של הקבוצה הבאה עם העדיפות הכי גבוהה שהמשתמש שייך אליה, וכן הלאה.

במסוף Admin אפשר לבדוק איזו קבוצה או יחידה ארגונית קבעה את רמת הגישה של משתמש לאפליקציה. בדוגמה שלמטה, הגישה של המשתמש ל-Drive מוגדרת על ידי הקבוצה Drive Security.

האפליקציות של המשתמש רמות הגישה בהורשה מ:
יומן Google רשת החברה יחידה ארגונית: מכירות
Drive רשת החברה, אבטחת המכשיר קבוצה: אבטחה ב-Drive
Gmail אבטחת המכשיר יחידה ארגונית: מכירות
Google Vault <none> <none>

כדי לשלוט ברמת דיוק גבוהה, אתם יכולים להשתמש בקבוצות כדי להתאים אישית את רמות הגישה לכל אפליקציה. לדוגמה:

האפליקציות של המשתמש רמות הגישה בהורשה מ:
יומן רשת החברה יחידה ארגונית: מכירות
Drive רשת החברה, אבטחת המכשיר קבוצה: אבטחה ב-Drive
Gmail אבטחת המכשיר, קנדה קבוצה: צפון אמריקה
Vault המכשיר מוגבל, רשת החברה קבוצה: חוקר Vault

הגדרת עדיפות לקבוצות משתמשים

  • כדאי להגדיר עדיפות גבוהה לקבוצות של הגדרות קריטיות או רגישות. לדוגמה, יכול להיות שהקבוצה בעדיפות הכי גבוהה היא קבוצת 'גישה דחופה' שמבטלת את ההגבלות של קבוצות אחרות.
  • רמות הגישה לא מתווספות בין הקבוצות של המשתמש. בדוגמה הזו, משתמש שייך ל-3 קבוצות משתמשים, אבל רק קבוצת ההגדרות עם העדיפות הכי גבוהה, מכשיר, מגדירה את רמת הגישה שלו.

תכנון ועיצוב של קבוצות הגדרות

תכנון המבנה של קבוצת ההגדרות הוא השלב שדורש הכי הרבה זמן ובדיקה.

מתן שמות לקבוצות וחיפוש קבוצות

הגדרת תקן למתן שמות לקבוצות כדי להקל על החיפוש, על קביעת סדר העדיפויות ועל הביקורת. לדוגמה, מוסיפים קידומת כמו caa כדי לציין קבוצות הגדרות מודעות שמותאמות להקשר. בנוסף, כדאי להשתמש בנקודה עשרונית כדי להימנע מעריכה של שמות הקבוצות הקיימות כשמוסיפים קבוצת הגדרות.

1. חיפוש לפי כתובת אימייל של הקבוצה

2. הצגת רשימת הקבוצות

  • חיפוש קבוצה: כדאי להגדיר תקן למתן שמות שכולל את שם ההגדרה ומספר העדיפות, לדוגמה:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • הצגת הקבוצות: בחלונית Groups (קבוצות) מוצג שם הקבוצה (עד 37 תווים) לפי סדר העדיפות. כשמצביעים על קבוצה, השם המלא שלה מוצג. לדוגמה:

‫CAA p0.0 – גישה לא מוגבלת לכל האפליקציות
‫CAA p1.0 – גישה מוגבלת
‫CAA p3.0 – אבטחת מכשירים וכתובות IP של Gmail
‫CAA p3.1 – כתובות IP של Gmail

שינוי הסדר של קבוצות

כדי לעקוב אחרי העדיפות וההגדרות:

  • אפשר להגדיר את העדיפות הכי גבוהה לקבוצות שחלות על הכי מעט משתמשים או להגדיר מדיניות קריטית (כמו 'נעילת הגישה' או 'גישה מלאה').
  • כדאי להביא בחשבון את העדיפות במבנה הקבוצות, ולשים לב לקבוצות עם קינון עמוק, כי יכול להיות שיהיה קשה לעקוב אחרי ההגדרות שלהן.

איך יוצרים קבוצות

אתם צריכים להשתמש בקבוצות שנוצרו במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync. אי אפשר להשתמש בקבוצות שנוצרו ב-Google Groups בתור הגדרות לקבוצת משתמשים. (במסוף Admin לא מופיע אם קבוצה נוצרה בקבוצות Google).

אפשר לנהל את קבוצת ההגדרות בכל כלי. יכול להיות שתגדירו הרשאות מחמירות כדי להוסיף או למחוק משתמשים, להשבית את האפשרות לפרסם בקבוצה או למנוע ממשתמשים לעזוב את הקבוצה (האפשרות הזו זמינה רק ב-Groups API).

