Con i gruppi di configurazione,puoi applicare livelli di accesso sensibile al contesto a gruppi di utenti anziché a unità organizzative. I gruppi di configurazione possono includere utenti di qualsiasi unità organizzativa della tua attività. Ad esempio, puoi consentire a un team di contrattisti di accedere a Gmail solo dalla tua rete aziendale.
Come funzionano i gruppi di configurazione
- I gruppi di configurazione possono contenere qualsiasi utente della tua organizzazione. Inoltre, puoi creare un gruppo di configurazione che funge da contenitore per i livelli di accesso e aggiungere i tuoi gruppi di utenti (gruppi nidificati).
- A differenza delle unità organizzative, un utente può appartenere a più gruppi di configurazione. Una volta impostata la priorità dei gruppi di configurazione, agli utenti vengono applicate le impostazioni del gruppo con la priorità più alta a cui appartengono.
- Il livello di accesso di gruppo di un utente per un'app ha sempre la precedenza sul livello di accesso dell'unità organizzativa.
- Se un gruppo di configurazione non specifica un livello di accesso per un'app, l'app utilizza il livello di accesso impostato dall'unità organizzativa dell'utente.
Progettare gruppi di configurazione per l'accesso sensibile al contesto
I gruppi di configurazione funzionano in modo leggermente diverso per l'accesso sensibile al contesto rispetto ad altre impostazioni di Google Workspace. Mentre progetti i gruppi e i criteri, segui queste informazioni e i suggerimenti:
Opzioni per i gruppi di configurazione
In genere si definiscono i livelli di accesso per le unità organizzative e poi si determinano i livelli di accesso personalizzati per i gruppi di configurazione. Ad esempio, potresti avere gruppi di configurazione per "Accesso aperto" o "Accesso con blocco" in modo da concedere o limitare rapidamente l'accesso di utenti specifici.
In genere, si utilizza una combinazione di gruppi di configurazione:
Utilizzare i gruppi di utenti esistenti
Puoi impostare il livello di accesso per ogni app (Gmail o Google Drive, ad esempio) nel gruppo di utenti. Se un utente appartiene a più gruppi, puoi stabilire quale gruppo determina le impostazioni dell'utente, come descritto più avanti nella sezione Priorità.
Applicare i livelli di accesso direttamente ai gruppi di utenti è una buona opzione per:
- Eseguire test dell'accesso sensibile al contesto.
- Gestire l'accesso per gruppi specifici di utenti, ad esempio il personale IT o un team che lavora in remoto.
- Gestire l'accesso per organizzazioni con meno di 50 utenti o un numero limitato di livelli di accesso. Puoi ottimizzare le impostazioni per ogni gruppo di utenti senza dover creare più gruppi.
Creare gruppi di configurazione in base ai livelli di accesso
In alternativa, puoi assegnare i livelli di accesso ai gruppi. Crea un gruppo di configurazione e assegna i livelli di accesso per una o più app. Quindi, aggiungi gruppi di utenti come membri del gruppo di configurazione.
Per le organizzazioni più grandi questo approccio può risultare utile per la gestione dei criteri e delle priorità dei gruppi di accesso (come descritto di seguito).
Come funziona la priorità con i livelli di accesso
Quando un utente appartiene a più gruppi di configurazione, devi indicare quale gruppo ha la precedenza nella definizione dell'accesso all'app da parte dell'utente.
Nella Console di amministrazione Google, devi prima selezionare un'applicazione per visualizzare l'elenco delle priorità dei gruppi corrispondente. I gruppi sono elencati dalla priorità più alta a quella più bassa. Un nuovo gruppo di configurazione ha sempre la priorità più bassa e viene aggiunto in fondo a un elenco di gruppi di configurazione.
Priorità per l'accesso sensibile al contesto
Un utente riceve le impostazioni dell'app del gruppo che ha la massima priorità tra quelli a cui appartiene. Se il gruppo non ha un livello di accesso per una determinata app, viene utilizzato il livello di accesso del successivo gruppo dell'utente con la massima priorità e così via.
Nella Console di amministrazione, puoi verificare quale gruppo o unità organizzativa ha determinato il livello di accesso all'app di un utente. Nell'esempio riportato di seguito, il gruppo "Sicurezza di Drive" ha stabilito l'accesso a Drive dell'utente.
| App dell'utente | Livelli di accesso | Ereditato da |
|---|---|---|
 Google Calendar |
Rete aziendale | Unità organizzativa: Vendite |
 Drive |
Rete aziendale, Sicurezza dispositivo | Gruppo: Sicurezza di Drive |
 Gmail |
Sicurezza del dispositivo | Unità organizzativa: Vendite |
 Google Vault |
<none> | <none> |
Per un controllo capillare, puoi utilizzare i gruppi per personalizzare i livelli di accesso per ogni app. Ad esempio:
| App dell'utente | Livelli di accesso | Ereditato da |
|---|---|---|
|
Calendar |
Rete aziendale | Unità organizzativa: Vendite |
|
Drive |
Rete aziendale, Sicurezza dispositivo | Gruppo: Sicurezza di Drive |
|
Gmail |
Sicurezza dei dispositivi, Geo Canada | Gruppo: Nord America |
|
Vault |
Dispositivo con restrizioni, Rete aziendale | Gruppo: Esaminatore Vault |
Applicare la priorità ai gruppi di configurazione
- Valuta la possibilità di assegnare la massima priorità ai gruppi di configurazione critici o sensibili. Ad esempio, il gruppo con priorità più elevata potrebbe essere un gruppo "Accesso urgente" che sostituisce qualsiasi gruppo che limita l'accesso.
-
I livelli di accesso non vengono aggiunti a tutti i gruppi di un utente. In questo esempio, un utente appartiene a 3 gruppi di utenti, ma è solo il gruppo di configurazione con la priorità più alta, "Dispositivo", a impostare il livello di accesso.
Pianificare e progettare i gruppi di configurazione
La pianificazione della struttura del gruppo di configurazione è probabilmente il passaggio che richiede più tempo e più attenzione.
Denominazione e ricerca dei gruppi
Imposta uno standard di denominazione dei gruppi per facilitare la ricerca, l'assegnazione di priorità e il controllo. Ad esempio, aggiungi il prefisso "caa" per indicare un gruppo di configurazione sensibile al contesto. Inoltre, utilizza una posizione decimale per evitare di modificare i nomi dei gruppi esistenti quando aggiungi un gruppo di configurazione.
 |
 |
Cerca per indirizzo del gruppo | |
 |
Visualizzare l'elenco dei gruppi | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
Impostare i gruppi di configurazione
Prima di iniziare:definisci i livelli di accesso sensibile al contesto e crea i gruppi di configurazione (preferibilmente contenenti 1 o 2 account di prova).
Passaggio 1: Applica un gruppo di configurazione
Devi disporre dei privilegi di amministratore per Gruppi, Unità organizzative (primo livello) e Gestione del livello di accesso per la sicurezza dei dati e Gestione regole.
-
Nella Console di amministrazione Google, vai a Menu
SicurezzaAccesso e controllo dei datiAccesso sensibile al contesto.È necessario disporre del livello di accesso Sicurezza dei dati e dei privilegi Gestione regole nonché dei privilegi di lettura Utenti e Gruppi delle API amministrative.
- Fai clic su Assegna livelli di accesso per visualizzare l'elenco delle app.
- Nella sezione Accesso sensibile al contesto, fai clic su Gruppi.
- Scegli un'opzione:
- Fai clic su un'app. Tutti i gruppi di configurazione esistenti a cui è assegnato un livello di accesso per la tua app sono elencati in ordine di priorità.
- Fai clic su Cerca un gruppo per esaminare un elenco di tutti i gruppi, non solo i gruppi di configurazione. Puoi inserire del testo per filtrare i risultati.
- Fai clic sul gruppo. Nella tabella delle applicazioni sono elencate tutte le applicazioni con le relative assegnazioni dei livelli di accesso.
- Se non trovi il gruppo, è possibile che sia stato creato in Google Gruppi. Devi creare i gruppi di configurazione nella Console di amministrazione, nell'API Directory o in Google Cloud Directory Sync.
- Inizia aggiungendo i gruppi di configurazione dalla priorità più alta a quella più bassa. Quando aggiungi un nuovo criterio di gruppo per un'app, questo viene posizionato in corrispondenza del valore di priorità più basso.
- Fai clic su una o più app, quindi su Assegna.
- Seleziona i livelli di accesso per l'app nel gruppo e fai clic su Salva. Per impostazione predefinita, a un nuovo gruppo non sono assegnati livelli di accesso.
Per le organizzazioni con più tipi di licenze Google Workspace: i livelli di accesso del gruppo si applicano solo agli utenti a cui è stata assegnata una versione di Google Workspace che include il controllo dell'accesso sensibile al contesto.
Passaggio 2: Controllare i livelli di accesso per un utente
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
Rimuovere un gruppo di configurazione
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
Il gruppo di configurazione non è più visualizzato nell'elenco Gruppi. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
Modificare un gruppo di configurazione
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p>
Changes can take up to 24 hours but typically happen more quickly. Learn more</p>
Risoluzione dei problemi
<div>
<p><b>I don't see the configuration group in the Groups list</b></p>
<ul>
<li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
<li>Search for the group's email address rather than the group's name.</li>
<li>Try refreshing the setting page.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>
<p><b>A user doesn't have the correct access level</b></p>
<ul>
<li>Check a user's group membership.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
<li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
<li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>
Rivedere le modifiche nel log di controllo
<div>
<p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>
<p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>
<table class="nice-table">
<tbody>
<tr>
<td>
<p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>
<p>The data included in a group event:</p>
<blockquote>
<p>Access Level assignments have been changed from []<br>
to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>
<p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>
<p>When you remove the configuration group from an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>
Capire l'ereditarietà di unità organizzative e gruppi e i gruppi di configurazione
Se apporti modifiche ai livelli di accesso locali in un'unità organizzativa secondaria o gruppo, disporrà solo dei livelli di accesso applicati localmente e non erediterà alcun livello di accesso dall'organizzazione principale.
Se rimuovi tutti i livelli di accesso assegnati localmente per ripristinare quelli ereditati in origine, l'unità organizzativa secondaria dispone solo dei livelli di accesso ereditati.
Ad esempio, per le unità organizzative, se a un'applicazione sono assegnati tre livelli di accesso nell'organizzazione di primo livello, quegli stessi livelli di accesso vengono assegnati per ereditarietà all'applicazione in un'organizzazione secondaria, se quest'ultima non ha un'assegnazione locale. Se successivamente aggiungi un livello di accesso solo nell'unità organizzativa secondaria, quello sarà l'unico livello di accesso applicato all'unità organizzativa secondaria.
Sostituire le assegnazioni dei livelli di accesso ereditati con un criterio null
Supponiamo che tu non voglia bloccare alcun accesso da parte degli utenti in un'unità organizzativa secondaria, non assegnando livelli di accesso. Crea un livello di accesso denominato "Any" con due condizioni di subnet IP e unisci le condizioni con OR:
- IPv4 subnet range 0.0.0.0/0
OR - IPv6 subnet range 0::/0
Un utente dell'organizzazione ottiene l'accesso da un indirizzo IPv4 o IPv6.
Sostituire le assegnazioni dei livelli di accesso con i gruppi di configurazione
Puoi utilizzare i gruppi di configurazione per assegnare livelli di accesso a gruppi di utenti anziché a unità organizzative. Il livello di accesso al gruppo di un utente prevale sempre sul suo livello di accesso all'unità organizzativa. I gruppi possono includere utenti di qualsiasi unità organizzativa del tuo account.
Ad esempio, un utente appartiene a un'unità organizzativa e al Gruppo1. L'unità organizzativa è ParentOU, a cui è assegnato il livello di accesso X sia per Gmail che per Calendar. Non esiste un'assegnazione del livello di accesso per Gruppo1 per Gmail. Esiste un livello di accesso Y assegnato per il Gruppo1 per Calendar. In questo caso, l'utente ha un livello di accesso X assegnato a Gmail (tramite l'ereditarietà) e Y assegnato a Calendar (sovrascrivendo il criterio locale).