Con los grupos de configuración, puedes aplicar niveles de Acceso adaptado al contexto a grupos de usuarios en lugar de unidades organizativas. Los grupos de configuración pueden incluir usuarios de cualquier unidad organizativa de tu empresa. Por ejemplo, permite que un equipo de contratistas acceda a Gmail solo en tu red corporativa.
Cómo funcionan los grupos de configuración
- Los grupos de configuración pueden contener cualquier usuario de tu organización. Además, puedes crear un grupo de configuración que actúe como contenedor de niveles de acceso y, luego, agregar tus grupos de usuarios (grupos anidados).
- Un usuario puede pertenecer a varios grupos de configuración, a diferencia de las unidades organizativas. Estableces la prioridad de los grupos de configuración, y el usuario obtiene el parámetro de configuración del grupo de prioridad más alta al que pertenece.
- El nivel de acceso del grupo de un usuario para una app siempre anula el nivel de acceso de su unidad organizativa.
- Si un grupo de configuración no especifica un nivel de acceso para una app, esta usa el nivel de acceso establecido por la unidad organizativa del usuario.
Diseña grupos de configuración para el Acceso adaptado al contexto
Los grupos de configuración funcionan de manera un poco diferente para el Acceso adaptado al contexto en comparación con otros parámetros de configuración de Google Workspace. Cuando diseñes tus grupos y políticas, sigue esta información y las sugerencias:
Opciones para grupos de configuración
Por lo general, defines los niveles de acceso para las unidades organizativas y, luego, determinas los niveles de acceso personalizados para los grupos de configuración. Por ejemplo, puedes tener grupos de configuración para "Acceso abierto" o "Acceso bloqueado" para otorgar o limitar rápidamente el acceso de usuarios específicos.
Por lo general, usarás una combinación de grupos de configuración:
Usa tus grupos de usuarios existentes
Estableces el nivel de acceso para cada app (por ejemplo, Gmail o Google Drive) en el grupo de usuarios. Si un usuario pertenece a varios grupos, estableces qué grupo determina la configuración del usuario (se describe más adelante en la sección Prioridad).
Aplicar niveles de acceso directamente a los grupos de usuarios es una buena opción para lo siguiente:
- Probar el Acceso adaptado al contexto
- Administrar el acceso para grupos específicos de usuarios, como el personal de TI o un equipo en una asignación remota
- Administrar el acceso para organizaciones con menos de 50 usuarios o una pequeña cantidad de niveles de acceso (no es necesario crear más grupos y puedes ajustar la configuración para cada grupo de usuarios)
Crea grupos de configuración según los niveles de acceso
Como alternativa, puedes asignar niveles de acceso a los grupos. Crea un grupo de configuración y asigna niveles de acceso para una o más apps. Luego, agrega grupos de usuarios como miembros del grupo de configuración.
Las organizaciones más grandes pueden encontrar útil este enfoque para administrar las políticas y las prioridades de los grupos de acceso (que se describen a continuación).
Cómo funciona la prioridad con los niveles de acceso
Cuando un usuario pertenece a varios grupos de configuración, estableces qué grupo de configuración tiene prioridad para determinar el acceso del usuario a la app.
En la Consola del administrador de Google, primero debes seleccionar una aplicación para mostrar su lista de prioridades de grupo correspondiente. Los grupos se enumeran de la prioridad más alta a la más baja. Un grupo de configuración nuevo siempre tiene la prioridad más baja y se agrega a la parte inferior de una lista de grupos de configuración.
Prioridad para el Acceso adaptado al contexto
Un usuario obtiene la configuración de la app del grupo de prioridad más alta al que pertenece. Si el grupo no tiene un nivel de acceso para una app en particular, se usa el nivel de acceso del siguiente grupo de prioridad más alta del usuario, y así sucesivamente.
En la Consola del administrador, puedes verificar qué grupo o unidad organizativa determinó el nivel de acceso a la app de un usuario. En el siguiente ejemplo, el grupo "Seguridad de Drive" estableció el acceso del usuario a Drive.
| Apps del usuario | Niveles de acceso | Heredado de |
|---|---|---|
 Calendario de Google |
Red de la empresa | Unidad organizativa: Ventas |
 Drive |
Red de la empresa, Seguridad del dispositivo | Grupo: Seguridad de Drive |
 Gmail |
Seguridad del dispositivo | Unidad organizativa: Ventas |
 Google Vault |
<none> | <none> |
Para obtener un control detallado, puedes usar grupos para personalizar los niveles de acceso de cada app. Por ejemplo:
| Apps del usuario | Niveles de acceso | Heredado de |
|---|---|---|
|
Calendario |
Red de la empresa | Unidad organizativa: Ventas |
|
Drive |
Red de la empresa, Seguridad del dispositivo | Grupo: Seguridad de Drive |
|
Gmail |
Seguridad del dispositivo, Geo Canadá | Grupo: América del Norte |
|
Vault |
Dispositivo restringido, Red de la empresa | Grupo: Investigador de Vault |
Aplica prioridad a los grupos de configuración
- Considera colocar los grupos de configuración esenciales o sensibles en alta prioridad. Por ejemplo, tu grupo de prioridad más alta podría ser un grupo de "Acceso urgente" que anule cualquier grupo que limite el acceso.
-
Los niveles de acceso no se agregan en los grupos de un usuario. En este ejemplo, un usuario pertenece a 3 grupos de usuarios, pero solo su grupo de configuración de prioridad más alta, "Dispositivo" establece su nivel de acceso.
Planifica y diseña grupos de configuración
Planificar la estructura de tu grupo de configuración es probablemente el paso que requiere más tiempo y revisión.
Nombra y busca grupos
Establece un estándar de nombres de grupos para facilitar la búsqueda, la priorización y la auditoría. Por ejemplo, agrega un prefijo como "caa" para indicar grupos de configuración adaptados al contexto. Además, usa un decimal para evitar editar los nombres de los grupos existentes cuando agregues un grupo de configuración.
 |
 |
Buscar por dirección de grupo | |
 |
Ver la lista de grupos | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
Configura grupos de configuración
Antes de comenzar: Define los niveles de Acceso adaptado al contexto y crea tus grupos de configuración (preferentemente, que contengan 1 o 2 cuentas de prueba).
Paso 1: Aplica un grupo de configuración
Necesitas privilegios de administrador para Grupos, Unidades organizativas (nivel superior) y Administración de niveles de acceso de seguridad de datos y Administración de reglas.
-
En la Consola del administrador de Google, ve a Menú
SeguridadControl de acceso y datosAcceso adaptado al contexto.Requiere los privilegios de Administración de niveles de acceso de seguridad de datos y Administración de reglas y los privilegios de lectura de grupos y usuarios de la API de Admin.
- Haz clic en Asignar niveles de acceso para ver la lista de apps.
- En la sección Acceso adaptado al contexto, haz clic en Grupos.
- Elige una opción:
- Haz clic en una app. Los grupos de configuración existentes que tienen un nivel de acceso asignado para tu app se enumeran en orden de prioridad.
- Haz clic en Buscar un grupo para revisar una lista de todos los grupos, no solo los grupos de configuración. Puedes ingresar texto para filtrar los resultados.
- Haz clic en el grupo. En la tabla de aplicaciones, se enumeran todas las aplicaciones con sus asignaciones de niveles de acceso.
- Si no encuentras tu grupo, es posible que se haya creado en Grupos de Google. Debes crear grupos de configuración en la Consola del administrador, la API de Directory o Google Cloud Directory Sync.
- Comienza agregando tus grupos de configuración desde la prioridad más alta hasta la más baja. Cuando agregas una nueva política de grupo para una app, se coloca en la prioridad más baja.
- Haz clic en una o más apps y, luego, en Asignar.
- Selecciona los niveles de acceso para la app en el grupo y haz clic en Guardar. De forma predeterminada, un grupo nuevo no tiene niveles de acceso asignados.
Para organizaciones con varios tipos de licencias de Google Workspace: Los niveles de acceso del grupo solo se aplican a los usuarios a los que se les asignó una edición de Google Workspace que incluye el control de Acceso adaptado al contexto.
Paso 2: Verifica los niveles de acceso de un usuario
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
Quita un grupo de configuración
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
El grupo de configuración ya no aparece en la lista de Grupos. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información
Edita un grupo de configuración
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p>
Changes can take up to 24 hours but typically happen more quickly. Learn more</p>
Solución de problemas
<div>
<p><b>I don't see the configuration group in the Groups list</b></p>
<ul>
<li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
<li>Search for the group's email address rather than the group's name.</li>
<li>Try refreshing the setting page.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>
<p><b>A user doesn't have the correct access level</b></p>
<ul>
<li>Check a user's group membership.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
<li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
<li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>
Revisa los cambios en el Registro de auditoría
<div>
<p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>
<p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>
<table class="nice-table">
<tbody>
<tr>
<td>
<p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>
<p>The data included in a group event:</p>
<blockquote>
<p>Access Level assignments have been changed from []<br>
to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>
<p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>
<p>When you remove the configuration group from an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>
Información sobre las unidades organizativas y la herencia de grupos, y los grupos de configuración
Si realizas cambios locales en el nivel de acceso en una unidad organizativa o un grupo secundario, solo tendrá los niveles de acceso aplicados de forma local y no heredará ningún nivel de acceso de la organización superior.
Si quitas todos los niveles de acceso asignados de forma local para restablecer los niveles de acceso heredados originalmente, la unidad organizativa secundaria solo tendrá los niveles de acceso heredados.
Por ejemplo, para las unidades organizativas, si hay 3 niveles de acceso asignados a una app en la unidad organizativa de nivel superior, esos mismos niveles de acceso se asignan por herencia a la app en una unidad organizativa secundaria si esta no tiene una asignación local. Si luego agregas un nivel de acceso solo en la unidad organizativa secundaria, ese es el único nivel de acceso que se aplica a la unidad organizativa secundaria.
Anula las asignaciones de niveles de acceso heredados con una política nula
Supongamos que no quieres bloquear el acceso de ningún usuario en una unidad organizativa secundaria, es decir, no hay asignaciones de niveles de acceso. Crea un nivel de acceso llamado "Cualquiera" con 2 condiciones de subred de IP y une las condiciones con OR:
- Rango de subred IPv4 0.0.0.0/0
- Rango de subred IPv6 0::/0
Un usuario de la organización obtiene acceso desde cualquier dirección IPv4 o IPv6.
Anula las asignaciones de niveles de acceso con grupos de configuración
Puedes usar grupos de configuración para asignar niveles de acceso a grupos de usuarios en lugar de unidades organizativas. El nivel de acceso del grupo de un usuario siempre anula el nivel de acceso de la unidad organizativa del usuario. Los grupos pueden incluir usuarios de cualquier unidad organizativa de tu cuenta.
Por ejemplo, un usuario pertenece a una unidad organizativa y al Grupo1. La unidad organizativa es ParentOU, que tiene el nivel de acceso X asignado tanto para Gmail como para Calendario. No hay ninguna asignación de nivel de acceso para el Grupo1 para Gmail. Hay un nivel de acceso Y asignado para el Grupo1 para Calendario. En este caso, el usuario tiene el nivel de acceso X asignado a Gmail (por herencia) y el nivel de acceso Y asignado a Calendario (al anular la política local).