Versioni supportate per questa funzionalità: Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus. Confronta la tua versione
Con le regole di attendibilità, puoi creare criteri granulari per controllare chi può accedere ai file di Google Drive. I criteri possono essere applicati a singoli utenti, gruppi, unità organizzative e domini per specificare:
- Quali file degli utenti possono essere condivisi con gli utenti interni o esterni
- Quali utenti possono ricevere file da utenti interni o esterni
- Quali utenti interni o esterni possono essere invitati e possono aggiungere elementi ai Drive condivisi
Poiché le regole di attendibilità offrono la flessibilità di definire i limiti della collaborazione, sono utili per proteggere le informazioni sensibili e rispettare la conformità con gli standard di settore e le normative.
Supponiamo che il team Marketing della tua organizzazione abbia bisogno di condividere dei file con persone specifiche all'interno dell'organizzazione partner. Per mantenere riservate le informazioni della tua organizzazione, puoi creare delle regole in modo da stabilire i seguenti limiti di collaborazione esterna:
- Consentire la condivisione di file di proprietà del team Marketing con persone specifiche dell'organizzazione partner.
- Bloccare la condivisione di file di proprietà di altri team della tua organizzazione con l'organizzazione partner.
- Impedire ad altri team dell'organizzazione partner di condividere file con i membri della tua organizzazione.
Supponiamo che il team Finanza della tua organizzazione debba condividere dei file solo con il team dirigenziale. Per evitare che altri team ricevano informazioni finanziarie riservate, puoi creare delle regole per stabilire i seguenti limiti di collaborazione interna:
- Consentire la condivisione di file di proprietà del team Finanza con lo stesso team finanziario e quello dirigenziale.
- Bloccare la condivisione di file di proprietà del team Finanza con altri team dell'organizzazione.
In che modo le regole di attendibilità sostituiscono le impostazioni di condivisione di Drive
Le impostazioni di condivisione per Drive vengono convertite automaticamente in regole di attendibilità
Le regole di attendibilità sostituiscono le impostazioni di Drive in Opzioni di condivisioneCondivisione all'esterno di nome organizzazione.
È possibile visualizzare l'anteprima delle regole convertite dalle impostazioni di Drive
Per visualizzare l'anteprima delle regole create automaticamente dalle impostazioni di Drive:
Nella home page della Console di amministrazione, vai a Regole. Per filtrare le regole in base al tipo, fai clic su Aggiungi un filtroTipo di regolaAttendibilità.
Nell'elenco Regole vedrai:
- Due regole predefinite per la condivisione all'esterno dell'organizzazione
Una volta applicate, queste regole saranno attive o inattive, a seconda dello stato delle impostazioni di condivisione equivalenti di Drive.
- Eventuali altre regole necessarie per rispettare i limiti di condivisione delle impostazioni correnti di Drive
Importante : queste regole non vengono applicate finché non attivi le regole di attendibilità.
Le impostazioni di condivisione equivalenti di Drive diventano inattive
Una volta attivate le regole di attendibilità, non potrai più utilizzare l'impostazione di Drive per la condivisione all'esterno dell'organizzazione. Per maggiori dettagli sulle impostazioni di condivisione per Drive, vedi Impostare le autorizzazioni di condivisione di Drive degli utenti.
Puoi disattivare le regole di attendibilità
In qualsiasi momento, puoi disattivare le regole di attendibilità e tornare a utilizzare le impostazioni di condivisione per Drive. Per maggiori dettagli, vedi Attivare o disattivare le regole di attendibilità di seguito.
Con i componenti dell'ambito e delle condizioni di una regola di attendibilità puoi controllare la condivisione dei file in modo più preciso che con le impostazioni di condivisione per Drive. Per maggiori dettagli sui componenti delle regole, vai alla sezione Informazioni sui componenti delle regole di attendibilità più avanti in questa pagina.
I seguenti grafici forniscono un confronto dei controlli disponibili nelle impostazioni di condivisione per Drive e nelle regole di attendibilità.
