En lyckad implementering av kontextkänslig åtkomst skyddar Workspace-data från riskfyllda användare samtidigt som legitima användare inte blockeras. Följande lanseringsrekommendationer minskar risken för att många användare blockeras:
Använd övervakningsläge för att testa åtkomstnivåer
Du kan initialt tilldela en åtkomstnivå i övervakningsläge, snarare än aktivt. Med övervakningsläge kan du simulera effekterna av att tillämpa en åtkomstnivå utan att faktiskt blockera användaråtkomst.
När du tillämpar en ny åtkomstnivå är det bra att låta den vara i övervakningsläge i minst en vecka. Under den perioden visar loggade händelser i kontextkänslig åtkomstlogg vilka användare som skulle blockeras om åtkomstnivån var i aktivt läge. När du har verifierat att en åtkomstnivå fungerar som du vill kan du aktivera den faktiska tillämpningen genom att ändra åtkomstnivån till aktivt läge.
Detaljerade anvisningar om hur du använder övervakningsläge finns i Tilldela appar kontextkänsliga åtkomstnivåer.
Andra lanseringsrekommendationer
- Fasa in lanseringen. Börja med en organisationsenhet eller grupp som en pilotgrupp och se hur policyn fungerar för dem.Om dessa användare kan få åtkomst till appar bör du fasa in nästa användargrupp. Om de är nöjda implementerar du åtkomstpolicyerna för alla användare.
- Tilldela åtkomstpolicyer till utvalda appar. Testa att implementera policyer på appar som inte används så mycket i din miljö. Håll koll på vad som händer med dem och tillämpa efter hand policyerna på appar som används mer.
- Undvik att låsa ute användare eller partner. Blockera inte åtkomst till tjänster i Google Workspace, som Gmail, som du använder för att dela kommunikation med dina användare (och som de också behöver för att kommunicera med dig). Identifiera IP-intervall som användare och partner behöver.
- Använd inte Google Cloud Platform (GCP) för att lägga till eller ändra åtkomstnivåer om du enbart är Workspace-kund. Om du lägger till eller ändrar åtkomstnivåer med en annan metod än gränssnittet för kontextkänslig åtkomst kan det här felmeddelandet leda till att attribut som inte stöds används i Google Workspace och användarna kan blockeras.
- Planera support via kundtjänst för användare som kan behöva hjälp under lanseringen.
Övervaka lanseringen
Oavsett vilken implementeringsmetod du använder kan du bevaka resultatet av implementeringen genom att begära användarfeedback och söka efter uppgifter om nekade användare i logghändelserna för kontextkänslig åtkomst.
Förbereda för implementeringen
För smidig implementering följer du de här stegen innan du skapar eller implementerar nya åtkomstpolicyer.
1. Informera användarna
Prata med användarna för att ta reda på vad de behöver skydda i sin arbetsmiljö. Eftersom du ska implementera kontextkänslig åtkomst per organisationsenhet eller grupp kan behoven för olika användare i organisationen variera. Informera dem om de möjliga konsekvenserna av de policyer du skapar och tilldelar, till exempel att de kan blockeras vid olika tidpunkter av olika skäl. Förhandskommunikation främjar användargodkännande.
2. Ordna användarna i organisationsenheter eller grupper
Du kan tilldela åtkomstnivåer efter organisationsenhet. Om du redan har organisationsenheter som har konfigurerats för andra ändamål kan du skapa och sedan tilldela konfigurationsgrupper nivåer. Kontrollera att användarna som du vill ge åtkomst till finns i rätt organisationsenheter eller grupper.
3. Enkät om företagsenheter
Innan du implementerar enhetsbaserade policyer ska du kontrollera att enheterna i företaget har rätt IT-hantering och att de följer företagsstandarderna. Kontrollera om enheterna är krypterade, kör ett uppdaterat operativsystem och är företagsägda eller personliga enheter.
4. Registrera mobila enheter med ändpunktshantering
Mobila enheter måste hanteras med Googles ändpunktshantering (grundläggande eller avancerad).
