Sử dụng tính năng Quyền truy cập theo bối cảnh với các nhóm cấu hình

Với nhóm cấu hình,bạn có thể áp dụng các quyền truy cập dựa trên bối cảnh cho các nhóm người dùng thay vì đơn vị tổ chức. Nhóm cấu hình có thể bao gồm người dùng thuộc mọi đơn vị tổ chức trong doanh nghiệp của bạn. Ví dụ: cho phép một nhóm nhân viên hợp đồng chỉ truy cập vào Gmail trên mạng doanh nghiệp của bạn.

Cách hoạt động của nhóm cấu hình

  • Nhóm cấu hình có thể chứa bất kỳ người dùng nào trong tổ chức của bạn. Ngoài ra, bạn có thể tạo một nhóm cấu hình đóng vai trò là vùng chứa cho các cấp truy cập, sau đó thêm các nhóm người dùng (nhóm lồng nhau).
  • Người dùng có thể thuộc nhiều nhóm cấu hình, không giống như các đơn vị tổ chức. Bạn đặt mức độ ưu tiên cho các nhóm cấu hình và người dùng sẽ nhận được chế độ cài đặt của nhóm có mức độ ưu tiên cao nhất mà họ thuộc về.
  • Cấp truy cập theo nhóm của người dùng đối với một ứng dụng luôn ghi đè cấp truy cập của đơn vị tổ chức.
  • Nếu một nhóm cấu hình không chỉ định cấp truy cập cho một ứng dụng, thì ứng dụng đó sẽ sử dụng cấp truy cập do đơn vị tổ chức của người dùng đặt.

Thiết kế nhóm cấu hình cho tính năng Quyền truy cập dựa trên bối cảnh

Các nhóm cấu hình hoạt động hơi khác đối với tính năng Quyền truy cập dựa trên bối cảnh so với các chế độ cài đặt khác của Google Workspace. Khi thiết kế các nhóm và chính sách, hãy làm theo thông tin và các mẹo sau:

Các lựa chọn cho nhóm cấu hình

Thông thường, bạn sẽ xác định cấp độ truy cập cho các đơn vị tổ chức, sau đó xác định cấp độ truy cập tuỳ chỉnh cho các nhóm cấu hình. Ví dụ: bạn có thể có các nhóm cấu hình cho "Quyền truy cập mở" hoặc "Quyền truy cập hạn chế" để nhanh chóng cấp hoặc hạn chế quyền truy cập của một số người dùng cụ thể.

Thông thường, bạn sẽ sử dụng kết hợp các nhóm cấu hình:

Sử dụng nhóm người dùng hiện có

Bạn thiết lập cấp truy cập cho từng ứng dụng (ví dụ: Gmail hoặc Google Drive) trong nhóm người dùng. Nếu người dùng thuộc nhiều nhóm, bạn có thể đặt nhóm nào sẽ xác định chế độ cài đặt của người dùng (được mô tả sau trong phần Mức độ ưu tiên).

Việc áp dụng trực tiếp cấp độ truy cập cho nhóm người dùng là một lựa chọn phù hợp cho:

  • Thử nghiệm tính năng Quyền truy cập dựa trên bối cảnh.
  • Quản lý quyền truy cập cho một số nhóm người dùng cụ thể, chẳng hạn như nhân viên CNTT hoặc một nhóm được giao nhiệm vụ từ xa.
  • Quản lý quyền truy cập cho những tổ chức có ít hơn 50 người dùng hoặc có một số ít cấp truy cập. Bạn không cần tạo thêm nhóm và có thể tinh chỉnh chế độ cài đặt cho từng nhóm người dùng.

Tạo nhóm cấu hình dựa trên cấp truy cập

Ngoài ra, bạn có thể chỉ định cấp truy cập cho các nhóm. Bạn tạo một nhóm cấu hình và chỉ định cấp truy cập cho một hoặc nhiều ứng dụng. Sau đó, bạn thêm nhóm người dùng làm thành viên của nhóm cấu hình.

Các tổ chức lớn hơn có thể thấy phương pháp này hữu ích cho việc quản lý các chính sách và mức độ ưu tiên của nhóm quản lý quyền truy cập (được mô tả bên dưới).

Cách hoạt động của mức độ ưu tiên đối với cấp truy cập

Khi người dùng thuộc nhiều nhóm cấu hình, bạn có thể đặt nhóm cấu hình nào có quyền ưu tiên trong việc xác định quyền truy cập của người dùng vào ứng dụng.

Trong Bảng điều khiển dành cho quản trị viên của Google, trước tiên, bạn phải chọn một ứng dụng để hiển thị danh sách ưu tiên của nhóm tương ứng. Các nhóm được liệt kê theo thứ tự ưu tiên từ cao nhất đến thấp nhất. Một nhóm cấu hình mới luôn có mức độ ưu tiên thấp nhất và được thêm vào cuối danh sách nhóm cấu hình.

Mức độ ưu tiên cho Quyền truy cập dựa trên bối cảnh

Người dùng sẽ nhận được chế độ cài đặt ứng dụng của nhóm có mức độ ưu tiên cao nhất mà họ thuộc về. Nếu nhóm không có cấp độ truy cập cho một ứng dụng cụ thể, thì cấp độ truy cập của nhóm có mức độ ưu tiên cao tiếp theo của người dùng sẽ được sử dụng, v.v.

Trong Bảng điều khiển dành cho quản trị viên, bạn có thể kiểm tra nhóm hoặc đơn vị tổ chức nào đã xác định cấp truy cập ứng dụng của người dùng. Trong ví dụ bên dưới, nhóm "Bảo mật Drive" đặt quyền truy cập Drive của người dùng.

Ứng dụng của người dùng Các cấp truy cập Được thừa hưởng từ
Lịch Google Mạng lưới công ty Đơn vị tổ chức: Bán hàng
Drive Mạng công ty, Bảo mật thiết bị Nhóm: Bảo mật Drive
Gmail Bảo mật thiết bị Đơn vị tổ chức: Bán hàng
Google Vault <none> <none>

Để kiểm soát chi tiết, bạn có thể sử dụng các nhóm để tuỳ chỉnh cấp truy cập cho từng ứng dụng. Ví dụ:

Ứng dụng của người dùng Các cấp truy cập Được thừa hưởng từ
Lịch Mạng lưới công ty Đơn vị tổ chức: Bán hàng
Drive Mạng công ty, Bảo mật thiết bị Nhóm: Bảo mật Drive
Gmail Bảo mật thiết bị, Geo Canada Nhóm: Bắc Mỹ
Vault Thiết bị bị hạn chế, Mạng công ty Nhóm: Điều tra viên Vault

Áp dụng mức độ ưu tiên cho các nhóm cấu hình

  • Hãy cân nhắc việc đặt các nhóm cấu hình quan trọng hoặc nhạy cảm ở mức độ ưu tiên cao. Ví dụ: nhóm ưu tiên hàng đầu của bạn có thể là nhóm "Quyền truy cập khẩn cấp" ghi đè mọi nhóm hạn chế quyền truy cập.

  • Các cấp truy cập không được thêm vào các nhóm của người dùng. Trong ví dụ này, một người dùng thuộc 3 nhóm người dùng, nhưng chỉ nhóm cấu hình có mức độ ưu tiên cao nhất của họ ("Thiết bị") mới đặt cấp độ truy cập của họ.

Lập kế hoạch và thiết kế các nhóm cấu hình

Lập kế hoạch cho cấu trúc nhóm cấu hình có thể là bước tốn nhiều thời gian và công sức xem xét nhất.

Đặt tên và tìm kiếm nhóm

Đặt tiêu chuẩn đặt tên nhóm để dễ dàng tìm kiếm, ưu tiên và kiểm tra. Ví dụ: thêm tiền tố như "caa" để cho biết các nhóm cấu hình nhận biết ngữ cảnh. Ngoài ra, hãy sử dụng dấu thập phân để tránh chỉnh sửa tên nhóm hiện có khi bạn thêm một nhóm cấu hình.

1. Tìm kiếm theo địa chỉ nhóm

2. Xem danh sách nhóm
  • Tìm kiếm một nhóm: Bạn có thể muốn thiết lập một tiêu chuẩn đặt tên bao gồm tên chế độ cài đặt và số thứ tự ưu tiên, ví dụ:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

  • Xem các nhóm: Bảng điều khiển Nhóm hiển thị tên nhóm (tối đa 37 ký tự) theo thứ tự ưu tiên. Khi bạn di chuột đến một nhóm, tên đầy đủ của nhóm sẽ xuất hiện. Ví dụ:

CAA p0.0 – Quyền truy cập không hạn chế vào tất cả ứng dụng
CAA p1.0 – Quyền truy cập bị hạn chế
CAA p3.0 – Bảo mật thiết bị và IP của Gmail
CAA p3.1 – IP của Gmail

Sắp xếp các nhóm

Cách theo dõi mức độ ưu tiên và chế độ cài đặt:

  • Bạn có thể đặt những nhóm áp dụng cho ít người dùng nhất hoặc xác định các chính sách quan trọng (chẳng hạn như "Hạn chế quyền truy cập" hoặc "Có quyền truy cập vào tất cả") ở mức độ ưu tiên cao nhất.
  • Hãy cân nhắc mức độ ưu tiên trong cấu trúc nhóm và chú ý đến các nhóm lồng ghép sâu. Việc này có thể gây khó khăn cho việc theo dõi các chế độ cài đặt.

Tạo nhóm

Bạn phải sử dụng các nhóm được tạo trong Bảng điều khiển dành cho quản trị viên, API Thư mục hoặc Google Cloud Directory Sync. Bạn không thể dùng các nhóm được tạo trong Google Groups làm nhóm cấu hình. (Bảng điều khiển dành cho quản trị viên không cho biết liệu một nhóm có được tạo trong Google Groups hay không.)

Bạn có thể quản lý nhóm cấu hình trong bất kỳ công cụ nào. Bạn có thể đặt các quyền nghiêm ngặt để thêm hoặc xoá người dùng, tắt tính năng đăng bài vào nhóm hoặc ngăn người dùng rời khỏi nhóm (chỉ có trong Groups API).

Thiết lập nhóm cấu hình

Trước khi bắt đầu: Xác định các cấp độ của quyền truy cập dựa trên bối cảnh và tạo nhóm cấu hình (tốt nhất là chứa 1 hoặc 2 tài khoản kiểm thử).

Bước 1. Áp dụng một nhóm cấu hình

Bạn cần có đặc quyền quản trị đối với Nhóm, Đơn vị tổ chức (cấp cao nhất) và Quản lý cấp truy cập bảo mật dữ liệu và Quản lý quy tắc.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập dựa trên bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.
  3. Trong phần Quyền truy cập dựa trên bối cảnh, hãy nhấp vào Nhóm.
  4. Chọn một cách:
    • Nhấp vào một ứng dụng. Mọi nhóm cấu hình hiện có đã được chỉ định cấp truy cập cho ứng dụng của bạn sẽ được liệt kê theo thứ tự ưu tiên.
    • Nhấp vào Tìm kiếm nhóm để xem danh sách tất cả các nhóm, không chỉ nhóm cấu hình. Bạn có thể nhập văn bản để lọc kết quả.
  5. Nhấp vào nhóm. Bảng ứng dụng liệt kê tất cả ứng dụng cùng với các chỉ định cấp truy cập.
    • Nếu bạn không tìm thấy nhóm của mình, thì có thể nhóm đó được tạo trong Google Groups. Bạn phải tạo nhóm cấu hình trong Bảng điều khiển dành cho quản trị viên, API Thư mục hoặc Google Cloud Directory Sync.
    • Bắt đầu bằng cách thêm các nhóm cấu hình từ mức độ ưu tiên cao nhất đến thấp nhất. Khi bạn thêm một chính sách nhóm mới cho một ứng dụng, chính sách đó sẽ được đặt ở mức độ ưu tiên thấp nhất.
  6. Nhấp vào một hoặc nhiều ứng dụng, rồi nhấp vào Chỉ định.
  7. Chọn cấp truy cập cho ứng dụng trong nhóm rồi nhấp vào Lưu. Theo mặc định, một nhóm mới sẽ không có cấp truy cập được chỉ định.



