В зависимости от вашей версии Google Workspace для некоторых сервисов группы конфигурации могут быть недоступны.
Настройки сервисов можно задать не только для всего организационного подразделения, но и для группы пользователей. Группы позволяют управлять настройками для определенных пользователей, не меняя структуру организации. Вы можете задать настройки на уровне групп для перечисленных ниже сервисов и функций.
| Сервисы | Функции для администраторов |
|---|---|
Примечание. В некоторых сервисах можно включить или отключить Google Архиватор для группы. Подробнее… |
|
|
*Поддерживается только в определенных версиях Google Workspace. |
|
Использование групп конфигурации для настроек сервисов
Группы конфигурации позволяют изменить настройки сервисов для группы пользователей. Например, можно разрешить одной группе одобрять видео на YouTube, а другой – предоставлять доступ к файлам на Google Диске пользователям за пределами организации.
В группах конфигурации могут быть пользователи из любого организационного подразделения в вашем аккаунте. Вы можете создать новую группу или использовать уже существующую в вашем аккаунте, например staff@example.com.
Обычно настройки сервисов применяются к организационным подразделениям, а для некоторых пользователей задаются исключения. Например, можно ограничить доступ к контенту на YouTube для всех пользователей в аккаунте организации, но разрешить некоторым группам смотреть все видео или одобрять их.
Как работают группы конфигурации
- В группу конфигурации могут входить любые пользователи или группы из вашей организации (вложенные группы).
- Настройки, заданные для группы, в которой состоит пользователь, всегда имеют приоритет над настройками для его организационного подразделения.
- Пользователь может входить в несколько групп конфигурации, но только в одно организационное подразделение. Каждой группе конфигурации можно присвоить приоритет. В этом случае для пользователей, которые входят в несколько групп, будут действовать настройки группы с самым высоким приоритетом.
Требования
- Группы конфигурации необходимо создавать в консоли администратора Google, Google Cloud Directory Sync или Directory API. Подробнее…
- Чтобы использовать динамическую группу в качестве группы конфигурации, ей нужно присвоить ярлык "Группа безопасности". Подробнее…
- Группы, созданные в Google Группах, не могут использоваться в качестве групп конфигурации.
- Группы конфигурации можно настраивать и использовать только в консоли администратора (не через API).
Примечание. В зависимости от вашей версии Google Workspace для некоторых сервисов группы конфигурации могут быть недоступны.
Чтобы приступить к работе, перейдите к разделу Как настроить группы конфигурации ниже.
Работа с большим количеством пользователей или правил
Здесь приведены сведения для тех, кто управляет организацией среднего или большого размера или хочет узнать больше о группах конфигурации.
Возможности работы с группами конфигурацииПрежде чем создавать или использовать группы конфигурации, нужно решить, какие настройки будут для них заданы. Например, у групп пользователей могут быть разные разрешения на предоставление доступа к файлам на Диске.
| Разрешения на предоставление доступа к файлам на Диске | |||
|---|---|---|---|
| Группа пользователей | Предоставление доступа пользователям из любого домена |
Предоставление доступа пользователям из доверенных доменов |
Предоставление доступа только пользователям организации |
| Менеджеры по продажам | ✔ | ||
| Отдел продаж | ✔ | ||
| Операционисты по продажам | ✔ | ||
Теперь можно создать группы конфигурации на основе групп пользователей, настроек для пользователей или их сочетания с учетом потребностей вашей организации.
Вариант 1. Использование групп конфигурации на основе групп пользователей
В качестве групп конфигурации можно использовать существующие группы пользователей, а затем задать для этих групп нужные настройки. Если пользователь входит в несколько групп, выбирается группа, настройки которой будут применяться к данному пользователю (этот вариант описан ниже в разделе Как задать приоритет для групп конфигурации).
Например, в случае с настройками предоставления общего доступа к файлам на Диске можно разрешить некоторым пользователям предоставлять доступ к файлам людям, которые не являются сотрудниками компании.
Применение настроек непосредственно для групп пользователей удобно в следующих ситуациях:
- В организации меньше 50 пользователей или незначительное количество настроек.
Нет необходимости создавать дополнительные группы и можно изменить настройки для каждой группы пользователей. - Выполняется тестирование настроек сервиса.
- С приложениями работает определенная группа пользователей.
- Если это динамические группы, в которых управление участниками выполняется с помощью атрибутов пользователей, таких как местоположение или роль.
Вариант 2. Создание групп конфигурации на основе настроек для пользователей
Если нужно управлять большим количеством пользователей или настроек, можно создать группы для разных уровней настроек.
Например, можно создать группу конфигурации для каждого уровня разрешений на предоставление общего доступа к файлам на Диске. Затем вы можете добавить свои группы пользователей как участников группы конфигурации.
Группа конфигурации выступает в качестве контейнера для настроек. Как правило, групп конфигурации требуется меньше, чем групп пользователей, и их настройками и приоритетами проще управлять. Для добавления пользователей и групп пользователей в группу конфигурации или их удаления оттуда можно также использовать API Групп или Directory Sync.
Если пользователь входит в несколько групп, можно выбрать, какая из них имеет приоритет при определении настроек для него.
Список групп в консоли администратора упорядочен по убыванию приоритета. Для пользователя действуют настройки группы с самым высоким приоритетом.
Чтобы изменить приоритет группы конфигурации, переместите ее вверх или вниз в списке. Настраивать порядок приоритета можно только в консоли администратора, а не с помощью API.
Как действует приоритет
Если пользователь входит в несколько групп, для него применяются настройки той из них, у которой самый высокий приоритет. В этом примере менеджер по продажам входит в три группы пользователей, причем у каждой группы разные настройки редактирования профиля в каталоге.
Когда приоритет для групп конфигурации задан таким образом, менеджеры по продажам могут редактировать в профиле свое имя и местонахождение.
Если у группы Изменять местонахождение самый высокий приоритет, то менеджеры по продажам могут изменять только свое местонахождение, а региональные менеджеры по продажам – свое имя и местонахождение.
Настройки пользователей и несколько групп
Настройки разных групп пользователя не суммируются. В этом примере менеджер по маркетингу входит в три группы, но настройки получает только из группы с наивысшим приоритетом. Он может изменять свое имя и местонахождение, но не фотографию.
Упорядочивание групп
Для настроек Диска изменение приоритета групп или их состава может влиять на предоставление доступа к файлам.
Например, если вы передаете право собственности на файл пользователю из другой группы конфигурации, разрешения на общий доступ к этому файлу меняются в соответствии с настройками в этой новой группе.
Как контролировать приоритет и настройки
- Учитывайте приоритет при разработке структуры групп и избегайте групп с глубоким уровнем вложенности, так как их применение может затруднять отслеживание настроек.
- При упорядочивании групп конфигурации рекомендуется задавать самый высокий приоритет для группы, в которой меньше всего пользователей.
Особенно тщательно нужно подойти именно к этапу планирования структуры для групп конфигурации.
Сопоставление настроек для групп
Мы рекомендуем проверить в организационных подразделениях настройки, которыми вы хотите управлять с помощью групп. Если вы уже применяете для настроек подход на основе ролей или команд, то можете использовать группы аналогичным образом.
Если в вашем аккаунте используется несколько версий Google Workspace:
- Настройки групп конфигурации применяются только к тем пользователям, у которых есть доступ к соответствующим функциям или сервисам.
- В некоторых версиях определенные настройки Диска распространяются на всю организацию. Вы можете использовать группы конфигурации, чтобы менять настройки Диска для пользователей.
Как настроить правила присвоения названий
Правила присвоения названий упрощают управление группами и их аудит. Например, можно использовать правила на основе названия настройки и значения приоритета. В списке групп можно увидеть не более 37 символов из названия каждой группы. Если навести указатель на название группы, оно будет показано целиком.
YouTube_1_ответственные_за_одобрение
YouTube_2_неограниченный_доступ
YouTube_3_умеренно_ограниченный_доступ
YouTube_4_строго_ограниченный_доступ
Если вы управляете большим количеством групп разных типов, то можно добавить префикс (например, cf, чтобы указать, что это группа конфигурации). Также можно использовать десятичную точку, чтобы вам не пришлось редактировать названия существующих групп при добавлении группы конфигурации.
cf_Drive_p1.0_ДОСТУП_из_любого_домена
cf_Drive_p2.0_ДОСТУП_из_доверенных_доменов
cf_Drive_p2.1_ДОСТУП_из_доверенных_внешних_доменов
cf_Drive_p3.0_ДОСТУП_внутри_организации
Как создавать группы
Использовать можно только группы, созданные в консоли администратора, с помощью Directory API или Google Cloud Directory Sync. Группы, созданные в Google Группах, не могут использоваться в качестве групп конфигурации. В консоли администратора нельзя посмотреть, была ли группа создана в Google Группах.
Управлять группами конфигурации можно в любом инструменте. Можно настроить строгие ограничения на добавление или удаление пользователей, отключить публикацию записей в группе или запретить пользователям выходить из группы (эта возможность доступна только в API Групп).
Как настроить группы конфигурации
Шаг 1. Примените группу конфигурацииНа этом этапе вам потребуются права администратора, необходимые для управления группами, организационными подразделениями верхнего уровня и настройками сервисов.
Подготовка. Выберите или создайте группу.
В качестве групп конфигурации можно использовать только группы пользователей, созданные с помощью консоли администратора, Google Групп для бизнеса, Directory API или Google Cloud Directory Sync. Нельзя использовать группы, созданные в Google Группах.
- В консоли администратора откройте страницу настроек приложения.
- Нажмите на настройки, которые хотите изменить.
Например, вот настройки YouTube для организационного подразделения верхнего уровня:
- В меню слева выберите Группы.
Откроется список всех групп конфигурации, упорядоченных по приоритету. - Нажмите Поиск групп. Введите адрес (а не название) группы и выберите ее.
- Сначала добавьте группу, у которой будет самый высокий приоритет. При добавлении новой группы ей присваивается самый низкий приоритет.
- Если найти нужную группу не удается, возможно, она была создана в Google Группах или является динамической группой без ярлыка "Группа безопасности".
- Укажите настройки для группы конфигурации.
По умолчанию для новой группы заданы настройки организационного подразделения верхнего уровня.
Для организаций с несколькими типами лицензий: если в версии, на которую оформлена подписка, недоступна определенная настройка, рядом с ней в группе будет показан значок
. Такой флажок появляется независимо от того, у всех ли пользователей в группе есть необходимые лицензии.
- Включите или отключите группу конфигурации.
- Чтобы включить группу, нажмите Сохранить.
Настройки будут применены для участников этой группы конфигурации. Чтобы закрыть панель, нажмите Отмена. - Чтобы отключить группу, на панели "Группы" нажмите Сбросить настройки или "Удалить"
(если нажать Отмена, группа не будет удалена).
- Чтобы включить группу, нажмите Сохранить.
- Измените приоритет группы, перетащив ее вверх или вниз по списку.
- Чтобы задать для группы приоритет 1, перетащите ее на вторую строку в списке, а затем опустите вниз группу, находящуюся на первой строке. Также можно ввести число в поле приоритета или выбрать его с помощью кнопок со стрелками.
- Если у вас меньше четырех групп, при перетаскивании групп, которые содержат одних и тех же пользователей, для этих пользователей будут применены настройки группы с самым высоким приоритетом. Может появиться следующее предупреждение:
"Возможно, одним и тем же пользователям назначены несколько правил"
Это общее предупреждение появляется, если вы добавляете или удаляете любую группу конфигурации или изменяете ее приоритет, даже если в группах нет одинаковых участников.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Для выполнения дальнейших инструкций вам потребуются права администратора для управления группами, организационными подразделениями верхнего уровня и настройками сервисов.
- В консоли администратора откройте страницу настроек приложения.
- В левом верхнем углу нажмите Пользователи.
- Нажмите Выберите пользователя и воспользуйтесь поиском, указав адрес пользователя, а не его имя.
- Выберите пользователя, чтобы посмотреть настройки для него. Под названием настройки можно нажать на группу конфигурации или организационное подразделение, которые определяют настройки для пользователя.
Примечание. В организационном подразделении пользователя для настройки сервиса не будет указан статус Переопределено. Статусы Переопределено и Унаследовано определяются настройками только организационного подразделения, а не групп конфигурации.
Не показан список групп
- Функция групп конфигурации может быть недоступна для сервиса. Проверьте таблицу со списком в начале этой статьи.
- В вашей версии Google Workspace может быть недоступна настройка Диска и регионов хранения данных с помощью групп конфигурации.
В списке групп нет группы конфигурации
- Возможно, группа была создана в Google Группах. Попробуйте создать ее в консоли администратора.
- Возможно, это динамическая группа без ярлыка "Группа безопасности". Подробнее…
- Убедитесь, что у вас есть права администратора для доступа к группам.
- Возможно, вы используете псевдоним группы, а не ее название.
- Попробуйте обновить страницу настроек. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
- Выполните поиск по адресу электронной почты группы, а не по ее названию.
У пользователя неправильные настройки сервисов
- Проверьте, в каких группах состоит пользователь. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
- Найдите группу конфигурации, которая определяет настройки для пользователя. Если пользователь входит в несколько групп конфигурации, вам может потребоваться изменить приоритет групп или параметры участия пользователя в них.
- Возможно, у пользователя нет лицензии на продукт, которая необходима для использования этой функции. Некоторые функции доступны только в определенных версиях.
Когда вы настраиваете сервис с помощью групп конфигурации или меняете их приоритет, в журнал добавляется событие Изменение приоритета правил на основе групп для настройки приложения. В записи об этом событии используется название группы вместо ее адреса. Мы рекомендуем использовать похожие правила присвоения названий и для названия группы, и для адресов.
Например, можно использовать группу Ссылка кому угодно для настройки Диска "Доступ по ссылке".
Изменение приоритета правил на основе групп для настройки приложения
Приоритет правил на основе групп для настройки Доступ по ссылке приложений "Диск" и "Документы"
изменен на Ссылка кому угодно
При изменении приоритета групп в событии появится список групп, упорядоченный по возрастанию приоритета.
Изменение приоритета правил на основе групп для настройки приложения
Приоритет правил на основе групп для настройки Доступ по ссылке приложений "Диск" и "Документы"
изменен на Без ссылок < Ссылка пользователям < Ссылка кому угодно
В большинстве остальных событий используется похожий формат и для организационных подразделений, и для групп конфигурации. Префикс group_email обозначает группу конфигурации.
Например, вот так выглядит переопределение настроек для организационного подразделения:
Изменение настроек Диска
Значение параметра "PUBLISHING_TO_WEB" для Диска изменено с "INHERIT_FROM_PARENT" на "PUBLIC"
(org_unit_name: {Маркетинг})
Применение настроек с использованием группы конфигурации:
Изменение настроек Диска
Значение параметра "PUBLISHING_TO_WEB" для Диска изменено с "INHERIT_FROM_PARENT" на "PUBLIC"
(org_unit_name: {example.com}, group_email: {Drive_p02_share_external@example.com})
В записях о событиях, касающихся групп конфигурации, организационное подразделение верхнего уровня всегда указывается в строке org_unit_name.
