Met de implementatie van contextbewuste toegang worden Workspace-gegevens beschermd tegen risicovolle gebruikers zonder dat legitieme gebruikers worden geblokkeerd. Dit zijn enkele aanbevelingen voor de uitrol om te voorkomen dat er veel gebruikers worden geblokkeerd:
De controlemodus gebruiken om toegangsniveaus te testen
U kunt in eerste instantie een toegangsniveau toewijzen in de controlemodus in plaats van de actieve modus. Met de controlemodus kunt u de gevolgen van het afdwingen van een toegangsniveau simuleren zonder de gebruikerstoegang daadwerkelijk te blokkeren.
Wanneer u een nieuw toegangsniveau toepast, is het verstandig om minstens 1 week de controlemodus te gebruiken. Tijdens die periode wordt in het Logboek contextbewuste toegang vastgelegd welke gebruikers zouden zijn geblokkeerd als het toegangsniveau in de actieve modus had gestaan. Nadat u heeft gecontroleerd of een toegangsniveau werkt zoals u wilt, kunt u het afdwingen door de actieve modus aan te zetten.
Ga naar Niveaus voor contextbewuste toegang toewijzen aan apps voor uitgebreide instructies om de controlemodus te gebruiken.
Andere aanbevelingen voor de uitrol
- Gefaseerd uitrollen: Begin met één organisatie-eenheid of groep als pilotgroep en controleer hoe het beleid voor die gebruikers werkt. Als die gebruikers zonder problemen toegang houden tot apps, implementeert u de volgende groep gebruikers. Als dit ook goed gaat, implementeert u het toegangsbeleid voor al uw gebruikers.
- Toegangsbeleid toewijzen aan geselecteerde apps: Implementeer beleid voor apps die niet al te veel worden gebruikt in uw omgeving. Houd in de gaten wat er met deze apps gebeurt en stel het beleid daarna in voor de apps die meer worden gebruikt.
- Voorkomen dat gebruikers of partners worden buitengesloten: Blokkeer niet de toegang tot Google Workspace-services waarmee u communiceert met uw gebruikers (en waarmee zij communiceren met u), zoals Gmail. Bepaal welke IP-bereiken gebruikers en partners nodig hebben.
- Gebruik Google Cloud Platform (GCP) niet om toegangsniveaus toe te voegen of te wijzigen als u alleen Workspace gebruikt. Als u toegangsniveaus toevoegt of wijzigt via een andere methode dan de interface voor contextbewuste toegang, kunt u deze foutmelding krijgen: Er worden niet-ondersteunde kenmerken gebruikt in Google Workspace. Ook kunnen gebruikers worden geblokkeerd.
- Plan helpdesksupport voor gebruikers die hulp nodig hebben tijdens de uitrol.
De uitrol controleren
Welke implementatiemethode u ook gebruikt, u kunt de resultaten van de implementatie in de gaten houden door gebruikersfeedback te vragen en door via de gebeurtenissen in het logboek Contextbewuste toegang te bekijken of er gebruikers zijn geweigerd.
Voorbereiden op de implementatie
Volg deze stappen voordat u nieuw toegangsbeleid maakt of implementeert voor een soepele implementatie.
1. Uw gebruikers informeren
Vraag uw gebruikers wat ze willen beveiligen in hun werkomgeving. U implementeert contextbewuste toegang per organisatie-eenheid of groep, dus de behoeften van verschillende gebruikers in uw organisatie kunnen variëren. Laat gebruikers weten wat de mogelijke gevolgen zijn van het beleid dat u maakt en toewijst, bijvoorbeeld dat ze op verschillende momenten en om verschillende redenen kunnen worden geblokkeerd. Als u dit vooraf communiceert, zijn gebruikers begripvoller.
2. Uw gebruikers indelen in organisatie-eenheden of groepen
U kunt toegangsniveaus toewijzen per organisatie-eenheid. Als u al organisatie-eenheden heeft ingesteld voor andere doeleinden, kunt u toegangsniveaus maken en toewijzen aan configuratiegroepen. Zorg in beide gevallen dat de gebruikers die u toegang wilt geven zich in de juiste organisatie-eenheden of groepen bevinden.
3. Zakelijke apparaten controleren
Voordat u apparaatgebaseerd beleid implementeert, moet u zorgen dat de apparaten in uw bedrijf onder het juiste IT-beheer vallen en voldoen aan de bedrijfsnormen. Ga na of apparaten zijn versleuteld, een up-to-date besturingssysteem hebben en eigendom zijn van het bedrijf of persoonlijke apparaten zijn.
