ใช้การเข้าถึงแบบ Context-Aware กับกลุ่มการกำหนดค่า

เมื่อใช้กลุ่มการกำหนดค่า คุณจะใช้ระดับการเข้าถึงแบบ Context-Aware กับกลุ่มผู้ใช้แทนหน่วยขององค์กรได้ โดยคุณจะนำผู้ใช้จากหน่วยขององค์กรใดในธุรกิจมาใส่ในกลุ่มการกำหนดค่าก็ได้ เช่น อนุญาตให้ทีมพนักงานแบบสัญญาจ้างเข้าถึง Gmail ได้เฉพาะในเครือข่ายขององค์กรคุณเท่านั้น

หลักการทำงานของกลุ่มการกำหนดค่า

คุณจะนำผู้ใช้รายใดในองค์กรไปใส่ในกลุ่มการกำหนดค่าก็ได้ นอกจากนี้คุณยังสร้างกลุ่มการกำหนดค่าที่ทำหน้าที่เป็นคอนเทนเนอร์สำหรับระดับการเข้าถึง แล้วค่อยเพิ่มกลุ่มผู้ใช้ของคุณ (กลุ่มที่ซ้อนกัน) ได้อีกด้วย
ผู้ใช้รายเดียวกันอาจอยู่ในกลุ่มการกำหนดค่าหลายกลุ่มก็ได้ ซึ่งจะแตกต่างจากหน่วยขององค์กร โดยผู้ใช้จะได้รับการตั้งค่าตามกลุ่มที่มีลำดับความสำคัญสูงสุดที่คุณกำหนดไว้
ระดับการเข้าถึงกลุ่มของผู้ใช้สำหรับแอปจะลบล้างระดับการเข้าถึงของหน่วยขององค์กรเสมอ
หากกลุ่มการกำหนดค่าไม่ได้ระบุระดับการเข้าถึงสำหรับแอป แอปก็จะใช้ระดับการเข้าถึงที่หน่วยขององค์กรของผู้ใช้กำหนดไว้

ออกแบบกลุ่มการกำหนดค่าสำหรับการเข้าถึงแบบ Context-Aware

กลุ่มการกำหนดค่าจะทำงานแตกต่างออกไปเล็กน้อยสำหรับการเข้าถึงแบบ Context-Aware เมื่อเทียบกับการตั้งค่าอื่นๆ ของ Google Workspace ขณะออกแบบกลุ่มและนโยบาย ให้ทำตามข้อมูลและเคล็ดลับต่อไปนี้

วิธีตั้งกลุ่มการกำหนดค่า

โดยปกติแล้วคุณจะกำหนดระดับการเข้าถึงให้กับหน่วยขององค์กร แล้วจึงกำหนดระดับการเข้าถึงที่กำหนดเองให้กับกลุ่มการกำหนดค่า เช่น คุณอาจมีกลุ่มการกำหนดค่าสำหรับ "การเข้าถึงแบบเปิด" หรือ "การเข้าถึงแบบปิดล็อก" เพื่ออนุญาตหรือจำกัดการเข้าถึงของผู้ใช้รายนั้นๆ ได้อย่างรวดเร็ว

โดยปกติแล้วคุณจะใช้กลุ่มการกำหนดค่าต่างๆ ร่วมกันดังนี้

ใช้กลุ่มผู้ใช้ที่มีอยู่

คุณจะกำหนดระดับการเข้าถึงสำหรับแต่ละแอป (เช่น Gmail หรือ Google ไดรฟ์) ได้ในกลุ่มผู้ใช้ หากผู้ใช้เป็นสมาชิกอยู่ในกลุ่มหลายกลุ่ม คุณตั้งค่าได้ว่ากลุ่มใดจะกำหนดการตั้งค่าของผู้ใช้ (ซึ่งอธิบายไว้ในหัวข้อลำดับความสำคัญ)

การใช้ระดับการเข้าถึงกับกลุ่มผู้ใช้โดยตรงเป็นตัวเลือกที่ดีสำหรับสิ่งต่อไปนี้

การทดสอบการเข้าถึงแบบ Context-Aware
การจัดการการเข้าถึงสำหรับกลุ่มผู้ใช้ที่เฉพาะเจาะจง เช่น เจ้าหน้าที่ฝ่าย IT หรือทีมที่ทำงานจากทางไกล
การจัดการการเข้าถึงสำหรับองค์กรที่มีผู้ใช้น้อยกว่า 50 คนหรือมีระดับการเข้าถึงน้อย คุณไม่จำเป็นต้องสร้างกลุ่มเพิ่มและยังปรับแต่งการตั้งค่าแบบละเอียดสำหรับผู้ใช้แต่ละกลุ่มได้

สร้างกลุ่มการกำหนดค่าตามระดับการเข้าถึง

หรือจะกําหนดระดับการเข้าถึงให้แก่กลุ่มก็ได้ โดยคุณจะสร้างกลุ่มการกำหนดค่าและกำหนดระดับการเข้าถึงสำหรับแอปต่างๆ ได้ จากนั้นจึงเพิ่มกลุ่มผู้ใช้ให้เป็นสมาชิกของกลุ่มดังกล่าว

องค์กรขนาดใหญ่อาจพบว่าวิธีนี้มีประโยชน์ในการจัดการนโยบายและลำดับความสำคัญของกลุ่มการเข้าถึง (อธิบายไว้ด้านล่าง)

วิธีการทำงานร่วมกันของลำดับความสำคัญกับระดับการเข้าถึง

เมื่อผู้ใช้อยู่ในกลุ่มการกำหนดค่าหลายกลุ่ม คุณจะต้องกำหนดว่ากลุ่มใดมีลำดับความสำคัญในการกำหนดสิทธิ์เข้าถึงแอปของผู้ใช้

ในคอนโซลผู้ดูแลระบบของ Google คุณต้องเลือกแอปพลิเคชันก่อนเพื่อแสดงรายการลำดับความสำคัญของกลุ่มที่เกี่ยวข้อง โดยกลุ่มจะเรียงจากลำดับความสำคัญสูงสุดไปต่ำสุด กลุ่มการกำหนดค่าใหม่จะมีลำดับความสำคัญต่ำสุดเสมอ และจะเพิ่มไว้ที่ด้านล่างของรายการกลุ่มการกำหนดค่า

ลำดับความสำคัญสำหรับการเข้าถึงแบบ Context-Aware

ผู้ใช้จะได้รับการตั้งค่าแอปตามกลุ่มที่มีลำดับความสำคัญสูงสุดที่ตนเป็นสมาชิก หากกลุ่มไม่มีระดับการเข้าถึงสำหรับแอปใดเป็นพิเศษ ระบบก็จะใช้ระดับการเข้าถึงของกลุ่มที่มีลำดับความสำคัญสูงสุดรองลงมาตามลำดับ

คุณจะตรวจสอบว่ากลุ่มหรือหน่วยขององค์กรใดกำหนดระดับการเข้าถึงแอปของผู้ใช้ได้ในคอนโซลผู้ดูแลระบบ ในตัวอย่างด้านล่าง กลุ่ม "ความปลอดภัยของไดรฟ์" จะกำหนดการเข้าถึงไดรฟ์ของผู้ใช้

แอปของผู้ใช้	ระดับการเข้าถึง	สืบทอดมาจาก
Google ปฏิทิน	เครือข่ายบริษัท	หน่วยขององค์กร: ฝ่ายขาย
ไดรฟ์	เครือข่ายบริษัท ความปลอดภัยของอุปกรณ์	กลุ่ม: ความปลอดภัยของไดรฟ์
Gmail	ความปลอดภัยของอุปกรณ์	หน่วยขององค์กร: ฝ่ายขาย
Google ห้องนิรภัย	<ไม่มี>	<ไม่มี>

หากต้องการใช้การควบคุมแบบละเอียด คุณจะใช้กลุ่มเพื่อปรับแต่งระดับการเข้าถึงสำหรับแต่ละแอปได้ เช่น

แอปของผู้ใช้	ระดับการเข้าถึง	สืบทอดมาจาก
ปฏิทิน	เครือข่ายบริษัท	หน่วยขององค์กร: ฝ่ายขาย
ไดรฟ์	เครือข่ายบริษัท ความปลอดภัยของอุปกรณ์	กลุ่ม: ความปลอดภัยของไดรฟ์
Gmail	ความปลอดภัยของอุปกรณ์ ภูมิศาสตร์แคนาดา	กลุ่ม: อเมริกาเหนือ
ห้องนิรภัย	อุปกรณ์ถูกจำกัด เครือข่ายบริษัท	กลุ่ม: ผู้ตรวจสอบห้องนิรภัย

ใช้ลำดับความสำคัญกับกลุ่มการกำหนดค่า

โปรดคำนึงถึงการกำหนดกลุ่มการกำหนดค่าที่สำคัญหรือมีความละเอียดอ่อนให้มีลำดับความสำคัญสูง เช่น กลุ่มที่มีความสำคัญสูงสุดอาจเป็นกลุ่ม "การเข้าถึงด่วน" ซึ่งจะลบล้างกลุ่มใดก็ตามที่จำกัดการเข้าถึง
ระบบจะไม่เพิ่มระดับการเข้าถึงข้ามกลุ่มของผู้ใช้ ในตัวอย่างนี้ ผู้ใช้อยู่ในกลุ่มผู้ใช้ 3 กลุ่ม แต่จะมีเฉพาะกลุ่มการกำหนดค่าที่มีลำดับความสำคัญสูงสุดเท่านั้นที่จะกำหนดระดับการเข้าถึง ได้แก่กลุ่ม "อุปกรณ์"

การวางแผนและการออกแบบกลุ่มการกำหนดค่า

การวางแผนโครงสร้างกลุ่มการกำหนดค่ามักจะเป็นขั้นตอนที่ใช้เวลาในการทำและตรวจสอบมากที่สุด

การตั้งชื่อและการค้นหากลุ่ม

กำหนดมาตรฐานการตั้งชื่อกลุ่มเพื่อให้ค้นหา จัดลำดับความสำคัญ และตรวจสอบได้ง่ายขึ้น เช่น เพิ่มคำนำหน้าอย่าง caa เพื่อระบุว่าเป็นกลุ่มการกำหนดค่าแบบ Context-Aware และอาจใช้ทศนิยมร่วมด้วยเพื่อหลีกเลี่ยงการแก้ไขชื่อกลุ่มที่มีอยู่แล้วในขณะที่เพิ่มกลุ่มการกำหนดค่า

			ค้นหาตามที่อยู่กลุ่ม
			ดูรายชื่อกลุ่ม

<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>

<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>

<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>

<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>

<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>

<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

ตั้งค่ากลุ่มการกำหนดค่า

ก่อนเริ่มต้น: ให้กำหนดระดับการเข้าถึงแบบ Context-Aware และสร้างกลุ่มการกำหนดค่า (ควรมีบัญชีทดสอบ 1 หรือ 2 บัญชี)

ขั้นตอนที่ 1 ใช้กลุ่มการกำหนดค่า

คุณต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับ Groups, หน่วยขององค์กร (ระดับบนสุด) และการจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ

ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการเข้าถึงแบบ Context-Aware

ไปที่การเข้าถึงแบบ Context-Aware

ต้องมีสิทธิ์การจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ รวมถึงสิทธิ์อ่านของ Admin API กลุ่มและสิทธิ์อ่านของผู้ใช้
คลิกกำหนดระดับการเข้าถึงเพื่อดูรายการแอป
ในส่วนการเข้าถึงแบบ Context-Aware ให้คลิกกลุ่ม
เลือกตัวเลือกต่อไปนี้
- คลิกแอป จากนั้นกลุ่มการกำหนดค่าที่มีอยู่ซึ่งได้รับการกำหนดระดับการเข้าถึงสำหรับแอปของคุณจะแสดงตามลำดับความสำคัญ
- คลิกค้นหากลุ่มเพื่อตรวจสอบรายการกลุ่มทั้งหมด ไม่ใช่เฉพาะกลุ่มการกำหนดค่า โดยคุณป้อนข้อความเพื่อกรองผลลัพธ์ได้
คลิกกลุ่ม ตารางแอปพลิเคชันจะแสดงแอปพลิเคชันทั้งหมดที่มีการกำหนดระดับการเข้าถึงไว้
- หากไม่พบกลุ่มที่ต้องการ อาจเป็นไปได้ว่าสร้างกลุ่มดังกล่าวไว้ใน Google Groups คุณต้องสร้างกลุ่มการกำหนดค่าในคอนโซลผู้ดูแลระบบ, Directory API หรือ Google Cloud Directory Sync
- ให้เริ่มต้นด้วยการเพิ่มกลุ่มการกำหนดค่าจากลำดับความสำคัญสูงสุดไปหาต่ำสุด เมื่อเพิ่มนโยบายกลุ่มใหม่ให้กับแอป กลุ่มนั้นจะไปอยู่ในลำดับความสำคัญต่ำสุด
คลิกแอปอย่างน้อยหนึ่งแอปแล้วคลิกกำหนด
เลือกระดับการเข้าถึงของแอปในกลุ่ม แล้วคลิกบันทึก โดยค่าเริ่มต้น กลุ่มใหม่จะไม่มีระดับการเข้าถึงที่กำหนด

สำหรับองค์กรที่มีใบอนุญาต Google Workspace หลายประเภท: ระดับการเข้าถึงกลุ่มจะมีผลเฉพาะกับผู้ใช้ที่ได้รับมอบหมาย Google Workspace รุ่นที่มีการควบคุมการเข้าถึงแบบ Context-Aware

ขั้นตอนที่ 2 ตรวจสอบระดับการเข้าถึงสำหรับผู้ใช้

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

ไปที่หน้าการตั้งค่าสำหรับแอปในคอนโซลผู้ดูแลระบบ

คลิกผู้ใช้ที่ด้านซ้ายบน

คลิกเลือกผู้ใช้แล้วป้อนที่อยู่ของผู้ใช้ (ไม่ใช่ชื่อ)

เลือกผู้ใช้เพื่อดูการตั้งค่าแอป คอลัมน์รับค่าจากจะแสดงกลุ่มการกำหนดค่าหรือหน่วยขององค์กรที่กำหนดการตั้งค่าของผู้ใช้

ชี้ไปที่แอปแล้วคลิกดูเพื่อดูรายละเอียดเกี่ยวกับระดับการเข้าถึงของผู้ใช้

  <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

นำกลุ่มการกำหนดค่าออก

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

คลิกกำหนดระดับการเข้าถึงเพื่อดูรายการแอป

คลิกกลุ่มทางด้านซ้าย

คลิกกลุ่มเพื่อนำออก

ขั้นแรก ให้ยกเลิกการกำหนดระดับการเข้าถึงทั้งหมดจากทุกแอปในกลุ่ม ในแผงแอป ให้เลือกแอปพลิเคชันทีละแอปเพื่อให้แน่ใจว่าไม่ได้กําหนดระดับการเข้าถึงทั้งหมด

คลิกมอบหมาย

คลิกยกเลิกการเลือกทั้งหมด

คลิกบันทึก

กลุ่มการกำหนดค่าจะไม่ปรากฏในรายการกลุ่มอีกต่อไป การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม

แก้ไขกลุ่มการกำหนดค่า

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>


In the Google Admin console, go to Menu  SecurityAccess and data controlContext-Aware Access.

Go to Context-Aware Access

Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

คลิกกำหนดระดับการเข้าถึงเพื่อดูรายการแอป

คลิกกลุ่มทางด้านซ้าย

ค้นหากลุ่มเพื่อแก้ไข

เลือกแอปที่จะแก้ไข เพิ่ม หรือนำออกทางด้านขวา

คลิกมอบหมาย

อัปเดตการกำหนดระดับสำหรับกลุ่ม

คลิกบันทึก

  <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

การแก้ปัญหา

<div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>

  <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

ตรวจสอบการเปลี่ยนแปลงในบันทึกการตรวจสอบ

<div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>

        <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>

        <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

ทําความเข้าใจการรับค่าของหน่วยขององค์กรและกลุ่ม รวมถึงกลุ่มการกําหนดค่า

หากคุณเปลี่ยนแปลงระดับการเข้าถึงภายในหน่วยขององค์กรย่อยหรือกลุ่มย่อย หน่วยขององค์กรย่อยหรือกลุ่มย่อยนั้นก็จะมีระดับการเข้าถึงที่บังคับใช้ภายในหน่วยขององค์กรเท่านั้น และจะไม่รับค่าระดับการเข้าถึงใดๆ จากองค์กรหลัก

หากคุณนำระดับการเข้าถึงที่กำหนดจากภายในออกเพื่อเรียกคืนระดับการเข้าถึงที่รับค่ามาในตอนแรก หน่วยขององค์กรย่อยจะมีเฉพาะระดับการเข้าถึงที่รับค่ามาเท่านั้น

เช่น สำหรับหน่วยขององค์กร หากมีการกําหนดระดับการเข้าถึง 3 ระดับให้แก่แอปในหน่วยขององค์กรระดับบนสุด ระบบก็จะกําหนดระดับการเข้าถึงเดียวกันนั้นให้แก่แอปในหน่วยขององค์กรย่อยผ่านการรับค่าหากหน่วยขององค์กรย่อยไม่มีการกำหนดจากภายใน หากคุณเพิ่มระดับการเข้าถึงให้เฉพาะในหน่วยขององค์กรย่อย ระดับการเข้าถึงดังกล่าวก็จะบังคับใช้กับหน่วยขององค์กรย่อยเท่านั้น

ลบล้างการกำหนดระดับการเข้าถึงที่รับค่ามาด้วยนโยบายตัวแปรไม่ทราบค่า

สมมติว่าคุณไม่ต้องการบล็อกการเข้าถึงของผู้ใช้ในหน่วยขององค์กรย่อยโดยไม่มีการกำหนดระดับการเข้าถึง ให้สร้างระดับการเข้าถึงที่ชื่อว่า "Any" โดยมีเงื่อนไขซับเน็ต IP 2 เงื่อนไขและรวมเงื่อนไขทั้งสองด้วย OR:

IPv4 subnet range 0.0.0.0/0
OR
IPv6 subnet range 0::/0

ผู้ใช้ในองค์กรจะเข้าถึงได้จากที่อยู่ IPv4 หรือ IPv6

ลบล้างการกำหนดระดับการเข้าถึงด้วยกลุ่มการกำหนดค่า

คุณจะใช้กลุ่มการกำหนดค่าเพื่อกำหนดระดับการเข้าถึงให้แก่กลุ่มผู้ใช้แทนหน่วยขององค์กรได้ ระดับการเข้าถึงกลุ่มของผู้ใช้จะลบล้างระดับการเข้าถึงของหน่วยขององค์กรเสมอ โดยคุณจะนำผู้ใช้จากหน่วยขององค์กรใดในบัญชีมาใส่ในกลุ่มก็ได้

เช่น ผู้ใช้อยู่ในหน่วยขององค์กรและ Group1 หน่วยขององค์กรคือ ParentOU ซึ่งกําหนดระดับการเข้าถึง X สําหรับทั้ง Gmail และปฏิทิน โดยไม่กําหนดระดับการเข้าถึงสําหรับ Gmail ใน Group1 แต่กําหนดระดับการเข้าถึง Y สําหรับปฏิทินใน Group1 ในกรณีนี้ ผู้ใช้จะมีระดับการเข้าถึง X ที่กําหนดให้ Gmail (ผ่านการรับค่า) และ Y ที่กําหนดให้ปฏิทิน (โดยการลบล้างนโยบายในเครื่อง)