5. Tillämpa ändpunktsverifiering innan du skapar policyer
Tillämpa ändpunktsverifiering så att du vet vilka enheter som får åtkomst till (eller kommer att ha åtkomst till) Google Workspace-data. I Chrome-tillägg måste du ange Tvångsinstallera för ändpunktsverifiering och kräva en åtkomstnyckel. Gå till Konfigurera ändpunktsverifiering för mer information.
Konfigurera ändpunktsverifiering och aktivera kontextkänslig åtkomst
Konfigurera programvara för dator eller mobila enheter.
Konfigurera verifiering av ändpunkt
Om du tillämpar en enhetspolicy på en åtkomstnivå måste du och användarna konfigurera ändpunktsverifiering. Du aktiverar ändpunktsverifiering på administratörskonsolen. Mer information finns i Aktivera eller inaktivera ändpunktsverifiering.
Obs! Om du tillämpar en policy för kontextkänsligt innehåll innan användaren kan logga in på ändpunktsverifiering kan användaren få nekad åtkomst även om enheten uppfyller den kontextkänsliga policy som tillämpas. Det beror på att synkronisering av enhetsattributen via ändpunktsverifiering kan ta några sekunder. Undvik detta genom att se till att användarna loggar in på ändpunktsverifiering och uppdaterar sin webbläsarsida innan du tillämpar en policy för kontextkänslig innehåll.
Kontrollera vilka enheter som har ändpunktsverifiering
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
Öppna menyn EnheterÖversikt.
- Klicka på Ändpunkter.
- Klicka på Lägg till ett filter.
- Välj HanteringstypVerifiering av ändpunkt.
- Klicka på Tillämpa.
Konfigurera mobila enheter (Googles ändpunktshantering)
Om du vill tillämpa åtkomstnivåer för mobila enheter måste användarens enhet hanteras med grundläggande eller avancerad mobilhantering.
Ytterligare steg
Ladda registret över företagsägda enheterAnvisningar finns i Lägga till enheter i registret i Lägga till företagsägda enheter i registret.
Obs! Enheter med Android 12 eller senare och en jobbprofil rapporteras alltid som användarägda, även om du lägger till dem i registret över företagsägda enheter. För sådana enheter gäller att om en åtkomstnivå kräver att en enhet är företagsägd vidtas inte åtgärden och om en åtkomstnivå kräver att en enhet är användarägd vidtas åtgärden. Mer information finns i Visa detaljer för mobila enheter, Läs mer om enhetsdetaljer och scrolla ned till raden Ägarskap i tabellen Enhetsinformation.
Aktivera och inaktivera kontextkänslig åtkomst
Du kan aktivera kontextkänslig åtkomst vid olika tidpunkter i lanseringsprocessen. Du kan aktivera den innan du skapar åtkomstnivåer och tilldelar dem till appar, vilket innebär att de åtkomstnivåer du tilldelar appar tillämpas omedelbart.
Du kan även göra första konfigurationen och granska (åtkomstnivåtilldelning, tilldelning av åtkomstnivå, ändpunktsverifiering) utan att aktivera kontextkänslig åtkomst. Under den här tiden tillämpas inte uppgifter på åtkomstnivå. När konfigurationen är klar kan du aktivera kontextkänslig åtkomst.
Du kan inaktivera kontextkänslig åtkomst om det finns användarproblem och du vill pausa appen medan du undersöker vilka policyer som skapar problemen. När du har fastställt vilken åtkomstnivå som orsakar problemen kan du ändra policyn eller ta bort den efter behov för specifika organisationsenheter eller grupper.
Så här aktiverar du kontextkänslig åtkomst:
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn SäkerhetÅtkomst- och datakontrollKontextkänslig åtkomst.
- Verifiera att kontextkänslig åtkomst är PÅ. Annars klickar du på Aktivera.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn SäkerhetÅtkomst- och datakontrollKontextkänslig åtkomst.
- Klicka på Inaktivera.
Nästa steg:
Skapa och tilldela åtkomstnivåer
De här artiklarna hjälper dig att skapa åtkomstnivåer och tilldela appar dem:
Utforska användningsfall
De här artiklarna visar vanliga användningsfall för implementering av kontextkänslig åtkomst i miljön: