הקצאה של תפקידי אדמין ספציפיים

אם אתם לא רוצים להעניק למשתמש גישה מלאה למסוף Google Admin, אפשר להקצות לו הרשאות לביצוע רק פעולות ניהול מסוימות. אתם יכולים לעשות את זה באמצעות הקצאה של תפקיד אדמין. אפשר להקצות יותר מתפקיד אדמין אחד לכל משתמש.

אתם יכולים גם להקצות תפקיד אדמין לקבוצה או לחשבון שירות, לא רק למשתמש. לדוגמה, אתם יכולים להשתמש באדמין חשבון שירות כדי ליצור ולעדכן קבוצות וחברים בקבוצות באפליקציות שמחוץ למסוף Admin באמצעות Cloud Identity Groups API. 

איך פועלים תפקידי האדמין

במסוף Admin, אדמינים יכולים להציג מידע ולבצע משימות רק בהתאם להרשאות שלהם. לדוגמה, אם מקצים למשתמש את התפקיד המוגדר מראש "אדמין של ניהול משתמשים", הוא יכול להציג ולשנות רק הגדרות משתמש ספציפיות למשתמשים שהם לא אדמינים.

איך פועלות מגבלות הקצאת תפקידים

אתם יכולים להגדיר כל תפקיד בכל היחידות הארגוניות שלכם. אתם יכולים להקצות את התפקידים האלה עד 1, 000 פעמים סך הכול, לא משנה כמה תפקידים יש. לדוגמה, אתם יכולים להקצות תפקיד אחד ל-300 משתמשים ותפקיד אחר ל-700 משתמשים.

במקום, אתם יכולים להחיל תפקידים על יחידות ארגוניות. אתם יכולים להקצות את התפקידים האלה עד 1, 000 פעמים סך הכול לכל יחידה ארגונית, לא משנה כמה תפקידים יש. כדי לראות אם אתם יכולים להחיל תפקיד על יחידות ארגוניות, צריך להיכנס לדף הקצאת התפקידים למשתמשים, ולחפש את סמל העריכה לצד כל היחידות הארגוניות. אחת הדוגמאות היא התפקיד המוגדר מראש "אדמין של ניהול משתמשים" או תפקיד בהתאמה אישית שיש בו לפחות הרשאת "משתמש" אחת. 

אם אתם עדיין צריכים להקצות יותר מ-1,000 תפקידים, אתם יכולים להוסיף כמה משתמשים לקבוצה ולהקצות את התפקיד לקבוצה. הקצאת תפקיד לקבוצה נחשבת הקצאה אחת, לא משנה כמה חברים יש בקבוצה.

לפני שמתחילים

שלב 1: בדיקה של תפקידים מוגדרים מראש או תפקידים בהתאמה אישית שכבר בשימוש

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואזתפקידי אדמין.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. מצביעים על התפקיד ואז על הצגת הרשאות או על הצגת אדמינים כדי לראות מיהם האדמינים שהתפקיד הוקצה להם.

שלב 2: בוחרים סוג התפקיד

אתם צריכים לבחור אם אתם רוצים:

הקצאת תפקידים

כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

אתם יכולים להקצות תפקיד למשתמשים ולקבוצות בו זמנית באמצעות כל תהליך להקצאת תפקיד לכמה משתמשים או לקבוצה.

הקצאת תפקידים למשתמש אחד

כדי להקצות למשתמש אחד את התפקידים "הרשאת קריאה בקבוצות" או "עורך קבוצות Google" שכוללים הרשאות מוגבלות לקבוצות אבטחה או לקבוצות שאינן אבטחה, או לקבוצות נעולות או לא-נעולות, אתם יכולים לעבור לקטע הקצאת תפקיד לכמה משתמשים בבת אחת.

  1. במסוף Google Admin, נכנסים לתפריט ואז ספרייה ואזמשתמשים.

    כדי לעשות את זה, צריך הרשאת אדמין לניהול משתמשים. ללא ההרשאה הנכונה, לא יוצגו כל אמצעי הבקרה שדרושים להשלמת השלבים.

  2. כדי לפתוח את דף החשבון של המשתמש צריך ללחוץ על השם שלו. אפשרות נוספת היא להקליד את השם של המשתמש בתיבת החיפוש שלמעלה ולפתוח את דף החשבון. אפשרויות נוספות מפורטות במאמר איך מוצאים חשבון של משתמש
  3. גוללים למטה ולוחצים על תפקידים והרשאות של אדמין.
  4. לצד תפקיד מוגדר מראש או תפקיד בהתאמה אישית, לוחצים על המתג "הוקצה"  .

    אם המתג 'הוקצה'  לא מופיע, לוחצים מתחת ל'תפקידים' כדי לחשוף את המתגים.

  5. (אופציונלי) כדי שהתפקיד של האדמין יהיה מוגבל ליחידה ארגונית ספציפית, לצד האפשרות כל היחידות הארגוניות לוחצים על סמל העריכה , בוחרים את היחידות הארגוניות ולוחצים על סיום.

    אם סמל העריכה לא מופיע, אתם לא יכולים להחיל את התפקיד על יחידות ארגוניות.

  6. לוחצים על שמירה.

חשוב לדעת:

  • בקטע הרשאות מוצגות כל ההרשאות של המשתמש שכלולות בכל תפקידי האדמין שהוקצו לו.
  • כדי לחזור לדף של חשבון המשתמש, בחלק השמאלי העליון, לוחצים על החץ למעלה .

הקצאת תפקיד לכמה משתמשים בבת אחת

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואזתפקידי אדמין.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. מצביעים על התפקיד שרוצים להקצות, ומצד ימין לוחצים על הקצאת אדמין.

    טיפ: אתם יכולים לעבור בין אדמינים שאתם מקצים להם את התפקיד ואת ההרשאות. בחלק העליון, לוחצים על אדמינים או על הרשאות.

  3. לוחצים על הקצאת חברים.
  4. (אופציונלי) בתפקידים "הרשאת קריאה בקבוצות" או "עורך קבוצות Google", אתם יכולים לתת הרשאות אדמין רק לקבוצות אבטחה או לקבוצות שאינן אבטחה, או לקבוצות נעולות או לא-נעולות. כדי להגביל את ההרשאות:
    1. לוחצים על הגדרת תנאים.
    2. בוחרים אפשרות בשביל לתת את הרשאות האדמין רק:
      • קבוצות אבטחה – בוחרים באפשרות התווית מכילה "אבטחה".
      • קבוצות שאינן אבטחה – בוחרים באפשרות התווית לא מכילה 'אבטחה'.
      • לקבוצות לא-נעולות – בוחרים באפשרות התווית לא מכילה 'נעולה'.
    3. לוחצים על שמירה.
  5. מזינים את האותיות הראשונות של כתובת האימייל של המשתמש (לא שם המשתמש), ובוחרים בכתובת של המשתמש מהאפשרויות.

    בכל פעם אפשר להקצות תפקיד ל-20 משתמשים וקבוצות לכל היותר.

  6. לוחצים על הקצאת תפקיד.
  7. (אופציונלי) כדי שהתפקיד של האדמין יהיה מוגבל ליחידה ארגונית ספציפית, לצד האפשרות כל היחידות הארגוניות לוחצים על סמל העריכה , בוחרים את היחידות הארגוניות ולוחצים על סיום.

    אם סמל העריכה לא מופיע, אתם לא יכולים להחיל את התפקיד על יחידות ארגוניות.

הקצאת תפקיד לקבוצה

הקצאה של תפקידים לקבוצות מאפשרת לתת הרשאות של תפקיד למספר רב של משתמשים.

הניהול של קבוצות שהוקצו להן תפקידים הוא כמו הניהול של כל קבוצה אחרת. אתם יכולים לקרוא מידע נוסף בדף קבוצות.

