Kontextsensitiven Zugriff mit Konfigurationsgruppen nutzen

Mit Konfigurationsgruppen können Sie kontextbezogene Zugriffsebenen auf Nutzergruppen statt auf Organisationseinheiten anwenden. Für solche Konfigurationsgruppen kommen Nutzer aus allen Organisationseinheiten in Ihrem Unternehmen infrage. Beispiel: Ein Team von Auftragnehmern soll nur in Ihrem Unternehmensnetzwerk auf Gmail zugreifen.

So funktionieren Konfigurationsgruppen

  • Konfigurationsgruppen können beliebige Nutzer in Ihrer Organisation enthalten. Sie haben die Möglichkeit, eine Konfigurationsgruppe zu erstellen, die als Container für Zugriffsebenen dient, und anschließend Ihre Nutzergruppen (verschachtelte Gruppen) hinzuzufügen.
  • Ein Nutzer kann mehreren Konfigurationsgruppen angehören, jedoch nicht mehreren Organisationseinheiten. Die Priorität der Konfigurationsgruppen legen Sie fest und für Nutzer gilt die Einstellung der Gruppe mit der höchsten Priorität.
  • Die Gruppenzugriffsebene eines Nutzers für eine App überschreibt immer die Zugriffsebene der Organisationseinheit des Nutzers.
  • Wenn in einer Konfigurationsgruppe keine Zugriffsebene für eine App angegeben ist, wird die von der Organisationseinheit des Nutzers festgelegte verwendet.

Konfigurationsgruppen für den kontextsensitiven Zugriff gestalten

Konfigurationsgruppen funktionieren im Hinblick auf den kontextsensitiven Zugriff etwas anders als andere Google Workspace-Einstellungen. Beachten Sie beim Entwerfen Ihrer Gruppen und Richtlinien die folgenden Informationen und Tipps:

Optionen für Konfigurationsgruppen

Normalerweise definieren Sie Zugriffsebenen für Organisationseinheiten und legen dann benutzerdefinierte Zugriffsebenen für Konfigurationsgruppen fest. Beispiel: Sie haben Konfigurationsgruppen zum „Zugriff öffnen“ oder „Zugriff sperren“, sodass Sie schnell Zugriff für bestimmte Nutzer gewähren oder einschränken können.

In der Regel verwenden Sie eine Kombination aus Konfigurationsgruppen:

Vorhandene Nutzergruppen verwenden

Sie legen die Zugriffsebene für jede App in der Nutzergruppe fest, z. B. für Gmail oder Google Drive. Wenn ein Nutzer mehreren Gruppen angehört, legen Sie fest, welche Gruppe die Einstellungen für ihn bestimmt. Das wird weiter unten im Abschnitt Priorität näher beschrieben.

Zugriffsebenen direkt auf Nutzergruppen anzuwenden, ist eine gute Option, wenn Sie Folgendes tun möchten:

  • Kontextsensitiven Zugriff testen
  • Zugriff für bestimmte Nutzergruppen verwalten, z. B. für IT-Mitarbeiter oder ein Außenteam
  • Zugriff für Organisationen mit weniger als 50 Nutzern oder einer geringen Anzahl von Zugriffsebenen verwalten. Sie müssen keine weiteren Gruppen erstellen und können Einstellungen für jede Nutzergruppe genau abstimmen.

Konfigurationsgruppen basierend auf Zugriffsebenen erstellen

Alternativ können Sie Gruppen auch Zugriffsebenen zuweisen. Sie erstellen eine Konfigurationsgruppe und weisen Zugriffsebenen für eine oder mehrere Apps zu. Anschließend fügen Sie ihr Nutzergruppen als Mitglieder hinzu.

Für größere Organisationen ist dieser Ansatz womöglich hilfreich bei der Verwaltung von Zugriffsgruppenrichtlinien und -prioritäten (wie unten beschrieben).

So funktioniert die Priorität mit Zugriffsebenen

Wenn ein Nutzer zu mehreren Konfigurationsgruppen gehört, legen Sie fest, welche davon den App-Zugriff des Nutzers bestimmt.

In der Google Admin-Konsole müssen Sie zuerst eine Anwendung auswählen, damit die entsprechende Gruppenprioritätsliste angezeigt wird. Gruppen werden von der höchsten bis zur niedrigsten Priorität aufgelistet. Eine neue Konfigurationsgruppe hat immer die niedrigste Priorität und wird in einer Konfigurationsgruppenliste an unterster Stelle aufgeführt.

Priorität für den kontextsensitiven Zugriff

Ein Nutzer erhält die App-Einstellungen der Gruppe mit der höchsten Priorität, der er angehört. Wenn die Gruppe keine Zugriffsebene für eine bestimmte App hat, wird die Zugriffsebene der Gruppe mit der nächsthöheren Priorität verwendet usw.