Controlli dell'ambito
Ambito |
Impostazioni di condivisione per Drive |
Regole di attendibilità |
---|---|---|
Includi unità organizzative | ✔ | ✔ |
Includi gruppi | ✔ | ✔ |
Escludi unità organizzative | ✔ | |
Escludi gruppi | ✔ |
Controlli delle condizioni
Condizione | Impostazioni di condivisione per Drive | Regole di attendibilità |
---|---|---|
Intera organizzazione | ✔ | ✔ |
Domini inclusi nella lista consentita | ✔ | ✔ |
Organizzazioni esterne | ✔ | |
Unità organizzative | ✔ | |
Gruppi (creati internamente) | ✔ | |
Utenti (interni) | ✔ |
Prima di iniziare
Per creare una regola di attendibilità, devi definirne i componenti per ambito, attivatore, condizioni e azione. Utilizzando questi componenti, puoi creare una regola che indichi che se si verifica x, devi eseguire y.
Ad esempio, se crei una regola per consentire la condivisione dei file del reparto Vendite della tua organizzazione con chiunque all'interno dell'organizzazione del tuo cliente (altra-azienda.com), i componenti della regola saranno:
- L'ambito è l'unità organizzativa del reparto Vendite.
- L'attivatore è un tentativo di condivisione di un file di proprietà di un utente incluso nell'ambito.
- La condizione è altra-azienda.com.
- L'azione è consentire la condivisione del file.
Definizione dell'ambito
L'ambito è l'utente dell'organizzazione a cui si applica l'attivatore di una regola:
- Se l'attivatore di una regola è Condivisione di file, l'ambito è l'utente proprietario del file per cui vuoi controllare la condivisione.
Importante: una regola di condivisione controlla anche la condivisione da parte degli utenti con privilegi di modifica per un file di proprietà di un utente incluso nell'ambito.
- Se l'attivatore di una regola è Ricezione di file, l'ambito è il destinatario previsto del file.
Per quanto riguarda l'ambito, puoi:
- Includere l'intera organizzazione.
- Includere o escludere unità organizzative (che possono contenere utenti e Drive condivisi).
- Includere o escludere gruppi nel servizio Google Gruppi dell'organizzazione.
Definizione dell'attivatore
L'attivatore è l'attività consentita o bloccata da una regola. Puoi selezionare uno dei seguenti attivatori:
- Condivisione di file
- Ricezione di file
Definizione delle condizioni
Le condizioni sono gli utenti con cui un file deve essere condiviso o dai quali deve essere ricevuto:
- Se l'attivatore di una regola è Condivisione di file, la condizione è il destinatario previsto del file.
- Se l'attivatore di una regola è Ricezione di file, la condizione è l'utente proprietario del file.
Puoi specificare più condizioni per una regola, sia all'interno sia all'esterno dell'organizzazione, tra cui:
- Unità organizzative
- Gruppi nel servizio Google Gruppi dell'organizzazione (possono includere utenti esterni)
- Domini attendibili (tutti gli utenti di tutti i domini esterni inclusi nella lista consentita)
- Domini esterni non inclusi nella lista consentita
- Utenti specifici dell'organizzazione
- Chiunque abbia un Account Google
Nota: per applicare la regola è necessario che sia soddisfatta una sola condizione.
Definizione dell'azione
L'azione è il risultato che vuoi che venga eseguito quando viene attivata una regola. Puoi:
- Consentire la condivisione
- Consentire la condivisione con un avviso
Nota: se selezioni questa opzione, gli utenti vedranno un avviso quando condividono i file, ma non quando li ricevono.
- Bloccare la condivisione
Hai due regole predefinite che specificano la condivisione all'esterno dell'organizzazione:
Nome regola | Ambito | Attivatore | Condizione | Azione | Stato |
---|---|---|---|---|---|
[Predefinita] Gli utenti della mia organizzazione possono condividere e ricevere all'interno dell'organizzazione | Unità organizzativa di primo livello (intera organizzazione) | Condivisione di file e ricezione di file | La mia organizzazione | Consenti | Attivo* |
[Predefinita] Gli utenti della mia organizzazione possono condividere con chiunque abbia un Account Google | Unità organizzativa di primo livello (intera organizzazione) | Condivisione di file |
Chiunque nel mondo Includi i visitatori |
Consenti | Attivo* |
Non puoi modificare le regole predefinite, ma puoi disattivarle o riattivarle (a meno che non utilizzi Cloud Identity).
* Se hai già configurato le impostazioni di Drive per la condivisione all'esterno: lo stato delle regole predefinite dipende dalle impostazioni di condivisione equivalenti per Drive che sono state convertite in regole di attendibilità.
Per consentire o bloccare la condivisione per dipartimenti o gruppi
Assicurati di creare le unità organizzative e i gruppi a cui applicare regole di attendibilità:
- Per maggiori dettagli sulla creazione di unità organizzative, vedi Aggiungere un'unità organizzativa.
- Per maggiori dettagli sulla creazione di gruppi, vedi Creare un gruppo.
Per limitare la condivisione solo ai domini attendibili
Assicurati che i domini attendibili siano all'interno della lista consentita. I domini attendibili devono utilizzare Google Workspace e avere la verifica del dominio. Per maggiori dettagli, vedi Consentire la condivisione esterna solo con domini attendibili.
Clienti di Cloud Identity: se la tua organizzazione dispone di una combinazione di licenze di Cloud Identity e Google Workspace, i domini in una lista consentita per Google Workspace sono validi anche per gli utenti con licenze Cloud Identity.
Prima di creare regole di attendibilità, valuta il tipo di condivisione da consentire o bloccare all'interno della struttura organizzativa. Assicurati che le regole non consentano agli utenti di condividere elementi con chi non dovrebbero o non impediscano di condividere elementi con persone con cui vogliono effettivamente condividerli.
Ad esempio, supponiamo che tu abbia quattro unità organizzative (Vendite, Team legale, Ricerca e Tutti gli altri team) e voglia limitare i seguenti tipi di condivisione:
- I file di proprietà di Vendite non possono essere condivisi internamente con Ricerca.
- I file di proprietà di Team legale possono essere condivisi esternamente solo con lo studio legale esterno della tua organizzazione.
- I file di proprietà di Ricerca possono essere condivisi solo internamente tra Ricerca e Team legale.
- I file di proprietà di Tutti gli altri team non possono essere condivisi esternamente con nessuno.
Di seguito sono riportati i passaggi consigliati per implementare il modello di condivisione.
Passaggio 1: mappa i confini della collaborazione
Potresti utilizzare una matrice per mappare il tipo di condivisione consentito per diversi utenti, ad esempio:
Condivisione interna |
Condivisione esterna | |||
---|---|---|---|---|
Unità organizzativa | I file di loro proprietà possono essere condivisi con... | I file di loro proprietà non possono essere condivisi con... | I file di loro proprietà possono essere condivisi con... | I file di loro proprietà non possono essere condivisi con... |
Vendite | Vendite, Team legale, Tutti gli altri team |
Ricerca | Chiunque | |
Team legale | Tutti i team | Studio legale esterno | Tutti gli altri | |
Ricerca | Ricerca, Team legale | Vendite, Tutti gli altri team |
Chiunque | |
Tutti gli altri team | Tutti i team | Chiunque |
Passaggio 2: crea le seguenti regole
Regola | Ambito | Attivatore | Condizione | Azione |
---|---|---|---|---|
Condivisione interna |
Includi: Unità organizzativa Escludi: Ricerca |
Condivisione di file |
La tua organizzazione |
Consenti |
Ricerca - Condivisione interna | Includi: Ricerca | Condivisione di file Ricezione di file |
Ricerca, Team legale |
Consenti |
Team legale - Condivisione esterna | Includi: Team legale |
Condivisione di file |
Dominio studio legale esterno |
Consenti |
Vendite - Condivisione esterna | Includi: Vendite | Condivisione di file Ricezione di file |
Chiunque abbia un Account Google |
Consenti |
Vendite - Blocco condivisione | Includi: Vendite |
Condivisione di file |
Ricerca | Blocca |
Passaggio 3: disattiva le due regole predefinite
Le regole predefinite consentono la condivisione generale sia all'interno che all'esterno dell'organizzazione. In questo esempio sono in conflitto con il modello di condivisione più specifico che vuoi utilizzare.Per… | Devi avere questi privilegi amministrativi… |
---|---|
Attivare o disattivare le regole di attendibilità | |
Visualizzare le regole di attendibilità nell'elenco Regole | |
Visualizzare i dettagli delle regole di attendibilità | |
Creare o modificare le regole di attendibilità | |
Attivare o disattivare regole di attendibilità specifiche | |
Eliminare le regole di attendibilità |
Se hai bisogno di privilegi aggiuntivi per gestire le regole di attendibilità, contatta l'amministratore.
