Bağlama duyarlı erişimi yapılandırma gruplarıyla kullanma

Yapılandırma gruplarını kullanarak kuruluş birimleri yerine kullanıcı gruplarına bağlama duyarlı erişim düzeyleri uygulayabilirsiniz. Yapılandırma gruplarında, işletmenizdeki kuruluş birimlerinin herhangi birinden kullanıcılar bulunabilir. Örneğin, yüklenicilerden oluşan bir ekibin Gmail'e yalnızca kurumsal ağınızdan erişmesine izin verebilirsiniz.

Yapılandırma gruplarının işleyiş şekli

  • Yapılandırma gruplarında, kuruluşunuzdaki çeşitli kullanıcılar bulunabilir. Ayrıca, erişim düzeyleri için kapsayıcı görevi gören bir yapılandırma grubu oluşturabilir ve ardından kullanıcı gruplarınızı (iç içe gruplar) ekleyebilirsiniz.
  • Kuruluş birimlerinden farklı olarak, bir kullanıcı birden çok yapılandırma grubuna ait olabilir. Yapılandırma gruplarının önceliğini ayarlarsınız ve kullanıcı, ait olduğu en yüksek öncelikli grubun ayarını alır.
  • Bir kullanıcının bir uygulamaya erişim düzeyi, kullanıcının kuruluş biriminin erişim düzeyini her zaman geçersiz kılar.
  • Yapılandırma grubunda bir uygulamanın erişim düzeyi belirtilmemişse uygulama, kullanıcının kuruluş birimi tarafından belirlenen erişim düzeyini kullanır.

Bağlama duyarlı erişim için yapılandırma grupları tasarlama

Bağlama duyarlı erişimde yapılandırma gruplarının işleyiş şekli, diğer Google Workspace ayarlarına göre biraz farklıdır. Gruplarınızı ve politikalarınızı tasarlarken işinize yarayacak bilgi ve ipuçları:

Yapılandırma gruplarıyla ilgili seçenekler

Genellikle kuruluş birimleri için erişim düzeyleri tanımlar ve ardından yapılandırma grupları için özel erişim düzeyleri belirlersiniz. Örneğin, "Açık erişim" veya "Kapalı erişim" için yapılandırma gruplarınız olabilir. Böylece belirli kullanıcılara hızlıca erişim verebilir ya da erişimi kısıtlayabilirsiniz.

Genellikle yapılandırma gruplarının bir kombinasyonunu kullanırsınız:

Mevcut kullanıcı gruplarınızı kullanma

Kullanıcı grubundaki her uygulama (ör. Gmail veya Google Drive) için erişim düzeyini ayarlarsınız. Bir kullanıcı birden çok gruba aitse kullanıcının ayarlarını hangi grubun belirleyeceğini ayarlarsınız (aşağıdaki Öncelik bölümünde açıklanmıştır).

Erişim düzeylerini doğrudan kullanıcı gruplarına uygulamak aşağıdakiler için iyi bir seçenektir:

  • Bağlama duyarlı erişimi test etme.
  • BT ekibi veya uzaktan atama ekibi gibi belirli kullanıcı grupları için erişimi yönetme.
  • 50'den az kullanıcısı veya az sayıda erişim düzeyi olan kuruluşlar için erişimi yönetme. Daha fazla grup oluşturmanız gerekmez ve ayarları her kullanıcı grubu için hassas şekilde uyarlayabilirsiniz.

Erişim düzeylerini temel alan yapılandırma grupları oluşturma

Dilerseniz gruplara erişim düzeyleri de atayabilirsiniz. Bir veya daha fazla uygulama için bir yapılandırma grubu oluşturup erişim düzeyleri atarsınız. Ardından, kullanıcı gruplarınızı yapılandırma grubunun üyeleri olarak ekleyin.

Büyük kuruluşlar bu yaklaşımı, erişim grubu politikalarını ve önceliklerini yönetmek için yararlı bulabilir (aşağıda açıklanmıştır).

Öncelikler, erişim düzeyleriyle birlikte nasıl kullanılır?

Bir kullanıcı birden çok yapılandırma grubuna aitse, kullanıcının uygulama erişimini belirlemede hangi yapılandırma grubunun öncelikli olduğuna siz karar verirsiniz.

