如果成功部署情境感知存取權,可保護 Workspace 資料免受有風險的使用者侵擾,同時確保正當使用者不會遭到封鎖。請考慮下列推出做法建議,避免發生多位使用者遭封鎖的情況:
使用監控模式測試存取層級
您可以先透過「監控」模式指派存取層級,而非「啟用」模式。監控模式可讓您模擬強制執行存取層級的結果,而不必實際封鎖使用者存取權。
套用新的存取層級時,建議您讓層級維持在監控模式至少一週。在此期間,情境感知存取權記錄中記錄的事件,會顯示當存取層級處於啟用模式時,哪些使用者會遭到封鎖。 確認存取層級的運作情況符合預期後,您可以將存取層級切換為啟用模式,實際進行強制執行作業。
如需使用監控模式的詳細操作說明,請參閱「為應用程式指派情境感知存取權層級」。
其他推出方法建議
- 階段推出。先從某個機構單位或前測群組開始,看看這些政策如何運作。如果這些使用者能夠成功存取應用程式,下個階段再套用至另一個群組的使用者。若使用者都能滿意,再為所有使用者導入存取權政策。
- 將存取權政策指派給指定應用程式。請嘗試為環境中極少使用的應用程式部署政策。追蹤應用程式運作情形,然後針對您較常使用的應用程式部署政策。
- 避免將使用者或合作夥伴者拒於門外。請勿封鎖您用來與使用者交流的 Google Workspace 服務,例如 Gmail。此外,使用者也可能需使用這些服務與您交流。找出使用者和合作夥伴所需的 IP 範圍。
- 如果您只有使用 Google Workspace,請勿使用 Google Cloud Platform (GCP) 新增或變更存取層級。如果您透過情境感知存取權介面以外的方式新增或變更存取層級,就可能收到下列錯誤訊息:「在 Google Workspace 使用了不支援的屬性」,且使用者可能會遭到封鎖。
- 為在推出過程中可能需要協助的使用者規劃服務中心支援服務。
監控推出作業
無論採用何種導入方式,您都可以監控導入結果,監控方法是收集使用者的意見回饋,並查詢情境感知存取權記錄事件,找出遭拒使用者的記錄。
準備部署
為確保部署作業順利進行,在建立或導入新的存取政策前,請按照下列步驟操作。
1. 通知使用者
請與使用者討論,瞭解要在工作環境中保護哪些資料。由於您是依照機構單位或群組實作情境感知存取權,因此貴機構中不同使用者的需求可能會有所差異。請告知使用者您建立並指派政策的可能後果,例如,他們可能在各種時間因不同理由而遭到封鎖。預先溝通有助於讓使用者接受結果。
2. 將使用者分到適合的機構單位或群組
您可以依機構單位指派存取層級。如果您已設定用於其他用途的機構單位,可以建立層級並指派給配置群組。無論是哪一種情況,您都必須確保要授予存取權的使用者位於適合的機構單位或群組中。
3. 對企業裝置進行問卷調查
在導入裝置層級政策之前,請確認貴公司中的裝置均已受到適當的 IT 管理,且符合公司標準。確認裝置是否已加密、搭載最新作業系統,以及裝置是公司或個人所擁有。
4. 使用端點管理服務註冊行動裝置
行動裝置必須受到基本或進階 Google 端點管理服務管理。
5. 先強制執行端點驗證功能再建立政策
強制使用端點驗證功能,以便瞭解哪些裝置正在 (或即將) 存取 Google Workspace 資料。在 Chrome 擴充功能中,您必須為端點驗證指定「強制安裝」功能,並要求提供存取金鑰。詳情請參閱「設定端點驗證」。
設定端點驗證並啟用情境感知存取權
電腦或行動裝置的軟體設定。
設定端點驗證
如果您在存取層級強制執行裝置政策,您和使用者都必須設定端點驗證。您可以在管理控制台中啟用端點驗證。詳情請參閱「開啟或關閉端點驗證功能」。
注意:如果您在使用者可登入進行端點驗證之前,就先強制執行情境感知裝置政策,那麼就算使用者的裝置符合強制執行的情境感知政策要求,系統仍可能會拒絕使用者的存取行為。這是因為透過端點驗證同步處理裝置屬性可能需要幾秒鐘時間。為避免這種情況發生,在您強制執行情境感知裝置政策之前,請務必要求使用者登入端點驗證,並重新整理瀏覽器頁面。
查看哪些裝置具備端點驗證
-
-
依序點選「選單」圖示
「裝置」
「總覽」。
- 按一下 [端點]。
- 按一下 [新增篩選器]。
- 依序選取「管理服務類型」
- 按一下 [Apply] (套用)。
設定行動裝置 (Google 端點管理服務)
如要強制執行行動裝置的存取層級,裝置使用者必須受到基本或進階行動管理服務管理。
額外步驟
上傳公司擁有的裝置清單如需操作說明,請參閱「將公司擁有的裝置加入裝置清單」中的「將裝置加入裝置清單」一節。
注意:如果是搭載 Android 12 以上版本並設有工作資料夾的 Android 裝置,即使您將裝置加入公司擁有的裝置清單,系統一律會將其視為使用者擁有的裝置。針對這些裝置,如果存取層級要求裝置須為公司所擁有,則系統「不會」執行相關動作;而如果存取層級要求裝置須為使用者所擁有,則系統「會」執行相關動作。如需瞭解詳情,請參閱「查看行動裝置」,瞭解裝置詳細資料,然後在「裝置資訊」表格中向下捲動至「擁有權」列。
啟用及停用情境感知存取權
不論是在推出程序的哪個階段,您都可以啟用情境感知存取權。舉例來說,您可以在建立存取層級並指派給應用程式前先啟用這項設定,這麼一來,一旦您將存取權層級指派給應用程式,系統就會立即強制執行。
在不啟用情境感知存取權的情況下,您同樣可以進行初始設定和審查 (建立存取層級、指派存取層級和端點驗證)。在此期間,系統不會強制執行存取層級指派作業,您可以等設定完成後再啟用情境感知存取權。
如果有使用者發生問題,您可以停用情境感知存取權。您可能需要在調查造成問題的政策時,先暫停應用程式的情境感知存取權。確定導致問題發生的存取層級後,您可以視需要為特定機構單位或群組修改或移除政策。
如何啟用情境感知存取權
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
- 確認情境感知存取權功能已啟用。如果尚未啟用,請按一下「啟用」。
-
-
在管理控制台中,依序點選「選單」圖示
- 按一下「停用」。
後續步驟:
建立及指派存取層級
以下文章將逐步說明如何建立存取層級並指派給應用程式:
探索用途
以下文章將介紹在環境中實作情境感知存取權的常見用途:
