استفاده از دسترسی آگاه از متن با گروه‌های پیکربندی

با گروه‌های پیکربندی، می‌توانید سطوح دسترسی Context-Aware را به گروه‌هایی از کاربران به جای واحدهای سازمانی اعمال کنید. گروه‌های پیکربندی می‌توانند شامل کاربرانی از هر واحد سازمانی در کسب و کار شما باشند. به عنوان مثال، به تیمی از پیمانکاران اجازه دهید فقط در شبکه شرکتی شما به Gmail دسترسی داشته باشند.

نحوه کار گروه‌های پیکربندی

  • گروه‌های پیکربندی می‌توانند شامل هر کاربری در سازمان شما باشند. همچنین، می‌توانید یک گروه پیکربندی ایجاد کنید که به عنوان ظرفی برای سطوح دسترسی عمل کند و سپس گروه‌های کاربری خود (گروه‌های تو در تو) را اضافه کنید.
  • برخلاف واحدهای سازمانی، یک کاربر می‌تواند به چندین گروه پیکربندی تعلق داشته باشد. شما اولویت گروه‌های پیکربندی را تعیین می‌کنید و کاربر تنظیمات مربوط به گروهی با بالاترین اولویت را که به آن تعلق دارد، دریافت می‌کند.
  • سطح دسترسی گروه یک کاربر برای یک برنامه همیشه بر سطح دسترسی واحد سازمانی او اولویت دارد.
  • اگر یک گروه پیکربندی سطح دسترسی برای یک برنامه مشخص نکند، برنامه از سطح دسترسی تعیین شده توسط واحد سازمانی کاربر استفاده می‌کند.

طراحی گروه‌های پیکربندی برای دسترسی آگاه از متن

گروه‌های پیکربندی برای دسترسی آگاه از متن (Context-Aware Access) در مقایسه با سایر تنظیمات Google Workspace کمی متفاوت عمل می‌کنند. هنگام طراحی گروه‌ها و خط‌مشی‌های خود، این اطلاعات و نکات را دنبال کنید:

گزینه‌های مربوط به گروه‌های پیکربندی

شما معمولاً سطوح دسترسی را برای واحدهای سازمانی تعریف می‌کنید و سپس سطوح دسترسی سفارشی را برای گروه‌های پیکربندی تعیین می‌کنید. به عنوان مثال، ممکن است گروه‌های پیکربندی برای «دسترسی آزاد» یا «دسترسی محدود» داشته باشید تا بتوانید به سرعت دسترسی کاربران خاص را اعطا یا محدود کنید.

معمولاً از ترکیبی از گروه‌های پیکربندی استفاده خواهید کرد:

از گروه‌های کاربری موجود خود استفاده کنید

شما سطح دسترسی را برای هر برنامه (مثلاً Gmail یا Google Drive) در گروه کاربری تعیین می‌کنید. اگر یک کاربر به چندین گروه تعلق دارد، شما تعیین می‌کنید که کدام گروه تنظیمات کاربر را تعیین کند (که بعداً در بخش اولویت توضیح داده خواهد شد).

اعمال مستقیم سطوح دسترسی به گروه‌های کاربری، گزینه خوبی برای موارد زیر است:

  • آزمایش دسترسی آگاه از متن.
  • مدیریت دسترسی برای گروه‌های خاصی از کاربران، مانند کارکنان فناوری اطلاعات یا تیمی که از راه دور مأموریت دارند.
  • مدیریت دسترسی برای سازمان‌هایی با کمتر از ۵۰ کاربر یا تعداد کمی سطح دسترسی. نیازی به ایجاد گروه‌های بیشتر نیست و می‌توانید تنظیمات را برای هر گروه کاربری به طور دقیق تنظیم کنید.

ایجاد گروه‌های پیکربندی بر اساس سطوح دسترسی

همچنین، می‌توانید سطوح دسترسی را به گروه‌ها اختصاص دهید. یک گروه پیکربندی ایجاد می‌کنید و سطوح دسترسی را برای یک یا چند برنامه اختصاص می‌دهید. سپس گروه‌های کاربری را به عنوان اعضای گروه پیکربندی اضافه می‌کنید.

سازمان‌های بزرگ‌تر ممکن است این رویکرد را برای مدیریت سیاست‌ها و اولویت‌های گروه‌های دسترسی (که در زیر توضیح داده شده است) مفید بیابند.

نحوه‌ی عملکرد اولویت با سطوح دسترسی

وقتی یک کاربر به چندین گروه پیکربندی تعلق دارد، شما تعیین می‌کنید که کدام گروه پیکربندی در تعیین دسترسی کاربر به برنامه اولویت دارد.

در کنسول مدیریت گوگل، ابتدا باید یک برنامه را انتخاب کنید تا لیست اولویت گروه مربوطه نمایش داده شود. گروه‌ها از بالاترین به پایین‌ترین اولویت فهرست شده‌اند. یک گروه پیکربندی جدید همیشه کمترین اولویت را دارد و به پایین لیست گروه پیکربندی اضافه می‌شود.

اولویت برای دسترسی آگاه از متن

یک کاربر تنظیمات برنامه‌ی گروه با بالاترین اولویتی که به آن تعلق دارد را دریافت می‌کند. اگر گروه هیچ سطح دسترسی برای یک برنامه‌ی خاص نداشته باشد، از سطح دسترسی گروه با بالاترین اولویت بعدی کاربر استفاده می‌شود و به همین ترتیب ادامه می‌یابد.

در کنسول مدیریت، می‌توانید بررسی کنید که کدام گروه یا واحد سازمانی سطح دسترسی کاربر به برنامه را تعیین کرده است. در مثال زیر، گروه « Drive Security » دسترسی کاربر به Drive را تعیین کرده است.

برنامه‌های کاربر سطوح دسترسی به ارث رسیده از
تقویم گوگل شبکه شرکت واحد سازمانی : فروش
رانندگی شبکه شرکت، امنیت دستگاه گروه : امنیت درایو
جیمیل امنیت دستگاه واحد سازمانی : فروش
گوگل والت هیچ کدام هیچ کدام

برای کنترل دقیق‌تر، می‌توانید از گروه‌ها برای سفارشی‌سازی سطوح دسترسی برای هر برنامه استفاده کنید. برای مثال:

برنامه‌های کاربر سطوح دسترسی به ارث رسیده از
تقویم شبکه شرکت واحد سازمانی : فروش
رانندگی شبکه شرکت، امنیت دستگاه گروه : امنیت درایو
جیمیل امنیت دستگاه، جیو کانادا گروه : آمریکای شمالی
خزانه محدودیت دستگاه، شبکه شرکت گروه : بازرس خزانه

اعمال اولویت به گروه‌های پیکربندی

  • قرار دادن گروه‌های پیکربندی حیاتی یا حساس در اولویت بالا را در نظر بگیرید. برای مثال، گروه اولویت‌دار شما می‌تواند یک گروه «دسترسی فوری» باشد که بر هر گروه محدودکننده دسترسی غلبه می‌کند.

  • سطوح دسترسی بین گروه‌های کاربری اضافه نمی‌شوند. در این مثال، یک کاربر به ۳ گروه کاربری تعلق دارد، اما فقط گروه پیکربندی با بالاترین اولویت او، " دستگاه"، سطح دسترسی او را تعیین می‌کند.

برنامه‌ریزی و طراحی گروه‌های پیکربندی

برنامه‌ریزی ساختار گروه پیکربندی شما احتمالاً گامی است که بیشترین زمان و بررسی را می‌طلبد.

نامگذاری و جستجوی گروه‌ها

برای جستجو، اولویت‌بندی و حسابرسی آسان‌تر، یک استاندارد نامگذاری گروه تعیین کنید. به عنوان مثال، پیشوندی مانند " caa " را برای نشان دادن گروه‌های پیکربندی آگاه از متن اضافه کنید. همچنین، هنگام اضافه کردن یک گروه پیکربندی، از یک رقم اعشار استفاده کنید تا از ویرایش نام گروه‌های موجود خود جلوگیری کنید.

۱. جستجو بر اساس آدرس گروه
۲. مشاهده لیست گروه‌ها 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

گروه‌های پیکربندی را تنظیم کنید

قبل از شروع: سطوح دسترسی Context-Aware را تعریف کنید و گروه‌های پیکربندی خود را ایجاد کنید (ترجیحاً شامل ۱ یا ۲ حساب آزمایشی).

مرحله ۱. اعمال یک گروه پیکربندی

برای مدیریت گروه‌ها، واحدهای سازمانی (سطح بالا) و مدیریت سطح دسترسی به امنیت داده‌ها و مدیریت قوانین، به امتیازات مدیریتی نیاز دارید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس امنیت و سپس کنترل دسترسی و داده‌ها و سپس دسترسی آگاه از متن .

    به سطح دسترسی امنیت داده‌ها و امتیازات مدیریت قوانین و همچنین گروه‌های API ادمین و امتیازات خواندن کاربران نیاز دارد.

  2. برای مشاهده لیست برنامه‌ها ، روی «اختصاص سطوح دسترسی» کلیک کنید.
  3. در بخش دسترسی آگاه از متن ، روی گروه‌ها کلیک کنید.
  4. یک گزینه را انتخاب کنید:
    • روی یک برنامه کلیک کنید. هر گروه پیکربندی موجود که سطح دسترسی به برنامه شما اختصاص داده شده است، به ترتیب اولویت فهرست شده است.
    • برای مشاهده‌ی فهرستی از تمام گروه‌ها، نه فقط گروه‌های پیکربندی، روی «جستجوی گروه» کلیک کنید. می‌توانید برای فیلتر کردن نتایج، متن وارد کنید.
  5. روی گروه کلیک کنید. جدول برنامه‌ها، تمام برنامه‌ها را به همراه سطح دسترسی‌هایشان فهرست می‌کند.
    • اگر گروه خود را پیدا نمی‌کنید، ممکن است در Google Groups ایجاد شده باشد. شما باید گروه‌های پیکربندی را در کنسول مدیریت ، API دایرکتوری یا همگام‌سازی دایرکتوری Google Cloud ایجاد کنید.
    • با اضافه کردن گروه‌های پیکربندی خود از بالاترین اولویت به پایین‌ترین اولویت شروع کنید. وقتی یک خط‌مشی گروهی جدید برای یک برنامه اضافه می‌کنید، آن برنامه در پایین‌ترین اولویت قرار می‌گیرد.
  6. روی یک یا چند برنامه کلیک کنید و سپس Assign را انتخاب کنید.
  7. سطوح دسترسی برای برنامه در گروه را انتخاب کنید و روی ذخیره کلیک کنید. به طور پیش‌فرض، یک گروه جدید هیچ سطح دسترسی اختصاصی ندارد.



    برای سازمان‌هایی که انواع مختلفی از مجوزهای Google Workspace دارند : سطوح دسترسی گروهی فقط برای کاربرانی اعمال می‌شود که به آنها نسخه Google Workspace که شامل کنترل دسترسی Context-Aware است، اختصاص داده شده است.

مرحله ۲. بررسی سطوح دسترسی برای یک کاربر 

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • در کنسول مدیریت، به صفحه تنظیمات برنامه بروید.
  • در بالا سمت چپ، روی «کاربران» کلیک کنید.
  • روی «انتخاب کاربر» کلیک کنید و آدرس کاربر (نه نام) را وارد کنید.
  • کاربر را برای مشاهده تنظیمات برنامه‌اش انتخاب کنید. ستون «به ارث رسیده از » گروه پیکربندی یا واحد سازمانی که تنظیمات کاربر را تعیین کرده است را نشان می‌دهد.
  • برای جزئیات مربوط به سطوح دسترسی کاربر، به یک برنامه اشاره کنید و روی «مشاهده» کلیک کنید. 

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    حذف یک گروه پیکربندی 

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • برای مشاهده لیست برنامه‌ها ، روی «اختصاص سطوح دسترسی» کلیک کنید.
  • در سمت چپ، روی گروه‌ها کلیک کنید.
  • برای حذف، روی گروه کلیک کنید.
  • ابتدا، تمام سطوح دسترسی را از همه برنامه‌های موجود در گروه لغو می‌کنید. در پنل برنامه‌ها ، هر برنامه را یک به یک بررسی کنید تا مطمئن شوید که همه سطوح دسترسی لغو شده‌اند.

