Diensteinstellungen mit Konfigurationsgruppen anpassen

Je nach Google Workspace-Version sind für einige Dienste oder Einstellungen möglicherweise keine Konfigurationsgruppen verfügbar.

Nachdem Sie allgemeine Richtlinien auf Organisationseinheiten angewendet haben, die Ihre Abteilungen oder Teams enthalten, können Sie Ausnahmen für Nutzer in diesen Teams festlegen, ohne Ihre Organisationsstruktur zu ändern. Dazu verwenden Sie Konfigurationsgruppen.

Beispiel:Sie schränken derzeit die Genehmigung von YouTube-Videos für alle Organisationseinheiten ein. Allerdings müssen einige Personen in verschiedenen Abteilungen Videos genehmigen. Wenn Sie die Einstellungen der Organisationseinheit dieser Personen für diese eine Richtlinie überschreiben möchten, fügen Sie sie einer Konfigurationsgruppe hinzu und erteilen Sie ihr die Genehmigungsrechte in YouTube.

Anpassbare Funktionen

Die folgenden Einstellungen können auf Konfigurationsgruppen angewendet werden:

Einstellungen in diesen Diensten	Administratorfunktionen
Kalender Verzeichnis (Profilbearbeitung) Drive Gmail (einige Nutzerfunktionen) Google Cloud Platform Looker Studio Google Meet Google Sites Google Datenexport Google Voice Premium Google Notizen Tasks Google Vault YouTube	Kontowiederherstellung für Nutzer Kontowiederherstellung für Super Admins Altersgruppen Kontextsensitiver Zugriff (zur Anleitung) Speicherorte für Daten Weniger sichere Apps Hinweis: Bei einigen Diensten kann der Google-Datenexport für eine Gruppe aktiviert oder deaktiviert werden. Weitere Informationen

Einstellungen in diesen Diensten

Administratorfunktionen

Kontowiederherstellung für Nutzer
Kontowiederherstellung für Super Admins
Altersgruppen
Kontextsensitiver Zugriff (zur Anleitung)
Speicherorte für Daten
Weniger sichere Apps

Hinweis: Bei einigen Diensten kann der Google-Datenexport für eine Gruppe aktiviert oder deaktiviert werden. Weitere Informationen

&ast; Nur für bestimmte Versionen von Google Workspace verfügbar

So funktionieren Konfigurationsgruppen

Normalerweise wenden Sie Diensteinstellungen mithilfe von Organisationseinheiten auf Abteilungen oder Teams an. Anschließend können Sie mithilfe von Konfigurationsgruppen Ausnahmen für einige Nutzer festlegen. Sie können beispielsweise den Zugriff auf YouTube-Inhalte für alle Nutzer in Ihrer Organisation einschränken, diese Einstellung jedoch für Nutzer überschreiben, die Videos ansehen oder genehmigen müssen.

Eine Konfigurationsgruppe kann Nutzer oder Gruppen aus jeder Organisationseinheit enthalten.
Die Gruppeneinstellungen, die für einen Nutzer gelten, haben immer Vorrang vor den Einstellungen der Organisationseinheit.
Ein Nutzer kann mehreren Konfigurationsgruppen angehören, jedoch nicht mehreren Organisationseinheiten.
Sie legen die Priorität der Konfigurationsgruppen fest. Für den Nutzer gilt dann die Einstellung der Gruppe mit der höchsten Priorität.

Wichtig: Eine Richtlinie zur 2‑Faktor-Authentifizierung, die für eine untergeordnete Organisationseinheit festgelegt ist, hat immer Vorrang vor einer Einstellung für eine Konfigurationsgruppe. Damit die Ausnahme für die Konfigurationsgruppe funktioniert, muss die 2‑Faktor-Authentifizierung für alle untergeordneten Organisationseinheiten, zu denen der Nutzer gehört, deaktiviert sein.

Konfigurationsgruppe einrichten

Schritt 1: Konfigurationsgruppe erstellen

Sie können eine Gruppe erstellen, die als Konfigurationsgruppe verwendet werden soll, oder eine vorhandene Gruppe verwenden.

