Menggunakan Akses Kontekstual dengan grup konfigurasi

Dengan grup konfigurasi, Anda dapat menerapkan tingkat Akses Kontekstual ke kelompok pengguna, bukan ke unit organisasi. Grup konfigurasi dapat menyertakan pengguna dari unit organisasi mana pun di bisnis Anda. Misalnya, izinkan tim kontraktor mengakses Gmail hanya di jaringan perusahaan Anda.

Cara kerja grup konfigurasi

  • Grup konfigurasi dapat berisi pengguna mana pun di organisasi Anda. Selain itu, Anda dapat membuat grup konfigurasi yang berfungsi sebagai penampung untuk tingkat akses, lalu menambahkan grup pengguna (grup bertingkat).
  • Pengguna dapat berada di beberapa grup konfigurasi, tidak seperti unit organisasi. Anda dapat menetapkan prioritas grup konfigurasi, dan pengguna akan mendapatkan setelan dari grup dengan prioritas tertinggi tempatnya berada.
  • Tingkat akses grup pengguna untuk aplikasi selalu menggantikan tingkat akses unit organisasinya.
  • Aplikasi akan menggunakan tingkat akses yang ditetapkan oleh unit organisasi pengguna jika grup konfigurasi tidak menentukan tingkat akses untuk aplikasi.

Mendesain grup konfigurasi untuk Akses Kontekstual

Dibandingkan dengan setelan Google Workspace lainnya, cara kerja grup konfigurasi sedikit berbeda untuk Akses Kontekstual. Saat merancang grup dan kebijakan, ikuti informasi dan tips berikut:

Opsi untuk grup konfigurasi

Biasanya Anda dapat menentukan tingkat akses untuk unit organisasi, lalu menentukan tingkat akses khusus untuk grup konfigurasi. Misalnya, Anda dapat membuat grup konfigurasi untuk "Akses terbuka" atau "Akses kunci total" sehingga bisa dengan cepat memberikan atau membatasi akses pengguna tertentu.

Biasanya, Anda dapat menggunakan kombinasi grup konfigurasi:

Menggunakan grup pengguna yang ada

Anda dapat menetapkan tingkat akses untuk setiap aplikasi (misalnya Gmail atau Google Drive) di grup pengguna. Jika pengguna berada di beberapa grup, Anda dapat menetapkan grup yang menentukan setelan pengguna (yang dijelaskan nanti di bagian Prioritas).

Menerapkan tingkat akses langsung ke grup pengguna adalah opsi yang bagus untuk:

  • Menguji Akses Kontekstual.
  • Mengelola akses untuk grup pengguna tertentu, seperti staf IT atau tim yang ditugaskan di luar kantor.
  • Mengelola akses untuk organisasi yang memiliki kurang dari 50 pengguna atau sedikit tingkat akses. Anda tidak perlu membuat grup lainnya dan dapat menyesuaikan setelan untuk setiap grup pengguna.

Membuat grup konfigurasi berdasarkan tingkat akses

Atau, Anda dapat menetapkan tingkat akses untuk grup. Anda dapat membuat grup konfigurasi dan menetapkan tingkat akses untuk satu atau beberapa aplikasi. Kemudian, tambahkan grup pengguna sebagai anggota grup konfigurasi.

Organisasi yang lebih besar mungkin menganggap pendekatan ini berguna untuk mengelola kebijakan dan prioritas grup akses (yang dijelaskan di bawah).

Cara kerja prioritas dengan tingkat akses

Saat pengguna berada di beberapa grup konfigurasi, Anda dapat menetapkan grup konfigurasi yang memiliki prioritas dalam menentukan akses aplikasi pengguna.

Di konsol Google Admin, Anda harus memilih aplikasi terlebih dahulu untuk menampilkan daftar prioritas grupnya yang sesuai. Grup dicantumkan dari prioritas tertinggi hingga terendah. Grup konfigurasi baru selalu memiliki prioritas terendah, dan ditambahkan ke bagian bawah daftar grup konfigurasi.

Prioritas untuk Akses Kontekstual

Pengguna akan mendapatkan setelan aplikasi dari grup dengan prioritas tertinggi tempatnya berada. Jika grup tidak memiliki tingkat akses untuk aplikasi tertentu, tingkat akses grup prioritas tertinggi berikutnya milik pengguna akan digunakan, dan seterusnya.

Di konsol Admin, Anda dapat memeriksa grup atau unit organisasi yang menentukan tingkat akses aplikasi pengguna. Pada contoh di bawah, grup "Keamanan Drive" menetapkan akses Drive pengguna.

