구성 적용 그룹에 컨텍스트 인식 액세스 사용하기

구성 적용 그룹으로 조직 단위가 아닌 사용자 그룹에 컨텍스트 인식 액세스 수준을 적용할 수 있습니다. 구성 적용 그룹에는 비즈니스에 속한 어느 조직 단위의 사용자든 포함할 수 있습니다. 예를 들어 계약업체 직원으로 구성된 팀이 회사 네트워크를 통해서만 Gmail에 액세스하도록 허용합니다.

구성 적용 그룹의 작동 방식

  • 구성 적용 그룹에는 조직의 모든 사용자가 포함될 수 있습니다. 또한 액세스 수준의 컨테이너 역할을 하는 구성 적용 그룹을 만든 다음, 사용자 그룹을 추가할 수도 있습니다 (중첩된 그룹).
  • 사용자는 조직 단위와 달리 여러 구성 적용 그룹에 속할 수 있습니다. 관리자가 구성 그룹의 우선순위를 설정하면 사용자에게 본인이 속한 그룹 중 우선순위가 가장 높은 그룹의 설정이 적용됩니다.
  • 앱에 대한 사용자 그룹의 액세스 수준은 항상 조직 단위의 액세스 수준보다 우선합니다.
  • 구성 적용 그룹에서 앱에 대한 액세스 수준을 지정하지 않으면 앱에서는 사용자의 조직 단위에서 설정한 액세스 수준을 사용합니다.

컨텍스트 인식 액세스를 위해 구성 적용 그룹 설계하기

구성 적용 그룹은 다른 Google Workspace 설정에 비해 컨텍스트 인식 액세스가 약간 다르게 작동합니다. 그룹과 정책을 설계할 때는 다음 정보와 도움말을 따르세요.

구성 그룹 옵션

일반적으로 조직 단위의 액세스 수준을 정의한 다음 구성 적용 그룹의 맞춤 액세스 수준을 결정합니다. 예를 들어 특정 사용자에게 액세스 권한을 신속하게 부여하거나 제한할 수 있도록 '액세스 허용' 또는 '액세스 차단' 구성 적용 그룹을 만들 수 있습니다.

일반적으로 다음과 같은 구성 적용 그룹을 조합하여 사용하게 됩니다.

기존 사용자 그룹 사용하기

사용자 그룹에서 각 앱 (예: Gmail 또는 Google Drive)에 대한 액세스 수준을 설정합니다. 사용자가 여러 그룹에 속한 경우 사용자의 설정을 결정하는 데 기준이 되는 그룹을 설정합니다 (아래의 우선순위 섹션에 설명됨).

다음과 같은 경우 액세스 수준을 사용자 그룹에 직접 적용하는 것이 좋습니다.

  • 컨텍스트 인식 액세스 테스트
  • IT 직원 또는 원격 근무 팀과 같은 특정 사용자 그룹에 대한 액세스 관리
  • 사용자가 50명 미만이거나 액세스 수준의 수가 적은 조직의 액세스 관리 그룹을 추가로 만들 필요 없이 각 사용자 그룹의 설정을 세부적으로 조정하면 됩니다.

액세스 수준에 따라 구성 적용 그룹 만들기

그룹에 액세스 수준을 할당할 수도 있습니다. 구성 적용 그룹을 만들어 하나 또는 여러 개의 앱에 대한 액세스 수준을 지정한 다음 그런 다음 사용자 그룹을 구성 적용 그룹의 구성원으로 추가합니다.

이 접근법은 대규모 조직에서 액세스 그룹 정책 및 우선순위를 관리할 때 유용합니다 (아래 설명 참고).

액세스 수준에서의 우선순위 작동 방식

사용자가 여러 구성 적용 그룹에 속한 경우 해당 사용자의 앱 액세스 수준을 결정할 때 어떤 구성 적용 그룹이 우선하는지 관리자가 설정합니다.

Google 관리 콘솔에서 먼저 애플리케이션을 선택해야 해당 그룹 우선순위 목록이 표시됩니다. 그룹은 가장 높은 우선순위부터 가장 낮은 우선순위로 나열됩니다. 새 구성 적용 그룹은 항상 우선순위가 가장 낮으며 구성 적용 그룹 목록 하단에 추가됩니다.

컨텍스트 인식 액세스 우선순위

사용자에게는 본인이 속한 그룹 중 우선순위가 가장 높은 그룹의 앱 설정이 적용됩니다. 해당 그룹에 특정 앱에 대한 액세스 수준이 없는 경우, 사용자가 속한 그룹 중 다음으로 가장 높은 우선순위 그룹의 액세스 수준이 사용됩니다.