In der Admin-Konsole können Sie nachsehen, welche Gruppe oder Organisationseinheit die App-Zugriffsebene eines Nutzers bestimmt hat. Im Beispiel unten wurde mit der Gruppe Drive-Sicherheit der Google Drive-Zugriff des Nutzers festgelegt.

Apps des Nutzers Zugriffsebenen Übernommen von
Google Kalender Unternehmensnetzwerk Organisationseinheit: Vertrieb
Drive Unternehmensnetzwerk, Gerätesicherheit Gruppe: Drive-Sicherheit
Gmail Gerätesicherheit Organisationseinheit: Vertrieb
Google Vault <none> <none>

Wenn Sie detailliertere Einstellungen brauchen, können Sie die Zugriffsebenen für jede App mithilfe von Gruppen anpassen. Beispiel:

Apps des Nutzers Zugriffsebenen Übernommen von
 Kalender Unternehmensnetzwerk Organisationseinheit: Vertrieb
Drive Unternehmensnetzwerk, Gerätesicherheit Gruppe: Drive-Sicherheit
Gmail Gerätesicherheit, Geografie Kanada Gruppe: Nordamerika
 Vault Geräteeinschränkung, Unternehmensnetzwerk Gruppe: Vault-Prüfer

Priorität auf Konfigurationsgruppen anwenden

  • Sie können kritische oder sensible Konfigurationsgruppen mit hoher Priorität einrichten. Ihre Gruppe mit der höchsten Priorität ist dann beispielsweise eine Gruppe mit dem Status „Dringender Zugriff“, die alle Gruppen überschreibt, die den Zugriff beschränken.

  • Zugriffsebenen werden nicht gruppenübergreifend hinzugefügt. In diesem Beispiel gehört ein Nutzer zu drei Nutzergruppen, die Zugriffsebene wird aber nur von der Konfigurationsgruppe mit der höchsten Priorität Gerät festgelegt.

Konfigurationsgruppen planen und entwerfen

Die Struktur Ihrer Konfigurationsgruppen zu planen, ist zeitaufwendig und muss gut durchdacht sein.

Gruppen benennen und suchen

Mit einer Namenskonvention lassen sich Gruppen leichter suchen, priorisieren und prüfen. Beispielsweise können Sie eine kontextsensitive Konfigurationsgruppe mit einem Präfix wie ksk kennzeichnen. Außerdem sollten Sie Dezimalstellen verwenden, damit Sie vorhandene Gruppennamen nicht umbenennen müssen, wenn Sie eine neue Konfigurationsgruppe einfügen.

1. Nach Gruppenadresse suchen
2. Liste der Gruppen ansehen 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Konfigurationsgruppen einrichten

Bevor Sie beginnen:Definieren Sie die kontextbezogenen Zugriffsebenen und erstellen Sie Konfigurationsgruppen, die vorzugsweise ein oder zwei Testkonten enthalten.

Schritt 1: Konfigurationsgruppe anwenden

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.

    Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

  2. Klicken Sie auf Zugriffsebenen zuweisen, um die Liste der Apps aufzurufen.
  3. Klicken Sie im Bereich Kontextsensitiver Zugriff auf Gruppen.
  4. Wählen Sie eine Option aus:
    • Klicken Sie auf eine App. Alle vorhandenen Konfigurationsgruppen, denen eine Zugriffsebene für Ihre App zugewiesen ist, werden nach Priorität geordnet aufgeführt.
    • Klicken Sie auf Nach einer Gruppe suchen, um eine Liste aller Gruppen aufzurufen, nicht nur Konfigurationsgruppen. Sie können Text eingeben, um die Ergebnisse zu filtern.
  5. Klicken Sie auf die Gruppe. In der Anwendungstabelle werden alle Anwendungen samt ihren Zuweisungen von Zugriffsebenen aufgeführt.
    • Wenn Sie Ihre Gruppe nicht finden, wurde sie möglicherweise in Google Groups erstellt. Sie müssen Konfigurationsgruppen in der Admin-Konsole, in der Directory API oder in Google Cloud Directory Sync erstellen.
    • Fügen Sie zuerst die Konfigurationsgruppen nach absteigender Priorität hinzu. Wenn Sie eine neue Gruppenrichtlinie für eine App hinzufügen, erhält sie die niedrigste Priorität.
  6. Klicken Sie auf eine oder mehrere Apps und dann auf Zuweisen.
  7. Wählen Sie die Zugriffsebenen für die App in der Gruppe aus und klicken Sie auf Speichern. Standardmäßig sind einer neuen Gruppe keine Zugriffsebenen zugewiesen.



    Für Organisationen mit mehreren Arten von Google Workspace-Lizenzen: Die Zugriffsebenen für Gruppen gelten nur für Nutzer, denen eine Google Workspace-Version mit kontextbezogener Zugriffssteuerung zugewiesen wurde.

Schritt 2: Zugriffsebenen für einen Nutzer prüfen

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • Rufen Sie in der Admin-Konsole die Seite mit den Einstellungen für die App auf.
  • Klicken Sie links oben auf Nutzer.
  • Klicken Sie auf Nutzer auswählen und geben Sie die E-Mail-Adresse des Nutzers (nicht den Namen) ein.
  • Wählen Sie den Nutzer aus, dessen App-Einstellungen angezeigt werden sollen. In der Spalte Übernommen von sehen Sie die Konfigurationsgruppe oder Organisationseinheit, die die Einstellungen des Nutzers bestimmt hat.
  • Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Anzeigen, um Details zu den Zugriffsebenen des Nutzers abzurufen.

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    Konfigurationsgruppe entfernen

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Klicken Sie auf Zugriffsebenen zuweisen, um die Liste der Apps aufzurufen.
  • Klicken Sie links auf Gruppen.
  • Klicken Sie auf die Gruppe, die Sie entfernen möchten.
  • Zuerst heben Sie die Zuweisung aller Zugriffsebenen für alle Apps aus der Gruppe auf. Prüfen Sie im Bereich Apps der Reihe nach, ob die Zuweisung der Zugriffsebene für alle Anwendungen aufgehoben wurde.

  • Klicken Sie auf Zuweisen.
  • Klicken Sie auf Alle deaktivieren.
  • Klicken Sie auf Speichern.

    • Die Konfigurationsgruppe wird nicht mehr in der Gruppenliste angezeigt. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

    Konfigurationsgruppe bearbeiten

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Klicken Sie auf Zugriffsebenen zuweisen, um die Liste der Apps aufzurufen.
  • Klicken Sie links auf Gruppen.
  • Suchen Sie nach der Gruppe, die Sie bearbeiten möchten.
  • Wählen Sie rechts Apps aus, die bearbeitet, hinzugefügt oder entfernt werden sollen.
  • Klicken Sie auf Zuweisen.
  • Aktualisieren Sie die Ebenenzuweisungen für die Gruppe.
  • Klicken Sie auf Speichern.

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    Fehlerbehebung

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    Änderungen im Audit-Log nachvollziehen

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    Informationen zu Organisationseinheiten, Gruppenübernahme und Konfigurationsgruppen

    Wenn Sie Änderungen an lokalen Zugriffsebenen einer untergeordneten Organisationseinheit oder Gruppe vornehmen, gelten nur die lokal angewendeten Zugriffsebenen. Es werden keine Zugriffsebenen von der übergeordneten Organisation übernommen.

    Wenn Sie alle lokal zugewiesenen Zugriffsebenen entfernen, um die ursprünglich übernommenen Zugriffsebenen wiederherzustellen, hat die untergeordnete Organisationseinheit nur die übernommenen Zugriffsebenen.

    Beispiel für Organisationseinheiten: Wenn einer App der obersten Organisationseinheit 3 Zugriffsebenen zugewiesen sind, werden diese Zugriffsebenen durch Übernahme auch der App einer untergeordneten Organisationseinheit zugewiesen, sofern die untergeordnete Organisationseinheit keine lokale Zuweisung hat. Wenn Sie dann nur in der untergeordneten Organisationseinheit eine Zugriffsebene hinzufügen, ist das die einzige Zugriffsebene, die auf die untergeordnete Organisationseinheit angewendet wird.

    Übernommene Zuweisungen für Zugriffsebenen mit einer Nullrichtlinie überschreiben

    Ein Beispiel: Sie möchten in einer untergeordneten Organisationseinheit keinen Nutzerzugriff blockieren – also keine Zugriffsebenen zuweisen. Erstellen Sie dafür eine Zugriffsebene mit der Bezeichnung „Beliebig“ mit zwei IP-Subnetzbedingungen und verknüpfen Sie die Bedingungen mit OR:

    • IPv4-Subnetzbereich 0.0.0.0/0
      ODER
    • IPv6-Subnetzbereich 0::/0

    Ein Nutzer in der Organisation erhält so über jede IPv4- oder IPv6-Adresse Zugriff.

    Zuweisungen für Zugriffsebenen mit Konfigurationsgruppen überschreiben

    Über Konfigurationsgruppen können Sie Zugriffsebenen auf Nutzergruppen statt auf Organisationseinheiten anwenden. Die Gruppenzugriffsebene eines Nutzers überschreibt immer die Zugriffsebene der Organisationseinheit des Nutzers. Die Gruppen können Nutzer aus jeder Organisationseinheit in Ihrem Konto enthalten.

    Beispiel: Ein Nutzer gehört zu einer Organisationseinheit und zu Gruppe1. Der übergeordneten Organisationseinheit ParentOU wurde für Gmail wie für Google Kalender die Zugriffsebene X zugewiesen. Für Gmail gibt es für Gruppe1 keine zugewiesene Zugriffsebene. Für Google Kalender erhält Gruppe1 die Zugriffsebene Y. In diesem Fall hat der Nutzer die Zugriffsebene X für Gmail (übernommen) und die Zugriffsebene Y für Google Kalender (durch Überschreiben der lokalen Richtlinie).