Ihre Gruppe muss auf eine der folgenden Arten erstellt werden:

Wichtig:In Google Groups erstellte Gruppen können nicht als Konfigurationsgruppen verwendet werden. Mit der Groups API können Sie prüfen, wie eine Gruppe erstellt wurde.

Wenn eine dynamische Gruppe als Konfigurationsgruppe verwendet werden soll, ist das Sicherheitslabel erforderlich.

Wenn Ihre Gruppe die oben genannten Kriterien erfüllt, ist sie verfügbar, wenn Sie eine Einstellung auf eine Gruppe anwenden.

Schritt 2: Einstellungen auf die Gruppe anwenden

Hierfür sind Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und Diensteinstellungen erforderlich.

Einstellungen für Konfigurationsgruppen können nur in der Admin-Konsole und nicht über APIs angewendet werden.

Rufen Sie in der Admin-Konsole die Seite mit den Einstellungen für die App auf.
Klicken Sie auf die Einstellung, die Sie ändern möchten.
Als Beispiel sehen Sie unten die YouTube-Einstellungen für die Organisation der obersten Ebene:
Klicken Sie links auf Gruppen.
Alle vorhandenen Konfigurationsgruppen werden nach Priorität geordnet aufgeführt.
Klicken Sie auf Nach einer Gruppe suchen. Geben Sie die E-Mail-Adresse einer Gruppe ein (nicht den Gruppennamen) und wählen Sie die Gruppe aus.
- Fügen Sie die Konfigurationsgruppen nach absteigender Priorität hinzu. Neue Gruppen erhalten standardmäßig die niedrigste Priorität.
- Wenn Sie Ihre Gruppe nicht finden, wurde sie möglicherweise in Google Groups erstellt oder es ist eine dynamische Gruppe mit fehlendem Sicherheitslabel.
Wählen Sie die Einstellungen für Ihre Konfigurationsgruppe aus.
Eine neue Gruppe übernimmt standardmäßig die Einstellungen der obersten Organisationseinheit.

Bei Organisationen mit mehreren Lizenztypen: Wenn Sie Lizenzen für eine Version haben, die eine bestimmte Einstellung nicht aufweist, ist neben dieser Einstellung ein Flaggensymbol zu sehen. Die Flagge wird unabhängig davon angezeigt, ob die Gruppe Nutzer enthält, die nicht die erforderliche Lizenz haben.
Aktivieren oder deaktivieren Sie die Konfigurationsgruppe.
- Aktivieren: Klicken Sie auf Speichern.
  Dadurch werden die Einstellungen auf die Mitglieder der Konfigurationsgruppe angewendet. Klicken Sie zum Schließen auf Abbrechen.
- Deaktivieren: Klicken Sie im Steuerfeld „Gruppen“ auf Aufheben oder „Entfernen“ . Wenn Sie auf Abbrechen klicken, wird die Gruppe nicht entfernt.
Passen Sie die Priorität der Gruppe an. Ziehen Sie sie dazu nach oben oder unten.
- Priorität 1 festlegen: Ziehen Sie die gewünschte Gruppe nach oben auf Priorität 2 und ziehen Sie dann die aktuelle Gruppe mit Priorität 1 nach unten. Sie können auch eine Zahl in das Prioritätsfeld eingeben oder auf die Pfeile daneben klicken.
- Bei weniger als vier Gruppen: Wenn Sie Konfigurationsgruppen, die dieselben Nutzer enthalten, neu sortieren, gelten für diese Nutzer die Einstellungen der Gruppe mit der höchsten Priorität. Sie erhalten möglicherweise diese Benachrichtigung:
  
  „Möglicherweise sind mehrere Richtlinien mit denselben Nutzern verknüpft.“
  
  Dieser allgemeine Hinweis wird angezeigt, wenn Sie eine Konfigurationsgruppe hinzufügen, aufheben oder ihre Priorität ändern, selbst wenn Gruppen nicht dieselben Nutzer enthalten.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Schritt 3: Einstellungen eines Nutzers überprüfen

Sie können prüfen, ob ein Nutzer die gewünschte Einstellung hat.

Hierfür sind Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und Diensteinstellungen erforderlich.

Rufen Sie in der Admin-Konsole die Seite mit den Einstellungen für die App auf.
Klicken Sie links oben auf Nutzer.
Klicken Sie auf Nutzer auswählen und suchen Sie nach der E-Mail-Adresse des Nutzers, nicht nach seinem Namen.
Wählen Sie den Nutzer aus, damit seine Einstellungen angezeigt werden. Unter dem Namen der Einstellung können Sie auf die Konfigurationsgruppe oder die Organisationseinheit klicken, die die Einstellungen des Nutzers bestimmt.

Hinweis: Wenn Sie sich die Organisationseinheit des Nutzers ansehen, wird die Diensteinstellung nicht als Überschrieben angezeigt. Die Angaben Überschrieben und Übernommen basieren ausschließlich auf den Einstellungen der Organisationseinheit, nicht auf denen der Konfigurationsgruppen.

Änderungen im Audit-Log nachvollziehen

Das Ereignis Gruppenprioritäten in den Anwendungseinstellungen geändert wird protokolliert, wenn Sie eine Konfigurationsgruppe anwenden oder die Priorität von Gruppen ändern. Außerdem wird im Ereignis der Gruppenname und nicht die E-Mail-Adresse der Gruppe aufgeführt. Daher ist es sinnvoll, für Namen und E-Mail-Adressen von Gruppen eine ähnliche Namenskonvention zu verwenden.

Beispiel: Sie nutzen für die Gruppe Link für alle die Einstellung für die Linkfreigabe in Drive.

Wenn Sie die Priorität von Gruppen ändern, werden sie im Protokolleintrag in der neuen Reihenfolge aufgeführt: aufsteigend, von niedrigster zu höchster Priorität.

Bei den meisten anderen Ereignissen wird ein ähnliches Prinzip sowohl für Organisationseinheiten als auch für Konfigurationsgruppen genutzt. Mit dem Präfix group_email wird eine Konfigurationsgruppe kenntlich gemacht.

Beispiel: Einstellungen mit einer Organisationseinheit überschreiben

Beispiel: Einstellungen mit einer Konfigurationsgruppe anwenden

Bei Ereignissen mit Konfigurationsgruppen wird Ihre oberste Organisationseinheit immer als org_unit_name bezeichnet.

Viele Nutzer oder Richtlinien verwalten

Hier finden Sie einige Best Practices für die Verwaltung mehrerer Konfigurationsgruppen in mittelgroßen bis großen Organisationen.

Optionen für Konfigurationsgruppen

Bevor Sie Konfigurationsgruppen erstellen oder übernehmen, ordnen Sie den Nutzergruppen normalerweise zuerst ihre Einstellungen zu. Diese Nutzergruppen haben z. B. verschiedene Dateifreigabeberechtigungen in Google Drive.

	Freigabeberechtigungen für Google Drive
Nutzergruppe	Mit beliebiger Domain teilen	Mit vertrauenswürdigen Domains teilen	Nur intern teilen
Vertriebsmanager	✔
Verkaufsteam		✔
Vertriebsaktivitäten			✔

Anschließend können Sie Ihre Nutzergruppen, Ihre Nutzereinstellungen oder beides verwenden, um für Ihre Organisation geeignete Konfigurationsgruppen zu erstellen.

Option 1: Konfigurationsgruppen auf Grundlage von Nutzergruppen verwenden

Verwenden Sie Ihre Nutzergruppen als Konfigurationsgruppen. Passen Sie dann die Einstellungen für jede Konfigurationsgruppe an. Wenn ein Nutzer mehreren Gruppen angehört, legen Sie fest, welche Gruppe bei den Nutzereinstellungen Vorrang hat. Dies wird weiter unten im Abschnitt Priorität für Konfigurationsgruppen festlegen näher beschrieben.

Mit den Drive-Einstellungen können Sie z. B. festlegen, dass bestimmte Nutzergruppen Dateien extern freigeben dürfen.