הגבלות על הקצאת תפקיד לקבוצה

  • אפשר להקצות כל תפקיד חוץ מהתפקידים "סופר-אדמין" ו"אדמין מפיצים".
  • הקבוצה צריכה להיות קבוצת אבטחה בארגון שהיא לא קבוצה דינמית. אתם יכולים לקרוא מידע נוסף על קבוצות אבטחה במאמר בנושא שליטה בגישה למידע אישי רגיש באמצעות קבוצות אבטחה.
    כדי לבדוק אם קבוצה היא קבוצה דינמית, במסוף Admin, לוחצים על קבוצות Google ואז שם הקבוצה. נכנסים אל חברים, ואם מופיע שם חברים דינמיים או עריכת התנאים לחברוּת בקבוצה, זאת קבוצה דינמית.
  • הקצאת תפקיד לקבוצה נחשבת להקצאה אחת מתוך מגבלת הקצאות התפקידים.
  • סה"כ אפשר להקצות תפקידים לקבוצות עד 250 פעמים ברמת הארגון ובתוך כל יחידה ארגונית.
  • כדי להקצות תפקיד לקבוצות רבות בלי לחרוג מהמגבלה, בוחרים קבוצה אחת שצריכה לקבל את התפקיד ולהגדיר שתהיה קבוצה ראשית ולהוסיף אליה את הקבוצות האחרות בתור חברים. לאחר מכן מקצים את התפקיד לקבוצה הראשית. ההקצאה הזאת נחשבת להקצאת תפקיד אחת ומאפשרת לקבוצות המשנה לקבל את התפקיד. אתם יכולים לקרוא פרטים נוספים במאמר בנושא הוספת קבוצה לקבוצה אחרת.
  • אם מקצים לקבוצה תפקיד שכולל את ההרשאה ניהול יומנים, החברים בקבוצה לא יוכלו להשתמש בכל הפונקציונליות שמשויכת להרשאה הזאת.
  • אם מקצים לקבוצה את התפקיד "אדמין מפיצים", החברים בקבוצה מקבלים רק את ההרשאות שבארגון של המפיץ. הם לא מקבלים הרשאות על הלקוחות של המפיץ.
  • מומלץ שהחברים בקבוצה יהיו משתמשים בארגון שלכם. אפשר להוסיף משתמשים מחוץ לארגון או משתמשים שהם לקוחות, אבל יכול להיות שהם לא יקבלו את כל ההרשאות שכלולות בתפקיד. אתם יכולים לקרוא פרטים נוספים במאמר בנושא הגבלת חברי קבוצה.
  • המגבלות הרגילות לחברי קבוצה חלות. אתם יכולים לקרוא פרטים נוספים במאמר בנושא חברוּת בקבוצה.

הקצאת תפקיד

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואזתפקידי אדמין.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. מצביעים על התפקיד שרוצים להקצות, ומצד ימין לוחצים על הקצאת אדמין.

    טיפ: אתם יכולים לעבור בין אדמינים שאתם מקצים להם את התפקיד ואת ההרשאות. בחלק העליון, לוחצים על אדמינים או על הרשאות.

  3. לוחצים על הקצאת חברים.
  4. (אופציונלי) בתפקידים "הרשאת קריאה בקבוצות" או "עורך קבוצות Google", אתם יכולים לתת הרשאות אדמין רק לקבוצות אבטחה או לקבוצות שאינן אבטחה, או לקבוצות נעולות או לא-נעולות. כדי להגביל את ההרשאות:
    1. לוחצים על הגדרת תנאים.
    2. בוחרים אפשרות בשביל לתת את הרשאות האדמין רק:
      • קבוצות אבטחה – בוחרים באפשרות התווית מכילה "אבטחה".
      • קבוצות שאינן אבטחה – בוחרים באפשרות התווית לא מכילה 'אבטחה'.
      • לקבוצות לא-נעולות – בוחרים באפשרות התווית לא מכילה 'נעולה'.
    3. לוחצים על שמירה.
  5. מזינים את האותיות הראשונות של כתובת האימייל של הקבוצה או שם הקבוצה, ובוחרים בכתובת של המשתמש מהאפשרויות.

    בכל פעם אפשר להקצות תפקיד ל-20 קבוצות ומשתמשים לכל היותר.

  6. לוחצים על הקצאת תפקיד.
  7. (אופציונלי) כדי שהתפקיד של האדמין יהיה מוגבל ליחידה ארגונית ספציפית, לצד האפשרות כל היחידות הארגוניות לוחצים על סמל העריכה , בוחרים את היחידות הארגוניות ולוחצים על סיום.

    אם סמל העריכה לא מופיע, אתם לא יכולים להחיל את התפקיד על יחידות ארגוניות.

הקצאת תפקיד לחשבון שירות

אפשר להקצות לחשבון שירות כל תפקיד מוגדר מראש או תפקיד בהתאמה אישית חוץ מסופר-אדמין. הקצאת תפקיד לחשבון שירות נכללת במגבלת הקצאות התפקיד.

לפני שמתחילים: צריך להגדיר חשבון שירות ב-Google Cloud. אתם יכולים להיעזר במאמר בנושא יצירה וניהול של חשבון שירות.

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואזתפקידי אדמין.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. מצביעים על התפקיד שרוצים להקצות ואזלוחצים על הקצאת אדמין.
  3. לוחצים על בחירת חשבונות שירות לתפקיד.
  4. (אופציונלי) בתפקידים "הרשאת קריאה בקבוצות" או "עורך קבוצות Google", אתם יכולים לתת הרשאות אדמין רק לקבוצות אבטחה או לקבוצות שאינן אבטחה, או לקבוצות נעולות או לא-נעולות. כדי להגביל את ההרשאות:
    1. לוחצים על הגדרת תנאים.
    2. בוחרים אפשרות בשביל לתת את הרשאות האדמין רק:
      • קבוצות אבטחה – בוחרים באפשרות התווית מכילה "אבטחה".
      • קבוצות שאינן אבטחה – בוחרים באפשרות התווית לא מכילה 'אבטחה'.
      • לקבוצות לא-נעולות – בוחרים באפשרות התווית לא מכילה 'נעולה'.
    3. לוחצים על שמירה.
  5. מזינים את כתובת האימייל של חשבון השירות.

    כדי למצוא את כתובת האימייל, פותחים את מסוף Google Cloud ולוחצים על סמל התפריט ואזIAM & Admin ואזService Accounts.

  6. לוחצים על הוספה ואזהקצאת תפקיד

מה השלב הבא? 

ביומן הביקורת של האדמין אפשר לבדוק מתי הוקצה תפקיד אדמין לחשבון שירות ותיעוד של פעולות שביצעו אדמינים של חשבון שירות. פרטים נוספים זמינים במאמר בנושא אירועים ביומן האדמין

אם החלתם את התפקיד המוגדר מראש "אדמין בקבוצות" על חשבון שירות, אתם גם יכולים לראות פעולות ביומן ביקורת של קבוצות ב-Enterprise. יכול להיות שהאדמין של חשבון השירות יהיה רשות בקטע תיאור האירוע או משתמש. פרטים נוספים זמינים במאמר בנושא אירועים ביומן Groups Enterprise.

נושא קשור

אחרי שמקצים תפקיד, בפעם הבאה שהמשתמש נכנס לחשבון הוא מגיע אל דף הבית של מסוף Admin.  יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף

ביטול הקצאה של תפקידים

אי אפשר לבטל הקצאה של תפקיד לעצמכם.

ביטול הקצאה של תפקיד למשתמש

כדי לבטל הקצאה של תפקיד למשתמש, צריך לפעול לפי ההוראות שלמעלה בקטע הקצאת תפקיד למשתמש אחד. בשלב 6, במקום להפעיל את התפקיד, לוחצים על השבתה שלו .

ביטול הקצאה של כמה תפקידים או תפקידים לחשבון שירות

אתם יכולים לבטל הקצאה של תפקיד לכמה משתמשים או לחשבון שירות בדף "תפקידי אדמין".

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואזתפקידי אדמין.

    כדי לבצע את המשימה הזו, צריך להיכנס לחשבון כסופר-אדמין.

  2. מצביעים על התפקיד שרוצים לבטל את ההקצאה שלו, ומצד ימין לוחצים על הקצאת אדמין.
  3. בוחרים מבין האפשרויות הבאות:
    • מסמנים את התיבה לצד כל משתמש או חשבון שירות שרוצים.
    • כדי לבטל הקצאה של תפקיד לכל המשתמשים וחשבונות השירות, מסמנים את התיבה לצד הכותרת של העמודה אדמין.
  4. לוחצים על ביטול של הקצאת תפקיד ואזביטול של הקצאת תפקיד לאישור.

השלבים הבאים

אדמינים יכולים להוסיף אפשרויות שחזור לחשבון שלהם.