Usar o acesso baseado no contexto com grupos de configuração

Com os grupos de configuração,você pode aplicar níveis de acesso baseado no contexto a grupos de usuários em vez de a unidades organizacionais. Os grupos de configuração podem incluir usuários de qualquer unidade organizacional na sua empresa. Por exemplo, você pode permitir que uma equipe de prestadores de serviço acesse o Gmail apenas na sua rede corporativa.

Como os grupos de configuração funcionam

  • Os grupos de configuração podem conter qualquer usuário da organização. Além disso, você pode criar um grupo de configuração que sirva como contêiner para os níveis de acesso, depois adicionar seus grupos de usuários (aninhados).
  • Um usuário pode pertencer a vários grupos de configuração, mas as unidades organizacionais não. Você define a prioridade dos grupos de configuração, e o usuário recebe a configuração do grupo com a prioridade mais alta a que ele pertence.
  • Em um app, o nível de acesso de um usuário ao grupo sempre modifica o nível de acesso da unidade organizacional.
  • Se um grupo de configuração não especificar um nível de acesso para um app, o app usará o nível de acesso definido pela unidade organizacional do usuário.

Criar grupos de configuração para acesso baseado no contexto

Os grupos de configuração funcionam de forma um pouco diferente no acesso baseado no contexto em comparação com outras configurações do Google Workspace. Ao criar seus grupos e políticas, siga estas informações e dicas:

Opções para grupos de configuração

Geralmente, você define os níveis de acesso para as unidades organizacionais e depois determina os níveis de acesso personalizados para os grupos de configuração. Por exemplo, você pode ter grupos de configuração com "Acesso aberto" ou "Acesso bloqueado". Assim é possível conceder ou limitar rapidamente o acesso de usuários específicos.

Geralmente, você usa uma combinação de grupos de configuração:

Usar os grupos de usuários já existentes

Você define o nível de acesso para cada app (Gmail ou Google Drive, por exemplo) no grupo de usuários. Se um usuário pertencer a vários grupos, defina qual deles determinará as configurações desse usuário (descritas na seção Prioridade).

A aplicação de níveis de acesso diretamente aos grupos de usuários é uma boa opção para:

  • teste de acesso com base no contexto.
  • gerenciamento de acesso de grupos específicos de usuários, como a equipe de TI ou a equipe de um projeto a distância.
  • gerenciamento de acesso para organizações com menos de 50 usuários ou um pequeno número de níveis de acesso. Não é necessário criar mais grupos, e você pode ajustar as configurações de cada grupo de usuários.

Criar grupos de configuração com base nos níveis de acesso

Como alternativa, você pode atribuir níveis de acesso a grupos. Você cria um grupo de configuração e atribui níveis de acesso a um ou mais apps. Em seguida, você adiciona grupos de usuários como membros do grupo de configuração.

Organizações maiores podem considerar essa abordagem útil para gerenciar políticas e prioridades de grupos de acesso (descritas abaixo).

Como funciona a prioridade com níveis de acesso

Quando um usuário pertence a vários grupos de configuração, você define qual deles tem prioridade para determinar o acesso do app.

No Google Admin Console, você deve primeiro selecionar um aplicativo para exibir a lista de prioridades de grupo correspondente. Os grupos são listados da prioridade mais alta para a mais baixa. Um novo grupo de configuração sempre tem a prioridade mais baixa e é adicionado ao fim de uma lista de grupos de configuração.

Prioridade para acesso baseado no contexto

Um usuário recebe as configurações do app do grupo de maior prioridade a que ele pertence. Se o grupo não tiver um nível de acesso para um app específico, será usado o nível de acesso do próximo grupo de prioridade mais alta do usuário e assim por diante.

No Admin Console, você pode verificar qual grupo ou unidade organizacional determinou o nível de acesso de um usuário ao app. No exemplo abaixo, o grupo "Segurança do Drive" definiu o acesso do usuário ao Drive.

Apps do usuário Níveis de acesso Configuração herdada de
Google Agenda Rede da empresa Unidade organizacional: vendas
Drive Rede da empresa, segurança do dispositivo Grupo: segurança do Drive
Gmail Segurança do dispositivo Unidade organizacional: vendas
Google Vault <nenhum> <nenhum>

Para ter um controle preciso, você pode usar grupos e personalizar os níveis de acesso de cada app. Por exemplo:

Apps do usuário Níveis de acesso Configuração herdada de
Agenda Rede da empresa Unidade organizacional: vendas
Drive Rede da empresa, segurança do dispositivo Grupo: segurança do Drive
Gmail Segurança do dispositivo, Geo Canadá Grupo: América do Norte
Vault Dispositivo restrito, rede da empresa Grupo: investigador do Vault

Aplicar prioridade a grupos de configuração

  • Recomendamos definir os grupos de configuração fundamentais ou restritos com prioridade alta. Por exemplo, seu grupo de prioridade máxima pode ser um grupo de "Acesso urgente" que modifica todos os grupos com acesso limitado.

  • Os níveis de acesso não são adicionados aos grupos de um usuário. Neste exemplo, um usuário pertence a três grupos de usuários, mas apenas o grupo de configuração de maior prioridade "Dispositivo" define o nível de acesso.

Planejamento e elaboração de grupos de configuração

O planejamento da estrutura do grupo de configuração é provavelmente a etapa que leva mais tempo e revisão.

Nomear e pesquisar grupos

Defina um padrão de nomenclatura de grupo para facilitar a pesquisa, a priorização e a auditoria. Por exemplo, adicione um prefixo como "caa" (context-aware access, em inglês) para indicar o grupo de configuração com base no contexto. Além disso, use uma casa decimal para evitar editar os nomes de grupos atuais ao adicionar um grupo de configuração.

1. Pesquisar por endereço de grupo
2. Ver lista de grupos 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Definir grupos de configuração

Antes de começar: defina os níveis de acesso baseado no contexto e crie seus grupos de configuração (de preferência com uma ou duas contas de teste).

Etapa 1. Aplicar um grupo de configuração

Você precisa de privilégios de administrador para Grupos, Unidades organizacionais (nível superior) e Gerenciamento do nível de acesso de segurança de dados e Gerenciamento de regras.

  1. No Google Admin Console, acesse Menu e depois Segurançae depoisAcesso e controle de dadose depoisAcesso baseado no contexto.

    Exige os privilégios "Segurança dos dados" e "Gerenciamento de regras", além dos privilégios de leitura para grupos e usuários da API Admin.

  2. Clique em Atribuir níveis de acesso para ver a lista de apps.
  3. Na seção Acesso baseado no contexto, clique em Grupos.
  4. Escolha uma opção:
    • Clique em um app. Todos os grupos de configuração com um nível de acesso atribuído ao seu app são listados em ordem de prioridade.
    • Clique em Pesquisar um grupo para ver uma lista com todos os grupos, não apenas os grupos de configuração. Você pode inserir texto para filtrar os resultados.
  5. Clique no grupo. A tabela de aplicativos lista todos os aplicativos com as atribuições de nível de acesso deles.
    • Se você não encontrar o grupo, é porque talvez ele tenha sido criado no Grupos do Google. Crie esses grupos de configuração no Admin Console, na API Directory ou no Google Cloud Directory Sync.
    • Primeiro, adicione os grupos de configuração da prioridade mais alta para a mais baixa. Quando você adiciona uma nova política de grupo para um aplicativo, ela é colocada na prioridade mais baixa.
  6. Clique em um ou mais apps e em Atribuir.
  7. Selecione os níveis de acesso do app no grupo e clique em Salvar. Por padrão, um novo grupo não tem níveis de acesso atribuídos.



    Para organizações com vários tipos de licenças do Google Workspace: os níveis de acesso do grupo se aplicam apenas aos usuários atribuídos a uma edição do Google Workspace que inclui o controle de acesso baseado no contexto.

Etapa 2. Verificar os níveis de acesso de um usuário

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • No Admin Console, acesse a página de configurações do app.
  • No canto superior esquerdo, clique em Usuários.
  • Clique em Selecionar um usuário e insira o endereço (não o nome) do usuário.
  • Selecione o usuário para ver as configurações do app. A coluna Configuração herdada de mostra o grupo de configuração ou a unidade organizacional que determinou as configurações do usuário.
  • Passe o cursor sobre um app e clique em Visualizar para ver detalhes sobre os níveis de acesso do usuário.

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    Remover um grupo de configuração

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Clique em Atribuir níveis de acesso para ver a lista de apps.
  • À esquerda, clique em Grupos.
  • Clique no grupo que você quer remover.
  • Primeiro, cancele a atribuição de todos os níveis de acesso de todos os aplicativos no grupo. No painel Apps, verifique cada app individualmente para confirmar que todos os níveis de acesso foram atribuídos.

  • Clique em Atribuir.
  • Clique em Desmarcar todos
  • Clique em Salvar.

    • O grupo de configuração não aparece mais na lista "Grupos". As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais

    Editar um grupo de configuração

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Clique em Atribuir níveis de acesso para ver a lista de apps.
  • À esquerda, clique em Grupos.
  • Pesquise o grupo que você quer editar.
  • À direita, selecione apps para editar, adicionar ou remover.
  • Clique em Atribuir.
  • Atualize as atribuições de nível do grupo.
  • Clique em Salvar.

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    Solução de problemas

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    Conferir as alterações no Registro de auditoria

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    Entender as unidades organizacionais e a herança de grupos e os grupos de configuração

    Se você alterar um nível de acesso local em uma unidade organizacional filha, ela vai ter apenas os níveis de acesso aplicados localmente e não vai herdar os da organização mãe.

    Se você remover todos os níveis de acesso atribuídos localmente para restaurar os níveis de acesso herdados originalmente, a organização filha vai ter somente os níveis de acesso herdados.

    Por exemplo, se houver três níveis de acesso atribuídos a um app na unidade organizacional de nível superior, eles vão ser herdados pelo app em uma unidade organizacional filha se ela não tiver localização atribuição. Se você adicionar um nível de acesso somente na unidade organizacional filha, esse será o único nível de acesso aplicado à unidade organizacional filha.

    Modificar as atribuições de nível de acesso herdado com uma política nula

    Digamos que você não queira bloquear o acesso dos usuários em uma unidade organizacional filha, ou seja, não queira atribuir níveis de acesso. Crie um nível de acesso chamado "Qualquer" com duas condições de sub-rede de IP e una as condições com a lógica "OR":

    • Intervalo de sub-rede IPv4 0.0.0.0/0
    • Intervalo de sub-rede IPv6 0::/0

    Um usuário na organização recebe acesso de qualquer endereço IPv4 ou IPv6.

    Modificar atribuições de nível de acesso com grupos de configuração

    Você pode usar grupos de configuração para atribuir níveis de acesso a grupos de usuários, e não a unidades organizacionais. O nível de acesso do grupo de um usuário sempre substitui o nível de acesso da unidade organizacional do usuário. Os grupos podem incluir usuários de qualquer unidade organizacional na sua conta.

    Por exemplo, um usuário pertence a uma unidade organizacional e ao Grupo1. A unidade organizacional é ParentOU, que tem o nível de acesso X atribuído ao Gmail e ao Google Agenda. Não há atribuição de nível de acesso para o Grupo1 no Gmail. Há um nível de acesso Y atribuído ao Grupo1 no Google Agenda. Nesse caso, o usuário tem o nível de acesso X atribuído ao Gmail (herdado) e Y atribuído ao Google Agenda (pela substituição da política local).