שימוש בבקרת גישה מבוססת-הקשר עם קבוצות הגדרות

קבוצות הגדרות מאפשרות להחיל רמות גישה מבוססות-הקשר על קבוצות של משתמשים ולא על יחידות ארגוניות. קבוצות הגדרות יכולות לכלול משתמשים מכל יחידה ארגונית בעסק. לדוגמה, אפשר לאפשר לצוות של קבלנים לגשת ל-Gmail רק ברשת הארגונית.

איך פועלות קבוצות הגדרות

קבוצות הגדרה יכולות לכלול כל משתמש בארגון. בנוסף, אתם יכולים ליצור הגדרות לקבוצת משתמשים שמשמשת כמאגר לרמות גישה, ואז להוסיף את קבוצות המשתמשים שלכם (קבוצות משנה).
משתמש יכול להשתייך לכמה קבוצות הגדרות, בניגוד ליחידות ארגוניות. אתם קובעים את העדיפות של קבוצות ההגדרות, והמשתמש מקבל את ההגדרה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה.
רמת הגישה של משתמש לקבוצה באפליקציה תמיד מבטלת את רמת הגישה של היחידה הארגונית שלו.
אם הגדרות לקבוצת משתמשים לא מציינות רמת גישה לאפליקציה, האפליקציה משתמשת ברמת הגישה שהוגדרה על ידי היחידה הארגונית של המשתמש.

תכנון קבוצות הגדרות לבקרת גישה מבוססת-הקשר

קבוצות הגדרה פועלות בצורה קצת שונה בבקרת גישה מבוססת-הקשר בהשוואה להגדרות אחרות של Google Workspace. כשמעצבים את הקבוצות ואת כללי המדיניות, כדאי להיעזר במידע ובטיפים הבאים:

אפשרויות לקבוצות הגדרה

בדרך כלל מגדירים רמות גישה ליחידות ארגוניות, ואז קובעים רמות גישה מותאמות אישית לקבוצות הגדרה. לדוגמה, יכול להיות שיש לכם קבוצות הגדרות ל'גישה פתוחה' או ל'גישה מוגבלת', כדי שתוכלו להעניק או להגביל במהירות את הגישה של משתמשים ספציפיים.

בדרך כלל משתמשים בשילוב של הגדרות לקבוצות של משתמשים:

שימוש בקבוצות משתמשים קיימות

אתם קובעים את רמת הגישה לכל אפליקציה (לדוגמה, Gmail או Google Drive) בקבוצת המשתמשים. אם משתמש שייך לכמה קבוצות, אתם יכולים להגדיר איזו קבוצה תקבע את ההגדרות של המשתמש (כפי שמתואר בהמשך בקטע סדר עדיפויות).

הקצאת רמות גישה ישירות לקבוצות משתמשים היא אפשרות טובה במקרים הבאים:

בדיקה של בקרת גישה מבוססת-הקשר.
ניהול גישה לקבוצות משתמשים ספציפיות, כמו צוות IT או צוות שמוקצה למשימה מרחוק.
ניהול גישה בארגונים עם פחות מ-50 משתמשים או עם מספר קטן של רמות גישה. אין צורך ליצור עוד קבוצות, ואפשר לשנות את ההגדרות לכל קבוצת משתמשים.

יצירת קבוצות הגדרה על סמך רמות גישה

אפשר גם להקצות רמות גישה לקבוצות. יוצרים הגדרות לקבוצת משתמשים ומקצים רמות גישה לאפליקציה או לאפליקציות. לאחר מכן מוסיפים קבוצות משתמשים כחברים בקבוצת ההגדרות.

ארגונים גדולים יכולים להשתמש בגישה הזו כדי לנהל את המדיניות ואת סדרי העדיפויות של קבוצות הגישה (כפי שמתואר בהמשך).

איך עובדת העדיפות עם רמות גישה

כאשר משתמש שייך למספר הגדרות לקבוצת משתמשים, אתם קובעים לאיזו הגדרות לקבוצת משתמשים יש עדיפות בקביעת הגישה של המשתמש לאפליקציות.

במסוף Google Admin, קודם צריך לבחור אפליקציה כדי להציג את רשימת העדיפויות של הקבוצות שמתאימות לה. הקבוצות מופיעות בסדר יורד של עדיפות, מהגבוהה ביותר לנמוכה ביותר. לקבוצת הגדרות חדשה תמיד יש את העדיפות הכי נמוכה, והיא מתווספת לתחתית של רשימת קבוצות ההגדרות.

עדיפות לבקרת גישה מבוססת-הקשר

המשתמש מקבל את הגדרות האפליקציה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה. אם לקבוצה אין רמת גישה לאפליקציה מסוימת, המערכת משתמשת ברמת הגישה של הקבוצה הבאה עם העדיפות הכי גבוהה שהמשתמש שייך אליה, וכן הלאה.

במסוף Admin אפשר לבדוק איזו קבוצה או יחידה ארגונית קבעה את רמת הגישה של משתמש לאפליקציה. בדוגמה שלמטה, הגישה של המשתמש ל-Drive מוגדרת על ידי הקבוצה Drive Security.

האפליקציות של המשתמש	רמות גישה	עבר בירושה
‫ יומן Google	רשת החברה	יחידה ארגונית: מכירות
Drive	רשת החברה, אבטחת המכשיר	קבוצה: אבטחה ב-Drive
‫ Gmail	אבטחת המכשיר	יחידה ארגונית: מכירות
‫ Google Vault	<none>	<none>

כדי לשלוט ברמת דיוק גבוהה, אתם יכולים להשתמש בקבוצות כדי להתאים אישית את רמות הגישה לכל אפליקציה. לדוגמה:

האפליקציות של המשתמש	רמות גישה	עבר בירושה
יומן	רשת החברה	יחידה ארגונית: מכירות
Drive	רשת החברה, אבטחת המכשיר	קבוצה: אבטחה ב-Drive
‫ Gmail	אבטחת המכשיר, קנדה	קבוצה: צפון אמריקה
‫ Vault	המכשיר מוגבל, רשת החברה	קבוצה: חוקר Vault

הגדרת עדיפות לקבוצות משתמשים

כדאי להגדיר עדיפות גבוהה לקבוצות של הגדרות קריטיות או רגישות. לדוגמה, קבוצת העדיפות הגבוהה ביותר יכולה להיות קבוצת 'גישה דחופה' שמבטלת את ההגבלות של כל קבוצה אחרת.
רמות הגישה לא מתווספות לקבוצות של המשתמש. בדוגמה הזו, משתמש שייך ל-3 קבוצות משתמשים, אבל רק הגדרות לקבוצת משתמשים עם העדיפות הכי גבוהה, מכשיר, מגדירה את רמת הגישה שלו.

תכנון ועיצוב של קבוצות הגדרות

תכנון המבנה של קבוצת ההגדרות הוא השלב שסביר להניח ייקח הכי הרבה זמן וידרוש הכי הרבה בדיקות.

מתן שמות לקבוצות וחיפוש קבוצות

כדאי להגדיר תקן למתן שמות לקבוצות כדי שיהיה קל יותר לחפש, לתעדף ולבדוק אותן. לדוגמה, מוסיפים קידומת כמו caa כדי לציין קבוצות הגדרות שמותאמות להקשר. בנוסף, כדאי להשתמש במקום עשרוני כדי להימנע מעריכה של שמות הקבוצות הקיימות כשמוסיפים קבוצת הגדרות.

			חיפוש לפי כתובת אימייל של קבוצה
			הצגת רשימת הקבוצות

<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>

<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>

<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>

<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>

<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>

<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

הגדרת קבוצות הגדרות

לפני שמתחילים: מגדירים את רמות בקרת הגישה מבוססת-הקשר ויוצרים את קבוצות ההגדרות (רצוי שיהיו בהן חשבון בדיקה אחד או שניים).

שלב 1. החלת הגדרות לקבוצת משתמשים

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה ואדמיניסטרציה של כללים לאבטחת נתונים.

במסוף Google Admin, נכנסים לתפריט אבטחה שליטה בגישה ובנתונים גישה מודעת-הקשר.

מעבר לבקרת גישה מבוססת-הקשר

נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.
לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
בקטע בקרת גישה מבוססת-הקשר, לוחצים על קבוצות.
בוחרים מבין האפשרויות הבאות:
- לוחצים על אפליקציה. כל קבוצות ההגדרות הקיימות שהוקצתה להן רמת גישה לאפליקציה מופיעות לפי סדר העדיפות.
- לוחצים על חיפוש של קבוצה כדי לעיין ברשימה של כל הקבוצות, לא רק קבוצות ההגדרות. אפשר להזין טקסט כדי לסנן את התוצאות.
לוחצים על הקבוצה. בטבלת האפליקציות מפורטות כל האפליקציות עם הקצאות רמות הגישה שלהן.
- אם לא מצאתם את הקבוצה, יכול להיות שהיא נוצרה ב-קבוצות Google. צריך ליצור קבוצות הגדרה במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync.
- מתחילים בהוספת קבוצות ההגדרות מהעדיפות הגבוהה ביותר לנמוכה ביותר. כשמוסיפים מדיניות חדשה לקבוצה עבור אפליקציה, היא ממוקמת בעדיפות הנמוכה ביותר.
לוחצים על אפליקציה אחת או יותר ואז על הקצאה.
בוחרים את רמות הגישה לאפליקציה בקבוצה ולוחצים על שמירה. כברירת מחדל, לקבוצה חדשה לא מוקצות רמות גישה.

בארגונים עם כמה סוגים של רישיונות Google Workspace: רמות הגישה לקבוצות חלות רק על משתמשים שהוקצתה להם מהדורת Google Workspace שכוללת בקרת גישה מודעת-הקשר.

שלב 2. איך בודקים את רמות הגישה של משתמש

<div>
  <p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu    Security  Access and data control  Context-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

במסוף Admin, עוברים לדף ההגדרות של האפליקציה.