In folgenden Fällen sollten Sie Einstellungen für Nutzergruppen direkt vornehmen:

Bei Organisationen mit weniger als 50 Nutzern oder insgesamt nur wenigen Einstellungen:
Sie müssen keine weiteren Gruppen erstellen und können Einstellungen für jede Nutzergruppe anpassen.
Zum Testen einer Diensteinstellung
Bei Apps, die eine bestimmte Gruppe von Nutzern verwendet
Bei dynamischen Gruppen, bei denen die Gruppenmitgliedschaft über Nutzerattribute wie Standort oder Rolle automatisch verwaltet wird

Option 2: Konfigurationsgruppen auf Grundlage von Nutzereinstellungen erstellen

Wenn Sie viele Einstellungen oder Nutzer verwalten müssen, können Sie Gruppen für verschiedene Einstellungsebenen einrichten.

Beispiel: Sie erstellen eine Konfigurationsgruppe für jede Ebene der Freigabeberechtigungen für Google Drive. Dann fügen Sie Ihre Nutzergruppen als Mitglieder der Konfigurationsgruppe hinzu.

Die Konfigurationsgruppe fungiert als Container für Einstellungen. Normalerweise haben Sie – wie unten beschrieben – weniger Konfigurationsgruppen zu verwalten und zu priorisieren. Sie können auch mit der Groups API oder Directory Sync Nutzer- und Gruppenmitgliedschaften verwalten.

Priorität für Konfigurationsgruppen festlegen

Wenn ein Nutzer Mitglied in mehreren Konfigurationsgruppen ist, legen Sie fest, welche Einstellungen Priorität haben.

In der Admin-Konsole werden Gruppen absteigend nach Priorität aufgelistet. Für den Nutzer gelten die Einstellungen der Gruppe mit der höchsten Priorität.

Sie können die Priorität einer Konfigurationsgruppe ändern, indem Sie sie in der Gruppenliste nach oben oder unten verschieben. Diese Möglichkeit haben Sie nur in der Admin-Konsole, nicht bei den APIs.

Funktionsweise der Priorität

Wenn ein Nutzer Mitglied in mehreren Gruppen ist, gelten für ihn die Einstellungen der Gruppe mit der höchsten Priorität. In diesem Beispiel gehört ein Vertriebsmanager zu drei Nutzergruppen. Jede Gruppe hat jeweils unterschiedliche Einstellungen für die Bearbeitung des Verzeichnisprofils.

Wenn die Konfigurationsgruppen in dieser Prioritätsreihenfolge angeordnet sind, können Vertriebsmanager ihren Namen und ihren Standort in ihrem Verzeichnisprofil bearbeiten.

Wenn die Gruppe Standort bearbeiten die höchste Priorität hat, können „Vertriebsmanager“ nur ihren Standort bearbeiten und die Gruppe Regionaler Vertrieb kann sowohl ihren Namen als auch ihren Standort bearbeiten.

Nutzereinstellungen und mehrere Gruppen

Einstellungen gelten nicht für alle Gruppen eines Nutzers. In diesem Beispiel gehört ein Marketingmanager zwar drei Gruppen an, für ihn gelten jedoch nur die Einstellungen der Gruppe mit der höchsten Priorität. Er kann also nur seinen Namen und seinen Standort bearbeiten, nicht jedoch sein Foto.

Gruppen sortieren

Werden Gruppenprioritäten oder Mitgliedschaften in den Google Drive-Einstellungen geändert, wirkt sich dies auf die Dateifreigabe und den Dateizugriff aus.

Wenn Sie beispielsweise die Eigentümerschaft einer Datei an einen Nutzer in einer anderen Konfigurationsgruppe übertragen, ändern sich die Freigabeberechtigungen der Datei entsprechend denen der neuen Gruppe.

So behalten Sie den Überblick über Priorität und Einstellungen:

Prüfen Sie Ihre Gruppenstruktur auf stark verschachtelte Gruppen. Diese erschweren es nämlich, den Überblick darüber zu behalten, welche Einstellungen für wen gelten.

Beim Anordnen der Konfigurationsgruppen sollten Sie der Gruppe mit den wenigsten Mitgliedern die höchste Priorität einräumen.

Konfigurationsgruppen planen und entwerfen

Die Struktur Ihrer Konfigurationsgruppen zu planen, ist zeitaufwendig und muss gut durchdacht sein.

