קבוצות הגדרות מאפשרות להחיל רמות גישה מבוססות-הקשר על קבוצות של משתמשים ולא על יחידות ארגוניות. קבוצות הגדרה יכולות לכלול משתמשים מכל יחידה ארגונית בעסק. לדוגמה, אפשר לאפשר לצוות של קבלנים לגשת ל-Gmail רק ברשת הארגונית.
איך פועלות קבוצות הגדרות
- קבוצות הגדרות יכולות לכלול כל משתמש בארגון. בנוסף, אתם יכולים ליצור קבוצת הגדרות שמשמשת כמאגר לרמות גישה, ואז להוסיף את קבוצות המשתמשים שלכם (קבוצות משנה).
- משתמש יכול להשתייך לכמה קבוצות הגדרות, בניגוד ליחידות ארגוניות. אתם קובעים את העדיפות של קבוצות ההגדרות, והמשתמש מקבל את ההגדרה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה.
- רמת הגישה של משתמש לקבוצה באפליקציה תמיד מבטלת את רמת הגישה של היחידה הארגונית שלו.
- אם קבוצת תצורה לא מציינת רמת גישה לאפליקציה, האפליקציה משתמשת ברמת הגישה שהוגדרה על ידי היחידה הארגונית של המשתמש.
תכנון קבוצות הגדרות לבקרת גישה מבוססת-הקשר
ההגדרה של קבוצות בבקרת גישה מבוססת-הקשר שונה קצת מההגדרה שלהן בהגדרות אחרות של Google Workspace. כשמעצבים את הקבוצות ואת כללי המדיניות, כדאי לפעול לפי המידע והטיפים הבאים:
אפשרויות לקבוצות הגדרה
בדרך כלל מגדירים רמות גישה ליחידות ארגוניות, ואז קובעים רמות גישה מותאמות אישית לקבוצות הגדרה. לדוגמה, יכול להיות שיש לכם קבוצות הגדרות ל'גישה פתוחה' או ל'גישה מוגבלת', כדי שתוכלו להעניק או להגביל במהירות את הגישה של משתמשים ספציפיים.
בדרך כלל משתמשים בשילוב של הגדרות לקבוצות של משתמשים:
שימוש בקבוצות משתמשים קיימות
אתם קובעים את רמת הגישה לכל אפליקציה (לדוגמה, Gmail או Google Drive) בקבוצת המשתמשים. אם משתמש שייך לכמה קבוצות, אתם יכולים להגדיר איזו קבוצה תקבע את ההגדרות של המשתמש (כפי שמתואר בהמשך בקטע סדר עדיפויות).
החלת רמות גישה ישירות על קבוצות משתמשים היא אפשרות טובה במקרים הבאים:
- בדיקה של בקרת גישה מבוססת-הקשר.
- ניהול גישה לקבוצות ספציפיות של משתמשים, כמו צוות IT או צוות שמוקצה מרחוק.
- ניהול גישה בארגונים עם פחות מ-50 משתמשים או עם מספר קטן של רמות גישה. אתם לא צריכים ליצור עוד קבוצות, ויכולים לשנות את ההגדרות לכל קבוצת משתמשים.
יצירת קבוצות הגדרה על סמך רמות גישה
אפשר גם להקצות רמות גישה לקבוצות. יוצרים קבוצת הגדרות ומקצים רמות גישה לאפליקציה אחת או יותר. לאחר מכן מוסיפים קבוצות משתמשים כחברים בקבוצת ההגדרות.
ארגונים גדולים יכולים להשתמש בגישה הזו כדי לנהל את המדיניות ואת סדרי העדיפויות של קבוצות הגישה (כפי שמתואר בהמשך).
איך עובדת העדיפות ברמות הגישה
אם משתמש שייך לכמה קבוצות הגדרות, אתם יכולים לקבוע לאיזו קבוצת הגדרות יש עדיפות בקביעת הגישה של המשתמש לאפליקציות.
במסוף Google Admin, קודם צריך לבחור אפליקציה כדי להציג את רשימת העדיפויות של הקבוצות שמתאימות לה. הקבוצות מופיעות לפי סדר העדיפות שלהן, מהגבוהה ביותר לנמוכה ביותר. לקבוצת הגדרות חדשה יש תמיד את העדיפות הכי נמוכה, והיא מתווספת לתחתית של רשימת קבוצות ההגדרות.
עדיפות לבקרת גישה מבוססת-הקשר
משתמש מקבל את הגדרות האפליקציה של הקבוצה עם העדיפות הכי גבוהה שהוא שייך אליה. אם לקבוצה אין רמת גישה לאפליקציה מסוימת, המערכת משתמשת ברמת הגישה של הקבוצה הבאה עם העדיפות הכי גבוהה שהמשתמש שייך אליה, וכן הלאה.
