Utiliser l'accès contextuel avec des groupes de configuration

Avec les groupes de configuration, vous pouvez appliquer des niveaux d'accès contextuel à des groupes d'utilisateurs plutôt qu'à des unités organisationnelles. Les groupes de configuration peuvent inclure des utilisateurs appartenant à n'importe quelle unité organisationnelle de votre entreprise. Par exemple, vous pouvez autoriser une équipe de sous-traitants à accéder à Gmail uniquement sur votre réseau d'entreprise.

Comment fonctionnent les groupes de configuration ?

  • Les groupes de configuration peuvent contenir tous les utilisateurs de votre organisation. Vous pouvez également créer un groupe de configuration servant de conteneur pour les niveaux d'accès, puis ajouter vos groupes d'utilisateurs (groupes imbriqués).
  • Contrairement aux unités organisationnelles, un utilisateur peut appartenir à plusieurs groupes de configuration. Vous définissez la priorité de ces groupes, et l'utilisateur bénéficie ainsi des paramètres du groupe (dont il fait partie) ayant la priorité la plus haute.
  • Le niveau d'accès du groupe d'un utilisateur pour une application prévaut toujours sur le niveau d'accès de son unité organisationnelle.
  • Si un groupe de configuration ne spécifie pas de niveau d'accès pour une application, celle-ci utilise le niveau d'accès défini par l'unité organisationnelle de l'utilisateur.

Configurer des groupes de configuration pour l'accès contextuel

Pour l'accès contextuel, le fonctionnement des groupes de configuration est légèrement différent de celui des autres paramètres Google Workspace. Lorsque vous définissez vos groupes et vos règles, suivez ces informations et conseils :

Options pour les groupes de configuration

En général, vous devez définir des niveaux d'accès pour les unités organisationnelles, puis des niveaux d'accès personnalisés pour les groupes de configuration. Par exemple, vous pouvez disposer de groupes de configuration avec le paramètre "Accès ouvert" ou "Accès bloqué" afin de pouvoir rapidement autoriser ou restreindre l'accès d'utilisateurs précis.

En général, vous devez utiliser une combinaison de groupes de configuration :

Utiliser vos groupes d'utilisateurs existants

Vous définissez le niveau d'accès pour chaque application (Gmail ou Google Drive, par exemple) au sein du groupe d'utilisateurs. Si un utilisateur appartient à plusieurs groupes, vous devez définir le groupe déterminant ses paramètres (décrits ultérieurement dans la section Définir la priorité des groupes de configuration).

L'application de niveaux d'accès directement aux groupes d'utilisateurs constitue une bonne solution pour :

  • tester l'accès contextuel ;
  • gérer l'accès pour des groupes d'utilisateurs spécifiques tels que le personnel informatique ou une équipe en mission à distance ;
  • gérer l'accès pour les organisations comptant moins de 50 utilisateurs ou disposant d'un nombre limité de niveaux d'accès. Il n'est pas utile de créer d'autres groupes, et vous pouvez régler les paramètres pour chaque groupe d'utilisateurs.

Créer des groupes de configuration en fonction des niveaux d'accès

Vous pouvez également attribuer des niveaux d'accès à des groupes. Par exemple, créez un groupe de configuration et attribuez-lui des niveaux d'accès pour une ou plusieurs applications. Ensuite, ajoutez des groupes d'utilisateurs en tant que membres du groupe de configuration.

Les grandes organisations peuvent trouver cette approche utile pour gérer les règles et les priorités des groupes d'accès (décrites ci-dessous).

Fonctionnement de la priorité avec les niveaux d'accès

Lorsqu'un utilisateur appartient à plusieurs groupes de configuration, vous définissez quel groupe de configuration est prioritaire pour déterminer l'accès de l'utilisateur à l'application.

Dans la console d'administration Google, vous devez d'abord sélectionner une application afin d'afficher la liste correspondante de priorités relatives aux groupes. Les groupes sont listés de la priorité la plus haute à la priorité la plus basse. Un nouveau groupe de configuration est toujours associé à la priorité la plus basse : il figure donc en bas de la liste.

Priorité de l'accès contextuel

Les paramètres du groupe ayant la priorité la plus haute s'appliquent aux comptes utilisateur. Si le groupe ne dispose d'aucun niveau d'accès pour une application donnée, le niveau d'accès appliqué est celui associé au groupe ayant la deuxième plus haute priorité dont l'utilisateur fait partie, et ainsi de suite.

Dans la console d'administration, vous pouvez vérifier quel groupe ou quelle unité organisationnelle ont déterminé le niveau d'accès d'un utilisateur à l'application. Dans l'exemple ci-dessous, le groupe "Sécurité Drive" a défini l'accès de l'utilisateur à Drive.

Applications de l'utilisateur Niveaux d'accès Hérité de
Google Agenda Réseau de l'entreprise Unité organisationnelle : Ventes
Drive Réseau de l'entreprise, Sécurité des appareils Groupe : Sécurité Drive
Gmail Sécurité des appareils Unité organisationnelle : Ventes
Google Vault <aucun> <aucun>

Pour un contrôle plus précis, vous pouvez personnaliser les niveaux d'accès à chaque application à l'aide de groupes. Voici quelques exemples :

Applications de l'utilisateur Niveaux d'accès Hérité de
Agenda Réseau de l'entreprise Unité organisationnelle : Ventes
Drive Réseau de l'entreprise, Sécurité des appareils Groupe : Sécurité Drive
Gmail Sécurité des appareils, zone France Groupe : Amérique du Nord
Vault Appareil limité, réseau de l'entreprise Groupe : Enquêteur Vault

Appliquer une priorité aux groupes de configuration

  • Il est judicieux de définir une priorité haute pour les groupes de configuration critiques ou sensibles. Par exemple, le groupe dont la priorité est la plus haute peut être un groupe "Accès d'urgence" qui remplace tous les groupes limitant l'accès.

  • Les niveaux d'accès ne sont pas appliqués aux groupes d'un utilisateur. Dans cet exemple, un utilisateur appartient à trois groupes d'utilisateurs, mais seul son groupe de configuration "Appareil" ayant la priorité la plus haute définit son niveau d'accès.

Planifier et concevoir des groupes de configuration

La planification de la structure de votre groupe de configuration est probablement l'étape qui prend le plus de temps et nécessite le plus de vérifications.

Rechercher des groupes et leur attribuer un nom

Définissez une norme de nommage des groupes pour faciliter la recherche, la définition des priorités et l'audit. Par exemple, vous pouvez ajouter un préfixe tel que "caa" aux noms des groupes de configuration pour l'accès contextuel. Utilisez également une décimale pour éviter de modifier les noms de vos groupes existants lorsque vous ajoutez un groupe de configuration.

1. Rechercher par adresse de groupe
2. Afficher la liste des groupes 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Configurer des groupes de configuration

Avant de commencer : définissez les niveaux d'accès contextuel et créez vos groupes de configuration (en y ajoutant un ou deux comptes test, si possible).

Étape 1 : Appliquer un groupe de configuration

Vous devez disposer des droits d'administrateur "Groupes", "Unités organisationnelles" (organisation racine) et Accès contextuel" avec les options "Gestion des niveaux d'accès" et "Attribution des niveaux d'accès".

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisContrôle des accès et des donnéespuisAccès contextuel.

    Nécessite le niveau d'accès "Sécurité des données" et les droits "Gestion des règles", ainsi que les droits "Lire" de l'API Admin pour les groupes et les utilisateurs.

  2. Cliquez sur Attribuer des niveaux d'accès pour afficher la liste des applications.
  3. Dans la section Accès contextuel, cliquez sur Groupes.
  4. Sélectionnez l'une des options suivantes :
    • Cliquez sur une application. Tous les groupes de configuration existants auxquels un niveau d'accès a été attribué pour votre application sont répertoriés par ordre de priorité.
    • Cliquez sur Rechercher un groupe pour consulter la liste de tous les groupes, et pas seulement les groupes de configuration. Vous pouvez saisir du texte pour filtrer les résultats.
  5. Cliquez sur le groupe. Le tableau des applications liste toutes les applications, ainsi que leurs niveaux d'accès attribués.
    • Si vous ne trouvez pas votre groupe, il a peut-être été créé dans Google Groupes. Vous devez créer les groupes de configuration dans la console d'administration, l'API Directory ou Google Cloud Directory Sync.
    • Commencez par ajouter vos groupes de configuration en démarrant par la priorité la plus haute et en terminant par la plus basse. Lorsque vous ajoutez une stratégie de groupe pour une application, elle est associée à la priorité la plus basse.
  6. Cliquez sur une ou plusieurs applications, puis sur Attribuer.
  7. Sélectionnez les niveaux d'accès pour l'application dans le groupe, puis cliquez sur Enregistrer. Par défaut, aucun niveau d'accès n'est attribué aux nouveaux groupes.



    Pour les organisations possédant plusieurs types de licences Google Workspace : les niveaux d'accès du groupe s'appliquent uniquement aux comptes utilisateur disposant d'une édition Google Workspace incluant le contrôle de l'accès contextuel.

