С помощью групп конфигурации вы можете применять уровни доступа с учетом контекста к группам пользователей, а не к организационным подразделениям. Группы конфигурации могут включать пользователей из любого организационного подразделения вашей компании. Например, разрешить команде подрядчиков получать доступ к Gmail только в корпоративной сети.
Как работают группы конфигурации
- Группы конфигурации могут содержать любых пользователей вашей организации. Кроме того, вы можете создать группу конфигурации, которая будет выступать в качестве контейнера для уровней доступа, а затем добавить в нее свои группы пользователей (вложенные группы).
- В отличие от организационных подразделений, пользователь может принадлежать к нескольким группам конфигурации. Вы задаете приоритет групп конфигурации, и пользователь получает настройки той группы с самым высоким приоритетом, к которой он принадлежит.
- Уровень доступа пользователя к приложению, установленный для определенной группы, всегда имеет приоритет над уровнем доступа его организационного подразделения.
- Если в группе конфигураций не указан уровень доступа для приложения, то приложение использует уровень доступа, установленный организационным подразделением пользователя.
Группы конфигурации проектирования для контекстно-зависимого доступа
Работа групп конфигурации для контекстно-зависимого доступа несколько отличается от других настроек Google Workspace. При создании групп и политик следуйте приведенной ниже информации и советам:
Параметры для групп конфигурации
Обычно для организационных подразделений определяются уровни доступа, а затем задаются пользовательские уровни доступа для групп конфигурации. Например, могут быть группы конфигурации для «Открытого доступа» или «Заблокированного доступа», чтобы можно было быстро предоставлять или ограничивать доступ определенным пользователям.
Как правило, вы будете использовать комбинацию групп конфигурации:
Используйте существующие группы пользователей.
Вы устанавливаете уровень доступа для каждого приложения (например, Gmail или Google Drive) в группе пользователей. Если пользователь принадлежит к нескольким группам, вы указываете, какая группа будет определять настройки пользователя (подробнее об этом в разделе «Приоритет »).
Применение уровней доступа непосредственно к группам пользователей — хороший вариант для:
- Тестирование доступа с учетом контекста.
- Управление доступом для определенных групп пользователей, например, для ИТ-персонала или команды, работающей удаленно.
- Управление доступом для организаций с числом пользователей менее 50 или небольшим количеством уровней доступа. Вам не нужно создавать дополнительные группы, и вы можете точно настроить параметры для каждой группы пользователей.
Создавайте группы конфигурации на основе уровней доступа.
В качестве альтернативы вы можете назначать уровни доступа группам. Вы создаете группу конфигурации и назначаете уровни доступа для одного или нескольких приложений. Затем вы добавляете группы пользователей в качестве членов этой группы конфигурации.
Крупным организациям этот подход может оказаться полезным для управления политиками и приоритетами групп доступа (описано ниже).
Как работает система приоритетов в зависимости от уровней доступа
Если пользователь принадлежит к нескольким группам конфигурации, вы указываете, какая группа конфигурации имеет приоритет при определении доступа пользователя к приложению.
В консоли администратора Google необходимо сначала выбрать приложение, чтобы отобразить соответствующий список приоритетов групп. Группы перечислены от наивысшего к наинизшему приоритету. Новая группа конфигурации всегда имеет самый низкий приоритет и добавляется в конец списка групп конфигурации.
Приоритет для контекстно-зависимого доступа
Пользователь получает настройки приложения от группы с наивысшим приоритетом, к которой он принадлежит. Если у группы нет уровня доступа к конкретному приложению, то используется уровень доступа следующей по приоритету группы пользователя, и так далее.
В консоли администратора можно проверить, какая группа или организационное подразделение определило уровень доступа пользователя к приложению. В приведенном ниже примере группа « Безопасность диска » установила уровень доступа пользователя к Диску.
| Приложения пользователей | Уровни доступа | Унаследовано от |
|---|---|---|
 Календарь Google | Сеть компаний | Организационное подразделение : Продажи |
 Водить машину | Корпоративная сеть, безопасность устройств | Группа : Безопасность дисков |
 Гмайл | Безопасность устройства | Организационное подразделение : Продажи |
 Хранилище Google | <нет> | <нет> |
Для более точного управления можно использовать группы для настройки уровней доступа для каждого приложения. Например:
| Приложения пользователей | Уровни доступа | Унаследовано от |
|---|---|---|
| Календарь | Сеть компаний | Организационное подразделение : Продажи |
| Водить машину | Корпоративная сеть, безопасность устройств | Группа : Безопасность дисков |
| Гмайл | Безопасность устройств, Geo Canada | Группа : Северная Америка |
| Сейф | Доступ к устройствам ограничен, корпоративная сеть. | Группа : Следователь Хранилища |
Применить приоритет к группам конфигурации
- Рекомендуется присваивать критически важным или конфиденциальным группам конфигураций высокий приоритет. Например, вашей группой с наивысшим приоритетом может быть группа «Срочный доступ», которая имеет приоритет над любыми группами, ограничивающими доступ.
Уровни доступа не суммируются между группами пользователей. В этом примере пользователь принадлежит к трем группам пользователей, но только группа с наивысшим приоритетом — « Устройство» — устанавливает для него уровень доступа.
Группы конфигураций планирования и проектирования
Планирование структуры групп конфигурации, вероятно, является этапом, требующим наибольшего времени и тщательного анализа.
Наименование и поиск групп
Установите стандарт именования групп для упрощения поиска, определения приоритетов и аудита. Например, добавьте префикс " caa ", чтобы обозначить контекстно-зависимые группы конфигурации. Кроме того, используйте десятичную точку, чтобы избежать редактирования существующих имен групп при добавлении группы конфигурации.
 |  | Поиск по адресу группы | |
 | Просмотреть список групп | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
Настройка групп конфигурации
Перед началом работы: определите уровни доступа с учетом контекста и создайте группы конфигурации (желательно, содержащие 1 или 2 тестовые учетные записи).
Шаг 1. Примените группу конфигураций.
Для управления группами, организационными подразделениями (верхнего уровня), уровнем доступа к данным и правилами необходимы права администратора.
В консоли администратора Google перейдите в меню.
Безопасность Контроль доступа и данных Доступ с учетом контекста .Требуется уровень доступа к данным, права на управление правилами и права на чтение для групп и пользователей Admin API .
- Нажмите «Назначить уровни доступа» , чтобы просмотреть список приложений.
- В разделе «Контекстно-зависимый доступ» нажмите «Группы» .
- Выберите вариант:
- Щёлкните по приложению. Все существующие группы конфигурации, которым назначен уровень доступа для вашего приложения, будут перечислены в порядке приоритета.
- Нажмите кнопку «Поиск группы» , чтобы просмотреть список всех групп, а не только групп конфигурации. Вы можете ввести текст для фильтрации результатов.
- Щёлкните по группе. В таблице приложений отобразятся все приложения с указанием назначенных им уровней доступа.
- Если вы не нашли свою группу, возможно, она была создана в Google Groups . Вам необходимо создать группы конфигурации в консоли администратора , через Directory API или Google Cloud Directory Sync.
- Для начала добавьте группы конфигурации, начиная с самой высокой и заканчивая самой низкой приоритетной. При добавлении новой групповой политики для приложения она размещается с самым низким приоритетом.
- Выберите одно или несколько приложений, а затем нажмите «Назначить».
- Выберите уровни доступа для приложения в группе и нажмите «Сохранить» . По умолчанию новой группе не назначаются никакие уровни доступа.
Для организаций с несколькими типами лицензий Google Workspace : уровни доступа к группам применяются только к пользователям, которым назначена версия Google Workspace, включающая управление доступом с учетом контекста.
Шаг 2. Проверьте уровни доступа пользователя.
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
Удалить группу конфигураций
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
Группа конфигурации больше не отображается в списке групп. Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Подробнее.