Aplikasi pengguna Tingkat akses Diwarisi dari
Google Kalender Jaringan perusahaan Unit organisasi: Penjualan
Drive Jaringan perusahaan, Keamanan perangkat Grup: Keamanan Drive
Gmail Keamanan perangkat Unit organisasi: Penjualan
Google Vault <tidak ada> <tidak ada>

Untuk kontrol yang lebih mendetail, Anda dapat menggunakan grup guna menyesuaikan tingkat akses bagi setiap aplikasi. Misalnya:

Aplikasi pengguna Tingkat akses Diwarisi dari
Kalender Jaringan perusahaan Unit organisasi: Penjualan
Drive Jaringan perusahaan, Keamanan perangkat Grup: Keamanan Drive
Gmail Keamanan perangkat, Indonesia Grup: Amerika Utara
Vault Perangkat dibatasi, Jaringan perusahaan Grup: Penyelidik Vault

Menerapkan prioritas ke grup konfigurasi

  • Pertimbangkan untuk menempatkan grup konfigurasi yang penting atau sensitif pada prioritas tinggi. Misalnya, grup prioritas utama Anda mungkin berupa grup "Akses Mendesak" yang mengganti grup yang membatasi akses.

  • Tingkat akses tidak ditambahkan ke semua grup dari seorang pengguna. Dalam contoh ini, pengguna termasuk dalam 3 grup pengguna, tetapi hanya grup konfigurasi prioritas tertinggi "Perangkat" yang menetapkan tingkat aksesnya.

Merencanakan dan merancang grup konfigurasi

Merencanakan struktur grup konfigurasi mungkin adalah langkah yang menghabiskan paling banyak waktu dan evaluasi.

Memberi nama dan menelusuri grup

Tetapkan standar penamaan grup untuk memudahkan penelusuran, penentuan prioritas, dan pengauditan. Misalnya, tambahkan awalan seperti "caa" untuk menunjukkan grup konfigurasi yang kontekstual. Selain itu, gunakan titik dan angka desimal untuk menghindari pengeditan nama grup yang sudah ada saat menambahkan grup konfigurasi.

1. Menelusuri menurut alamat grup

2. Melihat daftar grup
  • Menelusuri grup: Sebaiknya siapkan standar penamaan yang menyertakan nama setelan dan nomor prioritas, misalnya:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • Melihat grup: Panel Grup menampilkan nama grup (maksimum 37 karakter) dalam urutan prioritas. Mengarahkan kursor ke grup akan menampilkan nama lengkap. Contoh:

CAA p0.0 - Unrestricted access all apps
CAA p1.0 - Lockdown access
CAA p3.0 - Gmail IP corp & device security
CAA p3.1 - Gmail IP corp

Mengurutkan grup

Untuk terus melacak prioritas dan setelan:

  • Anda dapat menempatkan grup yang berlaku untuk paling sedikit pengguna atau menentukan kebijakan penting (seperti "Akses kunci total" "atau" "Semua akses") pada prioritas tertinggi.
  • Pertimbangkan prioritas di struktur grup Anda dan perhatikan grup bertingkat banyak, yang mungkin akan sulit untuk dilacak setelannya.

Membuat grup

Anda harus menggunakan grup yang dibuat di konsol Admin, Directory API, atau Google Cloud Directory Sync. Grup yang dibuat di Google Grup tidak dapat digunakan sebagai grup konfigurasi. (Konsol Admin tidak menunjukkan apakah grup dibuat di Google Grup.)

Anda dapat mengelola grup konfigurasi di alat mana pun. Anda mungkin menyetel izin yang ketat untuk menambahkan atau menghapus pengguna, menonaktifkan postingan ke grup, atau mencegah pengguna keluar dari grup (hanya tersedia di Groups API).

Menyiapkan grup konfigurasi

Sebelum memulai: Tentukan tingkat Akses Kontekstual dan buat grup konfigurasi Anda (sebaiknya berisi 1 atau 2 akun uji coba).

Langkah 1. Menerapkan grup konfigurasi

Anda memerlukan hak istimewa admin untuk Grup, Unit Organisasi (tingkat teratas), serta Pengelolaan tingkat Akses Keamanan Data dan Pengelolaan aturan.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Kontrol data dan akses lalu Akses Kontekstual.

    Memerlukan Hak istimewa pengelolaan aturan dan tingkat akses Keamanan data serta Hak istimewa baca untuk pengguna dan grup Admin API.

