Använd kontextmedveten åtkomst med konfigurationsgrupper

Med konfigurationsgrupper kan du tillämpa kontextmedvetna åtkomstnivåer på användargrupper snarare än organisationsenheter. Konfigurationsgrupper kan inkludera användare från vilken organisationsenhet som helst i ditt företag. Låt till exempel ett team av entreprenörer bara få åtkomst till Gmail i ditt företagsnätverk.

Hur konfigurationsgrupper fungerar

  • Konfigurationsgrupper kan innehålla alla användare i din organisation. Du kan också skapa en konfigurationsgrupp som fungerar som en behållare för åtkomstnivåer och sedan lägga till dina användargrupper (kapslade grupper).
  • En användare kan tillhöra flera konfigurationsgrupper, till skillnad från organisationsenheter. Du anger prioriteten för konfigurationsgrupperna, och användaren får inställningen för den grupp med högst prioritet de tillhör.
  • En användares gruppåtkomstnivå för en app åsidosätter alltid deras organisationsenhets åtkomstnivå.
  • Om en konfigurationsgrupp inte anger en åtkomstnivå för en app använder appen den åtkomstnivå som angetts av användarens organisationsenhet.

Designa konfigurationsgrupper för kontextmedveten åtkomst

Konfigurationsgrupper fungerar lite annorlunda för kontextmedveten åtkomst jämfört med andra Google Workspace-inställningar. Följ den här informationen och tipsen när du utformar dina grupper och policyer:

Alternativ för konfigurationsgrupper

Vanligtvis definierar du åtkomstnivåer för organisationsenheter och bestämmer sedan anpassade åtkomstnivåer för konfigurationsgrupper. Du kan till exempel ha konfigurationsgrupper för "Öppen åtkomst" eller "Låst åtkomst" så att du snabbt kan bevilja eller begränsa specifika användares åtkomst.

Vanligtvis använder du en kombination av konfigurationsgrupper:

Använd dina befintliga användargrupper

Du anger åtkomstnivån för varje app (till exempel Gmail eller Google Drive) i användargruppen. Om en användare tillhör flera grupper anger du vilken grupp som avgör användarens inställningar (beskrivs senare i avsnittet Prioritet ).

Att tillämpa åtkomstnivåer direkt på användargrupper är ett bra alternativ för:

  • Testa kontextmedveten åtkomst.
  • Hantera åtkomst för specifika användargrupper, till exempel IT-personal eller ett team på distans.
  • Hantera åtkomst för organisationer med färre än 50 användare eller ett litet antal åtkomstnivåer. Du behöver inte skapa fler grupper och du kan finjustera inställningarna för varje användargrupp.

Skapa konfigurationsgrupper baserat på åtkomstnivåer

Alternativt kan du tilldela åtkomstnivåer till grupper. Du skapar en konfigurationsgrupp och tilldelar åtkomstnivåer för en eller flera appar. Sedan lägger du till användargrupper som medlemmar i konfigurationsgruppen.

Större organisationer kan tycka att den här metoden är användbar för att hantera åtkomstgruppspolicyer och prioriteringar (beskrivs nedan).

Hur prioritet fungerar med åtkomstnivåer

När en användare tillhör flera konfigurationsgrupper anger du vilken konfigurationsgrupp som har prioritet för att avgöra användarens appåtkomst.

I Googles administratörskonsol måste du först välja en applikation för att visa motsvarande prioritetslista för grupper. Grupper listas från högsta till lägsta prioritet. En ny konfigurationsgrupp har alltid den lägsta prioriteten och läggs till längst ner i en konfigurationsgruppslista.

Prioritet för kontextmedveten åtkomst

En användare får appinställningarna med högst prioritet grupp de tillhör. Om gruppen inte har någon åtkomstnivå för en viss app används åtkomstnivån för användarens näst högst prioriterade grupp , och så vidare.

I administratörskonsolen kan du kontrollera vilken grupp eller organisationsenhet som bestämde en användares åtkomstnivå för appen. I exemplet nedan anger gruppen " Drive Security " användarens Drive-åtkomst.

