Menggunakan Akses Kontekstual dengan grup konfigurasi

Dengan grup konfigurasi, Anda dapat menerapkan tingkat Akses Kontekstual ke kelompok pengguna, bukan ke unit organisasi. Grup konfigurasi dapat menyertakan pengguna dari unit organisasi mana pun di bisnis Anda. Misalnya, izinkan tim kontraktor mengakses Gmail hanya di jaringan perusahaan Anda.

Cara kerja grup konfigurasi

Grup konfigurasi dapat berisi pengguna mana pun di organisasi Anda. Selain itu, Anda dapat membuat grup konfigurasi yang berfungsi sebagai penampung untuk tingkat akses, lalu menambahkan grup pengguna (grup bertingkat).
Pengguna dapat berada di beberapa grup konfigurasi, tidak seperti unit organisasi. Anda dapat menetapkan prioritas grup konfigurasi, dan pengguna akan mendapatkan setelan dari grup dengan prioritas tertinggi tempatnya berada.
Tingkat akses grup pengguna untuk aplikasi selalu menggantikan tingkat akses unit organisasi mereka.
Aplikasi akan menggunakan tingkat akses yang ditetapkan oleh unit organisasi pengguna jika grup konfigurasi tidak menentukan tingkat akses untuk aplikasi.

Mendesain grup konfigurasi untuk Akses Kontekstual

Dibandingkan dengan setelan Google Workspace lainnya, cara kerja grup konfigurasi sedikit berbeda untuk Akses Kontekstual. Saat merancang grup dan kebijakan, ikuti informasi dan tips berikut:

Opsi untuk grup konfigurasi

Biasanya Anda dapat menentukan tingkat akses untuk unit organisasi, lalu menentukan tingkat akses khusus untuk grup konfigurasi. Misalnya, Anda dapat membuat grup konfigurasi untuk "Akses terbuka" atau "Akses kunci total" sehingga bisa dengan cepat memberikan atau membatasi akses pengguna tertentu.

Biasanya, Anda dapat menggunakan kombinasi grup konfigurasi:

Menggunakan grup pengguna yang ada

Anda dapat menetapkan tingkat akses untuk setiap aplikasi (misalnya Gmail atau Google Drive) di grup pengguna. Jika pengguna berada di beberapa grup, Anda dapat menetapkan grup yang menentukan setelan pengguna (yang dijelaskan nanti di bagian Prioritas).

Menerapkan tingkat akses langsung ke grup pengguna adalah opsi yang bagus untuk:

Menguji Akses Kontekstual.
Mengelola akses untuk grup pengguna tertentu, seperti staf IT atau tim yang ditugaskan di luar kantor.
Mengelola akses untuk organisasi yang memiliki kurang dari 50 pengguna atau sedikit tingkat akses. Anda tidak perlu membuat grup lainnya dan dapat menyesuaikan setelan untuk setiap grup pengguna.

Membuat grup konfigurasi berdasarkan tingkat akses

Atau, Anda dapat menetapkan tingkat akses untuk grup. Anda dapat membuat grup konfigurasi dan menetapkan tingkat akses untuk satu atau beberapa aplikasi. Kemudian, tambahkan grup pengguna sebagai anggota grup konfigurasi.

Organisasi yang lebih besar mungkin menganggap pendekatan ini berguna untuk mengelola kebijakan dan prioritas grup akses (yang dijelaskan di bawah).

Cara kerja prioritas dengan tingkat akses

Jika pengguna berada di beberapa grup konfigurasi, Anda dapat menetapkan grup konfigurasi yang memiliki prioritas dalam menentukan akses aplikasi pengguna.

Di konsol Google Admin, Anda harus memilih aplikasi terlebih dahulu untuk menampilkan daftar prioritas grupnya yang sesuai. Grup dicantumkan dari prioritas tertinggi hingga terendah. Grup konfigurasi baru selalu memiliki prioritas terendah, dan ditambahkan ke bagian bawah daftar grup konfigurasi.

Prioritas untuk Akses Kontekstual

Pengguna akan mendapatkan setelan aplikasi dari grup dengan prioritas tertinggi tempatnya berada. Jika grup tidak memiliki tingkat akses untuk aplikasi tertentu, tingkat akses grup prioritas tertinggi berikutnya milik pengguna akan digunakan, dan seterusnya.

Di konsol Admin, Anda dapat memeriksa grup atau unit organisasi yang menentukan tingkat akses aplikasi pengguna. Pada contoh di bawah, grup "Keamanan Drive" menetapkan akses Drive pengguna.