4. Mobiele apparaten inschrijven met eindpuntbeheer
U moet mobiele apparaten beheren met Google-eindpuntbeheer (basis of geavanceerd
5. Eindpuntverificatie afdwingen voordat u beleid maakt
Dwing het gebruik van eindpuntverificatie af zodat u weet welke apparaten toegang hebben (of krijgen) tot Google Workspace-gegevens. In Chrome-extensies moet u 'Afgedwongen installeren' instellen voor eindpuntverificatie en een toegangssleutel vereisen. Zie Eindpuntverificatie instellen voor meer informatie.
Eindpuntverificatie instellen en contextbewuste toegang aanzetten
Software-installaties voor desktops of mobiele apparaten.
Eindpuntverificatie instellen
Als u apparaatbeleid afdwingt in een toegangsniveau, moeten u en uw gebruikers eindpuntverificatie instellen. U zet eindpuntverificatie aan in de Beheerdersconsole. Zie Eindpuntverificatie aan- of uitzetten voor meer informatie.
Opmerking: Als u apparaatbeleid voor contextbewuste toegang afdwingt voordat de gebruiker kan inloggen bij eindpuntverificatie, kan de toegang van de gebruiker worden geweigerd, zelfs als het apparaat wel voldoet aan het afgedwongen beleid voor contextbewuste toegang. Dit komt omdat de synchronisatie van de apparaatkenmerken via eindpuntverificatie enkele seconden kan duren. Zorg dus dat gebruikers zijn ingelogd bij eindpuntverificatie en hun browserpagina hebben vernieuwd voordat u apparaatbeleid voor contextbewuste toegang afdwingt.
Controleren op welke apparaten eindpuntverificatie is ingesteld
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Naar Menu ApparatenOverzicht.
- Klik op Eindpunten.
- Klik op Een filter toevoegen.
- Selecteer Beheertype Eindpuntverificatie.
- Klik op Toepassen.
Mobiele apparaten instellen (Google-eindpuntbeheer)
Als u toegangsniveaus wilt afdwingen voor mobiele apparaten, moet de gebruiker van het apparaat worden beheerd met mobiel beheer op basisniveau of geavanceerd mobiel beheer.
Aanvullende stappen
Alles uitvouwen | Alles samenvouwen
De inventaris van apparaten die eigendom zijn van het bedrijf uploadenZie 'Apparaten toevoegen aan de inventaris' in Apparaten die eigendom zijn van het bedrijf toevoegen aan de inventaris voor instructies.
Opmerking: Bij apparaten met Android 12 of hoger en een werkprofiel staat altijd dat het apparaat eigendom is van de gebruiker, zelfs als u het toevoegt aan de inventaris van apparaten die eigendom zijn van het bedrijf. Als voor deze apparaten een toegangsniveau vereist dat een apparaat eigendom is van het bedrijf, wordt de actie niet uitgevoerd. Als een toegangsniveau vereist dat een apparaat eigendom is van de gebruiker, wordt de actie wel uitgevoerd. Ga voor meer informatie naar Gegevens van mobiele apparaten bekijken, Informatie over apparaatgegevens. Scroll in de tabel Apparaatgegevens omlaag naar de rij Eigendom.
Contextbewuste toegang aan- en uitzetten
U kunt contextbewuste toegang op verschillende momenten aanzetten tijdens het uitrolproces. U kunt het aanzetten voordat u toegangsniveaus maakt en aan apps toewijst. De toegangsniveaus die u toewijst aan apps worden dan meteen afgedwongen.
U kunt ook de eerste installatie en beoordeling uitvoeren (toegangsniveau maken, toegangsniveau toewijzen, eindpuntverificatie) zonder contextbewuste toegang aan te zetten. Toegewezen toegangsniveaus worden dan niet afgedwongen. Als u klaar bent met instellen, kunt u contextbewuste toegang aanzetten.
U kunt contextbewuste toegang uitzetten als gebruikers problemen hebben en u contextbewuste toegang voor de app wilt onderbreken terwijl u onderzoekt welk beleid de problemen veroorzaakt. Nadat u heeft bepaald welk toegangsniveau verantwoordelijk is voor de problemen, kunt u het beleid aanpassen of zo nodig verwijderen voor specifieke organisatie-eenheden of groepen.
Alles uitvouwen | Alles samenvouwen
Contextbewuste toegang aanzetten
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingToegang en gegevensbeheerContextbewuste toegang.
- Controleer of contextbewuste toegang aanstaat. Klik anders op Aanzetten.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu BeveiligingToegang en gegevensbeheerContextbewuste toegang.
- Klik op Uitzetten.
Volgende stappen:
Toegangsniveaus maken en toewijzen
In deze artikelen wordt uitgelegd hoe u toegangsniveaus maakt en toewijst aan apps:
Toepassingen bekijken
In deze artikelen ziet u veelvoorkomende toepassingen voor de implementatie van contextbewuste toegang in uw omgeving: