Korzystanie z dostępu zależnego od kontekstu przy użyciu grup konfiguracji

Za pomocą grup konfiguracji możesz zastosować poziomy dostępu zależnego od kontekstu do grup użytkowników zamiast do całych jednostek organizacyjnych. Grupy konfiguracji mogą obejmować użytkowników z dowolnej jednostki organizacyjnej w Twojej firmie. Możesz na przykład zezwolić kontrahentom na dostęp do Gmaila tylko w Twojej sieci firmowej.

Jak działają grupy konfiguracji

  • Grupy konfiguracji mogą obejmować dowolnych użytkowników w organizacji. Możesz też utworzyć grupę konfiguracji, która będzie działać jako kontener poziomów dostępu, a następnie dodać do niej grupy użytkowników (grupy zagnieżdżone).
  • W przeciwieństwie do jednostek organizacyjnych użytkownicy mogą należeć do wielu grup konfiguracji. W takiej sytuacji określasz priorytety grup konfiguracji, a użytkownik uzyskuje ustawienie z grupy o najwyższym priorytecie wśród grup, do których należy.
  • Poziom dostępu grupy użytkownika do aplikacji zawsze zastępuje poziom dostępu jednostki organizacyjnej.
  • Jeśli grupa konfiguracji nie określa poziomu dostępu do aplikacji, aplikacja korzysta z poziomu dostępu ustawionego przez jednostkę organizacyjną użytkownika.

Przygotowywanie grup konfiguracji pod kątem dostępu zależnego od kontekstu

W przypadku dostępu zależnego od kontekstu grupy konfiguracji działają nieco inaczej niż w innych ustawieniach Google Workspace. Przygotowując grupy i zasady, postępuj zgodnie z poniższymi informacjami i wskazówkami:

Opcje grup konfiguracji

Zazwyczaj definiuje się poziomy dostępu dla jednostek organizacyjnych, a następnie określa niestandardowe poziomy dostępu dla grup konfiguracji. Możesz na przykład utworzyć grupy konfiguracji z ustawieniem „Otwarty dostęp” lub „Dostęp awaryjny”, by szybko przyznać lub ograniczyć dostęp określonym użytkownikom.

Zwykle używa się kombinacji grup konfiguracji:

Używanie istniejących grup użytkowników

Ustaw poziom dostępu do każdej aplikacji (na przykład Gmaila lub Dysku Google) w grupie użytkowników. Jeśli użytkownik należy do wielu grup, zdecyduj, która z nich określa jego ustawienia (więcej informacji znajdziesz poniżej w sekcji Priorytet).

Stosowanie poziomów dostępu bezpośrednio do grup użytkowników to dobre rozwiązanie w przypadku:

  • testowania dostępu zależnego od kontekstu;
  • zarządzania dostępem określonych grup użytkowników, takich jak pracownicy działu IT czy zespół pracujący poza biurem;
  • Zarządzanie dostępem w organizacjach, które mają mniej niż 50 użytkowników lub niewielką liczbę poziomów dostępu. Nie musisz tworzyć więcej grup i możesz precyzyjnie dostosować ustawienia dla każdej grupy użytkowników.

Tworzenie grup konfiguracji na podstawie poziomów dostępu

Możesz też przypisać poziomy dostępu do grup. W takiej sytuacji tworzysz grupę konfiguracji i przypisujesz poziomy dostępu do aplikacji. Następnie dodajesz grupy użytkowników jako członków grupy konfiguracji.

W większych organizacjach to podejście może przydać się do zarządzania zasadami i priorytetami grup dostępu (więcej informacji poniżej).

Poziomy dostępu a priorytety

Gdy użytkownik należy do wielu grup konfiguracji, musisz wskazać, która grupa ma priorytet przy określaniu dostępu użytkownika do aplikacji.

Aby wyświetlić listę priorytetów grup dla danej aplikacji, musisz najpierw wybrać ją w konsoli administracyjnej Google. Grupy są wymienione od najwyższego do najniższego priorytetu. Nowe grupy konfiguracji mają zawsze najniższy priorytet i są dodawane u dołu listy.

Priorytet dostępu zależnego od kontekstu

Użytkownik otrzymuje ustawienia aplikacji z grupy o najwyższym priorytecie. Jeśli grupa nie określa poziomu dostępu do danej aplikacji, używany jest poziom dostępu następnej grupy o najwyższym priorytecie itd.

W konsoli administracyjnej możesz sprawdzić, która grupa lub jednostka organizacyjna określa poziom dostępu użytkownika do aplikacji. W poniższym przykładzie grupa „Zabezpieczenia Dysku” określa dostęp użytkownika do Dysku.

Aplikacje użytkownika Poziomy dostępu Odziedziczone z:
 Kalendarz Google Sieć firmowa Jednostka organizacyjna: Sprzedaż
Dysk Sieć firmowa, Zabezpieczenia urządzenia Grupa: Zabezpieczenia Dysku
Gmail Zabezpieczenia urządzeń Jednostka organizacyjna: Sprzedaż
Google Vault <brak> <brak>

Aby zyskać większą kontrolę, możesz użyć grup i dostosować poziomy dostępu dla każdej aplikacji. Na przykład:

Aplikacje użytkownika Poziomy dostępu Odziedziczone z:
 Kalendarz Sieć firmowa Jednostka organizacyjna: Sprzedaż
Dysk Sieć firmowa, Zabezpieczenia urządzenia Grupa: Zabezpieczenia Dysku
Gmail Zabezpieczenia urządzenia, Geo Kanada Grupa: Ameryka Północna
Vault Ograniczone urządzenia, Sieć firmowa Grupa: Vault dla audytorów

Stosowanie priorytetu do grup konfiguracji

  • Rozważ przyznanie najwyższego priorytetu kluczowym lub poufnym grupom konfiguracji. Na przykład grupa „Pilny dostęp” może mieć najwyższy priorytet i zastępować wszystkie grupy, w których istnieją ograniczenia dostępu.

  • Poziomy dostępu ze wszystkich grup użytkownika nie obowiązują jednocześnie. W tym przykładzie użytkownik należy do 3 grup użytkowników, ale tylko grupa konfiguracji o najwyższym priorytecie („Urządzenie”) określa jego poziom dostępu.

Planowanie i projektowanie grup konfiguracji

Planowanie struktury grup konfiguracji jest prawdopodobnie etapem, który wymaga najwięcej czasu i zastanowienia.

Nazywanie i wyszukiwanie grup

Aby ułatwić wyszukiwanie, ustalanie priorytetów i kontrolę, określ standard nazewnictwa grup. Możesz na przykład dodać prefiks „dzok”, aby wskazać grupę konfiguracji zależną od kontekstu. Możesz też użyć kropki i cyfry po niej, aby uniknąć edytowania dotychczasowych nazw grup podczas dodawania grupy konfiguracji.

1. Wyszukiwanie według adresu grupy
2. Wyświetlanie listy grup 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Konfigurowanie grup konfiguracji

Zanim rozpoczniesz: określ poziomy dostępu zależnego od kontekstu i utwórz grupy konfiguracji (najlepiej zawierające 1 lub 2 konta testowe).

Krok 1. Stosowanie grupy konfiguracji

Potrzebujesz uprawnień administratora obejmujących Grupy, Jednostki organizacyjne (najwyższego poziomu) oraz Zarządzanie poziomem dostępu i Zarządzanie regułami w sekcji Bezpieczeństwo danych.

  2. Kliknij Przypisywanie poziomów dostępu, aby wyświetlić listę aplikacji.
  3. W sekcji Dostęp zależny od kontekstu kliknij Grupy.
  4. Wybierz opcję:
    • Kliknij aplikację. Zobaczysz uporządkowaną według priorytetu listę istniejących grup konfiguracji, które mają poziom dostępu przypisany do aplikacji.
    • Kliknij Wyszukaj grupę, aby wyświetlić listę wszystkich grup, a nie tylko grup konfiguracji. Możesz wpisać tekst, aby przefiltrować wyniki.
  5. Kliknij grupę. W tabeli aplikacji znajdziesz wszystkie aplikacje z przypisanymi poziomami dostępu.
    • Jeśli nie możesz znaleźć grupy, być może utworzono ją w Grupach dyskusyjnych Google. Te grupy możesz utworzyć tylko w konsoli administracyjnej, przy użyciu interfejsu Directory API lub w Google Cloud Directory Sync.
    • Zacznij od dodania grup konfiguracji (od najwyższego do najniższego priorytetu). Gdy dodajesz nową zasadę grupy dla aplikacji, jest ona dodawana jako pozycja o najniższym priorytecie.
  6. Wybierz co najmniej 1 aplikację, a następnie kliknij Przypisz.
  7. Wybierz poziomy dostępu aplikacji w grupie i kliknij Zapisz. Domyślnie nowa grupa nie ma przypisanych poziomów dostępu.



    Organizacje z kilkoma typami licencji Google Workspace: poziomy dostępu grupy dotyczą tylko użytkowników, którym przypisano wersję Google Workspace z kontrolą dostępu zależnego od kontekstu.

Krok 2. Sprawdzanie poziomów dostępu użytkownika

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • W konsoli administracyjnej otwórz stronę ustawień aplikacji.
  • W lewym górnym rogu kliknij Użytkownicy.
  • Kliknij Wybierz użytkownika i wpisz adres użytkownika (a nie jego nazwę).
  • Wybierz użytkownika, aby wyświetlić jego ustawienia aplikacji. W kolumnie Odziedziczone z: jest podana grupa konfiguracji lub jednostka organizacyjna, która określa ustawienia użytkownika.
  • Najedź kursorem na aplikację i kliknij Wyświetl, by zobaczyć szczegółowe informacje o poziomach dostępu użytkownika.

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    Usuwanie grupy konfiguracji

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Kliknij Przypisywanie poziomów dostępu, aby wyświetlić listę aplikacji.
  • Po lewej stronie kliknij Grupy.
  • Kliknij grupę, którą chcesz usunąć.
  • Najpierw musisz anulować przypisanie wszystkich poziomów dostępu wszystkich aplikacji w grupie. W panelu Aplikacje sprawdź poszczególne aplikacje i upewnij się, że nie mają one przypisanych poziomów dostępu.

  • Kliknij Przypisz.
  • Kliknij Odznacz wszystko.
  • Kliknij Zapisz.

    • Grupa konfiguracji nie znajduje się już na liście Grupy. Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji

    Edytowanie grupy konfiguracji

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Kliknij Przypisywanie poziomów dostępu, aby wyświetlić listę aplikacji.
  • Po lewej stronie kliknij Grupy.
  • Wyszukaj grupę, którą chcesz edytować.
  • Po prawej stronie wybierz aplikacje, które chcesz edytować, dodać lub usunąć.
  • Kliknij Przypisz.
  • Zaktualizuj przypisania poziomów dla grupy.
  • Kliknij Zapisz.

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    Rozwiązywanie problemów

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    Sprawdzanie zmian w dzienniku kontrolnym

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    Omówienie jednostek organizacyjnych oraz dziedziczenia i grup konfiguracji

    Jeśli w podrzędnej jednostce organizacyjnej lub grupie wprowadzisz lokalne zmiany w poziomach dostępu, będzie ona miała tylko lokalnie zastosowane poziomy dostępu i nie będzie dziedziczyć żadnych poziomów dostępu z organizacji nadrzędnej.

    Jeśli usuniesz wszystkie lokalnie przypisane poziomy dostępu, aby przywrócić pierwotnie odziedziczone poziomy dostępu, podrzędna jednostka organizacyjna będzie mieć tylko odziedziczone poziomy dostępu.

    Jeśli na przykład w organizacji najwyższego poziomu aplikacja ma przypisane 3 poziomy dostępu, te same poziomy dostępu są przypisane do tej aplikacji w organizacji podrzędnej jednostce organizacyjnej, jeśli podrzędna jednostka organizacyjna nie ma lokalnie przypisanego poziomu dostępu. Jeśli wówczas dodasz poziom dostępu tylko w podrzędnej jednostce organizacyjnej, będzie to jedyny poziom dostępu w niej zastosowany.

    Zastępowanie dziedziczonego przypisania poziomów dostępu pustymi zasadami

    Załóżmy, że nie chcesz blokować dostępu użytkowników w podrzędnej jednostce organizacyjnej – nie chcesz tam stosować żadnych poziomów dostępu. Utwórz poziom dostępu o nazwie „Dowolnie” z 2 warunkami określającymi podsieci IP i połącz te warunki operatorem LUB:

    • Zakres podsieci IPv4 0.0.0.0/0
      LUB
    • Zakres podsieci IPv6 0::/0

    Użytkownik w organizacji ma dostęp z dowolnego adresu IPv4 lub IPv6.

    Zastępowanie przypisania poziomów dostępu grupami konfiguracji

    Za pomocą grup konfiguracji możesz przypisać poziomy dostępu do grup użytkowników zamiast do jednostek organizacyjnych. Poziom dostępu jednostki organizacyjnej użytkownika jest zawsze zastępowany poziomem dostępu jego grupy. Grupy konfiguracji mogą obejmować użytkowników z dowolnej jednostki organizacyjnej na Twoim koncie.

    Na przykład użytkownik należy do jednostki organizacyjnej i grupy 1. Jednostką organizacyjną jest ParentOU, która ma poziom dostępu X przypisany zarówno do Gmaila, jak i do Kalendarza. W grupie 1 nie ma przypisanego poziomu dostępu do Gmaila. W grupie 1 jest przypisany poziom dostępu Y do Kalendarza. W tym przypadku użytkownik ma poziom dostępu X przypisany do Gmaila (przez dziedziczenie) oraz poziom Y do Kalendarza (przez zastąpienie zasad lokalnych).