Google Yönetici Konsolunda, ilgili grup öncelik listesini görüntülemek için öncelikle bir uygulamayı seçmelisiniz. Gruplar en yüksek öncelikten en düşük önceliğe sahip olana doğru listelenir. Yeni yapılandırma grupları her zaman en düşük önceliğe sahiptir ve yapılandırma grubu listelerinin en altına eklenir.

Bağlama Duyarlı Erişim için öncelik

Bir kullanıcı, ait olduğu en yüksek öncelikli grubun uygulama ayarlarını alır. Grubun belirli bir uygulama için bir erişim düzeyi yoksa kullanıcının sonraki en yüksek öncelikli grubunun erişim düzeyi kullanılır ve sıralama bu şekilde devam eder.

Yönetici Konsolu'nda, bir kullanıcının uygulama erişim düzeyini hangi grup veya kuruluş biriminin belirlediğini öğrenebilirsiniz. Aşağıdaki örnekte, kullanıcının Drive erişimini "Drive Güvenliği" adlı grup belirlemiştir.

Kullanıcının uygulamaları Erişim düzeyleri Devralındığı kaynak
Google Takvim Şirket ağı Kuruluş birimi: Satış
Drive Şirket ağı, Cihaz güvenliği Grup: Drive Güvenliği
Gmail Cihaz güvenliği Kuruluş birimi: Satış
Google Apps Kasası <none> <none>

Ayrıntılı bir denetime sahip olmak istiyorsanız her uygulamanın erişim düzeylerini özelleştirmek için grupları kullanabilirsiniz. Örneğin:

Kullanıcının uygulamaları Erişim düzeyleri Devralındığı kaynak
Takvim Şirket ağı Kuruluş birimi: Satış
Drive Şirket ağı, Cihaz güvenliği Grup: Drive Güvenliği
Gmail Cihaz güvenliği, Kanada Coğrafi Bölgesi Grup: Kuzey Amerika
Apps Kasası Cihaz kısıtlı, Şirket ağı Grup: Apps Kasası İnceleme Görevlisi

Önceliği yapılandırma gruplarına uygulama

  • Kritik veya hassas yapılandırma gruplarını yüksek önceliğe yerleştirmeyi düşünebilirsiniz. Örneğin, en yüksek öncelikli grubunuz, erişimi kısıtlayan grupları geçersiz kılan bir "Acil Erişim" grubu olabilir.

  • Erişim düzeyleri bir kullanıcının tüm gruplarına eklenmez. Bu örnekte, bir kullanıcı 3 kullanıcı grubuna aittir, ancak yalnızca bunların en yüksek öncelikli yapılandırma grubu olan "Cihaz" kullanıcının erişim düzeyini belirlemektedir.

Yapılandırma gruplarını planlama ve tasarlama

Yapılandırma grubu yapınızı planlamak genellikle en çok zaman alan ve en fazla inceleme gerektiren adımdır.

Grupları adlandırma ve arama

Arama, öncelik belirleme ve denetleme işlemlerini kolaylaştırmak için grup adlandırma standardı belirleyin. Örneğin, bağlama duyarlı yapılandırma gruplarını belirtmek için "bdyg" gibi bir önek ekleyin. Ayrıca, bir yapılandırma grubu eklediğinizde mevcut grup adlarınızı düzenlemekten kaçınmak için bir ondalık basamak kullanın.

1. Grup adresine göre arama yapma
2. Grup listesini görüntüleme 
<ul>
  <li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>


<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
  caa_p1.0_lockdown_access@example.com<br>
  caa_p3.0_Gmail_IP_Device@example.com<br>
  caa_p3.1_Gmail_IP@example.com</p>


<ul>
  <li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>


<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
  CAA p1.0 - Lockdown access<br>
  CAA p3.0 - Gmail IP corp &amp; device security<br>
  CAA p3.1 - Gmail IP corp</p>


<p><b>Ordering groups</b></p>

<p>To keep track of priority and settings:</p>

<ul>
  <li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
  <li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>


<p><b>Creating groups</b></p>

<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>

<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>

Yapılandırma gruplarını ayarlama

Başlamadan önce: Bağlama duyarlı erişim düzeylerini tanımlayın ve yapılandırma gruplarınızı oluşturun (Grupların 1 veya 2 test hesabı içermesi tercih edilir).

1. Adım: Yapılandırma grubu uygulama

Gruplar, kuruluş birimleri (üst düzey) ve Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi için yönetici ayrıcalıklarına sahip olmanız gerekir.

  1. Google Yönetici Konsolu'nda Menü ardından GüvenlikardındanErişim ve veri denetimiardındanBağlama Duyarlı Erişim'e gidin.

    Veri Güvenliği Erişim düzeyi yönetimi ve Kural yönetimi ayrıcalıkları ile Admin API grupları ve kullanıcıları okuma ayrıcalıklarını gerektirir.

  2. Uygulamaların listesini görmek için Erişim düzeyleri atayın'ı tıklayın.
  3. Bağlama Duyarlı Erişim bölümünde Gruplar'ı tıklayın.
  4. Bir seçim yapın:
    • Bir uygulamayı tıklayın. Uygulamanız için atanmış bir erişim düzeyi olan mevcut yapılandırma grupları, öncelik sıralarına göre listelenir.
    • Yalnızca yapılandırma gruplarının değil, tüm grupların listesini incelemek için Grup arayın'ı tıklayın. Sonuçları filtrelemek için metin girebilirsiniz.
  5. Grubu tıklayın. Uygulama tablosunda, erişim düzeyi atamalarıyla tüm uygulamalar listelenir.
    • Grubunuzu bulamıyorsanız grubunuz Google Gruplar'da oluşturulmuş olabilir. Bu grupları Yönetici Konsolu, Directory API veya Google Cloud Directory Sync'te oluşturmanız gerekir.
    • Yapılandırma gruplarınızı en yüksek öncelikli olandan en düşük öncelikli olana doğru ekleyin. Bir uygulama için yeni bir grup ilkesi eklediğinizde uygulama en düşük önceliğe yerleştirilir.
  6. Bir veya daha fazla uygulamayı, ardından Ata'yı tıklayın.
  7. Gruptaki uygulama için erişim düzeylerini seçin ve Kaydet'i tıklayın. Varsayılan olarak, yeni grupların atanmış erişim düzeyi yoktur.



    Birden fazla türde Google Workspace lisansı olan kuruluşlar için: Grup erişim düzeyleri yalnızca bağlama duyarlı erişim denetimini içeren bir Google Workspace sürümü atanmış kullanıcılar için geçerlidir.

2. adım: Kullanıcının erişim düzeylerini kontrol etme

<div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.





Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>

  • Yönetici Konsolu'nda uygulamanın ayarlar sayfasına gidin.
  • Sol üstte Kullanıcılar'ı tıklayın.
  • Kullanıcı seç'i tıklayın ve kullanıcının adresini (adını değil) girin.
  • Ayarlarını görüntülemek için kullanıcıyı seçin. Devralındığı kaynak sütunu, kullanıcının ayarlarını belirleyen yapılandırma grubunu veya kuruluş birimini gösterir.
  • Fare imlecini bir uygulamanın üzerine getirin ve kullanıcının erişim düzeyleriyle ilgili ayrıntılar için Görüntüle'yi tıklayın.

    •   <p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>

    Yapılandırma grubunu kaldırma

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Uygulamaların listesini görmek için Erişim düzeyleri atayın'ı tıklayın.
  • Sol tarafta Gruplar'ı tıklayın.
  • Kaldırmak istediğiniz grubu tıklayın.
  • Öncelikle, gruptaki tüm uygulamalardan tüm erişim düzeylerini kaldırın. Tüm erişim düzeylerinin kaldırıldığından emin olmak için Uygulamalar panelindeki her uygulamayı tek tek kontrol edin.

  • Ata'yı tıklayın.
  • Tümünün işaretini kaldır'ı tıklayın.
  • Kaydet'i tıklayın.

    • Yapılandırma grubu artık Gruplar listesinde görünmez. Değişikliklerin geçerlilik kazanması 24 saati bulabilir ancak genellikle daha kısa sürer. Daha fazla bilgi

    Yapılandırma grubunu düzenleme

    <div>
  <p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>

  <ol>
    <li>
      <div>



    In the Google Admin console, go to Menu and then Securityand thenAccess and data controland thenContext-Aware Access.
    




    Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
    </div>

  • Uygulamaların listesini görmek için Erişim düzeyleri atayın'ı tıklayın.
  • Sol tarafta Gruplar'ı tıklayın.
  • Düzenlenecek grubu arayın.
  • Sağ tarafta düzenlenecek, eklenecek veya kaldırılacak uygulamaları seçin.
  • Ata'yı tıklayın.
  • Grubun düzey atamalarını güncelleyin.
  • Kaydet'i tıklayın.

    •   <p>

Changes can take up to 24 hours but typically happen more quickly. Learn more</p>

    Sorun giderme

    <div>
  <p><b>I don't see the configuration group in the Groups list</b></p>

  <ul>
    <li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
    <li>Search for the group's email address rather than the group's name.</li>
    <li>Try refreshing the setting page. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>


      <p><b>A user doesn't have the correct access level</b></p>

  <ul>
    <li>Check a user's group membership. 

Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
    <li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
    <li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
    <li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>

    Denetleme günlüğünde değişiklikleri inceleme

    <div>
  <p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>

  <p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>

  <table class="nice-table">
    <tbody>
      <tr>
        <td>
        <p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>

        <p>The data included in a group event:</p>

        <blockquote>
        <p>Access Level assignments have been changed from []<br>
          to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>


            <p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>


            <p>When you remove the configuration group from an app:</p>

        <blockquote>
        <p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
          (application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>

    Kuruluş birimleri, yapılandırma grupları ve grupları devralma

    Bir alt kuruluş biriminde veya grupta herhangi bir yerel erişim düzeyi değişikliği yaparsanız alt kuruluş birimi veya grup yalnızca yerel olarak uygulanan erişim düzeylerine sahip olur ve üst kuruluştaki erişim düzeylerini devralmaz.

    Başlangıçta devralınan erişim düzeylerini geri yüklemek için yerel olarak atanan tüm erişim düzeylerini kaldırırsanız alt kuruluş birimi yalnızca devralınan erişim düzeylerine sahip olur.

    Örneğin, kuruluş birimleri söz konusu olduğunda, üst düzey kuruluş birimindeki bir uygulamaya atanmış 3 erişim düzeyi varsa ve alt kuruluş biriminde yerel atama yoksa bu erişim düzeyleri devralma yoluyla alt kuruluş birimindeki uygulamaya da atanır. Daha sonra yalnızca alt kuruluş birimine bir erişim düzeyi eklerseniz bu, alt kuruluş birimine uygulanan tek erişim düzeyi olur.

    Boş bir politikaya sahip, devralınan erişim düzeyi atamalarını geçersiz kılma

    Belli bir alt kuruluş biriminde hiçbir bir kullanıcı erişiminin engellenmemesini (erişim düzeyi atamaları olmamasını) istediğinizi varsayalım. İki adet IP alt ağ koşulu kullanarak "Yok" adında bir erişim düzeyi oluşturun ve bu koşulları VEYA ile birleştirin:

    • IPv4 alt ağ aralığı 0.0.0.0/0
      VEYA
    • IPv6 alt ağ aralığı 0::/0

    Kuruluştaki bir kullanıcı herhangi bir IPv4 veya IPv6 adresinden erişebilir.

    Yapılandırma gruplarını kullanarak erişim düzeyi atamalarını geçersiz kılma

    Kuruluş birimleri yerine kullanıcı gruplarına erişim düzeyleri atamak için yapılandırma gruplarını kullanabilirsiniz. Bir kullanıcının grup erişim düzeyi, kullanıcının kuruluş birimi erişim düzeyini her zaman geçersiz kılar. Bu gruplarda, hesabınızdaki herhangi bir kuruluş biriminden kullanıcılar bulunabilir.

    Örneğin, bir kullanıcı hem kuruluş biriminin hem de Grup1'in üyesidir. ÜstKB adlı bu kuruluş biriminde hem Gmail hem de Takvim için atanmış X erişim düzeyi bulunur. Grup1'de Gmail için atanmış bir erişim düzeyi yoktur. Ancak Grup1'de Takvim için atanmış Y erişim düzeyi vardır. Bu durumda kullanıcının Gmail için (devralma yoluyla) atanmış X erişim düzeyi ve Takvim için (yerel politikayı geçersiz kılarak) atanmış Y erişim düzeyi vardır.