Suggerimento: se sei un super amministratore, puoi creare un ruolo amministrativo personalizzato per gestire le regole di attendibilità e assegnarlo a un amministratore con delega. Per maggiori dettagli, vedi Creare, modificare ed eliminare i ruoli amministrativi personalizzati.
Attivare o disattivare la funzionalità delle regole di attendibilità
Se attivi le regole di attendibilità:
- Vengono applicate le regole esistenti nell'elenco Regole, mentre le impostazioni di Drive per la condivisione all'esterno dell'organizzazione vengono disattivate. Per maggiori dettagli, vedi In che modo le regole di attendibilità sostituiscono le impostazioni di Drive sopra.
- Se modifichi le impostazioni di condivisione di Drive poco prima di attivare le regole di attendibilità, le regole potrebbero applicare temporaneamente lo stato precedente delle impostazioni di Drive. La sincronizzazione delle regole di attendibilità con le modifiche recenti alle impostazioni di condivisione per Drive può richiedere fino a 48 ore.
Per attivare le regole di attendibilità:
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu Regole.
- Nella scheda Collabora in sicurezza nella parte superiore della pagina, fai clic su Attiva per Drive.
L'elenco delle attività si apre automaticamente e mostra lo stato di avanzamento dell'attivazione delle regole di attendibilità.
Se disattivi le regole di attendibilità:
- Le impostazioni di condivisione per Drive della tua organizzazione diventano di nuovo attive e tornano nello stato originale precedente all'attivazione delle regole di attendibilità.
- Le regole di attendibilità che hai creato vengono eliminate definitivamente.
Per disattivare le regole di attendibilità:
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu ApplicazioniGoogle WorkspaceDrive e Documenti.
- Fai clic su Impostazioni di condivisione.
- In Condivisione all'esterno di nome organizzazione, fai clic su Disattiva regole di attendibilità.
L'elenco Attività si apre e mostra lo stato di avanzamento della disattivazione delle regole di attendibilità.
Creare e gestire le regole di attendibilità
Dopo aver creato una regola di attendibilità, puoi:
- Modificarla in qualsiasi momento per cambiarne le impostazioni, ad esempio condizioni e azioni, oppure per disattivarla o riattivarla.
- Eliminarla in qualsiasi momento.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu Regole.
- Fai clic su Crea regolaAttendibilità.
- In Nome, inserisci un nome e, facoltativamente, una descrizione per la regola.
- In Ambito, scegli una delle seguenti opzioni:
Per impostazione predefinita, la regola si applica a tutti gli utenti dell'organizzazione.
Per applicare la regola solo a utenti specifici:
- Per una regola di condivisione, scegli i file degli utenti a cui si applica la regola. Le regole di attendibilità si applicano solo ai file di proprietà di utenti o Drive condivisi nell'ambito della regola. Scopri i dettagli.
- Per una regola di ricezione, scegli gli utenti destinatari di un file condiviso.
- Fai clic su Specifica le unità organizzative o i gruppi.
- Seleziona un'opzione per includere o escludere unità organizzative o gruppi.
- Seleziona l'unità organizzativa o il gruppo da includere o escludere.
- (Facoltativo) Includi o escludi più unità organizzative o gruppi.
Ad esempio, per applicare una regola a tutti gli utenti dell'organizzazione tranne un gruppo, includi l'unità organizzativa di primo livello e scegli il gruppo da escludere.
Per rimuovere un'unità organizzativa o un gruppo, fai clic su Cancella in corrispondenza dell'elemento da eliminare.
- Fai clic su Continua.
- In Attivatori, seleziona uno o entrambi gli eventi a cui vuoi applicare la regola:
- Condivisione di file: la regola viene attivata quando i file di proprietà di persone all'interno dell'ambito specificato vengono condivisi con gli utenti selezionati in Condizioni.
- Ricezione di file: la regola viene attivata quando le persone all'interno dell'ambito specificato ricevono file di proprietà di utenti o Drive condivisi che hai selezionato in Condizioni o vengono aggiunti come membri dei Drive condivisi in Condizioni.
- In Condizioni, fai clic su Aggiungi condizione e seleziona le persone interne o esterne alla tua organizzazione che possono o non possono condividere o ricevere elementi da utenti inclusi nell'ambito.
Opzioni interne:
- Utente: inizia a digitare il nome o l'indirizzo email dell'utente.
- Unità organizzativa: fai clic su Seleziona un'unità organizzativa.
- Gruppo: inizia a digitare il nome o l'indirizzo email del gruppo.
- La mia organizzazione
Opzioni esterne:
(Facoltativo) Per consentire agli utenti di condividere elementi esternamente con persone che non hanno un Account Google, seleziona la casella Includi visitatori. Questa opzione non si applica ad alcuni tipi di condizioni. Scopri i dettagli.
- Organizzazione esterna: inserisci il nome di dominio dell'organizzazione, ad esempio altra-azienda.com.
- Domini inclusi nella lista consentita: facoltativamente, seleziona i domini inclusi nella lista consentita facendo clic su Visualizza i domini inclusi nella lista consentita.
- Chiunque abbia un Account Google (inclusi gli utenti interni ed esterni)
- Fai clic su Continua.
- In Azione, scegli l'azione da eseguire quando viene attivata la regola: Consenti, Consenti con avviso o Blocca.
- Fai clic su Fine.
- Scegli se attivare o disattivare la regola, poi fai clic su Completa.
Potrebbero trascorrere fino a 48 ore prima che le modifiche abbiano effetto. In questo periodo potrebbero essere applicate a intermittenza sia le nuove impostazioni sia quelle precedenti.
Puoi modificare una regola di attendibilità in qualsiasi momento per cambiare le impostazioni, ad esempio condizioni e azioni, oppure per disattivarla o riattivarla.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu Regole.
- Individua la regola nell'elenco Regole.
Suggerimento: puoi ordinare l'elenco per tipo di regola facendo clic sull'intestazione della colonna Tipo di regola. In alternativa, puoi filtrare l'elenco facendo clic su Aggiungi un filtroTipo di regolaAffidabilità.
- (Facoltativo) Per visualizzare l'ambito, le condizioni, l'attivatore e l'azione delle regole, seleziona la regola nell'elenco e fai clic su Visualizzazione rapida.
- (Facoltativo) Fai clic sulla regola per aprire la rispettiva pagina dei dettagli e visualizzare le impostazioni.
- (Facoltativo) Per modificare le impostazioni:
- A sinistra nella pagina dei dettagli, fai clic su Modifica regola. In alternativa, fai clic su una sezione delle impostazioni.
- Modifica le impostazioni.
Per passare ad altre impostazioni, fai clic su Continua. Per chiudere una sezione, fai clic su AnnullaIgnora ed esci.
- Al termine della modifica delle impostazioni, fai clic su Fine.
Potrebbero trascorrere fino a 48 ore prima che le modifiche abbiano effetto. In questo periodo potrebbero essere applicate a intermittenza sia le nuove impostazioni sia quelle precedenti.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu Regole.
- In Regole, fai clic su Aggiungi un filtroTipo di regolaAffidabilità.
- Nell'elenco Regole, seleziona la regola che vuoi eliminare e fai clic su Elimina.
Puoi anche trovare l'opzione Elimina a sinistra nella pagina dei dettagli della regola (fai clic sulla regola per aprire la rispettiva pagina dei dettagli).
- Nel messaggio di conferma, fai clic su Elimina.
Puoi visualizzare log dettagliati che mostrano le azioni eseguite dall'amministratore sulle regole di attendibilità. Sono disponibili tre tipi di log:
- Creazione regola
- Eliminazione regola
- Aggiornamento regola
Puoi visualizzare log dettagliati che mostrano le attività degli utenti sulle regole di attendibilità dei file di Drive condivisi. Sono disponibili tre tipi di log:
- Destinatari bloccati
- Condivisione file bloccata
- Visualizzazione file bloccata
Per la procedura su come sapere quali tipi di eventi puoi visualizzare, vedi Eventi dei log amministrativi ed Eventi del log delle regole.
Scopri di più su come funzionano le regole di attendibilità
Esempio: consentire la condivisione dei file di un team con un altro team
Supponiamo che tu voglia consentire la condivisione di file di proprietà del team Vendite con il team Marketing. In questo caso, avresti bisogno di una regola per permettere al team Vendite di condividere file con il team Marketing e di un'altra regola per consentire al team Marketing di ricevere file dal team Vendite:
Regola | Ambito | Attivatore | Condizione | Azione |
---|---|---|---|---|
1 | Vendite | Condivisione di file | Marketing | Consenti |
2 | Marketing | Ricezione di file | Vendite | Consenti |
Esempio: consentire la condivisione reciproca di file tra due team
Regola | Ambito | Attivatore | Condizione | Azione |
---|---|---|---|---|
1 | Vendite |
Condivisione di file |
Marketing | Consenti |
2 | Marketing |
Condivisione di file |
Vendite | Consenti |
- Se il proprietario di un file passa a un'altra unità organizzativa o a un altro gruppo, le regole di condivisione del file cambiano e diventano quelle della nuova unità organizzativa o del nuovo gruppo. Questa modifica delle regole viene applicata anche se la proprietà dei file viene trasferita a un utente in un'unità organizzativa diversa o in un altro gruppo.
- Gli utenti non possono condividere i file di cui non sono proprietari oltre i limiti consentiti per chi ha la proprietà dei file. Questa limitazione si applica anche se gli utenti appartengono a unità organizzative o gruppi con regole di condivisione più permissive.
Ecco come funzionano le regole di attendibilità nel caso di utenti che non hanno un Account Google o che ne hanno uno non gestito da un amministratore.
Utenti senza Account Google (visitatori)
Regole che consentono la condivisione
Se crei una regola che consente agli utenti di condividere esternamente i file, per impostazione predefinita la condivisione è consentita solo con chi ha un Account Google gestito. Tuttavia, puoi anche consentire agli utenti di condividere file con persone che non hanno un Account Google. In questo caso, al destinatario viene assegnato un tipo speciale di account, chiamato account visitatore. Scopri di più sulla condivisione con gli account visitatore.
Per consentire la condivisione con persone che non hanno un Account Google, seleziona l'opzione Includi i visitatori nelle impostazioni delle Condizioni della regola. Questa opzione si applica solo alle regole che consentono agli utenti di condividere elementi con un dominio esterno o con tutti gli utenti esterni.
Nota: non puoi consentire la condivisione con un account visitatore aggiungendolo a un gruppo per il quale consenti la condivisione esterna.
Regole che bloccano la condivisione
Tutte le regole che impediscono agli utenti di condividere elementi all'esterno dell'organizzazione si applicano sempre ai visitatori, anche se per la condizione non è selezionata l'opzione Includi i visitatori.
Tuttavia, se esiste un'altra regola che consente la condivisione con gli account visitatore, una regola di blocco non si applica agli account visitatore nei gruppi. Ad esempio, se hai le seguenti regole:
- Regola 1: consenti la condivisione di file con Chiunque abbia un Account Google, con l'opzione Includi i visitatori selezionata
- Regola 2: blocca la condivisione con un gruppo di mailing list che include gli utenti con account visitatore
Le azioni di blocco non si applicano agli account visitatore del gruppo. Gli utenti nell'ambito della regola 2 possono comunque fornire agli account visitatore l'accesso ai propri file.
Utenti con un Account Google non gestito
Regole che consentono la condivisione
Se crei una regola che consente agli utenti di condividere elementi esternamente con un dominio o un'organizzazione specifici, gli utenti non potranno condividere elementi con Account Google non gestiti in quel dominio o in quell'organizzazione. Questi account includono account consumer e account con determinati prodotti Google, ad esempio Google Workspace Essentials.
Tuttavia, puoi consentire agli utenti di condividere elementi con specifici account non gestiti: aggiungi gli account a un gruppo e crea una regola che consenta la condivisione con quel gruppo.
Regole che impediscono la condivisione
Tutte le regole che impediscono la condivisione all'esterno dell'organizzazione si applicano sempre agli account non gestiti.
Se l'ambito di una regola di attendibilità include un'unità organizzativa, la regola si applica a tutti i Drive condivisi in questa unità organizzativa. Ad esempio, se crei una regola che consente all'unità organizzativa del team Produzione di condividere file con il Team legale, gli utenti del Team legale possono accedere ai Drive condivisi del team Produzione.
Per creare regole di attendibilità per i Drive condivisi, assicurati di configurarli nelle unità organizzative appropriate.
- Bloccare la condivisione
- Consentire la condivisione
- Consentire la condivisione con un avviso
- "la-tua-organizzazione.com" è l'unità organizzativa di primo livello dell'organizzazione.
- "Reparto marketing" è un'unità organizzativa secondaria di primo livello.
Esempio 1
Regola | Ambito | Condizione | Attivatore | Azione |
---|---|---|---|---|
1 | la-tua-organizzazione.com | Chiunque nel mondo | Condivisione di file | Consenti |
2 | Reparto marketing | Domini inclusi nella lista consentita | Condivisione di file | Consenti |
Risultato: poiché il reparto marketing è un sottoinsieme dell'intera organizzazione, la regola 1 si applica anche a questo reparto. Di conseguenza, può condividere elementi con chiunque nel mondo, non solo con i domini inclusi nella lista consentita. L'esempio 2 riportato di seguito mostra come creare regole per consentire al reparto marketing di condividere elementi solo con i domini inclusi nella lista consentita.
Esempio 2
Regola | Ambito | Condizione | Attivatore | Azione |
---|---|---|---|---|
1 |
la-tua-organizzazione.com Eccetto reparto marketing |
Chiunque nel mondo | Condivisione di file | Consenti |
2 | Reparto marketing | Domini inclusi nella lista consentita | Condivisione di file | Consenti |
Risultato: poiché la regola 1 esclude il reparto marketing, viene applicata solo la regola 2. Di conseguenza, questo reparto può condividere elementi solo con i domini inclusi nella lista consentita. Tutti gli altri utenti possono condividere elementi con chiunque nel mondo.
Esempio 3
Regola | Ambito | Condizione | Attivatore | Azione |
---|---|---|---|---|
1 | la-tua-organizzazione.com | Domini inclusi nella lista consentita | Condivisione di file | Consenti |
2 | Reparto marketing | Chiunque nel mondo | Condivisione di file | Consenti |
Risultato: la regola 2 è più permissiva, perciò il reparto marketing può condividere elementi con chiunque nel mondo. Tutti gli altri utenti possono condividere elementi solo con i domini inclusi nella lista consentita.
Esempio 4
Regola | Ambito | Condizione | Attivatore | Azione |
---|---|---|---|---|
1 | la-tua-organizzazione.com | Chiunque nel mondo | Condivisione di file | Consenti |
2 | Reparto marketing | altra-azienda.com | Condivisione di file | Blocca |
Risultato: poiché la regola 2 blocca la condivisione, ha la precedenza sulla condivisione consentita dalla regola 1. Pertanto, il reparto Marketing può condividere elementi con chiunque nel mondo, tranne che con altra-azienda.com.
Domande frequenti sulle regole di attendibilità
Puoi avere un massimo di:
- 200 regole di attendibilità attive
- 2000 regole di attendibilità (attive + non attive)
- 150 condizioni per regola di attendibilità
- 500 condizioni dei seguenti tipi in tutte le regole di attendibilità della tua organizzazione:
- unità organizzative
- gruppi
- domini inclusi nella lista consentita (attendibile)
- domini esterni
- utenti specifici: da 1 a 200 utenti con 1 condizione, da 201 a 400 con 2 condizioni e così via.
Nota:non esiste un limite al numero dei seguenti tipi di condizioni che puoi avere in tutte le regole di attendibilità:
- Organizzazione
- Chiunque abbia un Account Google
- 500 unità organizzative o gruppi esclusi per l'ambito e per singola regola
-
Gruppi dinamici: gestisci automaticamente i membri quando gli utenti entrano a far parte dell'organizzazione, la lasciano o cambiano sede. I gruppi dinamici, disponibili nella Console di amministrazione o con l'API Cloud Identity, ti aiutano a ridurre il tempo da dedicare alla gestione manuale delle iscrizioni ai gruppi. Per utilizzare un gruppo dinamico per un criterio delle regole di attendibilità, assicurati che sia anche un gruppo di sicurezza, ovvero un gruppo provvisto dell'etichetta Sicurezza. Scopri di più sui gruppi dinamici.
-
Gruppi di sicurezza: converti un gruppo standard o un gruppo dinamico in un gruppo di sicurezza per poterlo regolamentare, controllare e monitorare ai fini della gestione delle autorizzazioni e del controllo dell'accesso. Puoi creare gruppi di sicurezza nella Console di amministrazione o con l'API Cloud Identity Groups, aggiungendo ai gruppi desiderati l'etichetta Sicurezza. Scopri di più sui gruppi di sicurezza.