במסוף Admin אפשר לבדוק איזו קבוצה או יחידה ארגונית קבעה את רמת הגישה של משתמש לאפליקציה. בדוגמה שלמטה, הגישה של המשתמש ל-Drive מוגדרת על ידי הקבוצה Drive Security.
| האפליקציות של המשתמש | רמות גישה | עבר בירושה |
|---|---|---|
 יומן Google |
רשת החברה | יחידה ארגונית: מכירות |
Drive  |
רשת החברה, אבטחת המכשיר | קבוצה: אבטחה ב-Drive |
 Gmail |
אבטחת המכשיר | יחידה ארגונית: מכירות |
 Google Vault |
<none> | <none> |
כדי לשלוט ברמת דיוק גבוהה, אתם יכולים להשתמש בקבוצות כדי להתאים אישית את רמות הגישה לכל אפליקציה. לדוגמה:
| האפליקציות של המשתמש | רמות גישה | עבר בירושה |
|---|---|---|
|
יומן |
רשת החברה | יחידה ארגונית: מכירות |
|
Drive |
רשת החברה, אבטחת המכשיר | קבוצה: אבטחה ב-Drive |
|
Gmail |
אבטחת מכשירים, קנדה | קבוצה: צפון אמריקה |
|
Vault |
המכשיר מוגבל, הרשת של החברה | קבוצה: חוקר Vault |
הגדרת עדיפות לקבוצות משתמשים
- כדאי להגדיר עדיפות גבוהה לקבוצות של הגדרות קריטיות או רגישות. לדוגמה, יכול להיות שהקבוצה בעדיפות הכי גבוהה היא קבוצת 'גישה דחופה' שמבטלת את ההגבלות של כל קבוצה אחרת.
-
רמות הגישה לא מתווספות בין הקבוצות של המשתמש. בדוגמה הזו, משתמש שייך ל-3 קבוצות משתמשים, אבל רק קבוצת ההגדרות עם העדיפות הכי גבוהה, מכשיר, מגדירה את רמת הגישה שלו.
תכנון ועיצוב של קבוצות הגדרות
תכנון המבנה של קבוצת ההגדרות הוא השלב שסביר להניח ייקח הכי הרבה זמן וידרוש הכי הרבה בדיקות.
מתן שמות לקבוצות וחיפוש קבוצות
כדאי להגדיר תקן למתן שמות לקבוצות כדי שיהיה קל יותר לחפש, לתעדף ולבדוק אותן. לדוגמה, מוסיפים קידומת כמו caa כדי לציין קבוצות הגדרות מודעות שמותאמות להקשר. בנוסף, כדאי להשתמש במקום עשרוני כדי להימנע מעריכה של שמות הקבוצות הקיימות כשמוסיפים קבוצת הגדרות.
 |
 |
חיפוש לפי כתובת אימייל של קבוצה | |
 |
הצגת רשימת הקבוצות | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
הגדרת קבוצות הגדרות
לפני שמתחילים: מגדירים את רמות הגישה לפי הקשר ויוצרים את קבוצות ההגדרות (מומלץ לכלול בהן חשבון בדיקה אחד או שניים).
שלב 1. החלת הגדרות לקבוצת משתמשים
אתם צריכים הרשאות אדמין לקבוצות, ליחידות ארגוניות (ברמה העליונה) ולניהול רמות גישה ואדמיניסטרציה של כללים לאבטחת נתונים.
-
במסוף Google Admin, נכנסים לתפריט
אבטחהשליטה בגישה ובנתוניםגישה מודעת-הקשר.נדרשות הרשאות גישה לאבטחת נתונים וניהול כללים והרשאות קריאה של קבוצות משתמשים ומשתמשים ב-Admin API.
- לוחצים על הקצאת רמות גישה כדי לראות את רשימת האפליקציות.
- בקטע גישה מודעת-הקשר, לוחצים על קבוצות.
- בוחרים מבין האפשרויות הבאות:
- לוחצים על אפליקציה. כל קבוצות ההגדרות הקיימות שהוקצתה להן רמת גישה לאפליקציה מופיעות לפי סדר העדיפות.
- לוחצים על חיפוש של קבוצה כדי לעיין ברשימה של כל הקבוצות, לא רק קבוצות ההגדרות. אפשר להזין טקסט כדי לסנן את התוצאות.
- לוחצים על הקבוצה. בטבלת האפליקציות מפורטות כל האפליקציות עם הקצאות רמות הגישה שלהן.
- אם לא מצאתם את הקבוצה, יכול להיות שהיא נוצרה ב-Google Groups. צריך ליצור קבוצות הגדרה במסוף Admin, ב-Directory API או ב-Google Cloud Directory Sync.
