استخدام "الوصول المستنِد إلى السياق" مع مجموعات الضبط

يمكنك باستخدام مجموعات الضبط تطبيق مستويات "الوصول المستنِد إلى السياق" على مجموعات المستخدمين بدلاً من الوحدات التنظيمية. يمكن أن تتضمن مجموعات الضبط مستخدمين من أي وحدة تنظيمية في نشاطك التجاري. مثلاً، يمكنك السماح لفريق من المتعاقدين بالوصول إلى Gmail فقط على شبكة الشركة.

طريقة عمل مجموعات الضبط

يمكن أن تضم مجموعات الضبط جميع المستخدمين في مؤسستك. كما يمكنك إنشاء مجموعة ضبط تعمل بمثابة حاوية لمستويات الوصول، ثم إضافة مجموعات المستخدمين إليها (المجموعات المتداخلة).
يمكن أن ينتمي المستخدم إلى مجموعات ضبط متعددة، على عكس الوحدات التنظيمية. يمكنك تحديد أولوية مجموعات الضبط، ويُطبق على المستخدم إعداد المجموعة ذات الأولوية القصوى التي ينتمي إليها.
تلغي إعدادات مستوى وصول مجموعة المستخدم إلى تطبيق دائمًا إعدادات مستوى وصول وحدته التنظيمية.
إذا لم تحدد مجموعة الضبط مستوى الوصول لتطبيق، يستخدم التطبيق مستوى الوصول الذي تم إعداده للوحدة التنظيمية للمستخدم.

تصميم مجموعات الضبط للوصول الواعي بالسياق

تعمل مجموعات الضبط بشكل مختلف قليلاً مع "الوصول الواعي بالسياق" مقارنةً بإعدادات Google Workspace الأخرى. يُرجى اتّباع المعلومات والنصائح التالية أثناء تصميم المجموعات والسياسات:

خيارات مجموعات الضبط

عادةً ما تلجأ إلى تحديد مستويات الوصول للوحدات التنظيمية، ثم تحديد مستويات الوصول المُخصَّصة لمجموعات الضبط. مثلاً، يمكنك إعداد مجموعتي الضبط "الوصول المفتوح" أو "الوصول المحدود" بحيث يمكنك منح حق الوصول لمستخدمين معيّنين أو تقييده بسرعة.

ستستخدم عادةً تشكيلة متنوعة من مجموعات الضبط:

استخدام مجموعات المستخدمين الحالية

يمكنك ضبط مستوى الوصول لكل تطبيق (مثلاً، Gmail أو Google Drive) في مجموعة المستخدمين. في حال كان المستخدم ينتمي إلى مجموعات متعددة، يمكنك اختيار المجموعة التي تحدِّد إعدادات المستخدم (الموضحة لاحقًا في قسم الأولوية).

يُفضّل تطبيق مستويات الوصول على مجموعات المستخدمين مباشرةً في الحالات التالية:

اختبار ميزة "الوصول الواعي بالسياق"
إدارة الوصول لمجموعات مُحدَّدة من المستخدمين، مثل فريق تكنولوجيا المعلومات أو فريق مُحدَّد لمهمة عن بُعد
إدارة الوصول للمؤسسات التي تضم أقل من 50 مستخدمًا أو عددًا صغيرًا من مستويات الوصول لست بحاجة إلى إنشاء مزيد من المجموعات ويمكنك تحسين الإعدادات لكل مجموعة مستخدمين بدقة.

إنشاء مجموعات ضبط استنادًا إلى مستويات الوصول

بدلاً من ذلك، يمكنك تخصيص مستويات الوصول إلى المجموعات. يمكنك إنشاء مجموعة ضبط وتحديد مستويات الوصول لتطبيق واحد أو عدة تطبيقات. يمكنك بعد ذلك إضافة مجموعات المستخدمين كأعضاء في مجموعة الضبط.

قد تجد المؤسسات الأكبر حجمًا هذا المنهج مفيدًا لإدارة سياسات مجموعات الوصول والأولويات (الموضّحة أدناه).

آلية عمل الأولوية مع مستويات الوصول

في حال كان المستخدم ينتمي إلى مجموعات ضبط متعددة، يمكنك اختيار مجموعة الضبط التي يكون لها الأولوية في تحديد مستوى الوصول لتطبيق المستخدم.

في "وحدة تحكّم المشرف في Google"، يجب أولاً اختيار تطبيق حتى تعرض قائمة أولويات المجموعة المقابلة له. تظهر المجموعات مرتبة من الأولوية القصوى إلى الأولوية الدنيا. تحظى مجموعة الضبط الجديدة دائمًا بأولوية أدنى، وتضاف إلى أسفل قائمة مجموعات الضبط.

أولوية الوصول الواعي بالسياق

يُطبق على المستخدم إعدادات المجموعة ذات الأولوية القصوى من المجموعات التي ينتمي إليها. إذا لم يكن لدى المجموعة مستوى وصول لتطبيق معيّن، يُطبَّق مستوى وصول المجموعة ذات الأولوية القصوى التالية للمستخدم، وهكذا.

يمكنك الرجوع إلى "وحدة تحكّم المشرف" لمعرفة المجموعة أو الوحدة التنظيمية التي تحدد مستوى وصول المستخدم إلى التطبيق. في المثال التالي، تضع المجموعة "أمان Drive" إمكانية وصول المستخدم إلى Drive.

تطبيقات المستخدم	مستويات الوصول	مُكتسَب من
تقويم Google	شبكة الشركة	الوحدة التنظيمية: المبيعات
Drive	شبكة الشركة، أمان الجهاز	المجموعة: أمان Google Drive
Gmail	أمان الجهاز	الوحدة التنظيمية: المبيعات
Google Vault	<none>	<none>

بالنسبة إلى عناصر التحكُّم الدقيقة، يمكنك استخدام المجموعات لتخصيص مستويات الوصول لكل تطبيق، مثل:

تطبيقات المستخدم	مستويات الوصول	مُكتسَب من
تقويم Google	شبكة الشركة	الوحدة التنظيمية: المبيعات
Drive	شبكة الشركة، أمان الجهاز	المجموعة: أمان Google Drive
Gmail	أمان الجهاز، الموقع الجغرافي هو كندا	المجموعة: أمريكا الشمالية
Vault	جهاز محظور، شبكة الشركة	المجموعة: مُحقّق Google Vault

تطبيق الأولوية على مجموعات الضبط

يُرجى مراعاة تخصيص أولوية عالية لمجموعات الضبط الهامة أو الحساسة. مثلاً، قد تكون المجموعة ذات الأولوية القصوى هي مجموعة "وصول عاجل" تلغي إعدادات أي مجموعات تحدّ من إمكانية الوصول.
لا تُضاف مستويات الوصول إلى جميع مجموعات المستخدم. في هذا المثال، ينتمي المستخدم إلى 3 مجموعات مستخدمين، ولكن مجموعة الضبط ذات الأولوية القصوى "الجهاز" هي التي تحدد مستوى وصوله.

تخطيط مجموعات الضبط وتصميمها

قد تستغرق خطوة التخطيط لبنية مجموعة الضبط معظم الوقت وأغلب عملية المراجعة.

تسمية المجموعات والبحث عنها

ضَع معيارًا لتسمية المجموعات لتسهيل عملية البحث ومنح الأولويات والتدقيق. مثلاً، يمكنك إضافة بادئة مثل "caa" للإشارة إلى مجموعة الضبط الواعية بالسياق. ويمكنك أيضًا استخدام الخانة العشرية لتجنب تعديل أسماء المجموعات الحالية عند إضافة مجموعة ضبط.

			البحث حسب عنوان المجموعة
			عرض قائمة المجموعات

<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>

<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>

<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>

<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>

<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>

<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

إعداد مجموعات الضبط

قبل البدء: يمكنك تحديد مستويات "الوصول الواعي بالسياق" وإنشاء مجموعات ضبط خاصة بك (ويُفضَّل أن تحتوي على حساب تجريبي واحد أو حسابين).

الخطوة 1: تطبيق مجموعة ضبط

لتنفيذ هذه الخطوة، تحتاج إلى امتيازات المشرف لكل من "مجموعات Google" و"الوحدات التنظيمية" (ذات المستوى الأعلى) وإدارة مستويات الوصول وإدارة القواعد لأمان البيانات.

في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" الأمانالتحكّم في البيانات والوصولالوصول الواعي بالسياق.

الانتقال إلى "الوصول الواعي بالسياق"

يتطلب ذلك امتيازات إدارة القواعد ومستوى الوصول لأمان البيانات وامتيازات "القراءة" لمجموعات ومستخدمي Admin API.
انقر على تحديد مستويات الوصول لعرض قائمة بالتطبيقات.
في قسم الوصول الواعي بالسياق، انقر على المجموعات.
حدِّد أحد الخيارَين التاليين:
- انقر على تطبيق. يتم عرض أي مجموعات ضبط حالية تم إعداد مستوى وصول لها لتطبيقك، وذلك بترتيب الأولوية.
- انقر على البحث عن مجموعة لمراجعة قائمة بجميع المجموعات، وليس مجموعات الضبط فقط. يمكنك إدخال نص لفلترة النتائج.
انقر على المجموعة. يسرد جدول التطبيقات جميع التطبيقات مع إعدادات مستوى الوصول الخاص بها.
- في حال لم تعثر على مجموعتك، قد يكون تم إنشاؤها في مجموعات Google. يجب إنشاء مجموعات الضبط في وحدة تحكّم المشرف أو "واجهة برمجة تطبيقات الدليل" أو "أداة مزامنة دليل Google Cloud".
- يمكنك البدء من خلال إضافة مجموعات الضبط من الأولوية القصوىإلى الأولوية الدنيا. وعند إضافة سياسة مجموعة جديدة لأحد التطبيقات، فإنها توضع في الأولوية الدنيا.
انقر على تطبيق واحد أو أكثر، ثم اختَر تحديد.
اختَر مستويات الوصول للتطبيق في المجموعة، ثم انقر على حفظ. لا يتم تخصيص أي مستويات وصول للمجموعة الجديدة تلقائيًا.

للمؤسسات التي لديها أنواع متعددة من تراخيص Google Workspace: تنطبق مستويات الوصول إلى المجموعة فقط على المستخدمين المسند لهم إصدار Google Workspace الذي يتضمّن التحكّم في "الوصول الواعي بالسياق".

الخطوة 2: مراجعة مستويات وصول مستخدم

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

في "وحدة تحكّم المشرف"، انتقِل إلى صفحة الإعدادات الخاصة بالتطبيق.

في أعلى يمين الصفحة، انقر على المستخدمون.

انقر على اختيار مستخدم وأدخِل عنوان المستخدم (وليس الاسم).

اختَر المستخدم لعرض إعدادات تطبيقاته. يعرض العمود مكتسب من مجموعة الضبط أو الوحدة التنظيمية التي حددت إعدادات المستخدم.

أشِر إلى تطبيق وانقر على عرض للحصول على تفاصيل عن مستويات وصول المستخدم.

  <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

إزالة مجموعة إعدادات

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

انقر على تحديد مستويات الوصول لعرض قائمة بالتطبيقات.

على يمين الشاشة، انقر على المجموعات.

انقر على المجموعة المراد إزالتها.

أولاً، يمكنك إلغاء تحديد جميع مستويات الوصول من كل التطبيقات في المجموعة. في لوحة التطبيقات، تحقَّق من كل تطبيق على حدة للتأكُّد من عدم إسناد جميع مستويات الوصول.

انقر على تعيين.

انقر على إزالة العلامة من جميع المربّعات.

انقر على حفظ.

