Với nhóm cấu hình, bạn có thể áp dụng các cấp truy cập theo bối cảnh cho các nhóm người dùng thay vì đơn vị tổ chức. Nhóm cấu hình có thể bao gồm người dùng từ bất kỳ đơn vị tổ chức nào trong doanh nghiệp của bạn. Ví dụ: cho phép một nhóm nhà thầu chỉ truy cập vào Gmail trên mạng công ty của bạn.
Cách hoạt động của nhóm cấu hình
- Nhóm cấu hình có thể chứa bất kỳ người dùng nào trong tổ chức của bạn. Ngoài ra, bạn có thể tạo một nhóm cấu hình đóng vai trò là vùng chứa cho các cấp truy cập, sau đó thêm nhóm người dùng (nhóm lồng nhau).
- Một người dùng có thể thuộc nhiều nhóm cấu hình, không giống như đơn vị tổ chức. Bạn đặt mức độ ưu tiên của các nhóm cấu hình và người dùng sẽ nhận được chế độ cài đặt của nhóm có mức độ ưu tiên cao nhất mà họ thuộc về.
- Cấp truy cập của nhóm người dùng đối với một ứng dụng luôn ghi đè cấp truy cập của đơn vị tổ chức.
- Nếu một nhóm cấu hình không chỉ định cấp truy cập cho một ứng dụng, thì ứng dụng đó sẽ sử dụng cấp truy cập do đơn vị tổ chức của người dùng đặt.
Thiết kế nhóm cấu hình cho quyền truy cập theo bối cảnh
Nhóm cấu hình hoạt động hơi khác một chút đối với quyền truy cập theo bối cảnh so với các chế độ cài đặt khác của Google Workspace. Khi thiết kế nhóm và chính sách, hãy làm theo thông tin và các mẹo sau:
Các lựa chọn cho nhóm cấu hình
Bạn thường xác định các cấp truy cập cho đơn vị tổ chức, sau đó xác định các cấp truy cập tuỳ chỉnh cho nhóm cấu hình. Ví dụ: bạn có thể có các nhóm cấu hình cho "Quyền truy cập mở" hoặc "Quyền truy cập bị khoá" để có thể nhanh chóng cấp hoặc giới hạn quyền truy cập của người dùng cụ thể.
Thông thường, bạn sẽ sử dụng kết hợp các nhóm cấu hình:
Sử dụng nhóm người dùng hiện có
Bạn đặt cấp truy cập cho từng ứng dụng (ví dụ: Gmail hoặc Google Drive) trong nhóm người dùng. Nếu một người dùng thuộc nhiều nhóm, bạn sẽ đặt nhóm xác định chế độ cài đặt của người dùng (được mô tả sau trong phần Mức độ ưu tiên).
Việc áp dụng trực tiếp các cấp truy cập cho nhóm người dùng là một lựa chọn tốt cho:
- Kiểm thử quyền truy cập theo bối cảnh.
- Quản lý quyền truy cập cho các nhóm người dùng cụ thể, chẳng hạn như nhân viên CNTT hoặc một nhóm được giao nhiệm vụ từ xa.
- Quản lý quyền truy cập cho các tổ chức có ít hơn 50 người dùng hoặc một số ít cấp truy cập. Bạn không cần tạo thêm nhóm và có thể tinh chỉnh chế độ cài đặt cho từng nhóm người dùng.
Tạo nhóm cấu hình dựa trên các cấp truy cập
Ngoài ra, bạn có thể chỉ định các cấp truy cập cho nhóm. Bạn tạo một nhóm cấu hình và chỉ định các cấp truy cập cho một hoặc nhiều ứng dụng. Sau đó, bạn thêm nhóm người dùng làm thành viên của nhóm cấu hình.
Các tổ chức lớn hơn có thể thấy phương pháp này hữu ích cho việc quản lý các chính sách và mức độ ưu tiên của nhóm truy cập (được mô tả bên dưới).
Cách hoạt động của mức độ ưu tiên với các cấp truy cập
Khi một người dùng thuộc nhiều nhóm cấu hình, bạn sẽ đặt nhóm cấu hình nào có mức độ ưu tiên trong việc xác định quyền truy cập của người dùng vào ứng dụng.
Trong Bảng điều khiển dành cho quản trị viên của Google, trước tiên, bạn phải chọn một ứng dụng để hiển thị danh sách mức độ ưu tiên tương ứng của nhóm. Các nhóm được liệt kê theo thứ tự ưu tiên từ cao nhất đến thấp nhất. Một nhóm cấu hình mới luôn có mức độ ưu tiên thấp nhất và được thêm vào cuối danh sách nhóm cấu hình.
Mức độ ưu tiên cho quyền truy cập theo bối cảnh
Người dùng sẽ nhận được chế độ cài đặt ứng dụng của nhóm có mức độ ưu tiên cao nhất mà họ thuộc về. Nếu nhóm không có cấp truy cập cho một ứng dụng cụ thể, thì cấp truy cập của nhóm có mức độ ưu tiên cao tiếp theo của người dùng sẽ được sử dụng, v.v.
Trong Bảng điều khiển dành cho quản trị viên, bạn có thể kiểm tra nhóm hoặc đơn vị tổ chức nào đã xác định cấp truy cập của người dùng vào ứng dụng. Trong ví dụ bên dưới, nhóm "Bảo mật Drive" đã đặt quyền truy cập của người dùng vào Drive.
| Ứng dụng của người dùng | Cấp truy cập | Được kế thừa từ |
|---|---|---|
 Lịch Google |
Mạng công ty | Đơn vị tổ chức: Bán hàng |
 Drive |
Mạng công ty, Bảo mật thiết bị | Nhóm: Bảo mật Drive |
 Gmail |
Bảo mật thiết bị | Đơn vị tổ chức: Bán hàng |
 Google Vault |
<none> | <none> |
Để kiểm soát chi tiết, bạn có thể sử dụng nhóm để tuỳ chỉnh các cấp truy cập cho từng ứng dụng. Ví dụ:
| Ứng dụng của người dùng | Cấp truy cập | Được kế thừa từ |
|---|---|---|
|
Lịch |
Mạng công ty | Đơn vị tổ chức: Bán hàng |
|
Drive |
Mạng công ty, Bảo mật thiết bị | Nhóm: Bảo mật Drive |
|
Gmail |
Bảo mật thiết bị, Vị trí địa lý Canada | Nhóm: Bắc Mỹ |
|
Vault |
Thiết bị bị hạn chế, Mạng công ty | Nhóm: Điều tra viên Vault |
Áp dụng mức độ ưu tiên cho nhóm cấu hình
- Hãy cân nhắc việc đặt các nhóm cấu hình quan trọng hoặc nhạy cảm ở mức độ ưu tiên cao. Ví dụ: nhóm có mức độ ưu tiên cao nhất có thể là nhóm "Quyền truy cập khẩn cấp" ghi đè mọi nhóm giới hạn quyền truy cập.
-
Các cấp truy cập không được thêm vào các nhóm của người dùng. Trong ví dụ này, một người dùng thuộc 3 nhóm người dùng, nhưng chỉ nhóm cấu hình có mức độ ưu tiên cao nhất của họ là "Thiết bị" đặt cấp truy cập.
Lập kế hoạch và thiết kế nhóm cấu hình
Việc lập kế hoạch cấu trúc nhóm cấu hình có thể là bước tốn nhiều thời gian và cần xem xét nhất.
Đặt tên và tìm kiếm nhóm
Đặt tiêu chuẩn đặt tên nhóm để dễ dàng tìm kiếm, ưu tiên và kiểm tra. Ví dụ: thêm tiền tố như "caa" để cho biết nhóm cấu hình theo bối cảnh. Ngoài ra, hãy sử dụng dấu thập phân để tránh chỉnh sửa tên nhóm hiện có khi bạn thêm một nhóm cấu hình.
 |
 |
Tìm kiếm theo địa chỉ nhóm | |
 |
Xem danh sách nhóm | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
Thiết lập nhóm cấu hình
Trước khi bạn bắt đầu: Xác định các cấp truy cập theo bối cảnh và tạo nhóm cấu hình (tốt nhất là chứa 1 hoặc 2 tài khoản kiểm thử).
Bước 1. Áp dụng nhóm cấu hình
Bạn cần có đặc quyền quản trị đối với Nhóm, Đơn vị tổ chức (cấp cao nhất) và Quản lý cấp truy cập bảo mật dữ liệu cũng như Quản lý quy tắc.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Bảo mậtQuyền truy cập và chế độ kiểm soát dữ liệuQuyền truy cập theo bối cảnh.Bạn phải có đặc quyền quản lý quy tắc và cấp truy cập bảo mật dữ liệu, cũng như đặc quyền đọc đối với người dùng và nhóm trong API Quản trị.
- Nhấp vào Chỉ định cấp truy cập để xem danh sách ứng dụng.
- Trong phần Quyền truy cập theo bối cảnh, hãy nhấp vào Nhóm.
- Chọn một hành động:
- Nhấp vào một ứng dụng. Mọi nhóm cấu hình hiện có đã được chỉ định cấp truy cập cho ứng dụng của bạn đều được liệt kê theo thứ tự ưu tiên.
- Nhấp vào Tìm kiếm nhóm để xem danh sách tất cả các nhóm, không chỉ nhóm cấu hình. Bạn có thể nhập văn bản để lọc kết quả.
- Nhấp vào nhóm. Bảng ứng dụng liệt kê tất cả các ứng dụng có thông tin chỉ định cấp truy cập.
- Nếu bạn không tìm thấy nhóm của mình, thì có thể nhóm đó đã được tạo trong Google Groups. Bạn phải tạo nhóm cấu hình trong Bảng điều khiển dành cho quản trị viên, API Thư mục hoặc Google Cloud Directory Sync.