  • روی اختصاص دادن کلیک کنید.
  • روی لغو انتخاب همه کلیک کنید
  • روی ذخیره کلیک کنید.

    • گروه پیکربندی دیگر در فهرست گروه‌ها نمایش داده نمی‌شود. تغییرات می‌توانند تا ۲۴ ساعت طول بکشند اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر

    ویرایش یک گروه پیکربندی 

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • برای مشاهده لیست برنامه‌ها ، روی «اختصاص سطوح دسترسی» کلیک کنید.
  • در سمت چپ، روی گروه‌ها کلیک کنید.
  • برای ویرایش، گروه را جستجو کنید.
  • در سمت راست، برنامه‌ها را برای ویرایش، اضافه کردن یا حذف کردن انتخاب کنید.
  • روی اختصاص دادن کلیک کنید.
  • تکالیف سطح را برای گروه به‌روزرسانی کنید.
  • روی ذخیره کلیک کنید. 

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    عیب‌یابی 

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    بررسی تغییرات در گزارش حسابرسی 

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    درک واحدهای سازمانی و وراثت گروهی و پیکربندی گروه‌ها

    اگر هرگونه تغییر سطح دسترسی محلی را در یک واحد یا گروه سازمانی فرزند ایجاد کنید، آن واحد یا گروه فقط سطوح دسترسی اعمال‌شده محلی را دارد و هیچ سطح دسترسی از سازمان والد به ارث نمی‌برد.

    اگر تمام سطوح دسترسی اختصاص داده شده محلی را حذف کنید تا سطوح دسترسی ارثی اولیه بازیابی شوند، واحد سازمانی فرزند فقط سطوح دسترسی ارثی را خواهد داشت.

    برای مثال، برای واحدهای سازمانی، اگر ۳ سطح دسترسی به یک برنامه در واحد سازمانی سطح بالا اختصاص داده شده باشد، همان سطوح دسترسی از طریق ارث‌بری به برنامه در یک واحد سازمانی فرزند اختصاص داده می‌شوند اگر واحد سازمانی فرزند تخصیص محلی نداشته باشد. اگر سپس یک سطح دسترسی فقط در واحد سازمانی فرزند اضافه کنید، آن تنها سطح دسترسی اعمال شده به واحد سازمانی فرزند خواهد بود.

    نادیده گرفتن تخصیص‌های سطح دسترسی موروثی با سیاست تهی

    فرض کنید نمی‌خواهید دسترسی هیچ کاربری را در یک واحد سازمانی فرزند مسدود کنید - هیچ سطح دسترسی‌ای تعیین نکنید. یک سطح دسترسی به نام "Any" با دو شرط زیرشبکه IP ایجاد کنید و شرط‌ها را با استفاده از OR به هم متصل کنید:

    • محدوده زیرشبکه IPv4 0.0.0.0/0
      یا
    • محدوده زیرشبکه IPv6 0::/0

    یک کاربر در سازمان از هر آدرس IPv4 یا IPv6 دسترسی پیدا می‌کند.

    نادیده گرفتن تخصیص‌های سطح دسترسی با گروه‌های پیکربندی

    شما می‌توانید از گروه‌های پیکربندی برای اختصاص سطوح دسترسی به گروه‌های کاربران به جای واحدهای سازمانی استفاده کنید. سطح دسترسی گروه کاربر همیشه بر سطح دسترسی واحد سازمانی کاربر اولویت دارد. گروه‌ها می‌توانند شامل کاربرانی از هر واحد سازمانی در حساب شما باشند.

    برای مثال، یک کاربر متعلق به یک واحد سازمانی و گروه ۱ است. واحد سازمانی ParentOU است که سطح دسترسی X برای Gmail و Calendar به آن اختصاص داده شده است. هیچ سطح دسترسی برای Group1 برای Gmail تعیین نشده است. سطح دسترسی Y برای Group1 برای Calendar تعیین شده است. در این حالت، کاربر سطح دسترسی X را به Gmail (از طریق ارث بری) و Y را به Calendar (با لغو سیاست محلی) اختصاص داده است.