成功部署情境感知访问权限可以防止有风险的用户访问 Workspace 数据,同时确保合法用户不会被屏蔽。不妨考虑采用以下部署建议,尽量避免出现大量用户访问遭拒的情况。
使用监控模式测试访问权限级别
您最初可以在监控模式(而非活跃模式)下分配访问权限级别。通过监控模式,您可以模拟强制执行某个访问权限级别的效果,而不会实际阻止用户访问。
应用新的访问权限级别时,建议您至少让其处于监控模式一周。在此期间,情境感知访问权限日志中记录的事件会显示如果访问权限级别处于活跃模式,哪些用户会被屏蔽。验证某个访问权限级别是否按预期运行后,您可以将访问权限级别切换到活跃模式,以便启用实际强制执行。
如需详细了解如何使用监控模式,请参阅为应用分配情境感知访问权限级别。
其他部署建议
- 分阶段部署。首先将一个组织部门或群组作为小规模测试群组,然后查看政策对其有何影响。如果其中的用户能够成功访问应用,则针对下一组用户进行部署。如果他们满意,则为所有用户实施访问权限政策。
- 为所选应用分配访问权限政策。请尝试为环境中不常使用的应用部署政策。跟踪这些应用的情况,然后逐步对您的环境中经常使用的应用采用相关政策。
- 避免将用户或合作伙伴拒之门外。您与用户进行往来通信时需要用到一些 Google Workspace 服务(例如 Gmail),请勿禁止用户访问这些服务。确定用户和合作伙伴所需的 IP 范围。
- 如果您仅使用 Workspace,请勿通过 Google Cloud Platform (GCP) 添加或更改访问权限级别。如果您使用情境感知访问权限界面以外的方式添加或更改访问权限级别,则系统可能会显示错误消息“在 Google Workspace 中使用了不受支持的属性”,且用户可能会遭到屏蔽。
- 为在部署阶段可能需要帮助的用户规划帮助台支持服务。
监控部署效果
无论您使用哪种部署方法,都需要监控部署结果,具体做法为:征求用户反馈;查询情境感知访问权限日志事件来找出访问遭拒的用户的记录。
准备部署
为确保顺利部署,请先执行以下步骤,然后再创建或实施新的访问权限政策。
1. 通知用户
请与您的用户沟通,了解他们在工作环境中需要保护的内容。由于您要按组织部门或群组部署情境感知访问权限,因此组织中不同用户的需求可能会有所不同。向用户说明您创建和分配的政策可能会造成的影响:例如,用户可能会由于各种原因不定时遇到访问遭拒的情况。提前沟通有助于提升用户接受度。
2. 将用户划分成组织部门或群组
您可以按组织部门分配访问权限级别。如果您出于其他目的而设置了组织部门,则可以创建配置群组并将访问权限级别分配给配置群组。无论使用哪种方式,请确保您要授予访问权限的用户位于正确的组织部门或群组中。
3. 调查企业设备
在您实施基于设备的政策之前,请确保您企业中的设备接受适当的 IT 管理,且符合公司标准。验证设备是否已经加密、是否运行的是最新操作系统,以及是归公司所有还是员工自有。
4. 借助端点管理服务注册移动设备
移动设备必须通过 Google 端点管理服务(基本或高级)进行管理。
5. 在创建政策前强制执行端点验证
强制使用端点验证,以便了解哪些设备正在访问(或将要访问)Google Workspace 数据。在 Chrome 扩展程序中,您必须指定强制安装端点验证,并要求使用访问密钥。如需了解详情,请参阅设置端点验证。
设置端点验证并启用情境感知访问权限
针对桌面设备或移动设备的软件设置步骤。
设置端点验证
如果您在某个访问权限级别强制执行设备政策,那么您和您的用户必须设置端点验证。请在管理控制台中启用端点验证。有关说明,请参阅启用或停用端点验证。
注意:如果您在用户能够登录端点验证之前强制执行情境感知设备政策,那么即使他们的设备符合强制执行的情境感知政策,也可能遇到访问遭拒的情况。这是因为通过端点验证同步设备属性可能需要几秒钟的时间。为避免出现这种情况,请务必先让用户登录端点验证并刷新其浏览器页面,然后再强制执行情境感知设备政策。
查看哪些设备启用了端点验证
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
- 点击端点。
- 点击添加过滤条件。
- 选择管理类型
端点验证。
- 点击应用。
设置移动设备(Google 端点管理)
如需为移动设备强制执行访问权限级别,必须通过基本移动设备管理或高级移动设备管理对设备用户进行管理。
其他步骤
上传公司自有设备的设备资产清单有关说明,请参阅将公司自有设备添加到资产清单一文中的“将设备添加到资产清单”部分。
注意:搭载 Android 12 或更高版本且设置了工作资料的设备始终列为归用户所有,即使您将设备添加到公司自有资产清单中也是如此。对于这些设备,如果某项访问权限级别要求使用公司自有设备,则系统不会执行相应操作;如果访问权限级别要求使用归用户所有的设备,则系统会执行相应操作。有关详情,请参阅查看移动设备详细信息一文,在了解设备详情部分的设备信息表格中,向下滚动到所有权行。
启用和停用情境感知访问权限
在部署过程中的任何时刻,您都可以启用情境感知访问权限。您可以先启用情境感知访问权限,然后创建访问权限级别,之后再为应用分配这些级别,这意味着您分配给应用的访问权限级别会立即强制执行。
您也可以在不启用情境感知访问权限的情况下进行初始设置和审核(创建访问权限级别、分配访问权限级别、端点验证)。在此期间,系统不会强制执行访问权限级别分配操作。配置完成后,您即可启用情境感知访问权限。
如果用户遇到了问题,您可以停用情境感知访问权限;而在调查导致问题发生的政策时,您可能需要对应用暂时停用情境感知访问权限。确定导致问题的访问权限级别后,您可以根据需要为特定组织部门或群组修改政策或移除政策。
启用情境感知访问权限
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
安全性 > 访问权限和数据控件 > 情境感知访问权限。
- 验证是否已启用情境感知访问权限。如果未启用,请点击启用。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
依次点击“菜单”图标
- 点击停用。
后续步骤:
创建和分配访问权限级别
以下文章详细介绍了如何创建访问权限级别并将其分配给应用:
了解常见用例
以下文章介绍了在您的环境中部署情境感知访问权限的常见用例:
