Usa el acceso adaptado al contexto con grupos de configuración

Con los grupos de configuración, puedes aplicar niveles de acceso adaptado al contexto a grupos de usuarios en lugar de unidades organizativas. Los grupos de configuración pueden incluir usuarios de cualquier unidad organizacional de tu empresa. Por ejemplo, permite que un equipo de contratistas acceda a Gmail solo en tu red corporativa.

Cómo funcionan los grupos de configuración

  • Los grupos de configuración pueden contener cualquier usuario de tu organización. También puedes crear un grupo de configuración que actúe como contenedor para los niveles de acceso y, luego, agregar tus grupos de usuarios (grupos anidados).
  • Un usuario puede pertenecer a varios grupos de configuración, a diferencia de las unidades organizativas. Tú estableces la prioridad de los grupos de configuración, y el usuario obtiene el parámetro de configuración del grupo de mayor prioridad al que pertenece.
  • El nivel de acceso de un usuario a un grupo para una app siempre anula el nivel de acceso de su unidad organizativa.
  • Si un grupo de configuración no especifica un nivel de acceso para una app, esta usará el nivel de acceso establecido por la unidad organizativa del usuario.

Diseña grupos de configuración para el acceso adaptado al contexto

Los grupos de configuración funcionan de manera un poco diferente para el Acceso adaptado al contexto en comparación con otros parámetros de configuración de Google Workspace. Cuando diseñes tus grupos y políticas, sigue esta información y las sugerencias:

Opciones para grupos de configuración

Por lo general, defines los niveles de acceso para las unidades organizacionales y, luego, determinas los niveles de acceso personalizados para los grupos de configuración. Por ejemplo, puedes tener grupos de configuración para "Acceso abierto" o "Acceso restringido" para otorgar o limitar rápidamente el acceso de usuarios específicos.

Por lo general, usarás una combinación de grupos de configuración:

Usa tus grupos de usuarios existentes

En el grupo de usuarios, debes establecer el nivel de acceso para cada app (por ejemplo, Gmail o Google Drive). Si un usuario pertenece a varios grupos, puedes establecer qué grupo determina la configuración del usuario (se describe más adelante en la sección Prioridad).

Aplicar niveles de acceso directamente a los grupos de usuarios es una buena opción para los siguientes casos:

  • Probar el acceso adaptado al contexto.
  • Administrar el acceso para grupos específicos de usuarios, como el personal de TI o un equipo en una asignación remota
  • Administrar el acceso para organizaciones con menos de 50 usuarios o una pequeña cantidad de niveles de acceso No es necesario que crees más grupos, y puedes ajustar la configuración de cada grupo de usuarios.

Crea grupos de configuración según los niveles de acceso

Como alternativa, puedes asignar niveles de acceso a grupos. Creas un grupo de configuración y asignas niveles de acceso para una o varias apps. Luego, agrega grupos de usuarios como miembros del grupo de configuración.

Las organizaciones más grandes pueden encontrar útil este enfoque para administrar las políticas y prioridades de los grupos de acceso (que se describen a continuación).

Cómo funciona la prioridad con los niveles de acceso

Cuando un usuario pertenece a varios grupos de configuración, debes establecer qué grupo de configuración tiene prioridad para determinar el acceso del usuario a la app.

En la Consola del administrador de Google, primero debes seleccionar una aplicación para que se muestre su lista de prioridad de grupos correspondiente. Los grupos se enumeran de la prioridad más alta a la más baja. Un grupo de configuración nuevo siempre tiene la prioridad más baja y se agrega a la parte inferior de una lista de grupos de configuración.

Prioridad del Acceso adaptado al contexto

Un usuario obtiene la configuración de la app del grupo al que pertenece y que tiene la prioridad más alta. Si el grupo no tiene un nivel de acceso para una app en particular, se usa el nivel de acceso del siguiente grupo de mayor prioridad del usuario, y así sucesivamente.

En la Consola del administrador, puedes verificar qué grupo o unidad organizativa determinó el nivel de acceso a las apps de un usuario. En el siguiente ejemplo, el grupo "Seguridad de Drive" establece el acceso del usuario a Drive.

Apps del usuario Niveles de acceso Heredado de
Calendario de Google Red de empresas Unidad organizativa: Ventas
 Drive Red de la empresa y seguridad del dispositivo Grupo: Seguridad de Drive
Gmail Seguridad del dispositivo Unidad organizativa: Ventas
Google Vault <none> <none>

Para tener un control detallado, puedes usar grupos para personalizar los niveles de acceso de cada app. Por ejemplo:

Apps del usuario Niveles de acceso Heredado de
Calendario Red de empresas Unidad organizativa: Ventas
 Drive Red de la empresa y seguridad del dispositivo Grupo: Seguridad de Drive
Gmail Seguridad del dispositivo, GEG de Canadá Grupo: Norteamérica
Vault Dispositivo restringido, red de la empresa Grupo: Investigador de Vault

Aplica prioridad a los grupos de configuración

  • Considera colocar los grupos de configuración críticos o sensibles con alta prioridad. Por ejemplo, tu grupo de prioridad más alta podría ser un grupo de "Acceso Urgente" que anule cualquier grupo que limite el acceso.

  • Los niveles de acceso no se suman en los grupos de un usuario. En este ejemplo, un usuario pertenece a 3 grupos de usuarios, pero solo su grupo de configuración de mayor prioridad, "Dispositivo", establece su nivel de acceso.

Planificación y diseño de grupos de configuración

Planificar la estructura de tu grupo de configuración es probablemente el paso que más tiempo y revisión requiere.

Cómo nombrar y buscar grupos

Establece un estándar de nomenclatura de grupos para facilitar la búsqueda, la priorización y la auditoría. Por ejemplo, agrega un prefijo como "caa" para indicar grupos de configuración que tienen en cuenta el contexto. Además, usa un decimal para evitar editar los nombres de los grupos existentes cuando agregues un grupo de configuración.

1. Busca por dirección de grupo

2. Ver la lista de grupos
  • Buscar un grupo: Es posible que desees configurar un estándar de nomenclatura que incluya el nombre del parámetro de configuración y el número de prioridad, por ejemplo:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • Ver los grupos: En el panel Grupos, se muestra el nombre del grupo (máximo de 37 caracteres) en orden de prioridad. Si apuntas a un grupo, se muestra el nombre completo. Por ejemplo:

CAA p0.0: Acceso sin restricciones a todas las apps
CAA p1.0: Acceso de bloqueo
CAA p3.0: Seguridad de IP corporativa y de dispositivos de Gmail
CAA p3.1: IP corporativa de Gmail

Cómo ordenar grupos

Para hacer un seguimiento de la prioridad y la configuración, haz lo siguiente:

  • Puedes colocar los grupos que se aplican a la menor cantidad de usuarios o definir políticas críticas (como "Acceso de bloqueo" o "Todo el acceso") con la prioridad más alta.
  • Ten en cuenta la prioridad en la estructura de tu grupo y presta atención a los grupos anidados profundamente, ya que puede ser difícil rastrear su configuración.

Cómo crear grupos

Debes usar los grupos creados en la Consola del administrador, la API de Directory o Google Cloud Directory Sync. Los grupos creados en Grupos de Google no se pueden usar como grupos de configuración. (La Consola del administrador no muestra si se creó un grupo en Grupos de Google).

Puedes administrar el grupo de configuración en cualquier herramienta. Puedes establecer permisos estrictos para agregar o borrar usuarios, desactivar las publicaciones en el grupo o impedir que los usuarios abandonen el grupo (solo disponible en la API de Groups).

Cómo configurar grupos de configuración

Antes de comenzar: Define los niveles de acceso adaptado al contexto y crea tus grupos de configuración (preferentemente, que contengan 1 o 2 cuentas de prueba).

Paso 1. Aplica un grupo de configuración

Necesitas privilegios de administrador para los grupos, las unidades organizativas (nivel superior) y la administración del nivel de acceso y la administración de reglas de seguridad de los datos.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Acceso adaptado al contexto.

    Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.