הגדרת קבוצות הגדרות

לפני שמתחילים: מגדירים את רמות בקרת הגישה מבוססת-הקשר ויוצרים קבוצות הגדרות (רצוי להוסיף לקבוצות האלה חשבון בדיקה אחד או שניים).

שלב 1. החלת הגדרות לקבוצת משתמשים

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. בקטע בקרת גישה מבוססת-הקשר, לוחצים על קבוצות.
  4. בוחרים אפשרות:
    • לוחצים על אפליקציה. כל ההגדרות של קבוצות משתמשים קיימות שהוקצתה להן רמת גישה לאפליקציה מופיעות לפי סדר העדיפות.
    • לוחצים על חיפוש של קבוצה כדי לעיין ברשימה של כל הקבוצות, לא רק בקבוצות של הגדרות. אפשר להזין טקסט כדי לסנן את התוצאות.
  5. לוחצים על הקבוצה. בטבלת האפליקציות מפורטות כל האפליקציות עם הקצאות רמות הגישה שלהן.
    • אם אתם לא מוצאים את הקבוצה שחיפשתם, יכול להיות שהיא נוצרה בקבוצות Google. צריך ליצור קבוצות הגדרה במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync.
    • מתחילים בהוספת קבוצות ההגדרות מהעדיפות הגבוהה ביותר ועד לעדיפות הנמוכה ביותר. כשמוסיפים מדיניות קבוצתית חדשה לאפליקציה, היא ממוקמת בעדיפות הנמוכה ביותר.
  6. לוחצים על אפליקציה אחת או יותר ואז על הקצאה.
  7. בוחרים את רמות הגישה לאפליקציה בקבוצה ולוחצים על שמירה. כברירת מחדל, לקבוצות חדשות לא מוקצות רמות גישה.



    בארגונים עם כמה סוגים של רישיונות ל-Google Workspace: רמות הגישה לקבוצות חלות רק על משתמשים שהוקצתה להם מהדורת Google Workspace שכוללת בקרת גישה מודעת-הקשר.

שלב 2. בדיקת רמות הגישה של משתמש

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. במסוף Admin, עוברים לדף ההגדרות של האפליקציה.
  3. בצד ימין למעלה, לוחצים על משתמשים.
  4. לוחצים על בחירת משתמש ומזינים את הכתובת של המשתמש (לא את השם שלו).
  5. בוחרים את המשתמש כדי לראות את הגדרות האפליקציה שלו. בעמודה התקבל בירושה מ מוצגת קבוצת המשתמשים או היחידה הארגונית שקבעו את ההגדרות של המשתמש.
  6. מצביעים על אפליקציה ולוחצים על הצגה כדי לראות פרטים על רמות הגישה של המשתמש.

הערה: כשמציגים יחידה ארגונית, הרמות עברו בירושה מבוססות רק על ההגדרה של היחידה הארגונית, ולא על קבוצות הגדרה.

הסרה של קבוצת הגדרות

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. מימין, לוחצים על קבוצות.
  4. לוחצים על הקבוצה שרוצים להסיר.
  5. קודם מבטלים את ההקצאה של כל רמות הגישה מכל האפליקציות בקבוצה. בחלונית אפליקציות, בודקים כל אפליקציה בנפרד כדי לוודא שכל רמות הגישה לא הוקצו.

  6. לוחצים על הקצאה.
  7. לוחצים על ביטול הסימון של הכול.
  8. לוחצים על שמירה.
קבוצת ההגדרות לא מופיעה יותר ברשימת הקבוצות. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

עריכה של קבוצת הגדרות

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה לאבטחת נתונים וניהול כללים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז בקרת גישה מבוססת-הקשר.

    נדרשות הרשאות לניהול כללים ורמת גישה לאבטחת נתונים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. מימין, לוחצים על קבוצות.
  4. מחפשים את הקבוצה שרוצים לערוך.
  5. בצד שמאל, בוחרים את האפליקציות שרוצים לערוך, להוסיף או להסיר.
  6. לוחצים על הקצאה.
  7. מעדכנים את הקצאות הרמה לקבוצה.
  8. לוחצים על שמירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

פתרון בעיות

הגדרות לקבוצת משתמשים לא מופיעות ברשימת הקבוצות

  • יכול להיות שהקבוצה נוצרה בקבוצות Google. כדאי לנסות ליצור קבוצה במסוף Admin.
  • מחפשים את כתובת האימייל של הקבוצה ולא את השם שלה.
  • מנסים לרענן את דף ההגדרות. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף
  • צריכות להיות לכם הרשאות אדמין ב-Groups.

למשתמש אין את רמת הגישה הנכונה

  • בודקים את חברי הקבוצה של משתמש. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף
  • מוצאים את קבוצת ההגדרות שקובעת את ההגדרות של המשתמש. אם המשתמש שייך לכמה קבוצות משתמשים, יכול להיות שתצטרכו לשנות את סדר העדיפויות של הקבוצות או את החברות של המשתמש בקבוצה.
  • יכול להיות שלמשתמש אין רישיון למוצר שכולל את התכונה. בקרת גישה מבוססת-הקשר זמינה במהדורות מסוימות של Google Workspace.
  • אם המשתמש לא יכול לגשת לאפליקציה, יכול להיות שהוקצתה לאפליקציה רמת גישה שנמחקה. כדאי לעיין במאמר בנושא הסרת רמת גישה שנמחקה.

בדיקת השינויים ביומן הביקורת

כדי לראות שינויים בהגדרות של קבוצת תצורה, בודקים את האירועים האלה ביומן הביקורת של האדמין:

אירוע: שינוי בהקצאות ספציפיות לאפליקציות ברמה של בקרת גישה מבוססת הקשר

מתועד כשמחילים או מסירים קבוצת הגדרות. האירוע משתמש בשם הקבוצה, ולכן כדאי להשתמש באותו תקן למתן שמות גם לשם הקבוצה וגם לכתובת.

הנתונים שכלולים באירוע קבוצתי:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: []
ההקצאות החדשות: [access levels]. (application_name: {app}, group_name: {configuration group})

לדוגמה, אתם מחילים את קבוצת ההגדרות CAA.02 local access על אפליקציה:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: [] ההקצאות החדשות: [Company IP, Device].
(application_name: {GMAIL}, group_name: {CAA.02 local access}

כשמסירים את קבוצת ההגדרות מאפליקציה:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: [Company IP, Device] ההקצאות החדשות: [].
(application_name: {GMAIL}, group_name: {CAA.02 Local Access}

הסבר על יחידות ארגוניות, על קבוצות, על קבוצות הגדרה ועל ירושה

אם מבצעים שינויים ברמת הגישה המקומית ביחידה ארגונית או בקבוצה צאצאות, הן יקבלו רק את רמות הגישה שחלות באופן מקומי ולא יקבלו בירושה רמות גישה מהארגון האב.

אם מסירים את כל רמות הגישה שהוקצו באופן מקומי כדי לשחזר את רמות הגישה שהתקבלו בירושה במקור, ליחידה הארגונית הבת יהיו רק רמות הגישה שהתקבלו בירושה.

לדוגמה, ביחידות ארגוניות, אם יש 3 רמות גישה שמוקצות לאפליקציה ביחידה ארגונית ברמה העליונה, אותן רמות גישה מוקצות באמצעות ירושה לאפליקציה ביחידה ארגונית צאצאית, אם לא הוקצו לאפליקציה רמות גישה מקומיות ביחידה הארגונית הצאצאית. אם לאחר מכן תוסיפו רמת גישה רק ביחידה הארגונית (OU) של הבת, זו תהיה רמת הגישה היחידה שתחול על היחידה הארגונית (OU) של הבת.

ביטול ההקצאות של רמות הגישה שעברו בירושה באמצעות מדיניות null

נניח שאתם לא רוצים לחסום את הגישה של אף משתמש ביחידה ארגונית ברמת צאצא – לא מוקצות רמות גישה. אתם יכולים ליצור רמת גישה עם הביטוי המתקדם: true. פרטים נוספים זמינים במאמר בנושא הגדרה של רמות גישה – מצב מתקדם.

שינוי ההקצאות של רמות הגישה באמצעות הגדרות לקבוצת משתמשים

אתם יכולים להשתמש בהגדרות לקבוצת משתמשים כדי להקצות רמות גישה לקבוצות של משתמשים במקום ליחידות ארגוניות. רמת הגישה של משתמש לקבוצה תמיד מבטלת את רמת הגישה של המשתמש ליחידה הארגונית. הקבוצות יכולות לכלול משתמשים מכל יחידה ארגונית בחשבון.

לדוגמה, משתמש ששייך ליחידה ארגונית ולקבוצה Group1. היחידה הארגונית היא ParentOU, ומוקצית לה רמת גישה X גם ל-Gmail וגם ליומן Google. אין הקצאה של רמת גישה לקבוצה Group1 ל-Gmail. הוקצתה רמת גישה Y לקבוצה Group1 ליומן. במקרה הזה, למשתמש מוקצית רמת גישה X ל-Gmail (דרך ירושה) ורמת גישה Y ליומן (על ידי ביטול המדיניות המקומית).