- מתחילים בהוספת קבוצות ההגדרות מהעדיפות הגבוהה ביותר לנמוכה ביותר. כשמוסיפים מדיניות קבוצתית חדשה לאפליקציה, היא ממוקמת בעדיפות הנמוכה ביותר.
- לוחצים על אפליקציה אחת או יותר ואז על הקצאה.
- בוחרים את רמות הגישה לאפליקציה בקבוצה ולוחצים על שמירה. כברירת מחדל, לקבוצה חדשה לא מוקצות רמות גישה.
בארגונים עם כמה סוגים של רישיונות Google Workspace: רמות הגישה לקבוצות חלות רק על משתמשים שהוקצתה להם מהדורת Google Workspace שכוללת בקרת גישה מבוססת-הקשר.
שלב 2. איך בודקים את רמות הגישה של משתמש
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
הסרה של קבוצת הגדרות
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
קבוצת ההגדרות כבר לא מופיעה ברשימת הקבוצות. יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף
עריכה של קבוצת הגדרות
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p>
Changes can take up to 24 hours but typically happen more quickly. Learn more</p>
פתרון בעיות
<div>
<p><b>I don't see the configuration group in the Groups list</b></p>
<ul>
<li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
<li>Search for the group's email address rather than the group's name.</li>
<li>Try refreshing the setting page.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>
<p><b>A user doesn't have the correct access level</b></p>
<ul>
<li>Check a user's group membership.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
<li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
<li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>
בדיקת השינויים ביומן הביקורת
<div>
<p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>
<p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>
<table class="nice-table">
<tbody>
<tr>
<td>
<p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>
<p>The data included in a group event:</p>
<blockquote>
<p>Access Level assignments have been changed from []<br>
to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>
<p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>
<p>When you remove the configuration group from an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>
הסבר על יחידות ארגוניות, על קבוצות, על קבוצות הגדרות ועל ירושה
אם מבצעים שינויים ברמת הגישה המקומית ביחידה ארגונית צאצא או בקבוצה, יש לה רק את רמות הגישה שחלות באופן מקומי, והיא לא יורשת רמות גישה מהארגון האב.
אם מסירים את כל רמות הגישה שהוקצו באופן מקומי כדי לשחזר את רמות הגישה שהתקבלו בירושה במקור, ליחידת הצאצא הארגונית יש רק את רמות הגישה שהתקבלו בירושה.
לדוגמה, ביחידות ארגוניות, אם הוקצו 3 רמות גישה לאפליקציה ביחידה ארגונית ברמה העליונה, אותן רמות גישה מוקצות לאפליקציה ביחידת צאצא ארגונית באמצעות ירושה, אם לא הוקצו לאפליקציה הרשאות מקומיות ביחידת הצאצא הארגונית. אם לאחר מכן תוסיפו רמת גישה רק ביחידת הבת הארגונית, זו תהיה רמת הגישה היחידה שתחול על יחידת הבת הארגונית.
ביטול ההקצאות של רמות הגישה שעברו בירושה באמצעות מדיניות null
נניח שאתם לא רוצים לחסום את הגישה של אף משתמש ביחידה ארגונית ברמת צאצא – לא מוקצות רמות גישה. יוצרים רמת גישה בשם Any (כלשהי) עם 2 תנאים של תת-רשתות של כתובות IP ומצרפים את התנאים באמצעות OR:
- טווח תת-רשת IPv4 0.0.0.0/0
או - טווח רשתות משנה של IPv6 0::/0
משתמש בארגון מקבל גישה מכל כתובת IPv4 או IPv6.
שינוי ההקצאות של רמות הגישה באמצעות הגדרות לקבוצת משתמשים
אפשר להשתמש בקבוצות הגדרה כדי להקצות רמות גישה לקבוצות של משתמשים במקום ליחידות ארגוניות. רמת הגישה של משתמש לקבוצה תמיד מבטלת את רמת הגישה של המשתמש ליחידה הארגונית. הקבוצות יכולות לכלול משתמשים מכל יחידה ארגונית בחשבון.
לדוגמה, משתמש ששייך ליחידה ארגונית ולקבוצה 1. היחידה הארגונית היא ParentOU, ורמת הגישה שהוקצתה לה היא X גם ל-Gmail וגם ליומן. לא הוקצתה רמת גישה לקבוצה Group1 עבור Gmail. הוקצתה רמת גישה Y לקבוצה Group1 ליומן. במקרה הזה, למשתמש מוקצית רמת גישה X ל-Gmail (דרך ירושה) ורמת גישה Y ליומן (על ידי ביטול המדיניות המקומית).