Zugriff auf Dienste mithilfe von Zugriffsgruppen anpassen

Wenn Sie weniger als 50 Nutzer haben, ist es möglicherweise einfacher, ausschließlich über Organisationseinheiten einen Dienst für Google Workspace-Nutzer zu aktivieren oder zu deaktivieren.

Wenn Sie einen Dienst für eine oder mehrere Organisationseinheiten deaktivieren, können Sie ihn für einige Mitglieder mithilfe einer Zugriffsgruppe aktivieren. So lässt sich der Zugriff für bestimmte Nutzer gewähren, ohne dass Sie die Organisationsstruktur ändern müssen.

Beispiel:YouTube ist derzeit für alle Organisationseinheiten deaktiviert. Einige Mitarbeiter in der Marketing- und Vertriebsabteilung benötigen jedoch Zugriff auf YouTube. Wenn Sie die Einstellungen der Organisationseinheit dieser Personen für diese Richtlinie überschreiben möchten, fügen Sie sie einer Zugriffsgruppe hinzu und aktivieren Sie YouTube für diese Gruppe.

Themen in diesem Hilfeartikel

Optionen zum Gewähren des Zugriffs auf Dienste

In der Google Admin-Konsole können Sie für eine gesamte Organisationseinheit den Zugriff auf einen Google-Dienst wie Google Drive deaktivieren. Wenn dann in einem solchen Fall bestimmte Nutzer in dieser Organisationseinheit Zugriff auf Google Drive benötigen, haben Sie zwei Möglichkeiten:

  • Verschieben Sie die Nutzer in eine Organisationseinheit, für die Google Drive aktiviert ist.
  • Oder fügen Sie die Nutzer einer Zugriffsgruppe hinzu und aktivieren Sie Google Drive für diese Gruppe. Alle Gruppenmitglieder können dann auf den Dienst zugreifen, auch wenn er für die Organisationseinheit deaktiviert ist.
Organisationseinheiten Mit einer Zugriffsgruppe
Google Drive ist für die
Organisationseinheiten 1 und 2 deaktiviert.		 Eine Nutzergruppe innerhalb der Organisationseinheiten 
1 und 2 kann aber auf Google Drive zugreifen.

Zugriffsgruppen verwenden

Über Zugriffsgruppen kann der Nutzerzugriff auf Google-Dienste aktiviert werden. Der Nutzerzugriff auf einen Dienst, der für eine Organisationseinheit aktiviert ist, lässt sich für eine Zugriffsgruppe nicht deaktivieren.

  • Zugriffsgruppen können beliebige Nutzer oder Gruppen in Ihrer Organisation enthalten.
  • Sie haben die Möglichkeit, eine Gruppe als Zugriffsgruppe neu zu erstellen oder eine vorhandene Gruppe zu verwenden.
  • Über Zugriffsgruppen können Sie nur steuern, ob ein Dienst für einen Nutzer aktiviert ist. Sie legen die Diensteinstellungen (z. B. die Freigabe in Google Drive) über eine Organisationseinheit oder Konfigurationsgruppe fest. Weitere Informationen

Mit Organisationseinheiten vergleichen

Zugriffsgruppen Organisationseinheiten
Funktion

Es können Dienste aktiviert werden.
  • Dienste aktivieren oder deaktivieren
  • Diensteinstellungen konfigurieren
Zugriff auf einen Dienst Dienst kann für Nutzer in der Gruppe aktiviert werden. Dadurch wird immer die Einstellung der Organisationseinheit aufgehoben. Dienste können für Nutzer in der Organisationseinheit aktiviert oder deaktiviert werden.
Unterstützte Dienste
Mitgliedschaft von Nutzern Nutzer aus verschiedenen Organisationseinheiten können einer Gruppe angehören. Nutzer können mehreren Gruppen angehören. Ein Nutzer gehört zu einer einzelnen Organisationseinheit.
Übernahme Ja. Gruppen innerhalb einer Gruppe erhalten Zugriff auf den Dienst. Ja. Die Einstellung der übergeordneten Organisationseinheit kann für eine Organisationseinheit übernommen oder überschrieben werden.
Automatische Lizenzierung für Nutzer Nein Ja

Vergleich mit Konfigurationsgruppen

Zugriffsgruppen überschreiben den Zugriff auf Dienste für eine Organisationseinheit. Wenn Sie Diensteinstellungen wie die Drive-Freigabe überschreiben möchten, verwenden Sie eine Konfigurationsgruppe.

Weitere Informationen finden Sie im Hilfeartikel Diensteinstellungen mit Konfigurationsgruppen anpassen.

Tipp:Dieselbe Gruppe kann sowohl als Zugriffsgruppe als auch als Konfigurationsgruppe verwendet werden. Sie haben daher die Möglichkeit, Nutzern Zugriff auf einen Dienst zu gewähren und die Einstellungen für diesen Dienst anzupassen.

Zugriffsgruppe einrichten

So aktivieren Sie einen Dienst mithilfe einer Zugriffsgruppe:

Hinweis:Wie Sie Zugriffsgruppen für durch Password Vault geschützte Apps einrichten, erfahren Sie in diesem Hilfeartikel.

Schritt 1: Gruppenmitglieder und ihre Organisationseinheiten auflisten

Ermitteln Sie die Organisationseinheit jedes Nutzers, den Sie in die Zugriffsgruppe aufnehmen möchten. Für Dienste wie beispielsweise Google Vault, die nur in bestimmten Versionen verfügbar sind, müssen Sie prüfen, ob für den Nutzer eine Lizenz vorliegt.

Schritt 2: Dienst für Organisationseinheiten deaktivieren

Legen Sie Ihre allgemeine Richtlinie fest, indem Sie den Dienst für die Organisationseinheit jedes Nutzers deaktivieren. Diese Einstellung gilt für alle Nutzer in der Organisationseinheit. (Später können Sie den Dienstzugriff dann für die jeweilige Zugriffsgruppe aktivieren.)

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Apps und dannÜbersicht.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  3. Klicken Sie auf den Diensttyp: Google Workspace, Zusätzliche Google-Dienste, Web- und mobile Apps oder Google Workspace Marketplace-Apps.
  4. Wählen Sie für einen Nutzer in der Zugriffsgruppe die Organisationseinheit aus.
  5. Bewegen Sie den Mauszeiger auf der rechten Seite auf die Zeile des jeweiligen Dienstes.
  6. Klicken Sie auf Deaktivieren.
  7. Wiederholen Sie den Schritt bei Bedarf für die Organisationseinheiten der anderen Gruppenmitglieder.

Schritt 3: Zugriffsgruppe erstellen

Sie können eine Gruppe erstellen, die Sie als Zugriffsgruppe verwenden, oder eine vorhandene Gruppe verwenden.

Ihre Gruppe muss auf eine der folgenden Arten erstellt werden:

Wichtig:In Google Groups erstellte Gruppen können nicht als Zugriffsgruppen verwendet werden. Mit der Groups API können Sie prüfen, wie eine Gruppe erstellt wurde.

Für eine dynamische Gruppe ist das Sicherheitslabel erforderlich, damit sie als Zugriffsgruppe verwendet werden kann.

Wenn Ihre Gruppe die oben genannten Kriterien erfüllt, ist sie verfügbar, wenn Sie einen Dienst für eine Gruppe aktivieren.

Schritt 4: Dienst für die Gruppe aktivieren

Für diesen Schritt benötigen Sie Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und Diensteinstellungen. Weitere Informationen zu Administratorberechtigungen

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Apps und dannÜbersicht.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  3. Klicken Sie auf den Diensttyp: Google Workspace, Zusätzliche Google-Dienste, Web- und mobile Apps oder Google Workspace Marketplace-Apps.
  4. Wählen Sie Ihre Gruppe im Bereich Gruppen aus:
    • Klicken Sie auf Nach einer Gruppe suchen, um die Liste der Zugriffsgruppen aufzurufen.
    • Suchen Sie nach Gruppenname oder -adresse.
      Wenn Sie Ihre Gruppe nicht finden, wurde sie möglicherweise in Google Groups erstellt. Eine solche Gruppe kann nicht als Zugriffsgruppe verwendet werden.
  5. Bewegen Sie den Mauszeiger auf der Zeile des jeweiligen Dienstes nach rechts und klicken Sie auf Aktivieren.

    Wenn Sie den Dienst später für diese Gruppe deaktivieren möchten, klicken Sie auf Aufheben.

    Tipp:Wenn Sie die Einstellungen für mehrere Dienste ändern möchten, klicken Sie für die Dienste jeweils das zugehörige Kästchen an und dann rechts oben auf Aktivieren.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Einstellungen überprüfen

Damit Ihre Zugriffsgruppen wie vorgesehen funktionieren, können Sie den Dienststatus anhand eines Nutzers, eines Dienstes oder Ihrer Zugriffsgruppe prüfen.

Dienstzugriff eines Nutzers bestätigen

Prüfen Sie auf der Kontoseite eines Nutzers seine Dienste und Gruppenmitgliedschaften.

  1. Ansehen, welche Apps für einen Nutzer aktiviert sind
  2. Gruppenmitgliedschaften eines Nutzers ansehen

Zugriff nach Dienst prüfen

Hier können Sie prüfen, wie Organisationseinheiten und Gruppen für einen bestimmten Dienst konfiguriert sind.

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Apps und dannÜbersicht.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  3. Klicken Sie auf den Diensttyp: Google Workspace, Zusätzliche Google-Dienste, Web- und mobile Apps oder Google Workspace Marketplace-Apps.
  4. Klicken Sie links oben auf Alle Nutzer in diesem Konto.
  5. Suchen Sie nach einem Dienst mit dem Status Für einige aktiviert. Dieser Status zeigt, dass der Dienst für eine Organisationseinheit oder Zugriffsgruppe aktiviert ist.
  6. Bewegen Sie den Mauszeiger auf Für einige aktiviert und klicken Sie auf Details ansehen.
  7. Prüfen Sie den Dienststatus für alle Gruppen und Organisationseinheiten.

Zugriff nach Gruppe prüfen

Prüfen Sie den Status aller Dienste für eine bestimmte Organisationseinheit oder Gruppe.

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Apps und dannÜbersicht.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  3. Klicken Sie auf Google Workspace oder Zusätzliche Google-Dienste.

  4. Wählen Sie links die Ansicht aus.

Ansehen Aktionen für den Dienst Status des Dienstes
Alle Nutzer in diesem Konto

Für alle aktivieren

oder

Für alle deaktivieren (dadurch werden alle Zugriffsgruppen deaktiviert)

 Der Status basiert auf Gruppen und Organisationseinheiten.
  • Für einige aktiviert
  • Für alle aktiviert
  • Für alle deaktiviert
Gruppen

Aktivieren oder Aufheben
  • An
Organisationseinheiten

Ein oder Aus

 Der Status basiert nur auf Organisationseinheiten.
  • Für einige aktiviert
  • An
  • Aus

Zugriffsgruppen bearbeiten

Dienst für eine Zugriffsgruppe deaktivieren

Rufen Sie auf dieser Seite Schritt 4: Dienst aktivieren auf.

Dienst für alle Nutzer aktivieren oder deaktivieren

  1. Melden Sie sich mit einem Administratorkonto in der Admin-Konsole an.

    Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.

  2. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Apps und dannÜbersicht.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  3. Klicken Sie auf den Diensttyp: Google Workspace, Zusätzliche Google-Dienste, Web- und mobile Apps oder Google Workspace Marketplace-Apps.

  4. Klicken Sie links auf Alle Nutzer in diesem Konto.

  5. Bewegen Sie den Mauszeiger auf einen Dienst und klicken Sie auf das Dreipunkt-Menü  und dann wählen Sie Für alle deaktivieren oder Für alle aktivieren aus.

    • Für alle deaktivieren: Zugriffsgruppen werden deaktiviert und nicht mehr als „Aktiviert“ angezeigt.
    • Für alle aktivieren: Es werden keine Änderung an den Einstellungen für Zugriffsgruppen vorgenommen.

Gruppenmitgliedschaft verwalten

Wenn Sie Mitglieder aus einer Gruppe entfernen oder eine Zugriffsgruppe löschen, haben die Mitglieder keinen Zugriff mehr auf Dienste über diese Gruppe.

Fehlerbehebung

Auf der Seite „Apps“ werden keine Zugriffsgruppen angezeigt

  • Die Gruppe wurde möglicherweise in Google Groups erstellt und kann nicht als Zugriffsgruppe verwendet werden.
  • Suchen Sie nach der Gruppenadresse, nicht nach dem Gruppennamen.
  • Aktualisieren Sie die Seite „Apps“.
  • Prüfen Sie, ob Sie die Administratorberechtigung „Gruppen“ haben.

Der Nutzer ist Mitglied einer Zugriffsgruppe, kann sich jedoch nicht im Dienst anmelden

  • Prüfen Sie die Dienste und die Gruppenmitgliedschaft des Nutzers.
  • Prüfen Sie, ob dem Nutzer eine Lizenz für den Dienst zugewiesen ist.

Ich habe eine Zugriffsgruppe aktiviert, aber der Dienststatus lautet für alle Organisationseinheiten „Deaktiviert“

Der Status zeigt an, ob der Dienst für die Organisationseinheit aktiviert oder deaktiviert ist. Er sagt nichts darüber aus, ob die Organisationseinheit Nutzer enthält, die zu einer Zugriffsgruppe gehören. Wenn Sie die Diensteinstellungen einer Zugriffsgruppe prüfen möchten, führen Sie die ersten vier Schritte in Schritt 4: Dienst aktivieren aus.