  2. Klik Tetapkan tingkat akses untuk melihat daftar aplikasi.
  3. Di bagian Akses Kontekstual, klik Grup.
  4. Pilih salah satu opsi:
    • Klik aplikasi. Grup konfigurasi yang sudah ada dengan tingkat akses yang ditetapkan untuk aplikasi Anda akan tercantum dalam urutan prioritas.
    • Klik Telusuri grup untuk meninjau daftar semua grup, tidak hanya grup konfigurasi. Anda dapat memasukkan teks untuk memfilter hasil.
  5. Klik grup yang diinginkan. Tabel aplikasi mencantumkan semua aplikasi dengan penetapan tingkat aksesnya.
    • Jika tidak ditemukan, grup tersebut mungkin dibuat di Google Grup. Anda harus membuat grup konfigurasi di konsol Admin, Directory API, atau Google Cloud Directory Sync.
    • Mulai dengan menambahkan grup konfigurasi dari prioritas tertinggi hingga terendah. Saat Anda menambahkan kebijakan grup baru untuk aplikasi, kebijakan tersebut akan ditempatkan di prioritas terendah.
  6. Klik satu atau beberapa aplikasi, lalu Tetapkan.
  7. Pilih tingkat akses untuk aplikasi dalam grup, lalu klik Simpan. Secara default, grup baru tidak memiliki tingkat akses yang ditetapkan.



    Untuk organisasi dengan beberapa jenis lisensi Google Workspace: Tingkat akses grup hanya berlaku untuk pengguna yang mendapatkan edisi Google Workspace yang menyertakan kontrol Akses Kontekstual.

Langkah 2. Memeriksa tingkat akses untuk pengguna

Anda memerlukan hak istimewa admin untuk Grup, Unit Organisasi (tingkat teratas), serta Pengelolaan tingkat Akses Keamanan Data dan Pengelolaan Aturan.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Kontrol data dan akses lalu Akses Kontekstual.

    Memerlukan Hak istimewa pengelolaan aturan dan tingkat akses Keamanan data serta Hak istimewa baca untuk pengguna dan grup Admin API.

  2. Di konsol Admin, buka halaman setelan untuk aplikasi tersebut.
  3. Di kiri atas, klik Pengguna.
  4. Klik Pilih pengguna, lalu masukkan alamat pengguna (bukan nama).
  5. Pilih pengguna untuk melihat setelan aplikasi mereka. Kolom Diwariskan dari menampilkan grup konfigurasi atau unit organisasi yang menentukan setelan pengguna.
  6. Arahkan kursor ke aplikasi, lalu klik Lihat untuk mengetahui detail tentang tingkat akses pengguna.

Catatan: Saat Anda melihat unit organisasi, tingkat Diwariskan hanya didasarkan pada setelan unit organisasi, bukan pada grup konfigurasi.

Menghapus grup konfigurasi

Anda memerlukan hak istimewa admin untuk Grup, Unit Organisasi (tingkat teratas), serta Pengelolaan tingkat Akses Keamanan Data dan Pengelolaan Aturan.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Kontrol data dan akses lalu Akses Kontekstual.

    Memerlukan Hak istimewa pengelolaan aturan dan tingkat akses Keamanan data serta Hak istimewa baca untuk pengguna dan grup Admin API.

  2. Klik Tetapkan tingkat akses untuk melihat daftar aplikasi.
  3. Di sebelah kiri, klik Grup.
  4. Klik grup yang akan dihapus.
  5. Pertama, Anda perlu membatalkan penetapan semua tingkat akses dari semua aplikasi dalam grup. Di panel Aplikasi, periksa setiap aplikasi satu per satu untuk memastikan semua tingkat akses tidak ditetapkan.

  6. Klik Tetapkan.
  7. Klik Hapus Centang Semua
  8. Klik Simpan.
Grup konfigurasi tidak akan muncul lagi dalam daftar Grup. Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut

Mengedit grup konfigurasi

Anda memerlukan hak istimewa admin untuk Grup, Unit Organisasi (tingkat teratas), serta Pengelolaan tingkat Akses Keamanan Data dan Pengelolaan Aturan.

  1. Di konsol Google Admin, buka Menu lalu Keamanan lalu Kontrol data dan akses lalu Akses Kontekstual.

    Memerlukan Hak istimewa pengelolaan aturan dan tingkat akses Keamanan data serta Hak istimewa baca untuk pengguna dan grup Admin API.

  2. Klik Tetapkan tingkat akses untuk melihat daftar aplikasi.
  3. Di sebelah kiri, klik Grup.
  4. Telusuri grup yang akan diedit.
  5. Di sebelah kanan, pilih aplikasi yang akan diedit, ditambahkan, atau dihapus.
  6. Klik Tetapkan.
  7. Perbarui penetapan tingkat untuk grup.
  8. Klik Simpan.
Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut

Pemecahan masalah

Saya tidak melihat grup konfigurasi di daftar Grup

  • Grup mungkin telah dibuat di Google Grup. Coba buat grup di konsol Admin.
  • Telusuri alamat email grup, bukan nama grup.
  • Coba muat ulang halaman setelan. Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut
  • Periksa apakah Anda memiliki hak istimewa admin untuk Grup.