Användarens appar Åtkomstnivåer Ärvt från
Google Kalender Företagsnätverk Organisationsenhet : Försäljning
Köra Företagsnätverk, Enhetssäkerhet Grupp : Enhetssäkerhet
Gmail Enhetssäkerhet Organisatorisk enhet : Försäljning
Google Arkiv <ingen> <ingen>

För finjusterad kontroll kan du använda grupper för att anpassa åtkomstnivåer för varje app. Till exempel:

Användarens appar Åtkomstnivåer Ärvt från
Kalender Företagsnätverk Organisationsenhet : Försäljning
Köra Företagsnätverk, Enhetssäkerhet Grupp : Enhetssäkerhet
Gmail Enhetssäkerhet, Geo Canada Grupp : Nordamerika
Valv Enhetsbegränsad, Företagsnätverk Grupp : Valvutredare

Tillämpa prioritet på konfigurationsgrupper

  • Överväg att prioritera kritiska eller känsliga konfigurationsgrupper högt. Till exempel kan din högsta prioritetsgrupp vara en grupp med "Brådskande åtkomst" som åsidosätter alla grupper som begränsar åtkomst.

  • Åtkomstnivåer läggs inte till över en användares grupper. I det här exemplet tillhör en användare 3 användargrupper, men endast deras högst prioriterade konfigurationsgrupp, " Enhet" , anger deras åtkomstnivå.

Planering och design av konfigurationsgrupper

Att planera din konfigurationsgruppsstruktur är sannolikt det steg som tar mest tid och granskning.

Namnge och söka efter grupper

Ange en standard för gruppnamn för enklare sökning, prioritering och granskning . Lägg till exempel till ett prefix som " caa " för att indikera kontextmedvetna konfigurationsgrupper. Använd också en decimal för att undvika att redigera dina befintliga gruppnamn när du lägger till en konfigurationsgrupp.

1. Sök efter gruppens adress

2. Visa lista över grupper

  • Sök efter en grupp: Du kanske vill skapa en namngivningsstandard som inkluderar inställningens namn och prioritetsnummer, till exempel:

caa_p0.0_obegränsad_åtkomst@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Enhet@example.com
caa_p3.1_Gmail_IP@example.com

  • Visa grupperna: Grupppanelen visar gruppnamnet (max 37 tecken) i prioritetsordningen. Om man pekar på en grupp visas hela namnet. Till exempel:

CAA p0.0 - Obegränsad åtkomst till alla appar
CAA p1.0 - Tillgång under nedstängning
CAA p3.0 ​​- Gmail IP-företag och enhetssäkerhet
CAA p3.1 - Gmail IP corp

Beställningsgrupper

För att hålla koll på prioritet och inställningar:

  • Du kan prioritera grupper som gäller för det färsta antalet användare eller definiera viktiga policyer (till exempel "Åtkomst vid nedstängning" eller "All åtkomst") högst.
  • Tänk på prioritet i din gruppstruktur och var uppmärksam på djupt kapslade grupper, vilka kan vara svåra att spåra till inställningar.

Skapa grupper

Du måste använda grupper som skapats i administratörskonsolen, Directory API eller Google Cloud Directory Sync. Grupper som skapats i Google Grupper kan inte användas som konfigurationsgrupper. (Administratörskonsolen visar inte om en grupp har skapats i Google Grupper.)

Du kan hantera konfigurationsgruppen i vilket verktyg som helst. Du kan ange strikta behörigheter för att lägga till eller ta bort användare, stänga av publicering i gruppen eller förhindra att användare lämnar gruppen (endast tillgängligt i Groups API).

Konfigurera konfigurationsgrupper

Innan du börjar: Definiera nivåerna för kontextmedveten åtkomst och skapa dina konfigurationsgrupper (helst innehållande 1 eller 2 testkonton).

Steg 1. Använd en konfigurationsgrupp

Du behöver administratörsbehörighet för grupper, organisationsenheter (översta nivån) och hantering av datasäkerhetsåtkomstnivåer och regelhantering .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. Klicka på Tilldela åtkomstnivåer för att visa listan över appar.
  3. I avsnittet Kontextmedveten åtkomst klickar du på Grupper .
  4. Välj ett alternativ:
    • Klicka på en app. Alla befintliga konfigurationsgrupper som har en åtkomstnivå tilldelad för din app listas i prioritetsordning.
    • Klicka på Sök efter en grupp för att granska en lista över alla grupper, inte bara konfigurationsgrupper. Du kan ange text för att filtrera resultaten.
  5. Klicka på gruppen. Applikationstabellen listar alla applikationer med deras åtkomstnivåtilldelningar.
    • Om du inte hittar din grupp kan den ha skapats i Google Grupper . Du måste skapa konfigurationsgrupper i administratörskonsolen , Directory API eller Google Cloud Directory Sync.
    • Börja med att lägga till dina konfigurationsgrupper från högsta till lägsta prioritet. När du lägger till en ny grupprincip för en app placeras den med lägst prioritet.
  6. Klicka på en eller flera appar och sedan på Tilldela.
  7. Välj åtkomstnivåerna för appen i gruppen och klicka på Spara . Som standard har en ny grupp inga tilldelade åtkomstnivåer.



    För organisationer med flera typer av Google Workspace-licenser : Gruppåtkomstnivåerna gäller endast för användare som har tilldelats en Google Workspace-utgåva som inkluderar kontextmedveten åtkomstkontroll.

Steg 2. Kontrollera åtkomstnivåerna för en användare

Du behöver administratörsbehörighet för grupper, organisationsenheter (översta nivån) och hantering av datasäkerhetsåtkomstnivåer och regelhantering .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. Gå till inställningssidan för appen i administratörskonsolen.
  3. In the top left, click Users .
  4. Klicka på Välj en användare och ange användarens adress (inte namn).
  5. Välj användaren för att visa deras appinställningar. Kolumnen Ärvd från visar konfigurationsgruppen eller organisationsenheten som bestämde användarens inställningar.
  6. Peka på en app och klicka på Visa för att se information om användarens åtkomstnivåer.

Obs ! När du visar en organisationsenhet baseras de ärvda nivåerna endast på organisationsenhetens inställningar, inte på konfigurationsgrupper.

Ta bort en konfigurationsgrupp

Du behöver administratörsbehörighet för grupper, organisationsenheter (översta nivån) och hantering av datasäkerhetsåtkomstnivåer och regelhantering .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. Klicka på Tilldela åtkomstnivåer för att visa listan över appar.
  3. Klicka på Grupper till vänster.
  4. Klicka på gruppen för att ta bort den.
  5. Först avregistrerar du alla åtkomstnivåer från alla appar i gruppen. Markera varje app i taget i apppanelen för att säkerställa att alla åtkomstnivåer är avregistrerade.

  6. Klicka på Tilldela .
  7. Klicka på Avmarkera alla
  8. Klicka på Spara .
Konfigurationsgruppen visas inte längre i grupplistan. Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Redigera en konfigurationsgrupp

Du behöver administratörsbehörighet för grupper, organisationsenheter (översta nivån) och hantering av datasäkerhetsåtkomstnivåer och regelhantering .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Åtkomst- och datakontroll och sedan Kontextmedveten åtkomst .

    Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

  2. Klicka på Tilldela åtkomstnivåer för att visa listan över appar.
  3. Klicka på Grupper till vänster.
  4. Sök i gruppen som ska redigeras.
  5. Till höger väljer du appar som du vill redigera, lägga till eller ta bort.
  6. Klicka på Tilldela .
  7. Uppdatera nivåtilldelningarna för gruppen.
  8. Klicka på Spara .
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer

Felsökning

Jag ser inte konfigurationsgruppen i grupplistan

  • Gruppen kan ha skapats i Google Grupper. Försök att skapa en grupp i administratörskonsolen .
  • Sök efter gruppens e-postadress snarare än gruppens namn.
  • Försök att uppdatera inställningssidan. Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer
  • Kontrollera att du har administratörsbehörighet för grupper.

