שימוש בבקרת גישה מבוססת-הקשר עם קבוצות הגדרות

קבוצות הגדרות מאפשרות להחיל רמות גישה מבוססות-הקשר על קבוצות של משתמשים ולא על יחידות ארגוניות. קבוצות ההגדרות יכולות לכלול משתמשים מכל יחידה ארגונית בעסק. לדוגמה, אפשר לאפשר לצוות של קבלנים גישה ל-Gmail רק ברשת הארגונית.

איך פועלות קבוצות הגדרות

  • קבוצות הגדרה יכולות לכלול כל משתמש בארגון. אפשר גם ליצור הגדרות לקבוצת משתמשים שמשמשת כמאגר לרמות גישה, ואז להוסיף את קבוצות המשתמשים (קבוצות משנה).
  • משתמש יכול להיות חבר בכמה קבוצות הגדרה, בניגוד ליחידות ארגוניות. אתם קובעים את העדיפות של קבוצות ההגדרות, והמשתמש מקבל את ההגדרה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה.
  • רמת הגישה של משתמש לקבוצה באפליקציה תמיד מבטלת את רמת הגישה של היחידה הארגונית שלו.
  • אם הגדרות לקבוצת משתמשים לא מציינות רמת גישה לאפליקציה, האפליקציה משתמשת ברמת הגישה שהוגדרה על ידי היחידה הארגונית של המשתמש.

תכנון קבוצות הגדרות לבקרת גישה מבוססת-הקשר

קבוצות ההגדרות פועלות בצורה קצת שונה בבקרת גישה מבוססת-הקשר בהשוואה להגדרות אחרות של Google Workspace. כשמעצבים את הקבוצות ואת המדיניות, כדאי להיעזר במידע ובטיפים הבאים:

אפשרויות לקבוצות הגדרה

בדרך כלל מגדירים רמות גישה ליחידות ארגוניות, ואז קובעים רמות גישה מותאמות אישית לקבוצות הגדרה. לדוגמה, יכול להיות שיש לכם קבוצות הגדרה של 'גישה פתוחה' או 'גישה מוגבלת', כדי שתוכלו להעניק או להגביל במהירות את הגישה של משתמשים ספציפיים.

בדרך כלל משתמשים בשילוב של הגדרות לקבוצות של משתמשים:

שימוש בקבוצות משתמשים קיימות

אתם קובעים את רמת הגישה לכל אפליקציה (לדוגמה, Gmail או Google Drive) בקבוצת המשתמשים. אם משתמש שייך לכמה קבוצות, אתם יכולים לקבוע איזו קבוצה תקבע את ההגדרות של המשתמש (כפי שמתואר בהמשך בקטע סדר עדיפויות).

הקצאת רמות גישה ישירות לקבוצות משתמשים היא אפשרות טובה במקרים הבאים:

  • בדיקה של בקרת גישה מבוססת-הקשר.
  • ניהול גישה לקבוצות משתמשים ספציפיות, כמו צוות IT או צוות במשימה מרוחקת.
  • ניהול גישה לארגונים עם פחות מ-50 משתמשים או עם מספר קטן של רמות גישה. אין צורך ליצור עוד קבוצות, ואפשר לשנות את ההגדרות לכל קבוצת משתמשים.

יצירת קבוצות הגדרות על סמך רמות גישה

אפשר גם להקצות רמות גישה לקבוצות. יוצרים הגדרות לקבוצת משתמשים ומקצים רמות גישה לאפליקציה או לאפליקציות. לאחר מכן מוסיפים קבוצות משתמשים כחברים בהגדרות לקבוצת משתמשים.

בארגונים גדולים, הגישה הזו יכולה להיות שימושית לניהול של כללי מדיניות וסדרי עדיפויות של קבוצות גישה (כפי שמתואר בהמשך).

איך עובדת העדיפות עם רמות גישה

כשמשתמש שייך לכמה הגדרות לקבוצת משתמשים, אתם קובעים לאיזו הגדרות לקבוצת משתמשים יש עדיפות בקביעת הגישה של המשתמש לאפליקציה.

במסוף Google Admin, קודם צריך לבחור אפליקציה כדי להציג את רשימת העדיפויות של הקבוצות שמתאימות לה. הקבוצות מופיעות בסדר יורד של עדיפות, מהגבוהה ביותר לנמוכה ביותר. לקבוצת הגדרות לקבוצת משתמשים חדשה תמיד יש את העדיפות הכי נמוכה, והיא מתווספת לתחתית של רשימת קבוצות ההגדרות לקבוצת משתמשים.

עדיפות לבקרת גישה מבוססת-הקשר

המשתמש מקבל את הגדרות האפליקציה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה. אם לקבוצה אין רמת גישה לאפליקציה מסוימת, המערכת משתמשת ברמת הגישה של הקבוצה הבאה עם העדיפות הכי גבוהה שהמשתמש שייך אליה, וכן הלאה.