관리 콘솔에서 사용자의 앱 액세스 수준을 결정한 그룹 또는 조직 단위를 확인할 수 있습니다. 아래 예에서는 '드라이브 보안' 그룹이 사용자의 드라이브 액세스 권한을 설정합니다.

사용자 앱 액세스 수준 다음에서 상속
Google Calendar 회사 네트워크 조직 단위: 영업팀
Drive 회사 네트워크, 기기 보안 그룹: Drive 보안
Gmail 기기 보안 조직 단위: 영업팀
Google Vault <없음> <없음>

보다 세밀한 관리를 위해 그룹을 사용하여 각 앱의 액세스 수준을 다음 예와 같이 맞춤설정할 수 있습니다.

사용자 앱 액세스 수준 다음에서 상속
Calendar 회사 네트워크 조직 단위: 영업팀
Drive 회사 네트워크, 기기 보안 그룹: Drive 보안
Gmail 기기 보안, 캐나다 지역 그룹: 북미
Vault 기기 제한, 회사 네트워크 그룹: Vault 조사 담당자

구성 그룹에 우선순위 적용하기

  • 중요하거나 민감한 구성 적용 그룹의 우선순위를 높게 설정합니다. 예를 들어 액세스를 제한하는 그 어떤 그룹보다 우선하는 '긴급 액세스' 그룹을 가장 높은 우선순위 그룹으로 설정할 수 있습니다.

  • 사용자가 속한 그룹이 여러 개이더라도 각 그룹의 액세스 수준이 추가되지는 않습니다. 이 예에서 사용자는 3개의 사용자 그룹에 속하지만, 우선순위가 가장 높은 구성 적용 그룹인 '기기'만 사용자 그룹의 액세스 수준을 설정합니다.

구성 그룹 계획 및 설계하기

구성 적용 그룹 구조를 계획하는 데 가장 많은 시간과 검토가 필요할 수 있습니다.

그룹 이름 지정 및 검색

검색, 우선순위 지정, 감사의 용이성을 위해 그룹 이름은 일정한 기준에 따라 정합니다. 예를 들어 'caa'와 같은 접두사를 추가하여 컨텍스트 인식 구성 적용 그룹임을 표시합니다. 또한 구성 적용 그룹을 추가할 때 기존 그룹 이름이 수정되는 것을 방지하려면 소수점을 사용합니다.

1. 그룹 주소로 검색
2. 그룹 목록 보기 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

구성 적용 그룹 설정하기

시작하기 전에: 컨텍스트 인식 액세스 수준을 정의하고 구성 적용 그룹을 만듭니다. 테스트 계정을 1~2개 포함하는 것이 좋습니다.

1단계: 구성 적용 그룹 적용하기

그룹스, 조직 단위 (최상위), 데이터 보안 액세스 수준 관리 및 규칙 관리에 대한 관리자 권한이 필요합니다.

  1. Google 관리 콘솔에서 메뉴 다음 보안다음액세스 및 데이터 관리다음컨텍스트 인식 액세스로 이동합니다.

    데이터 보안 액세스 수준 및 규칙 관리 권한Admin API 그룹 및 사용자 읽기 권한이 필요합니다.

  2. 액세스 수준 지정을 클릭하여 앱 목록을 봅니다.
  3. 컨텍스트 인식 액세스 섹션에서 그룹을 클릭합니다.
  4. 다음 옵션 중 하나를 선택합니다.
    • 앱을 클릭합니다. 앱에 액세스 수준이 할당된 모든 기존 구성 적용 그룹이 우선순위에 따라 나열됩니다.
    • 그룹 검색을 클릭하여 구성 적용 그룹뿐 아니라 모든 그룹의 목록을 검토합니다. 텍스트를 입력하여 결과를 필터링할 수 있습니다.
  5. 그룹을 클릭합니다. 애플리케이션 표에는 액세스 수준이 할당된 모든 애플리케이션이 표시됩니다.
    • 그룹을 찾을 수 없다면 그룹이 Google 그룹스에서 만들어진 것일 수 있습니다. 구성 적용 그룹은 관리 콘솔, Directory API, Google Cloud 디렉터리 동기화에서 만들어야 합니다.
    • 가장 높은 우선순위부터 가장 낮은 우선순위까지 구성 적용 그룹을 추가합니다. 앱의 새 그룹 정책을 추가하면 가장 낮은 우선순위에 배치됩니다.
  6. 하나 이상의 앱을 클릭한 다음 할당을 클릭합니다.
  7. 그룹에서 앱의 액세스 수준을 선택하고 저장을 클릭합니다. 기본적으로 새 그룹에는 지정된 액세스 수준이 없습니다.



    여러 유형의 Google Workspace 라이선스가 있는 조직의 경우: 그룹 액세스 수준은 컨텍스트 인식 액세스 제어를 포함하는 Google Workspace 버전이 할당된 사용자에게만 적용됩니다.