En användare har inte rätt åtkomstnivå

  • Kontrollera en användares gruppmedlemskap. Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer
  • Hitta den konfigurationsgrupp som avgör användarens inställningar . Om användaren tillhör flera konfigurationsgrupper kan du behöva ändra gruppprioriteten eller användarens gruppmedlemskap.
  • Användaren kanske inte har produktlicensen för funktionen. Kontextmedveten åtkomst är tillgänglig med specifika utgåvor av Google Workspace.
  • Om användaren inte kan komma åt en app kan appen ha tilldelats en borttagen åtkomstnivå. Markera ta bort en borttagen åtkomstnivå .

Granska ändringar i granskningsloggen

Granska dessa händelser i administratörsgranskningsloggen för att se om det finns ändringar i konfigurationsgruppens inställningar:

HÄNDELSE: Kontextmedveten åtkomstnivå, ändring av appspecifika tilldelningar

Loggar när du tillämpar eller tar bort en konfigurationsgrupp. Händelsen använder gruppnamnet , så du kan använda en liknande namngivningsstandard för både ditt gruppnamn och din adress.

Data som ingår i en grupphändelse:

Tilldelningar av åtkomstnivåer har ändrats från []
till [ åtkomstnivåer ]. (applikationsnamn: { app }, gruppnamn: { konfigurationsgrupp })

Till exempel tillämpar du konfigurationsgruppen CAA.02 lokal åtkomst på en app:

Tilldelningar av åtkomstnivåer har ändrats från [] till [ Företags-IP, Enhet ].
(applikationsnamn: { GMAIL }, gruppnamn: { CAA.02 lokal åtkomst}

När du tar bort konfigurationsgruppen från en app:

Tilldelningar av åtkomstnivåer har ändrats från [ Företags-IP, Enhet ] till [].
(applikationsnamn: { GMAIL }, gruppnamn: { CAA.02 Lokal åtkomst}

Förstå organisationsenheter och grupparv och konfigurationsgrupper

Om du gör några ändringar i lokala åtkomstnivåer i en underordnad organisationsenhet eller grupp har den bara de lokalt tillämpade åtkomstnivåerna och ärver inga åtkomstnivåer från den överordnade organisationen.

Om du tar bort alla lokalt tilldelade åtkomstnivåer för att återställa de ursprungligen ärvda åtkomstnivåerna, har den underordnade organisationsenheten endast de ärvda åtkomstnivåerna.

Till exempel, för organisationsenheter, om det finns tre åtkomstnivåer tilldelade till en app i den översta organisationsenheten, tilldelas samma åtkomstnivåer genom arv till appen i en underordnad organisationsenhet om den underordnade organisationsenheten inte har lokal tilldelning. Om du sedan lägger till en åtkomstnivå endast i den underordnade organisationsenheten, är det den enda åtkomstnivån som tillämpas på den underordnade organisationsenheten.

Åsidosätt ärvda åtkomstnivåtilldelningar med en null-policy

Låt oss säga att du inte vill blockera någon användaråtkomst i en underordnad organisationsenhet – inga tilldelningar av åtkomstnivåer. Du kan skapa en åtkomstnivå med det avancerade uttrycket: true . För mer information, gå till Definiera åtkomstnivåer – Avancerat läge .

Åsidosätt åtkomstnivåtilldelningar med konfigurationsgrupper

Du kan använda konfigurationsgrupper för att tilldela åtkomstnivåer till användargrupper snarare än organisationsenheter. En användares gruppåtkomstnivå åsidosätter alltid användarens åtkomstnivå för organisationsenheten. Grupperna kan inkludera användare från vilken organisationsenhet som helst i ditt konto.

Till exempel tillhör en användare en organisationsenhet och Grupp1. Organisationsenheten är ParentOU, som har åtkomstnivå X tilldelad för både Gmail och Kalender. Det finns ingen åtkomstnivåtilldelning för Grupp1 för Gmail. Det finns en åtkomstnivå Y tilldelad för Grupp1 för Kalender. I det här fallet har användaren åtkomstnivå X tilldelad Gmail (genom arv) och Y tilldelad Kalender (genom att åsidosätta den lokala policyn).