במסוף Admin אפשר לבדוק איזו קבוצה או יחידה ארגונית קבעה את רמת הגישה של משתמש לאפליקציה. בדוגמה שלמטה, הגישה של המשתמש ל-Drive מוגדרת על ידי הקבוצה Drive Security.

האפליקציות של המשתמש רמות הגישה בהורשה מ:
יומן Google רשת החברה יחידה ארגונית: מכירות
Drive רשת החברה, אבטחת המכשיר קבוצה: אבטחת Drive
Gmail אבטחת המכשיר יחידה ארגונית: מכירות
Google Vault <none> <none>

כדי לשלוט ברמת דיוק גבוהה, אתם יכולים להשתמש בקבוצות כדי להתאים אישית את רמות הגישה לכל אפליקציה. לדוגמה:

האפליקציות של המשתמש רמות הגישה בהורשה מ:
יומן רשת החברה יחידה ארגונית: מכירות
Drive רשת החברה, אבטחת המכשיר קבוצה: אבטחת Drive
Gmail אבטחת המכשיר, קנדה קבוצה: צפון אמריקה
Vault המכשיר מוגבל, רשת החברה קבוצה: חוקר Vault

הגדרת עדיפות לקבוצות משתמשים

  • כדאי להגדיר עדיפות גבוהה לקבוצות משתמשים עם הגדרות קריטיות או רגישות. לדוגמה, קבוצת העדיפות הגבוהה ביותר יכולה להיות קבוצת 'גישה דחופה' שמבטלת את ההגבלות של כל קבוצה אחרת.

  • רמות הגישה לא מתווספות לקבוצות של המשתמש. בדוגמה הזו, משתמש שייך ל-3 קבוצות משתמשים, אבל רק הגדרות לקבוצת משתמשים עם העדיפות הכי גבוהה, מכשיר, מגדירה את רמת הגישה שלו.

תכנון ועיצוב של קבוצות הגדרות

תכנון המבנה של הגדרות לקבוצת משתמשים הוא השלב שסביר להניח ייקח הכי הרבה זמן וידרוש הכי הרבה בדיקות.

מתן שמות לקבוצות וחיפוש קבוצות

הגדרת תקן למתן שמות לקבוצות כדי להקל על החיפוש, על קביעת סדר העדיפויות ועל הביקורת. לדוגמה, מוסיפים קידומת כמו caa כדי לציין קבוצות הגדרות שמותאמות להקשר. בנוסף, כדאי להשתמש במקום עשרוני כדי להימנע מעריכה של שמות הקבוצות הקיימות כשמוסיפים קבוצת הגדרות.

1. חיפוש לפי כתובת אימייל של הקבוצה

2. הצגת רשימת הקבוצות
  • חיפוש קבוצה: כדאי להגדיר תקן למתן שמות שכולל את שם ההגדרה ומספר העדיפות, לדוגמה:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • הצגת הקבוצות: בחלונית Groups (קבוצות) מוצג שם הקבוצה (עד 37 תווים) לפי סדר העדיפות. כשמצביעים על קבוצה, השם המלא שלה מוצג. לדוגמה:

‫CAA p0.0 – גישה לא מוגבלת לכל האפליקציות
‫CAA p1.0 – גישה מוגבלת
‫CAA p3.0 – אבטחת מכשירים וכתובות IP של Gmail
‫CAA p3.1 – כתובות IP של Gmail

סידור קבוצות

כדי לעקוב אחרי העדיפות וההגדרות:

  • אפשר להגדיר את הקבוצות שחלות על הכי מעט משתמשים או להגדיר מדיניות קריטית (כמו 'גישה מוגבלת' או 'גישה מלאה') בעדיפות הכי גבוהה.
  • כדאי להביא בחשבון את העדיפות במבנה הקבוצות, ולשים לב לקבוצות עם קינון עמוק, כי יכול להיות שיהיה קשה לאתר את ההגדרות שלהן.

יצירת קבוצות

חובה להשתמש בקבוצות שנוצרו במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync. אי אפשר להשתמש בקבוצות שנוצרו ב'קבוצות Google' בתור הגדרות לקבוצות של משתמשים. (במסוף Admin לא מוצג אם קבוצה נוצרה בקבוצות Google).

אפשר לנהל את הגדרות לקבוצת משתמשים בכל כלי. אתם יכולים להגדיר הרשאות מחמירות כדי להוסיף או למחוק משתמשים, להשבית את האפשרות לפרסם בקבוצה או למנוע ממשתמשים לעזוב את הקבוצה (האפשרות הזו זמינה רק ב-Groups API).

הגדרת קבוצות הגדרות

לפני שמתחילים: מגדירים את רמות הגישה לפי הקשר ויוצרים קבוצות הגדרות (מומלץ לכלול בהן חשבון בדיקה אחד או שניים).

שלב 1. החלת הגדרות לקבוצת משתמשים

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה ואת כללי ניהול אבטחת הנתונים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. בקטע בקרת גישה מבוססת-הקשר, לוחצים על קבוצות.
  4. בוחרים אפשרות:
    • לוחצים על אפליקציה. כל קבוצות ההגדרות הקיימות שהוקצתה להן רמת גישה לאפליקציה מופיעות לפי סדר העדיפות.
    • לוחצים על חיפוש של קבוצה כדי לעיין ברשימה של כל הקבוצות, לא רק קבוצות ההגדרות. אפשר להזין טקסט כדי לסנן את התוצאות.
  5. לוחצים על הקבוצה. בטבלת האפליקציות מפורטות כל האפליקציות עם הקצאות רמות הגישה שלהן.
    • אם לא מצאתם את הקבוצה, יכול להיות שהיא נוצרה ב-Google Groups. צריך ליצור קבוצות הגדרה במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync.
    • מתחילים בהוספת קבוצות ההגדרות מהעדיפות הגבוהה ביותר לנמוכה ביותר. כשמוסיפים מדיניות חדשה לקבוצה עבור אפליקציה, היא ממוקמת בעדיפות הנמוכה ביותר.
  6. לוחצים על אפליקציה אחת או יותר ואז על הקצאה.
  7. בוחרים את רמות הגישה לאפליקציה בקבוצה ולוחצים על שמירה. כברירת מחדל, לקבוצה חדשה לא מוקצות רמות גישה.



    בארגונים עם כמה סוגים של רישיונות Google Workspace: רמות הגישה לקבוצות חלות רק על משתמשים שהוקצתה להם מהדורת Google Workspace שכוללת בקרת גישה מבוססת-הקשר.

שלב 2. איך בודקים את רמות הגישה של משתמש

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה ואכיפת כללים לאבטחת נתונים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. במסוף Admin, עוברים לדף ההגדרות של האפליקציה.
  3. בצד ימין למעלה, לוחצים על משתמשים.
  4. לוחצים על בחירת משתמש ומזינים את הכתובת של המשתמש (לא השם).
  5. בוחרים את המשתמש כדי לראות את הגדרות האפליקציה שלו. בעמודה התקבל בירושה מ מוצגת הגדרות לקבוצת משתמשים או היחידה הארגונית שקבעו את ההגדרות של המשתמש.
  6. מצביעים על אפליקציה ולוחצים על הצגה כדי לראות פרטים על רמות הגישה של המשתמש.

הערה: כשצופים ביחידה ארגונית, הרמות עברו בירושה מבוססות רק על ההגדרה של היחידה הארגונית, ולא על קבוצות הגדרה.

הסרה של קבוצת הגדרות לקבוצת משתמשים

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה ואכיפת כללים לאבטחת נתונים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. מימין, לוחצים על קבוצות.
  4. לוחצים על הקבוצה שרוצים להסיר.
  5. קודם מבטלים את ההקצאה של כל רמות הגישה מכל האפליקציות בקבוצה. בחלונית אפליקציות, בודקים כל אפליקציה בנפרד כדי לוודא שכל רמות הגישה לא הוקצו.

  6. לוחצים על הקצאה.
  7. לוחצים על ביטול הסימון של הכול.
  8. לוחצים על שמירה.
הגדרות לקבוצת משתמשים לא מופיעה יותר ברשימת הקבוצות. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

עריכה של קבוצת הגדרות

אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה ואכיפת כללים לאבטחת נתונים.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז שליטה בגישה ובנתונים ואז גישה מודעת-הקשר.

    נדרשות הרשאות גישה לאבטחת מידע וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.

  2. לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
  3. מימין, לוחצים על קבוצות.
  4. מחפשים את הקבוצה שרוצים לערוך.
  5. בצד שמאל, בוחרים את האפליקציות שרוצים לערוך, להוסיף או להסיר.
  6. לוחצים על הקצאה.
  7. מעדכנים את הקצאות הרמה לקבוצה.
  8. לוחצים על שמירה.
השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף

פתרון בעיות

הגדרות לקבוצת משתמשים לא מופיעות ברשימת הקבוצות

  • יכול להיות שהקבוצה נוצרה בקבוצות Google. כדאי לנסות ליצור קבוצה במסוף Admin.
  • מחפשים את כתובת האימייל של הקבוצה ולא את השם שלה.
  • מנסים לרענן את דף ההגדרות. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף
  • צריכות להיות לכם הרשאות אדמין בקבוצות.