  2. Haz clic en Asignar niveles de acceso para ver la lista de apps.
  3. En la sección Acceso adaptado al contexto, haz clic en Grupos.
  4. Elija una opción:
    • Haz clic en una app. Los grupos de configuración existentes que tienen un nivel de acceso asignado para tu app se enumeran en orden de prioridad.
    • Haz clic en Buscar un grupo para revisar una lista de todos los grupos, no solo los de configuración. Puedes ingresar texto para filtrar los resultados.
  5. Haz clic en el grupo. En la tabla de aplicaciones, se enumeran todas las aplicaciones con sus asignaciones de nivel de acceso.
    • Si no encuentras tu grupo, es posible que se haya creado en Google Groups. Debes crear grupos de configuración en la Consola del administrador, la API de Directory o Google Cloud Directory Sync.
    • Comienza por agregar tus grupos de configuración desde la prioridad más alta hasta la más baja. Cuando agregas una política de grupo nueva para una app, se coloca en la prioridad más baja.
  6. Haz clic en una o más apps y, luego, en Asignar.
  7. Selecciona los niveles de acceso para la app en el grupo y haz clic en Guardar. De forma predeterminada, un grupo nuevo no tiene niveles de acceso asignados.



    Para organizaciones con varios tipos de licencias de Google Workspace: Los niveles de acceso al grupo solo se aplican a los usuarios a los que se les asignó una edición de Google Workspace que incluye el control de acceso adaptado al contexto.

Paso 2. Cómo verificar los niveles de acceso de un usuario

Necesitas privilegios de administrador para Grupos, unidades organizativas (nivel superior) y administración de niveles de acceso y administración de reglas de seguridad de datos.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Acceso adaptado al contexto.

    Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.

  2. En la Consola del administrador, ve a la página de configuración de la app.
  3. En la esquina superior izquierda, haz clic en Usuarios.
  4. Haz clic en Seleccionar un usuario y, luego, ingresa la dirección del usuario (no su nombre).
  5. Selecciona el usuario para ver la configuración de la app. En la columna Heredado de, se muestra el grupo de configuración o la unidad organizativa que determinaron la configuración del usuario.
  6. Apunta a una app y haz clic en Ver para obtener detalles sobre los niveles de acceso del usuario.

Nota: Cuando ves una unidad organizativa, los niveles Heredado se basan solo en la configuración de la unidad organizativa, no en los grupos de configuración.

Cómo quitar un grupo de configuración

Necesitas privilegios de administrador para Grupos, unidades organizativas (nivel superior) y administración de niveles de acceso y administración de reglas de seguridad de datos.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Acceso adaptado al contexto.

    Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.

  2. Haz clic en Asignar niveles de acceso para ver la lista de apps.
  3. A la izquierda, haz clic en Grupos.
  4. Haz clic en el grupo que quieras quitar.
  5. Primero, anula la asignación de todos los niveles de acceso de todas las apps del grupo. En el panel Apps, verifica cada aplicación una por vez para asegurarte de que no se haya asignado ningún nivel de acceso.

  6. Haz clic en Asignar.
  7. Haz clic en Desmarcar todo.
  8. Haz clic en Guardar.
El grupo de configuración ya no aparece en la lista de grupos. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Cómo editar un grupo de configuración

Necesitas privilegios de administrador para Grupos, unidades organizativas (nivel superior) y administración de niveles de acceso y administración de reglas de seguridad de datos.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Acceso adaptado al contexto.

    Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.

  2. Haz clic en Asignar niveles de acceso para ver la lista de apps.
  3. A la izquierda, haz clic en Grupos.
  4. Busca el grupo que deseas editar.
  5. A la derecha, selecciona las apps que quieras editar, agregar o quitar.
  6. Haz clic en Asignar.
  7. Actualiza las asignaciones de nivel para el grupo.
  8. Haz clic en Guardar.
Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Solución de problemas

No veo el grupo de configuración en la lista de grupos

  • Es posible que el grupo se haya creado en Grupos de Google. Intenta crear un grupo en la Consola del administrador.
  • Busca la dirección de correo electrónico del grupo en lugar de su nombre.
  • Intenta actualizar la página de configuración. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información
  • Comprueba que tengas privilegios de administrador para Grupos.

