您可以透過「配置群組」,將情境感知存取權層級套用至一群使用者 (而非機構單位)。配置群組的成員可來自貴公司任何組織單位。舉例來說,您可以設定讓承包商團隊只能透過貴公司的網路存取 Gmail。
配置群組的運作方式
- 您可以在配置群組中加入貴機構的任何使用者,也可以將建立的配置群組當做存取層級的容器,然後在其中新增您的使用者群組 (巢狀群組)。
- 與機構單位不同,使用者可同時屬於多個配置群組。您可以針對使用者所屬的配置群組設定優先順序,讓使用者套用其中優先順序最高的群組設定。
- 使用者的應用程式群組存取層級「一律」會覆寫其所屬機構單位的存取層級。
- 如果配置群組沒有替應用程式指定存取層級,應用程式便會套用使用者所屬機構單位所設定的存取層級。
針對情境感知存取權設計配置群組
配置群組在情境感知存取權方面的運作方式,與其他 Google Workspace 設定稍有不同。設計群組和政策時,請遵循以下資訊和提示:
配置群組選項
您通常應該先為機構單位定義存取層級,再為配置群組決定自訂存取層級。舉例來說,您可以設定具備「開放存取權」或「鎖定存取權」的配置群組,以便快速授予或限制特定使用者的存取權。
一般而言,您需要合併運用多個配置群組:
使用現有的使用者群組
您可以在使用者群組中為各個應用程式 (例如 Gmail 或 Google 雲端硬碟) 設定存取層級;如果使用者同時屬於多個群組,您可以決定使用者應套用哪個群組的設定 (詳情請參閱後續的優先順序一節)。
在下列情況中,建議您將存取層級直接套用至使用者群組:
- 測試情境感知存取權。
- 管理特定使用者群組的存取權,例如 IT 員工或遠端作業團隊。
- 為使用者數量少於 50 名或只有少數存取層級的機構管理存取權。您便不需要建立更多群組,且可以為各個使用者群組精確調整設定。
根據存取層級建立配置群組
或者,您也可以將存取層級指派給群組。您可以建立配置群組,並為一或多個應用程式指派存取層級,然後將使用者群組新增為配置群組的成員。
對於較大型的機構而言,這種做法有助於管理存取群組政策及優先順序 (如下所述)。
優先順序對存取層級的影響
如果使用者同時屬於多個配置群組,您可以設定要讓使用者優先套用哪個配置群組的應用程式存取權。
在 Google 管理控制台中,您必須先選取應用程式,才能顯示對應的群組優先順序清單。系統會依優先順序最高到最低的順序列出群組。最新配置群組的優先順序最低,且會新增至配置群組清單的底部。
情境感知存取權的優先順序
系統會根據使用者所屬的配置群組,為使用者套用其中優先順序最高的群組應用程式設定;如果該群組並未針對特定應用程式設定存取層級,系統便會為使用者套用優先順序次高的群組所指定的存取層級,以此類推。
您可以在管理控制台中查看使用者的應用程式套用了哪個群組或機構單位的存取層級。在下方的範例中,使用者的雲端硬碟套用了「雲端硬碟安全性」群組所設定的存取權。
| 使用者的應用程式 | 存取層級 | 沿用來源 |
|---|---|---|
 Google 日曆 |
公司網路 | 機構單位:銷售 |
 雲端硬碟 |
公司網路、裝置安全性 | 群組:雲端硬碟安全性 |
 Gmail |
裝置安全性 | 機構單位:銷售 |
 Google 保管箱 |
<none> | <none> |
如要使用精細的控制項,您可以使用群組為每個應用程式自訂存取層級,如下所示:
| 使用者的應用程式 | 存取層級 | 沿用來源 |
|---|---|---|
|
日曆 |
公司網路 | 機構單位:銷售 |
|
雲端硬碟 |
公司網路、裝置安全性 | 群組:雲端硬碟安全性 |
|
Gmail |
裝置安全性、加拿大地區 | 群組:北美洲 |
|
保管箱 |
受限裝置、公司網路 | 群組:保管箱審查者 |
為配置群組設定優先順序
- 建議您將重要或敏感的配置群組設為高度優先。舉例來說,貴機構優先順序最高的群組或許是「緊急存取」群組,則其可覆寫任何限制存取權的群組。
-
系統不會將存取層級套用至使用者的所有群組。在下列範例中,這名使用者同時屬於 3 個使用者群組,但只會套用優先順序最高的「裝置」配置群組所設定的存取層級。
規劃及設計配置群組
規劃配置群組結構可能是最耗時費神的步驟。
為群組命名及搜尋群組
設定群組命名標準能更方便您日後搜尋所需群組、為群組設定優先順序,以及進行稽核。舉例來說,您可以加上「caa」等前置字元,藉此標明情境感知配置群組。此外,新增配置群組時可使用小數,以免更動到現有的群組名稱。
 |
 |
依群組地址搜尋 | |
 |
查看群組清單 | ||
<ul>
<li><b>Search for a group:</b> You might want to set up a naming standard that includes the setting name and priority number, for example:</li>
<blockquote>
<p>caa_p0.0_unrestricted_access@example.com<br>
caa_p1.0_lockdown_access@example.com<br>
caa_p3.0_Gmail_IP_Device@example.com<br>
caa_p3.1_Gmail_IP@example.com</p>
<ul>
<li><b>View the groups:</b> The Groups panel displays the <b>group name</b> (maximum of 37 characters) in the priority order. Pointing to a group shows the full name. For example:</li>
<blockquote>
<p>CAA p0.0 - Unrestricted access all apps<br>
CAA p1.0 - Lockdown access<br>
CAA p3.0 - Gmail IP corp & device security<br>
CAA p3.1 - Gmail IP corp</p>
<p><b>Ordering groups</b></p>
<p>To keep track of priority and settings:</p>
<ul>
<li>You might place groups that apply to the fewest users or define critical policies (such as "Lockdown access" or "All access") at the highest priority.</li>
<li>Consider priority in your group structure and watch for deeply nested groups, which might be challenging to trace to settings.</li>
<p><b>Creating groups</b></p>
<p>You must use groups created in the Admin console, Directory API, or Google Cloud Directory Sync. Groups created in Google Groups can't be used as configuration groups. (The Admin console doesn't show whether a group was created in Google Groups.)</p>
<p>You can manage the configuration group in any tool. You might set strict permissions to add or delete users, turn off posting to the group, or prevent users from leaving the group (available only in the Groups API).</p>
設定配置群組
事前準備:定義情境感知存取權層級,並建立配置群組 (最好包含 1 至 2 個測試帳戶)。
步驟 1:套用配置群組
您必須具備群組、頂層機構單位、資料安全性存取層級管理及規則管理的管理員權限才能執行這個步驟。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「情境感知存取權」。 - 按一下「指派存取層級」即可查看應用程式清單。
- 在「情境感知存取權」部分中,點選「群組」。
- 選擇下列任一選項:
- 按一下所需應用程式。系統會按照優先順序,列出任何針對您的應用程式獲派存取層級的現有配置群組。
- 按一下「搜尋群組」,即可查看所有群組的清單,而不只有配置群組。您可以輸入文字來篩選結果。
- 按一下目標群組。應用程式表格會列出所有應用程式,以及每個應用程式的存取層級指派情形。
- 如果找不到所需群組,表示該群組可能是透過 Google 網路論壇建立的。您必須在管理控制台、Directory API 或 Google Cloud Directory Sync 中建立配置群組。
- 建議您依照優先順序由高至低新增配置群組,為應用程式新增群組政策時,系統會將優先順序設為最低。
- 點選一或多個應用程式,然後按一下「指派」。
- 為群組中的應用程式選取存取層級,然後按一下「儲存」。根據預設,新群組沒有任何指派的存取層級。
如果機構有多種 Google Workspace 授權:使用者獲得的 Google Workspace 版本要有情境感知存取權控制項,系統才會為使用者套用群組存取層級。
步驟 2:查看使用者的存取層級
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p><b>Note</b>: When you view an organizational unit, the <b>Inherited</b> levels are based only on an organizational unit's setting, not on configuration groups.</p>
移除配置群組
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
這樣一來,「群組」清單中便不會再顯示該配置群組。變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情
編輯配置群組
<div>
<p>You need <a href="https://support.google.com/a/answer/1219251" target="_blank">admin privileges</a> for Groups, Organizational Units (top-level), and <a href="https://support.google.com/a/answer/1219251#Context_Aware_Access" target="_blank">Data Security Access level management and Rule management</a>.</p>
<ol>
<li>
<div>
In the Google Admin console, go to Menu SecurityAccess and data controlContext-Aware Access.
Requires the Data security access level and rule management privileges and the Admin API groups and users read privileges.
</div>
<p>
Changes can take up to 24 hours but typically happen more quickly. Learn more</p>
疑難排解
<div>
<p><b>I don't see the configuration group in the Groups list</b></p>
<ul>
<li>The group may have been created in Google Groups. Try creating a group in the <a href="https://support.google.com/a/answer/33343">Admin console</a>.</li>
<li>Search for the group's email address rather than the group's name.</li>
<li>Try refreshing the setting page.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Check that you have <a href="https://support.google.com/a/answer/172176" target="_blank">admin privileges</a> for Groups.</li>
<p><b>A user doesn't have the correct access level</b></p>
<ul>
<li>Check a user's group membership.
Changes can take up to 24 hours but typically happen more quickly. Learn more</li>
<li>Find the configuration group that's determining <a href="#step2">the user's settings</a>. If the user belongs to multiple configuration groups, you might need to change the group priority or user's group membership.</li>
<li>The user may not have the product license for the feature. Context-Aware Access is available with specific editions of Google Workspace.</li>
<li>If the user can't access an app, the app might be assigned a deleted access level. Check <a href="https://support.google.com/a/answer/9261439" target="_blank">remove a deleted access level</a>.</li>
在稽核記錄中查看變更
<div>
<p>Review these events in the <a href="https://support.google.com/a/answer/4579579" target="_blank">Admin Audit log</a> for changes to configuration group settings:</p>
<p><b>EVENT: Context Aware access level App-specific Assignments Change</b></p>
<table class="nice-table">
<tbody>
<tr>
<td>
<p>Logs when you apply or remove a configuration group. The event uses the group name<i>,</i> so you might use a similar naming standard for both your group name and address.</p>
<p>The data included in a group event:</p>
<blockquote>
<p>Access Level assignments have been changed from []<br>
to [<b>access levels</b>]. (application_name: {<b>app</b>}, group_name: {<b>configuration group</b>})</p>
<p>For example, you apply the configuration group <b>CAA.02 local access</b> to an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [] to [<b>Company IP, Device</b>].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 local access}</b> </p>
<p>When you remove the configuration group from an app:</p>
<blockquote>
<p>Access Level assignments have been changed from [<b>Company IP, Device</b>] to [].<br>
(application_name: {<b>GMAIL</b>}, group_name: {<b>CAA.02 Local Access}</b> </p>
瞭解機構單位、群組沿用機制和配置群組
如果您在子機構單位或群組中做出任何本地存取層級變更,子機構中就只會套用這些本地存取層級,而不會沿用上層機構的任何存取層級。
如果您移除所有本地指派的存取層級,藉此恢復原先沿用的存取層級,子機構單位就會只有原先沿用的存取層級。
舉例來說,假設頂層機構單位中有 3 個指派給應用程式的存取層級,而子機構單位沒有本地指派的存取層級,那麼頂層機構單位的存取層級也會透過沿用設定指派給子機構單位中的相同應用程式。如果您之後在子機構單位中新增存取層級,子機構單位就只會套用這個存取層級。
運用零值政策覆寫沿用的存取層級指派設定
假設您不想封鎖子機構單位中任何使用者的存取權,也就是不指派存取層級,請建立名稱為「不限」的存取層級,在其中加入 2 個 IP 子網路條件,並以「或」連結,示例如下:
- IPv4 子網路範圍 0.0.0.0/0
或 - IPv6 子網路範圍 0::/0
這樣一來,該機構使用者即可透過任何 IPv4 或 IPv6 位址進行存取。
透過配置群組覆寫存取層級的指派設定
您可以透過「配置群組」,為一群使用者 (而非機構單位) 指派存取層級。使用者的群組存取層級一律會覆寫其所屬機構單位的存取層級。只要是您帳戶中的使用者,無論所屬機構單位為何,都可以加入這類群組。
舉例來說,使用者隸屬於某個機構單位和群組 1。這裡的機構單位稱為 ParentOU,已為 Gmail 和 Google 日曆指派存取層級 X。群組 1 的使用者沒有獲派 Gmail 的存取層級,但獲派 Google 日曆的存取層級 Y。在這種情況下,系統會為使用者指派 Gmail 的存取層級 X (沿用上層設定),以及 Google 日曆的存取層級 Y (覆寫本地政策)。