למשתמש אין את רמת הגישה הנכונה

  • בודקים את חברי הקבוצה של משתמש. השינויים ייכנסו לתוקף תוך 24 שעות, ובדרך כלל תוך זמן קצר בהרבה. מידע נוסף
  • מוצאים את הגדרות לקבוצת משתמשים שקובעת את ההגדרות של המשתמש. אם המשתמש שייך לכמה קבוצות הגדרות, יכול להיות שתצטרכו לשנות את סדר העדיפויות של הקבוצות או את חברי הקבוצה של המשתמש.
  • יכול להיות שלמשתמש אין רישיון למוצר שכולל את התכונה. בקרת גישה מבוססת-הקשר זמינה במהדורות מסוימות של Google Workspace.
  • אם המשתמש לא יכול לגשת לאפליקציה, יכול להיות שהוקצתה לאפליקציה רמת גישה שנמחקה. כדאי לעיין במאמר בנושא הסרת רמת גישה שנמחקה.

בדיקת השינויים ביומן הביקורת

כדי לראות שינויים בהגדרות לקבוצת משתמשים, בודקים את האירועים האלה ביומן הביקורת של האדמין:

אירוע: שינוי בהקצאות ספציפיות לאפליקציות ברמה של בקרת גישה מבוססת הקשר

מתועד כשמחילים או מסירים הגדרות לקבוצת משתמשים. האירוע משתמש בשם הקבוצה, ולכן כדאי להשתמש באותו תקן למתן שמות גם לשם הקבוצה וגם לכתובת.

הנתונים שכלולים באירוע קבוצתי:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: []
ההקצאות החדשות: [access levels]. (application_name: {app}, group_name: {configuration group})

לדוגמה, אתם מחילים את הגדרות לקבוצת משתמשים CAA.02 local access על אפליקציה:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: [] ההקצאות החדשות: [Company IP, Device].
(application_name: {GMAIL}, group_name: {CAA.02 local access}

כשמסירים את קבוצת ההגדרות מאפליקציה:

השתנו ההקצאות של רמת גישה. ההקצאות הישנות: [Company IP, Device] ההקצאות החדשות: [].
(application_name: {GMAIL}, group_name: {CAA.02 Local Access}

הסבר על יחידות ארגוניות, על קבוצות, על קבוצות הגדרה ועל ירושה

אם מבצעים שינויים ברמת הגישה המקומית ביחידת בת ארגונית או בקבוצה, הן יקבלו רק את רמות הגישה שחלות באופן מקומי ולא יקבלו בירושה רמות גישה מהארגון האב.

אם מסירים את כל רמות הגישה שהוקצו באופן מקומי כדי לשחזר את רמות הגישה המקוריות שהתקבלו בירושה, ליחידת בת ארגונית יש רק את רמות הגישה שהתקבלו בירושה.

לדוגמה, ביחידות ארגוניות, אם יש 3 רמות גישה שמוקצות לאפליקציה ביחידה ארגונית ברמה העליונה, אותן רמות גישה מוקצות באמצעות ירושה לאפליקציה ביחידת בת ארגונית, אם לא הוקצו הרשאות מקומיות ליחידת הבת הארגונית. אם לאחר מכן תוסיפו רמת גישה רק ביחידת הבת הארגונית, זו תהיה רמת הגישה היחידה שתחול על יחידת הבת הארגונית.

ביטול ההקצאות של רמות הגישה שעברו בירושה באמצעות מדיניות null

נניח שאתם לא רוצים לחסום את הגישה של משתמשים ביחידה ארגונית ברמת צאצא – לא מוקצות רמות גישה. יוצרים רמת גישה בשם Any עם 2 תנאים של רשת משנה של כתובות IP ומצמידים את התנאים באמצעות OR:

  • טווח תת-רשת IPv4‏ 0.0.0.0/0
    או
  • טווח רשתות משנה של IPv6‏ 0::‎/0

משתמש בארגון מקבל גישה מכל כתובת IPv4 או IPv6.

שינוי ההקצאות של רמות הגישה באמצעות הגדרות לקבוצת משתמשים

אפשר להשתמש בהגדרות לקבוצת משתמשים כדי להקצות רמות גישה לקבוצות של משתמשים במקום ליחידות ארגוניות. רמת הגישה של משתמש לקבוצה תמיד מבטלת את רמת הגישה של המשתמש ליחידה הארגונית. הקבוצות יכולות לכלול משתמשים מכל יחידה ארגונית בחשבון.

לדוגמה, משתמש ששייך ליחידה ארגונית ולקבוצה 1. היחידה הארגונית היא ParentOU, ומוקצית לה רמת גישה X גם ל-Gmail וגם ליומן Google. לא הוקצתה רמת גישה לקבוצה Group1 עבור Gmail. הוקצתה רמת גישה Y לקבוצה Group1 ליומן. במקרה הזה, למשתמש מוקצית רמת גישה X ל-Gmail (דרך ירושה) ורמת גישה Y ליומן (על ידי ביטול המדיניות המקומית).