    Đối với những tổ chức có nhiều loại giấy phép Google Workspace: Các cấp độ truy cập theo nhóm chỉ áp dụng cho những người dùng được chỉ định một phiên bản Google Workspace có bao gồm chế độ kiểm soát Quyền truy cập dựa trên bối cảnh.

Bước 2. Kiểm tra cấp truy cập của người dùng

Bạn cần có đặc quyền quản trị đối với Nhóm, Đơn vị tổ chức (cấp cao nhất) và quyền quản lý Cấp truy cập bảo mật dữ liệu và Quy tắc.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập dựa trên bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Trong Bảng điều khiển dành cho quản trị viên, hãy chuyển đến trang cài đặt của ứng dụng.
  3. Ở trên cùng bên trái, hãy nhấp vào Người dùng.
  4. Nhấp vào Chọn người dùng rồi nhập địa chỉ (không phải tên) của người dùng.
  5. Chọn người dùng để xem chế độ cài đặt ứng dụng của họ. Cột Kế thừa từ cho biết nhóm cấu hình hoặc đơn vị tổ chức đã xác định chế độ cài đặt của người dùng.
  6. Trỏ vào một ứng dụng rồi nhấp vào Xem để biết thông tin chi tiết về cấp truy cập của người dùng.

Lưu ý: Khi bạn xem một đơn vị tổ chức, các cấp Được kế thừa chỉ dựa trên chế độ cài đặt của đơn vị tổ chức, chứ không dựa trên các nhóm cấu hình.

Xoá một nhóm cấu hình

Bạn cần có đặc quyền quản trị đối với Nhóm, Đơn vị tổ chức (cấp cao nhất) và quyền quản lý Cấp truy cập bảo mật dữ liệu và Quy tắc.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập dựa trên bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.
  3. Ở bên trái, hãy nhấp vào Nhóm.
  4. Nhấp vào nhóm cần xoá.
  5. Trước tiên, bạn bỏ chỉ định tất cả cấp truy cập khỏi mọi ứng dụng trong nhóm. Trong bảng điều khiển Ứng dụng, hãy kiểm tra từng ứng dụng một để đảm bảo rằng bạn đã huỷ chỉ định tất cả các cấp truy cập.

  6. Nhấp vào Giao bài.
  7. Nhấp vào Bỏ chọn tất cả
  8. Nhấp vào Lưu.
Nhóm cấu hình sẽ không còn xuất hiện trong danh sách Nhóm nữa. Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Chỉnh sửa một nhóm cấu hình

Bạn cần có đặc quyền quản trị đối với Nhóm, Đơn vị tổ chức (cấp cao nhất) và quyền quản lý Cấp truy cập bảo mật dữ liệu và Quy tắc.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Quyền truy cập và chế độ kiểm soát dữ liệu sau đó Quyền truy cập dựa trên bối cảnh.

    Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.

  2. Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.
  3. Ở bên trái, hãy nhấp vào Nhóm.
  4. Tìm nhóm cần chỉnh sửa.
  5. Ở bên phải, hãy chọn ứng dụng để chỉnh sửa, thêm hoặc xoá.
  6. Nhấp vào Giao bài.
  7. Cập nhật việc chỉ định cấp độ cho nhóm.
  8. Nhấp vào Lưu.
Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm

Khắc phục sự cố

Tôi không thấy nhóm cấu hình trong danh sách Nhóm

Người dùng không có cấp truy cập phù hợp

  • Kiểm tra tư cách thành viên trong nhóm của người dùng. Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm
  • Tìm nhóm cấu hình đang xác định các chế độ cài đặt của người dùng. Nếu người dùng thuộc nhiều nhóm cấu hình, bạn có thể cần thay đổi mức độ ưu tiên của nhóm hoặc tư cách thành viên trong nhóm của người dùng.
  • Người dùng có thể không có giấy phép sản phẩm cho tính năng này. Tính năng Quyền truy cập dựa trên bối cảnh có trong một số phiên bản Google Workspace.
  • Nếu người dùng không truy cập được vào một ứng dụng, thì có thể ứng dụng đó đã được chỉ định một cấp truy cập đã bị xoá. Đánh dấu vào xoá một cấp truy cập đã bị xoá.

Xem các thay đổi trong Nhật ký kiểm tra

Xem xét những sự kiện này trong Nhật ký kiểm tra của quản trị viên để biết các thay đổi đối với chế độ cài đặt nhóm cấu hình:

SỰ KIỆN: Thay đổi giá trị chỉ định cấp truy cập dựa trên bối cảnh của từng ứng dụng

Nhật ký khi bạn áp dụng hoặc xoá một nhóm cấu hình. Sự kiện này sử dụng tên nhóm, nên bạn có thể sử dụng tiêu chuẩn đặt tên tương tự cho cả tên nhóm và địa chỉ.

Dữ liệu có trong một sự kiện nhóm:

Đã thay đổi hoạt động chỉ định Cấp truy cập từ []
thành [cấp truy cập]. (application_name: {app}, group_name: {configuration group})

Ví dụ: bạn áp dụng nhóm cấu hình CAA.02 local access cho một ứng dụng:

Đã thay đổi giá trị chỉ định Cấp truy cập từ [] thành [IP công ty, Thiết bị].
(application_name: {GMAIL}, group_name: {CAA.02 local access}

Khi bạn xoá nhóm cấu hình khỏi một ứng dụng:

Đã thay đổi hoạt động chỉ định Cấp truy cập từ [IP công ty, Thiết bị] thành [].
(application_name: {GMAIL}, group_name: {CAA.02 Local Access}

Tìm hiểu về các đơn vị tổ chức và nhóm kế thừa cũng như nhóm cấu hình

Nếu bạn thực hiện bất kỳ thay đổi nào về cấp truy cập cục bộ trong một đơn vị tổ chức con hoặc nhóm, thì đơn vị tổ chức con hoặc nhóm đó sẽ chỉ có các cấp truy cập được áp dụng cục bộ và không kế thừa bất kỳ cấp truy cập nào từ tổ chức mẹ.

Nếu bạn xoá tất cả cấp truy cập được chỉ định cục bộ để khôi phục các cấp truy cập được kế thừa ban đầu, thì đơn vị tổ chức con sẽ chỉ có các cấp truy cập được kế thừa.

Ví dụ: đối với các đơn vị tổ chức, nếu có 3 cấp truy cập được chỉ định cho một ứng dụng trong đơn vị tổ chức cấp cao nhất, thì các cấp truy cập đó cũng được chỉ định thông qua tính năng kế thừa cho ứng dụng trong một đơn vị tổ chức con nếu đơn vị tổ chức con đó không có chỉ định cục bộ. Nếu sau đó bạn chỉ thêm một cấp truy cập vào đơn vị tổ chức con, thì đó là cấp truy cập duy nhất được áp dụng cho đơn vị tổ chức con.

Ghi đè các chỉ định cấp truy cập được kế thừa bằng chính sách rỗng

Giả sử bạn không muốn chặn quyền truy cập của bất kỳ người dùng nào trong một đơn vị tổ chức con – không có chỉ định cấp truy cập. Bạn có thể tạo một cấp truy cập bằng biểu thức nâng cao: true. Để biết thông tin chi tiết, hãy xem bài viết Xác định các cấp truy cập – Chế độ nâng cao.

Ghi đè thông tin chỉ định cấp truy cập bằng nhóm cấu hình

Bạn có thể sử dụng nhóm cấu hình để chỉ định cấp độ truy cập cho các nhóm người dùng thay vì đơn vị tổ chức. Cấp truy cập của nhóm người dùng luôn ghi đè cấp truy cập của đơn vị tổ chức của người dùng. Các nhóm này có thể bao gồm người dùng thuộc bất kỳ đơn vị tổ chức nào trong tài khoản của bạn.

Ví dụ: một người dùng thuộc một đơn vị tổ chức và Nhóm 1. Đơn vị tổ chức là ParentOU, được chỉ định cấp truy cập X cho cả Gmail và Lịch. Không có cấp truy cập nào được chỉ định cho Nhóm 1 đối với Gmail. Có cấp truy cập Y được chỉ định cho Nhóm 1 đối với Lịch. Trong trường hợp này, người dùng có cấp truy cập X được chỉ định cho Gmail (thông qua tính năng kế thừa) và Y được chỉ định cho Lịch (bằng cách ghi đè chính sách cục bộ).