בפינה הימנית העליונה, לוחצים על משתמשים.

לוחצים על בחירת משתמש ומזינים את הכתובת של המשתמש (לא השם).

בוחרים את המשתמש כדי לראות את הגדרות האפליקציה שלו. בעמודה התקבל בירושה מ מוצגת הגדרות לקבוצת משתמשים או היחידה הארגונית שקבעו את ההגדרות של המשתמש.

מצביעים על אפליקציה ולוחצים על הצגה כדי לראות פרטים על רמות הגישה של המשתמש.

  <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

הסרה של הגדרות לקבוצת משתמשים

<div>
  <p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu    Security  Access and data control  Context-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.

מימין, לוחצים על קבוצות.

לוחצים על הקבוצה שרוצים להסיר.

קודם מבטלים את ההקצאה של כל רמות הגישה מכל האפליקציות בקבוצה. בחלונית אפליקציות, בודקים כל אפליקציה בנפרד כדי לוודא שכל רמות הגישה לא מוקצות.

לוחצים על הקצאה.

לוחצים על ביטול הסימון של הכול.

לוחצים על שמירה.

הגדרות לקבוצת משתמשים כבר לא מופיעה ברשימת הקבוצות. יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

עריכה של הגדרות לקבוצת משתמשים

<div>
  <p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu    Security  Access and data control  Context-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.

מימין, לוחצים על קבוצות.

מחפשים את הקבוצה שרוצים לערוך.

בצד שמאל, בוחרים את האפליקציות שרוצים לערוך, להוסיף או להסיר.

לוחצים על הקצאה.

מעדכנים את הקצאות הרמה לקבוצה.

לוחצים על שמירה.

  <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

פתרון בעיות

<div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="/admin/users/make-a-user-an-admin" target="_blank">admin privileges</a> for Groups.</li>

  <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="/admin/security/assign-context-aware-access-levels-to-apps" target="_blank">remove a deleted access level</a>.</li>

בדיקת השינויים ביומן הביקורת

<div>
  <p>Review these events in the <a href="/admin/reports/admin-log-events" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>

        <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>

        <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

הסבר על יחידות ארגוניות, על קבוצות, על קבוצות הגדרה ועל ירושה

אם מבצעים שינויים ברמת הגישה המקומית ביחידת בת ארגונית או בקבוצה, יש לה רק את רמות הגישה שחלות באופן מקומי, והיא לא יורשת רמות גישה מהארגון האב.

אם מסירים את כל רמות הגישה שהוקצו באופן מקומי כדי לשחזר את רמות הגישה שהתקבלו בירושה במקור, ליחידת בת ארגונית יש רק את רמות הגישה שהתקבלו בירושה.

לדוגמה, אם יש 3 רמות גישה שמוקצות לאפליקציה ביחידה ארגונית ברמה העליונה, אותן רמות גישה מוקצות לאפליקציה ביחידת בת ארגונית באמצעות ירושה, אם ליחידת הבת הארגונית אין הקצאה מקומית. אם לאחר מכן תוסיפו רמת גישה רק ביחידת בת ארגונית, זו תהיה רמת הגישה היחידה שתחול על יחידת בת ארגונית.

ביטול ההקצאות של רמות הגישה שעברו בירושה באמצעות מדיניות null

נניח שאתם לא רוצים לחסום את הגישה של אף משתמש ביחידת בת ארגונית – לא מוקצות רמות גישה. יוצרים רמת גישה בשם Any (כלשהי) עם 2 תנאים של רשתות משנה של כתובות IP ומצרפים את התנאים באמצעות OR:

טווח תת-רשת IPv4‏ 0.0.0.0/0
או
טווח רשתות משנה של IPv6‏ 0::‎/0

משתמש בארגון מקבל גישה מכל כתובת IPv4 או IPv6.

שינוי ההקצאות של רמות הגישה באמצעות הגדרות לקבוצת משתמשים

אפשר להשתמש בקבוצות הגדרות כדי להקצות רמות גישה לקבוצות של משתמשים במקום ליחידות ארגוניות. רמת הגישה של משתמש לקבוצה תמיד מבטלת את רמת הגישה של המשתמש ליחידה הארגונית. הקבוצות יכולות לכלול משתמשים מכל יחידה ארגונית בחשבון.

לדוגמה, משתמש ששייך ליחידה ארגונית ולקבוצה 1. היחידה הארגונית היא ParentOU, ורמת הגישה שהוקצתה לה היא X גם ל-Gmail וגם ליומן. לא הוקצתה רמת גישה לקבוצה Group1 עבור Gmail. הוקצתה רמת גישה Y לקבוצה Group1 ליומן. במקרה הזה, למשתמש יש רמת גישה X שמוקצית ל-Gmail (דרך ירושה) ורמת גישה Y שמוקצית ליומן (על ידי ביטול המדיניות המקומית).

שימוש בבקרת גישה מבוססת-הקשר עם קבוצות הגדרות קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.