- Bắt đầu bằng cách thêm nhóm cấu hình từ mức độ ưu tiên cao nhất đến thấp nhất. Khi bạn thêm một chính sách nhóm mới cho một ứng dụng, chính sách đó sẽ được đặt ở mức độ ưu tiên thấp nhất.
- Nhấp vào một hoặc nhiều ứng dụng, sau đó nhấp vào Chỉ định.
- Chọn các cấp truy cập cho ứng dụng trong nhóm rồi nhấp vào Lưu. Theo mặc định, một nhóm mới không có cấp truy cập được chỉ định.
Đối với các tổ chức có nhiều loại giấy phép Google Workspace: Các cấp truy cập của nhóm chỉ áp dụng cho những người dùng được chỉ định một phiên bản Google Workspace có tính năng kiểm soát quyền truy cập theo bối cảnh.
Bước 2. Kiểm tra các cấp truy cập của người dùng
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
Xoá nhóm cấu hình
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
Nhóm cấu hình không còn xuất hiện trong danh sách Nhóm. Các thay đổi có thể mất đến 24 giờ nhưng thường diễn ra nhanh hơn. Tìm hiểu thêm
Chỉnh sửa nhóm cấu hình
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p>
Changes can take up to 24 hours but typically happen more quickly. Learn more</p>
Khắc phục sự cố
<div>
<p><b>I don't see the configuration group in the Groups list</b></p>
<ul>
<li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
<li>Search for the group's email address rather than the group's name.</li>
<li>Try refreshing the setting page.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>
<p><b>A user doesn't have the correct access level</b></p>
<ul>
<li>Check a user's group membership.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
<li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
<li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>
Xem xét các thay đổi trong Nhật ký kiểm tra
<div>
<p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>
<p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>
<table class="nice-table">
<tbody>
<tr>
<td>
<p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>
<p>The data included in a group event:</p>
<blockquote>
<p>Access Level assignments have been changed from []<br>
to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>
<p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>
<p>When you remove the configuration group from an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>
Tìm hiểu về đơn vị tổ chức và nhóm kế thừa cũng như nhóm cấu hình
Nếu bạn thực hiện bất kỳ thay đổi nào về cấp truy cập cục bộ trong một đơn vị tổ chức hoặc nhóm con, thì đơn vị tổ chức hoặc nhóm đó chỉ có các cấp truy cập được áp dụng cục bộ và không kế thừa bất kỳ cấp truy cập nào từ tổ chức mẹ.
Nếu bạn xoá tất cả các cấp truy cập được chỉ định cục bộ để khôi phục các cấp truy cập được kế thừa ban đầu, thì đơn vị tổ chức con chỉ có các cấp truy cập được kế thừa.
Ví dụ: đối với đơn vị tổ chức, nếu có 3 cấp truy cập được chỉ định cho một ứng dụng trong đơn vị tổ chức cấp cao nhất, thì các cấp truy cập tương tự đó sẽ được chỉ định thông qua tính năng kế thừa cho ứng dụng trong một đơn vị tổ chức con nếu đơn vị tổ chức con không có thông tin chỉ định cục bộ. Nếu sau đó bạn chỉ thêm một cấp truy cập trong đơn vị tổ chức con, thì đó là cấp truy cập duy nhất được áp dụng cho đơn vị tổ chức con.
Ghi đè thông tin chỉ định cấp truy cập được kế thừa bằng chính sách rỗng
Giả sử bạn không muốn chặn quyền truy cập của bất kỳ người dùng nào trong một đơn vị tổ chức con – không có thông tin chỉ định cấp truy cập. Tạo một cấp truy cập có tên là "Bất kỳ" với 2 điều kiện về mạng con IP và kết hợp các điều kiện bằng OR:
- Phạm vi mạng con IPv4 0.0.0.0/0
HOẶC - Phạm vi mạng con IPv6 0::/0
Người dùng trong tổ chức có quyền truy cập từ bất kỳ địa chỉ IPv4 hoặc IPv6 nào.
Ghi đè thông tin chỉ định cấp truy cập bằng nhóm cấu hình
Bạn có thể sử dụng nhóm cấu hình để chỉ định các cấp truy cập cho các nhóm người dùng thay vì đơn vị tổ chức. Cấp truy cập của nhóm người dùng luôn ghi đè cấp truy cập của đơn vị tổ chức của người dùng. Các nhóm có thể bao gồm người dùng từ bất kỳ đơn vị tổ chức nào trong tài khoản của bạn.
Ví dụ: một người dùng thuộc một đơn vị tổ chức và Nhóm 1. Đơn vị tổ chức là ParentOU, được chỉ định cấp truy cập X cho cả Gmail và Lịch. Không có thông tin chỉ định cấp truy cập cho Nhóm 1 đối với Gmail. Có một cấp truy cập Y được chỉ định cho Nhóm 1 đối với Lịch. Trong trường hợp này, người dùng được chỉ định cấp truy cập X cho Gmail (thông qua tính năng kế thừa) và Y được chỉ định cho Lịch (bằng cách ghi đè chính sách cục bộ).