لن تظهر مجموعة الضبط في قائمة "المجموعات" بعد الآن. قد يستغرق تطبيق التغييرات مدة تصل إلى 24 ساعة، ولكن يتم عادةً تطبيقها بسرعة أكبر. مزيد من المعلومات

تعديل مجموعة ضبط

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

انقر على تحديد مستويات الوصول لعرض قائمة بالتطبيقات.

على يمين الشاشة، انقر على المجموعات.

ابحث في المجموعة لتعديلها.

على يسار الصفحة، اختَر التطبيقات التي تريد تعديلها أو إضافتها أو إزالتها.

انقر على تعيين.

عدِّل عمليات تحديد المستوى للمجموعة.

انقر على حفظ.

  <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

تحديد المشاكل وحلّها

<div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>

  <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

مراجعة التغييرات في سجلّ التدقيق

<div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>

        <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>

        <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

فهم الوحدات التنظيمية ومجموعات الضبط المكتسبة والمجموعات

في حال إجراء أي تغييرات على مستوى الوصول المحلي في مجموعة أو وحدة تنظيمية فرعية، فإنّها لا تملك سوى مستويات الوصول المحلية السارية ولا تكتسب أي مستويات وصول من الوحدة التنظيمية الرئيسية.

في حال إزالة جميع مستويات الوصول المسندة محليًا لاستعادة مستويات الوصول المكتسبة في البداية، لن يكون لدى الوحدة التنظيمية الفرعية سوى مستويات الوصول المكتسبة.

على سبيل المثال، بالنسبة إلى الوحدات التنظيمية، إذا تم تخصيص 3 مستويات وصول إلى تطبيق في الوحدة التنظيمية ذات المستوى الأعلى، يتم تحديد مستويات الوصول نفسها من خلال إضافتها إلى التطبيق في وحدة تنظيمية فرعية إذا لم تكن الوحدة التنظيمية الفرعية متاحة في التخصيص المحلي. إذا أضفت بعد ذلك مستوى وصول فقط في الوحدة التنظيمية الفرعية، سيكون هذا هو مستوى الوصول الوحيد المطبق على الوحدة التنظيمية الفرعية.

إلغاء تحديد مستوى الوصول المكتسب من خلال سياسة فارغة

لنفترض أنّك لا تريد حظر وصول أي مستخدم في وحدة تنظيمية فرعية بدون تحديد مستوى الوصول. يمكنك إنشاء مستوى وصول يسمى "أي مستوى" باستخدام شروط الشبكة الفرعية 2 IP وربطها بمعامل OR:

نطاق الشبكة الفرعية IPv4 0.0.0.0/0
أو
نطاق الشبكة الفرعية IPv6 0::/0

يحصل أي مستخدم في المؤسسة على الوصول من أي عنوان IPv4 أو IPv6.

تجاوز عمليات تخصيص مستويات الوصول من خلال مجموعات الضبط

يمكنك استخدام مجموعات الضبط لتخصيص مستويات الوصول إلى مجموعات من المستخدمين بدلاً من الوحدات التنظيمية. يتجاوز دائمًا مستوى وصول مجموعة المستخدم مستوى وصول وحدته التنظيمية. يمكن أن تتضمّن المجموعات مستخدمين من أي وحدة تنظيمية في حسابك.

على سبيل المثال، ينتمي مستخدم إلى الوحدة التنظيمية والمجموعة 1. الوحدة التنظيمية هي ParentOU، التي تم تعيين مستوى الوصول X لها في Gmail و"تقويم Google" على حد سواء. ليس هناك تعيين مستوى وصول للمجموعة 1 لخدمة Gmail. هناك مستوى وصول Y مخصّص للمجموعة 1 في "تقويم Google". في هذه الحالة، يحصل المستخدم على المستوى X الذي تم تخصيصه لخدمة Gmail (من خلال الاكتساب) وY ليتم تخصيصه لـ "تقويم Google" (من خلال إلغاء السياسة المحلية).

استخدام "الوصول المستنِد إلى السياق" مع مجموعات الضبط تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.