2단계: 사용자의 액세스 수준 확인하기

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • 관리 콘솔에서 앱의 설정 페이지로 이동합니다.
  • 왼쪽 상단에서 사용자를 클릭합니다.
  • 사용자 선택을 클릭하고 사용자 이름이 아닌 주소를 입력합니다.
  • 앱 설정을 확인할 사용자를 선택합니다. 상속 출처 열에 사용자의 설정을 결정하는 데 기준이 된 구성 적용 그룹 또는 조직 단위가 표시됩니다.
  • 사용자의 액세스 수준 세부정보를 보려면 앱을 가리킨 다음 보기를 클릭합니다.

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    구성 그룹 삭제

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • 액세스 수준 지정을 클릭하여 앱 목록을 봅니다.
  • 왼쪽에서 그룹을 클릭합니다.
  • 삭제할 그룹을 클릭합니다.
  • 먼저 그룹에 있는 모든 앱에서 액세스 수준을 모두 할당 해제합니다. 패널에서 각 애플리케이션을 한 번에 하나씩 확인하여 모든 액세스 수준이 할당 해제되어 있는지 확인합니다.

  • 할당을 클릭합니다.
  • 모두 선택 해제를 클릭합니다.
  • 저장을 클릭합니다.

    • 그룹스 목록에 구성 적용 그룹이 더 이상 표시되지 않습니다. 변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빨리 적용됩니다. 자세히 알아보기

    구성 그룹 수정하기

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • 액세스 수준 지정을 클릭하여 앱 목록을 봅니다.
  • 왼쪽에서 그룹을 클릭합니다.
  • 수정할 그룹을 검색합니다.
  • 오른쪽에서 수정, 추가 또는 삭제할 앱을 선택합니다.
  • 할당을 클릭합니다.
  • 그룹에 지정된 액세스 수준을 업데이트합니다.
  • 저장을 클릭합니다.

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    문제 해결

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    감사 로그에서 변경사항 검토하기

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    조직 단위 상속, 그룹 상속 및 구성 적용 그룹 이해하기

    하위 조직 단위 또는 그룹에서 로컬 액세스 수준을 변경하면 해당 조직 단위 또는 그룹에는 로컬에서 적용되는 액세스 수준만 있게 되고 상위 조직으로부터 액세스 수준이 상속되지 않습니다.

    원래 상속된 액세스 수준을 복원하기 위해 로컬에 할당된 액세스 수준을 모두 삭제하는 경우 하위 조직 단위에는 상속된 액세스 수준만 있게 됩니다.

    예를 들어 조직 단위의 경우 최상위 조직 단위에서 앱에 할당된 액세스 수준이 3개 있다면 하위 조직 단위에 로컬 할당이 없는 경우 상속을 통해 동일한 액세스 수준이 하위 조직의 앱에 할당됩니다. 그런 다음 하위 조직 단위에서만 액세스 수준을 추가하면 이렇게 추가된 액세스 수준만 하위 조직 단위에 적용됩니다.

    null 정책으로 상속된 액세스 수준 할당 재정의

    하위 조직 단위의 모든 사용자 액세스를 허용(액세스 수준을 할당하지 않음)하고자 한다고 가정해 봅시다. 다음과 같이 2개의 IP 서브넷 조건으로 'Any(모든)'이라는 액세스 수준을 만든 다음 OR을 사용해 조건을 결합합니다.

    • IPv4 서브넷 범위 0.0.0.0/0
      OR
    • IPv6 서브넷 범위 0::/0

    조직의 사용자가 모든 IPv4 또는 IPv6 주소에서 액세스할 수 있습니다.

    구성 적용 그룹으로 액세스 수준 할당 재정의

    구성 적용 그룹을 사용하면 조직 단위가 아닌 사용자 그룹별로 액세스 수준을 할당할 수 있습니다. 사용자의 그룹 액세스 수준은 항상 사용자의 조직 단위 액세스 수준보다 우선 적용됩니다. 그룹에는 계정에 속한 모든 조직 단위의 사용자를 포함할 수 있습니다.

    예를 들어 사용자는 조직 단위와 그룹 1에 속해 있습니다. 여기에서 조직 단위는 ParentOU이며 Gmail 및 Calendar 모두에 대해 액세스 수준 X가 할당되어 있습니다. 그룹 1에는 Gmail에 대한 액세스 수준 할당이 없습니다. Calendar에 대한 액세스 수준 Y가 할당되어 있습니다. 이 경우 사용자는 Gmail에 할당된 액세스 수준 X는 상속을 통해, Calendar에 할당된 액세스 수준 Y는 액세스 수준을 재정의하는 로컬 정책을 통해 갖게 됩니다.