-
Gruppi sottoposti a migrazione: utilizza Google Cloud Directory Sync (GCDS) per sincronizzare i gruppi che crei in Microsoft Active Directory o in altri strumenti con Google Workspace. Potrai quindi utilizzare questi gruppi sincronizzati nelle regole di attendibilità. Scopri di più su GCDS.
- Ambito: unità organizzativa del team Legale
- Attivatore: condivisione di file e ricezione di file
- Condizione: gruppo con indirizzi di avvocati specifici
- Azione: Consenti
Se un utente non ha più il servizio Google Drive e Documenti per il suo account, ad esempio perché la licenza di Google Workspace è stata rimossa dal suo account, i file di sua proprietà possono essere condivisi solo all'interno dell'organizzazione, anche se le regole di attendibilità applicate ai file consentono la condivisione esterna. La condivisione interna dei file è ancora limitata dai vincoli impostati dalle regole di attendibilità, ad esempio è possibile condividere elementi solo con unità organizzative specifiche.
Per rimuovere la limitazione per condividere esternamente i file dell'utente, puoi aggiungere la licenza Utente archiviato (UA) al suo account. Per maggiori dettagli, vedi Aggiungere licenze Utente archiviato.
Se la tua organizzazione passa a una versione di Google Workspace che non include regole di attendibilità, quelle attive rimangono tali e vengono applicate. Puoi visualizzare le regole di attendibilità, ma non puoi modificarle o eliminarle. Se sei un super amministratore, puoi disattivare le regole di attendibilità e utilizzare le impostazioni di condivisione per Drive.
Se disattivi le regole di attendibilità: le impostazioni di condivisione per Drive della tua organizzazione diventano di nuovo attive e ne viene ripristinato lo stato esistente al momento dell'attivazione delle regole di attendibilità. Le regole di attendibilità che hai creato vengono eliminate definitivamente.
Se annulli l'abbonamento a Google Workspace e hai solo licenze di Cloud Identity, non puoi utilizzare le impostazioni di condivisione di Drive.
Quando condividono un file, gli utenti possono scegliere l'opzione Chiunque abbia il link se si verificano tutte le seguenti condizioni:
- Le regole di attendibilità applicabili ai file degli utenti consentono loro di condividere elementi con tutti gli utenti dell'organizzazione, con chiunque abbia un Account Google e con gli account visitatore.
- Ai file degli utenti non sono applicate regole di attendibilità che ne impediscono la condivisione.
- La seguente impostazione di condivisione per Drive è attiva: se la condivisione di elementi all'esterno del tuo dominio è consentita, gli utenti possono rendere disponibili i file e i contenuti pubblicati a chiunque abbia il link. Per maggiori dettagli su questa impostazione, vedi Impostare le autorizzazioni di condivisione di Drive degli utenti.
Problemi noti relativi alle regole di attendibilità
Elenco dei problemi noti
Problema | Dettagli |
---|---|
I log per le regole di attendibilità non includono alcuni dettagli | I log amministrativi per le regole di attendibilità includono chi ha apportato una modifica e il tipo di modifica (creazione, aggiornamento o eliminazione). Tuttavia, i log non includono ancora quale è stata la modifica e l'impostazione modificata. |
Un amministratore con privilegi insufficienti per aprire la "visualizzazione rapida" di una regola non riceve nessun messaggio informativo |
Se un utente con delega di amministratore fa clic sul link Visualizzazione rapida per una regola di attendibilità nell'elenco Regole, i dettagli della regola non vengono aperti se l'amministratore non dispone di tutti i privilegi necessari per visualizzarli (ad esempio il privilegio Unità organizzative > Lettura). Tuttavia, l'amministratore non riceve un messaggio che lo informa che ha bisogno di altri privilegi. |
Gli utenti non possono accedere ai Drive condivisi di proprietà di organizzazioni con indirizzo email verificato |
Se attivi le regole di attendibilità, gli utenti non possono più collaborare con Drive condivisi di proprietà di un'altra organizzazione che ha un account con indirizzo email verificato (ad esempio un account Google Workspace Essentials). |