Con los grupos de configuración, puedes aplicar niveles de acceso adaptado al contexto a grupos de usuarios en lugar de unidades organizativas. Los grupos de configuración pueden incluir usuarios de cualquier unidad organizativa de tu empresa. Por ejemplo, permite que un equipo de contratistas acceda a Gmail solo en tu red corporativa.
Cómo funcionan los grupos de configuración
- Los grupos de configuración pueden contener cualquier usuario de tu organización. También puedes crear un grupo de configuración que actúe como contenedor para los niveles de acceso y, luego, agregar tus grupos de usuarios (grupos anidados).
- Un usuario puede pertenecer a varios grupos de configuración, a diferencia de las unidades organizativas. Tú estableces la prioridad de los grupos de configuración, y el usuario obtiene el parámetro de configuración del grupo de mayor prioridad al que pertenece.
- El nivel de acceso de un usuario a un grupo para una app siempre anula el nivel de acceso de su unidad organizativa.
- Si un grupo de configuración no especifica un nivel de acceso para una app, esta usará el nivel de acceso establecido por la unidad organizativa del usuario.
Diseña grupos de configuración para el acceso adaptado al contexto
Los grupos de configuración funcionan de manera un poco diferente para el acceso adaptado al contexto en comparación con otros parámetros de configuración de Google Workspace. Cuando diseñes tus grupos y políticas, sigue esta información y las sugerencias:
Opciones para grupos de configuración
Por lo general, defines los niveles de acceso para las unidades organizacionales y, luego, determinas los niveles de acceso personalizados para los grupos de configuración. Por ejemplo, puedes tener grupos de configuración para "Acceso abierto" o "Acceso restringido" para otorgar o limitar rápidamente el acceso de usuarios específicos.
Por lo general, usarás una combinación de grupos de configuración:
Usa tus grupos de usuarios existentes
En el grupo de usuarios, debes establecer el nivel de acceso para cada app (por ejemplo, Gmail o Google Drive). Si un usuario pertenece a varios grupos, puedes establecer qué grupo determina la configuración del usuario (se describe más adelante en la sección Prioridad).
Aplicar niveles de acceso directamente a los grupos de usuarios es una buena opción para los siguientes casos:
- Probar el acceso adaptado al contexto
- Administrar el acceso para grupos específicos de usuarios, como el personal de TI o un equipo en una asignación remota
- Administrar el acceso para organizaciones con menos de 50 usuarios o una pequeña cantidad de niveles de acceso No es necesario que crees más grupos, y puedes ajustar la configuración de cada grupo de usuarios.
Crea grupos de configuración según los niveles de acceso
Como alternativa, puedes asignar niveles de acceso a grupos. Creas un grupo de configuración y asignas niveles de acceso para una o varias apps. Luego, agrega grupos de usuarios como miembros del grupo de configuración.
Las organizaciones más grandes pueden considerar útil este enfoque para administrar las políticas y prioridades de los grupos de acceso (que se describen a continuación).
Cómo funciona la prioridad con los niveles de acceso
Cuando un usuario pertenece a varios grupos de configuración, debes establecer qué grupo de configuración tiene prioridad para determinar el acceso del usuario a la app.
En la Consola del administrador de Google, primero debes seleccionar una aplicación para que se muestre su lista de prioridad de grupos correspondiente. Los grupos se enumeran de la prioridad más alta a la más baja. Un grupo de configuración nuevo siempre tiene la prioridad más baja y se agrega a la parte inferior de una lista de grupos de configuración.
Prioridad del Acceso adaptado al contexto
Un usuario obtiene la configuración de la app del grupo con la prioridad más alta al que pertenece. Si el grupo no tiene un nivel de acceso para una app en particular, se usa el nivel de acceso del siguiente grupo de mayor prioridad del usuario, y así sucesivamente.