Pengguna tidak memiliki tingkat akses yang benar

  • Periksa keanggotaan grup pengguna. Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut
  • Temukan grup konfigurasi yang menentukan setelan pengguna. Jika pengguna berada di beberapa grup konfigurasi, Anda mungkin perlu mengubah prioritas grup atau keanggotaan grup pengguna.
  • Pengguna mungkin tidak memiliki lisensi produk untuk fitur. Akses Kontekstual tersedia di edisi Google Workspace tertentu.
  • Jika pengguna tidak dapat mengakses aplikasi, mungkin tingkat akses yang diberikan ke aplikasi tersebut telah dihapus. Lihat membatalkan penetapan tingkat akses yang dihapus.

Meninjau perubahan pada Log audit

Tinjau peristiwa ini di Log audit Admin untuk perubahan pada setelan grup konfigurasi:

PERISTIWA: Perubahan Penetapan khusus Aplikasi tingkat Akses Kontekstual

Log dicatat saat Anda menerapkan atau menghapus grup konfigurasi. Peristiwa menggunakan nama grup, sehingga Anda mungkin menggunakan standar penamaan yang sama untuk nama grup dan alamat Anda.

Data yang disertakan dalam peristiwa grup:

Penetapan Tingkat Akses telah diubah dari []
menjadi [tingkat akses]. (application_name: {aplikasi}, group_name: {grup konfigurasi})

Misalnya, Anda dapat menerapkan grup konfigurasi CAA.02 local access ke aplikasi:

Penetapan Tingkat Akses telah diubah dari [] menjadi [IP Perusahaan, Perangkat].
(application_name: {GMAIL}, group_name: {CAA.02 akses lokal}

Saat Anda menghapus grup konfigurasi dari aplikasi:

Penetapan Tingkat Akses telah diubah dari [IP Perusahaan, Perangkat] menjadi [].
(application_name: {GMAIL}, group_name: {CAA.02 Akses Lokal}

Memahami grup konfigurasi dan warisan grup serta unit organisasi

Jika Anda membuat perubahan tingkat akses lokal di grup atau unit organisasi turunan, grup atau unit organisasi tersebut hanya akan memiliki tingkat akses yang diterapkan secara lokal dan tidak mewarisi tingkat akses apa pun dari organisasi induk.

Jika Anda menghapus semua tingkat akses yang ditetapkan secara lokal untuk memulihkan tingkat akses yang pertama kali diwariskan, unit organisasi turunan hanya memiliki tingkat akses yang diwariskan.

Misalnya, untuk unit organisasi, jika ada 3 tingkat akses yang ditetapkan untuk aplikasi di unit organisasi tingkat teratas, tingkat akses yang sama tersebut ditetapkan melalui warisan ke aplikasi di unit organisasi turunan jika unit organisasi turunan tidak memiliki penetapan lokal. Kemudian, jika Anda menambahkan tingkat akses hanya di unit organisasi turunan, tingkat akses tersebut adalah satu-satunya tingkat akses yang diterapkan ke unit organisasi turunan.

Mengganti penetapan tingkat akses yang diwariskan dengan kebijakan yang bersifat membatalkan

Misalnya, Anda tidak ingin memblokir akses pengguna di unit organisasi turunan—tidak ada penetapan tingkat akses. Anda dapat membuat tingkat akses dengan ekspresi lanjutan: true. Untuk mengetahui detailnya, buka Menentukan tingkat akses—Mode lanjutan.

Mengganti penetapan tingkat akses dengan grup konfigurasi

Anda dapat menggunakan grup konfigurasi untuk menetapkan tingkat akses ke sekelompok pengguna, bukan unit organisasi. Tingkat akses grup pengguna selalu menggantikan tingkat akses unit organisasi pengguna. Grup dapat menyertakan pengguna dari unit organisasi mana pun di akun Anda.

Misalnya, pengguna berada di unit organisasi dan Grup1. Unit organisasi adalah ParentOU, yang memiliki tingkat akses X yang ditetapkan untuk Gmail dan Kalender. Tidak ada penetapan tingkat akses bagi Grup1 untuk Gmail. Ada tingkat akses Y yang ditetapkan bagi Grup1 untuk Kalender. Dalam hal ini, pengguna memiliki tingkat akses X yang ditetapkan untuk Gmail (melalui warisan) dan Y yang ditetapkan untuk Kalender (dengan mengganti kebijakan lokal).