Étape 2 : Vérifier les niveaux d'accès d'un utilisateur

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • Dans la console d'administration, accédez à la page "Paramètres" de l'application.
  • En haut à gauche, cliquez sur Utilisateurs.
  • Cliquez sur Sélectionner un utilisateur , puis saisissez l'adresse de l'utilisateur (et non son nom).
  • Sélectionnez l'utilisateur pour afficher les paramètres de son application. La colonne Hérité de indique le groupe de configuration ou l'unité organisationnelle qui a déterminé les paramètres de l'utilisateur.
  • Pointez sur une application, puis cliquez sur Afficher pour obtenir plus d'informations sur les niveaux d'accès de l'utilisateur.

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    Supprimer un groupe de configuration

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Cliquez sur Attribuer des niveaux d'accès pour afficher la liste des applications.
  • À gauche, cliquez sur Groupes.
  • Cliquez sur le groupe à supprimer.
  • Tout d'abord, vous devez retirer au groupe l'ensemble de ses niveaux d'accès pour toutes les applications. Dans le panneau Applications, examinez chaque application une par une pour vérifier que le groupe ne bénéficie plus d'aucun accès.

  • Cliquez sur Attribuer.
  • Cliquez sur Tout décocher.
  • Cliquez sur Enregistrer.

    • Le groupe de configuration ne figure plus dans la liste des groupes. L'application des modifications peut prendre jusqu'à 24 heures, mais cela va généralement plus vite. En savoir plus

    Modifier un groupe de configuration

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Cliquez sur Attribuer des niveaux d'accès pour afficher la liste des applications.
  • À gauche, cliquez sur Groupes.
  • Recherchez le groupe à modifier.
  • À droite, sélectionnez les applications à modifier, ajouter ou supprimer.
  • Cliquez sur Attribuer.
  • Mettez à jour les paramètres de niveau du groupe.
  • Cliquez sur Enregistrer.

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    Dépannage

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    Examiner les modifications dans le journal d'audit

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    Comprendre le fonctionnement des unités organisationnelles, de l'héritage des groupes et des groupes de configuration

    Si vous modifiez localement les niveaux d'accès d'une unité organisationnelle ou d'un groupe enfant, ceux-ci ne disposeront que des niveaux d'accès appliqués localement et n'hériteront d'aucun des niveaux d'accès de l'organisation parente.

    Si vous supprimez tous les niveaux d'accès attribués localement pour rétablir les niveaux d'accès hérités initialement, l'unité organisationnelle enfant ne bénéficiera que des niveaux d'accès hérités.

    Par exemple, si trois niveaux d'accès ont été attribués à une application de l'unité organisationnelle racine, les mêmes niveaux d'accès seront attribués par héritage à l'application d'une unité organisationnelle enfant si celle-ci ne s'est pas vue attribuer de niveaux d'accès localement. Si, par la suite, vous ajoutez un niveau d'accès uniquement dans l'unité organisationnelle enfant, il devient le seul niveau d'accès appliqué à celle-ci.

    Remplacer les niveaux d'accès hérités par une règle "null"

    Il est possible que vous ne souhaitiez bloquer aucun accès utilisateur dans une unité organisationnelle enfant, et donc n'attribuer aucun niveau d'accès. Créez alors un niveau d'accès appelé "Tout", comportant deux conditions de sous-réseau IP que vous associez avec la relation logique "OU" :

    • Plage de sous-réseaux IPv4 0.0.0.0/0
      OU
    • Plage de sous-réseaux IPv6 0::/0

    Un utilisateur de l'organisation bénéficie d'un accès depuis n'importe quelle adresse IPv4 ou IPv6.

    Remplacer les attributions de niveaux d'accès par des groupes de configuration

    Les groupes de configuration vous permettent d'attribuer des niveaux d'accès à des groupes d'utilisateurs plutôt qu'à des unités organisationnelles. Le niveau d'accès du groupe d'un utilisateur prévaut toujours sur celui de son unité organisationnelle. Ces groupes peuvent inclure des utilisateurs appartenant à n'importe quelle unité organisationnelle de votre compte.

    Par exemple, un utilisateur appartient à une unité organisationnelle et à "Groupe1". "UOParente" bénéficie du niveau d'accès X à la fois pour Gmail et Agenda. Aucun niveau d'accès n'est associé à "Groupe1" pour Gmail. Toutefois, un niveau d'accès Y lui a été attribué pour Agenda. Dans ce cas, l'utilisateur dispose du niveau d'accès X attribué pour Gmail (par héritage) ainsi que du niveau d'accès Y attribué pour Agenda (qui prévaut sur la règle locale).