Aplikasi pengguna	Tingkat akses	Diwariskan dari
Google Kalender	Jaringan perusahaan	Unit organisasi: Penjualan
Drive	Jaringan perusahaan, Keamanan perangkat	Grup: Keamanan Drive
Gmail	Keamanan perangkat	Unit organisasi: Penjualan
Google Vault	<none>	<none>

Untuk kontrol yang lebih mendetail, Anda dapat menggunakan grup guna menyesuaikan tingkat akses bagi setiap aplikasi. Misalnya:

Aplikasi pengguna	Tingkat akses	Diwariskan dari
Kalender	Jaringan perusahaan	Unit organisasi: Penjualan
Drive	Jaringan perusahaan, Keamanan perangkat	Grup: Keamanan Drive
Gmail	Keamanan perangkat, Indonesia	Grup: Amerika Utara
Vault	Perangkat dibatasi, Jaringan perusahaan	Grup: Penyelidik Vault

Menerapkan prioritas ke grup konfigurasi

Pertimbangkan untuk menempatkan grup konfigurasi yang penting atau sensitif pada prioritas tinggi. Misalnya, grup prioritas utama Anda mungkin berupa grup "Akses Mendesak" yang mengganti grup yang membatasi akses.
Tingkat akses tidak ditambahkan ke semua grup dari seorang pengguna. Dalam contoh ini, pengguna termasuk dalam 3 grup pengguna, tetapi hanya grup konfigurasi prioritas tertinggi, "Perangkat" yang menetapkan tingkat aksesnya.

Merencanakan dan merancang grup konfigurasi

Merencanakan struktur grup konfigurasi mungkin adalah langkah yang menghabiskan paling banyak waktu dan peninjauan.

Memberi nama dan menelusuri grup

Tetapkan standar penamaan grup untuk memudahkan penelusuran, penentuan prioritas, dan pengauditan. Misalnya, tambahkan awalan seperti "caa" untuk menunjukkan grup konfigurasi yang kontekstual. Selain itu, gunakan titik dan angka desimal untuk menghindari pengeditan nama grup yang sudah ada saat menambahkan grup konfigurasi.

			Menelusuri menurut alamat grup
			Melihat daftar grup

<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>

<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>

<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>

<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>

<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>

<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Menyiapkan grup konfigurasi

Sebelum memulai: Tentukan tingkat Akses Kontekstual dan buat grup konfigurasi Anda (sebaiknya berisi 1 atau 2 akun uji coba).

Langkah 1. Menerapkan grup konfigurasi

Anda memerlukan hak istimewa admin untuk Grup, Unit Organisasi (tingkat teratas), serta Pengelolaan tingkat Akses Keamanan Data dan Pengelolaan aturan.

Di konsol Google Admin, buka Menu KeamananKontrol data dan aksesAkses Kontekstual.

Buka Akses Kontekstual

Memerlukan Hak istimewa pengelolaan aturan dan tingkat akses Keamanan data serta Hak istimewa baca untuk pengguna dan grup Admin API.
Klik Tetapkan tingkat akses untuk melihat daftar aplikasi.
Di bagian Akses Kontekstual, klik Grup.
Pilih salah satu opsi:
- Klik aplikasi. Grup konfigurasi yang sudah ada dengan tingkat akses yang ditetapkan untuk aplikasi Anda akan tercantum dalam urutan prioritas.
- Klik Telusuri grup untuk meninjau daftar semua grup, tidak hanya grup konfigurasi. Anda dapat memasukkan teks untuk memfilter hasil.
Klik grup. Tabel aplikasi mencantumkan semua aplikasi dengan penetapan tingkat aksesnya.
- Jika tidak ditemukan, grup tersebut mungkin dibuat di Google Grup. Anda harus membuat grup konfigurasi di konsol Admin, Directory API, atau Google Cloud Directory Sync.
- Mulai dengan menambahkan grup konfigurasi dari prioritas tertinggi hingga terendah. Saat Anda menambahkan kebijakan grup baru untuk aplikasi, kebijakan tersebut akan ditempatkan di prioritas terendah.
Klik satu atau beberapa aplikasi, lalu Tetapkan.
Pilih tingkat akses untuk aplikasi dalam grup, lalu klik Simpan. Secara default, grup baru tidak memiliki tingkat akses yang ditetapkan.

Untuk organisasi dengan beberapa jenis lisensi Google Workspace: Tingkat akses grup hanya berlaku untuk pengguna yang mendapatkan edisi Google Workspace yang menyertakan kontrol Akses Kontekstual.

Langkah 2. Memeriksa tingkat akses untuk pengguna

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

Di konsol Admin, buka halaman setelan untuk aplikasi tersebut.

Di kiri atas, klik Pengguna.

Klik Pilih pengguna, lalu masukkan alamat pengguna (bukan nama).

Pilih pengguna untuk melihat setelan aplikasi mereka. Kolom Diwariskan dari menampilkan grup konfigurasi atau unit organisasi yang menentukan setelan pengguna.

Arahkan kursor ke aplikasi, lalu klik Lihat untuk mengetahui detail tentang tingkat akses pengguna.

  <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

Menghapus grup konfigurasi

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

Klik Tetapkan tingkat akses untuk melihat daftar aplikasi.

Di sebelah kiri, klik Grup.

Klik grup yang akan dihapus.

Pertama, Anda perlu membatalkan penetapan semua tingkat akses dari semua aplikasi dalam grup. Di panel Aplikasi, periksa setiap aplikasi satu per satu untuk memastikan semua tingkat akses tidak ditetapkan.

Klik Tetapkan.

Klik Hapus Centang Semua

Klik Simpan.

Grup konfigurasi tidak akan muncul lagi dalam daftar Grup. Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut

Mengedit grup konfigurasi

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

Klik Tetapkan tingkat akses untuk melihat daftar aplikasi.

Di sebelah kiri, klik Grup.

Telusuri grup yang akan diedit.

Di sebelah kanan, pilih aplikasi yang akan diedit, ditambahkan, atau dihapus.

Klik Tetapkan.

Perbarui penetapan tingkat untuk grup.

Klik Simpan.

  <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

Pemecahan masalah

<div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>

  <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

Meninjau perubahan pada Log audit

<div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>

        <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>

        <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

Memahami grup konfigurasi dan warisan grup serta unit organisasi

Jika Anda membuat perubahan tingkat akses lokal di grup atau unit organisasi turunan, grup atau unit organisasi tersebut hanya akan memiliki tingkat akses yang diterapkan secara lokal dan tidak mewarisi tingkat akses apa pun dari organisasi induk.

Jika Anda menghapus semua tingkat akses yang ditetapkan secara lokal untuk memulihkan tingkat akses yang pertama kali diwariskan, unit organisasi turunan hanya memiliki tingkat akses yang diwariskan.

Misalnya, untuk unit organisasi, jika ada 3 tingkat akses yang ditetapkan untuk aplikasi di unit organisasi tingkat teratas, tingkat akses yang sama tersebut ditetapkan melalui warisan ke aplikasi di unit organisasi turunan jika unit organisasi turunan tidak memiliki penetapan lokal. Kemudian, jika Anda menambahkan tingkat akses hanya di unit organisasi turunan, tingkat akses tersebut adalah satu-satunya tingkat akses yang diterapkan ke unit organisasi turunan.

Mengganti penetapan tingkat akses yang diwariskan dengan kebijakan yang bersifat membatalkan

Misalnya, Anda tidak ingin memblokir akses pengguna di unit organisasi turunan—tidak ada penetapan tingkat akses. Buat tingkat akses yang disebut "Any" dengan 2 kondisi subnet IP dan gabungkan kondisi tersebut dengan OR:

Rentang subnet IPv4 0.0.0.0/0
ATAU
Rentang subnet IPv6 0::/0

Pengguna di organisasi mendapatkan akses dari alamat IPv4 atau IPv6 apa pun.

Mengganti penetapan tingkat akses dengan grup konfigurasi

Anda dapat menggunakan grup konfigurasi untuk menetapkan tingkat akses ke sekelompok pengguna, bukan unit organisasi. Tingkat akses grup pengguna selalu mengganti tingkat akses unit organisasi pengguna. Grup dapat menyertakan pengguna dari unit organisasi mana pun di akun Anda.

Misalnya, pengguna berada di unit organisasi dan Grup1. Unit organisasi adalah Unit Organisasi Induk, yang memiliki tingkat akses X yang ditetapkan untuk Gmail dan Kalender. Tidak ada penetapan tingkat akses bagi Grup1 untuk Gmail. Ada tingkat akses Y yang ditetapkan bagi Grup1 untuk Kalender. Dalam hal ini, pengguna memiliki tingkat akses X yang ditetapkan untuk Gmail (melalui warisan) dan Y yang ditetapkan untuk Kalender (dengan mengganti kebijakan lokal).

Menggunakan Akses Kontekstual dengan grup konfigurasi Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.