En la Consola del administrador, puedes verificar qué grupo o unidad organizativa determinó el nivel de acceso a las apps de un usuario. En el siguiente ejemplo, el grupo "Seguridad de Drive" estableció el acceso del usuario a Drive.
| Apps del usuario | Niveles de acceso | Heredado de |
|---|---|---|
 Calendario de Google |
Red de empresas | Unidad organizativa: Ventas |
 Drive |
Red de la empresa y seguridad del dispositivo | Grupo: Seguridad de Drive |
 Gmail |
Seguridad del dispositivo | Unidad organizativa: Ventas |
 Google Vault |
<none> | <none> |
Para tener un control detallado, puedes usar grupos para personalizar los niveles de acceso de cada app. Por ejemplo:
| Apps del usuario | Niveles de acceso | Heredado de |
|---|---|---|
|
Calendario |
Red de empresas | Unidad organizativa: Ventas |
|
Drive |
Red de la empresa y seguridad del dispositivo | Grupo: Seguridad de Drive |
|
Gmail |
Seguridad del dispositivo, GEG de Canadá | Grupo: Norteamérica |
|
Vault |
Dispositivo restringido, red de la empresa | Grupo: Investigador de Vault |
Aplica prioridad a los grupos de configuración
- Considera colocar los grupos de configuración críticos o sensibles con alta prioridad. Por ejemplo, tu grupo de prioridad más alta podría ser un grupo de "Acceso Urgente" que anule cualquier grupo que limite el acceso.
-
Los niveles de acceso no se suman en los grupos de un usuario. En este ejemplo, un usuario pertenece a 3 grupos de usuarios, pero solo su grupo de configuración de mayor prioridad, "Dispositivo", establece su nivel de acceso.
Planificación y diseño de grupos de configuración
Planificar la estructura de tu grupo de configuración es probablemente el paso que requiere más tiempo y revisión.
Cómo nombrar y buscar grupos
Establece un estándar de nomenclatura de grupos para facilitar la búsqueda, la priorización y la auditoría. Por ejemplo, agrega un prefijo como "caa" para indicar grupos de configuración que tienen en cuenta el contexto. Además, usa un decimal para evitar editar los nombres de los grupos existentes cuando agregues un grupo de configuración.
 |
 |
Buscar por dirección de grupo | |
 |
Ver la lista de grupos | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
Cómo configurar grupos de configuración
Antes de comenzar: Define los niveles de acceso adaptado al contexto y crea tus grupos de configuración (preferentemente, que contengan 1 o 2 cuentas de prueba).
Paso 1: Aplica un grupo de configuración
Necesitas privilegios de administrador para los grupos, las unidades organizativas (nivel superior) y la administración del nivel de acceso y la administración de reglas de seguridad de los datos.
-
En la Consola del administrador de Google, ve a Menú
Seguridad Control de acceso y datos Acceso adaptado al contexto.Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.
- Haz clic en Asignar niveles de acceso para ver la lista de apps.
- En la sección Acceso adaptado al contexto, haz clic en Grupos.
- Elige una opción:
- Haz clic en una app. Los grupos de configuración existentes que tienen un nivel de acceso asignado para tu app se enumeran en orden de prioridad.
- Haz clic en Buscar un grupo para revisar una lista de todos los grupos, no solo los de configuración. Puedes ingresar texto para filtrar los resultados.
- Haz clic en el grupo. En la tabla de aplicaciones, se enumeran todas las aplicaciones con sus asignaciones de nivel de acceso.
- Si no encuentras tu grupo, es posible que se haya creado en Google Groups. Debes crear grupos de configuración en la Consola del administrador, la API de Directory o Google Cloud Directory Sync.
- Comienza por agregar tus grupos de configuración desde la prioridad más alta hasta la más baja. Cuando agregas una política de grupo nueva para una app, se coloca en la prioridad más baja.
- Haz clic en una o más apps y, luego, en Asignar.
- Selecciona los niveles de acceso para la app en el grupo y haz clic en Guardar. De forma predeterminada, un grupo nuevo no tiene niveles de acceso asignados.