Diensteinstellungen zuordnen

Wenn die Einstellungen in Ihren Organisationseinheiten bereits abhängig von Rollen oder Teams zugewiesen werden, können Sie Gruppen verwenden, um diese Einstellungen zu verwalten. Wenn die Einstellungen in Ihren Organisationseinheiten bereits abhängig von Rollen oder Teams zugewiesen werden, können Sie Gruppen verwenden, um diese Einstellungen zu verwalten.

Wenn Ihr Konto mehrere Google Workspace-Versionen enthält:

Die Einstellungen der Konfigurationsgruppe gelten nur für Nutzer, die Zugriff auf die Funktion oder den Dienst haben.
Je nach Ihrer Version gelten einige Drive-Einstellungen für die gesamte Organisation. Über Konfigurationsgruppen lassen sich Google Drive-Einstellungen für andere Nutzer anpassen.

Namenskonventionen festlegen

Mit einer Namenskonvention lassen sich Gruppen leichter verwalten und prüfen. Verwenden Sie beispielsweise eine Konvention, die den Namen der Einstellung und die Prioritätszahl enthält. In der Gruppenliste sind bis zu 37 Zeichen eines Gruppennamens zu sehen. Wenn Sie den Mauszeiger auf eine Gruppe bewegen, ist der vollständige Name zu sehen.

Falls Sie viele Gruppenarten verwalten, können Sie Konfigurationsgruppen z. B. mit einem Präfix wie „konf“ kennzeichnen. Außerdem sollten Sie Dezimalstellen verwenden, damit Sie vorhandene Gruppennamen nicht umbenennen müssen, wenn Sie eine neue Konfigurationsgruppe einfügen.

Gruppen erstellen

Sie können nur Gruppen verwenden, die in der Admin-Konsole, mit der Directory API oder in Google Cloud Directory Sync erstellt wurden. In Google Groups erstellte Gruppen können nicht als Konfigurationsgruppen verwendet werden. In der Admin-Konsole ist nicht zu sehen, ob eine Gruppe in Google Groups erstellt wurde.

Konfigurationsgruppen lassen sich mit jedem beliebigen Tool verwalten. Sie können Berechtigungen für das Hinzufügen und Löschen von Nutzern und das Veröffentlichen von Beiträgen in der Gruppe festlegen oder Nutzer daran hindern, eine Gruppe zu verlassen. Das ist jedoch nur in der Groups API möglich.

Fehlerbehebung

Ich sehe die Liste „Gruppen“ nicht

Für manche Dienste ist die Funktion für Konfigurationsgruppen nicht verfügbar. Prüfen Sie die Liste in der Tabelle oben.
Bei den Einstellungen für Google Drive und Speicherorte für Daten unterstützt Ihre Google Workspace-Version möglicherweise keine Konfigurationsgruppen.

Ich sehe meine Konfigurationsgruppe nicht in der Liste „Gruppen“

Die Gruppe wurde möglicherweise in Google Groups erstellt. Richten Sie eine Gruppe über die Admin-Konsole ein.
Die Gruppe ist möglicherweise eine dynamische Gruppe, die ein Sicherheitslabel benötigt. Weitere Informationen
Prüfen Sie, ob Sie Administratorberechtigungen für Google Groups haben.
Möglicherweise verwenden Sie einen Gruppenalias statt des Gruppennamens.
Aktualisieren Sie die Seite „Einstellungen“. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Suchen Sie nach der E-Mail-Adresse der Gruppe, nicht nach ihrem Namen.

Ein Nutzer hat nicht die richtigen Diensteinstellungen

Überprüfen Sie die Gruppenmitgliedschaften des Nutzers. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Suchen Sie die Konfigurationsgruppe, die die Einstellungen des Nutzers bestimmt. Wenn der Nutzer mehreren Konfigurationsgruppen angehört, müssen Sie unter Umständen dessen Gruppenpriorität oder Gruppenmitgliedschaft ändern.
Möglicherweise hat der Nutzer keine Produktlizenz für die Funktion. Einige Funktionen sind nur in bestimmten Versionen verfügbar.