Un usuario no tiene el nivel de acceso correcto

  • Verifica la membresía de grupo de un usuario. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información
  • Busca el grupo de configuración que determina la configuración del usuario. Si el usuario pertenece a varios grupos de configuración, es posible que debas cambiar la prioridad del grupo o la membresía del usuario en el grupo.
  • Es posible que el usuario no tenga la licencia del producto para la función. El acceso adaptado al contexto está disponible en ediciones específicas de Google Workspace.
  • Si el usuario no puede acceder a una app, es posible que se le haya asignado un nivel de acceso borrado. Marca la opción Quitar un nivel de acceso borrado.

Revisa los cambios en el registro de auditoría

Revisa estos eventos en el registro de auditoría del administrador para ver los cambios en la configuración de los grupos:

EVENTO: Cambio de asignaciones específicas de la app de niveles de acceso adaptado al contexto

Se registran los eventos cuando aplicas o quitas un grupo de configuración. El evento usa el nombre del grupo, por lo que puedes usar un estándar de nomenclatura similar para el nombre y la dirección del grupo.

Los datos incluidos en un evento de grupo son los siguientes:

Se cambiaron las asignaciones de niveles de acceso de []
a [niveles de acceso]. (application_name: {app}, group_name: {configuration group})

Por ejemplo, aplicas el grupo de configuración CAA.02 local access a una app:

Se cambiaron las asignaciones de niveles de acceso de [] a [IP de la empresa, dispositivo].
(application_name: {GMAIL}, group_name: {CAA.02 local access}

Cuando quitas el grupo de configuración de una app, ocurre lo siguiente:

Se cambiaron las asignaciones de niveles de acceso de [Company IP, Device] a [].
(application_name: {GMAIL}, group_name: {CAA.02 Local Access}

Información sobre la herencia de grupos y unidades organizativas, y los grupos de configuración

Si realizas cambios en el nivel de acceso local en una unidad organizativa o un grupo secundarios, solo tendrá los niveles de acceso aplicados localmente y no heredará ningún nivel de acceso de la organización principal.

Si quitas todos los niveles de acceso asignados localmente para restablecer los niveles de acceso heredados originalmente, la unidad organizativa secundaria solo tendrá los niveles de acceso heredados.

Por ejemplo, en el caso de las unidades organizativas, si hay 3 niveles de acceso asignados a una app en la unidad organizativa de nivel superior, esos mismos niveles de acceso se asignan por herencia a la app en una unidad organizativa secundaria si esta no tiene una asignación local. Si luego agregas un nivel de acceso solo en la unidad organizativa secundaria, ese será el único nivel de acceso que se aplicará a la unidad organizativa secundaria.

Anula las asignaciones de nivel de acceso heredadas con una política nula

Supongamos que no quieres bloquear el acceso de ningún usuario en una unidad organizativa secundaria, es decir, no quieres asignar ningún nivel de acceso. Crea un nivel de acceso llamado "Cualquiera" con 2 condiciones de subred de IP y une las condiciones con OR:

  • Rango de subred IPv4 0.0.0.0/0
    O
  • Rango de subred IPv6 0::/0

Un usuario de la organización obtiene acceso desde cualquier dirección IPv4 o IPv6.

Cómo anular las asignaciones de niveles de acceso con grupos de configuración

Puedes usar grupos de configuración para asignar niveles de acceso a grupos de usuarios en lugar de unidades organizativas. El nivel de acceso del grupo de un usuario siempre anula el nivel de acceso de la unidad organizativa del usuario. Los grupos pueden incluir usuarios de cualquier unidad organizativa de tu cuenta.

Por ejemplo, un usuario pertenece a una unidad organizativa y al grupo1. La unidad organizativa es ParentOU, que tiene el nivel de acceso X asignado tanto para Gmail como para Calendario. No hay asignación de nivel de acceso para el grupo1 en Gmail. Se asigna un nivel de acceso Y al grupo 1 para el calendario. En este caso, el usuario tiene el nivel de acceso X asignado a Gmail (a través de la herencia) y el nivel Y asignado al Calendario (a través de la anulación de la política local).