Para organizaciones con varios tipos de licencias de Google Workspace: Los niveles de acceso al grupo solo se aplican a los usuarios a los que se les asignó una edición de Google Workspace que incluye el control de acceso adaptado al contexto.
Paso 2: Cómo verificar los niveles de acceso de un usuario
<div>
<p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu Security Access and data control Context-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
Cómo quitar un grupo de configuración
<div>
<p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu Security Access and data control Context-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
El grupo de configuración ya no aparece en la lista de grupos. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información
Cómo editar un grupo de configuración
<div>
<p>You need <a href="/admin/users/administrator-privilege-definitions" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="/admin/users/administrator-privilege-definitions#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu Security Access and data control Context-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p>
Changes can take up to 24 hours but typically happen more quickly. Learn more</p>
Solución de problemas
<div>
<p><b>I don't see the configuration group in the Groups list</b></p>
<ul>
<li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
<li>Search for the group's email address rather than the group's name.</li>
<li>Try refreshing the setting page.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Check that you have <a href="/admin/users/make-a-user-an-admin" target="_blank">admin privileges</a> for Groups.</li>
<p><b>A user doesn't have the correct access level</b></p>
<ul>
<li>Check a user's group membership.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
<li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
<li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="/admin/security/assign-context-aware-access-levels-to-apps" target="_blank">remove a deleted access level</a>.</li>
Revisa los cambios en el registro de auditoría
<div>
<p>Review these events in the <a href="/admin/reports/admin-log-events" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>
<p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>
<table class="nice-table">
<tbody>
<tr>
<td>
<p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>
<p>The data included in a group event:</p>
<blockquote>
<p>Access Level assignments have been changed from []<br>
to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>
<p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>
<p>When you remove the configuration group from an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>
Información sobre la herencia de grupos y unidades organizativas, y los grupos de configuración
Si realizas cambios en el nivel de acceso local en una unidad organizativa o un grupo secundarios, solo tendrá los niveles de acceso aplicados de forma local y no heredará ningún nivel de acceso de la organización principal.
Si quitas todos los niveles de acceso asignados localmente para restablecer los niveles de acceso heredados originalmente, la unidad organizativa secundaria solo tendrá los niveles de acceso heredados.
Por ejemplo, en el caso de las unidades organizativas, si hay 3 niveles de acceso asignados a una app en la unidad organizativa de nivel superior, esos mismos niveles de acceso se asignan por herencia a la app en una unidad organizativa secundaria si esta no tiene una asignación local. Si luego agregas un nivel de acceso solo en la unidad organizativa secundaria, ese será el único nivel de acceso que se aplicará a la unidad organizativa secundaria.
Anula las asignaciones de nivel de acceso heredadas con una política nula
Supongamos que no quieres bloquear el acceso de ningún usuario en una unidad organizativa secundaria, es decir, no quieres asignar niveles de acceso. Crea un nivel de acceso llamado "Cualquiera" con 2 condiciones de subred de IP y une las condiciones con OR:
- Rango de subred IPv4 0.0.0.0/0
O - Rango de subred IPv6 0::/0
Un usuario de la organización obtiene acceso desde cualquier dirección IPv4 o IPv6.
Cómo anular las asignaciones de niveles de acceso con grupos de configuración
Puedes usar grupos de configuración para asignar niveles de acceso a grupos de usuarios en lugar de unidades organizativas. El nivel de acceso del grupo de un usuario siempre anula el nivel de acceso de la unidad organizativa del usuario. Los grupos pueden incluir usuarios de cualquier unidad organizativa de tu cuenta.
Por ejemplo, un usuario pertenece a una unidad organizativa y al grupo1. La unidad organizativa es ParentOU, que tiene el nivel de acceso X asignado tanto para Gmail como para Calendario. No hay asignación de nivel de acceso para el grupo1 en Gmail. Hay un nivel de acceso Y asignado para el Grupo1 para el Calendario. En este caso, el usuario tiene el nivel de acceso X asignado a Gmail (a través de la herencia) y el nivel Y asignado a Calendario (anulando la política local).