Contrôler l'accès aux applications en fonction du contexte d'un utilisateur et d'un appareil

Utiliser l'accès contextuel avec des groupes de configuration

Les groupes de configuration vous permettent d'appliquer des niveaux d'accès contextuel à des groupes d'utilisateurs plutôt qu'à des unités organisationnelles. Les groupes de configuration peuvent inclure des utilisateurs appartenant à n'importe quelle unité organisationnelle de votre entreprise. Par exemple, vous pouvez autoriser des sous-traitants à accéder à Gmail uniquement sur votre réseau d'entreprise.

Comment fonctionnent les groupes de configuration ?

  • Les groupes de configuration peuvent contenir tous les utilisateurs de votre organisation. Vous pouvez également créer un groupe de configuration servant de conteneur pour les niveaux d'accès, puis ajouter vos groupes d'utilisateurs (groupes imbriqués).

  • Contrairement aux unités organisationnelles, un utilisateur peut appartenir à plusieurs groupes de configuration. Vous définissez la priorité de ces groupes, et l'utilisateur bénéficie ainsi des paramètres du groupe (dont il fait partie) ayant la priorité la plus haute.

  • Le niveau d'accès du groupe d'un utilisateur pour une application prévaut toujours sur le niveau d'accès de son unité organisationnelle.

  • Si un groupe de configuration ne spécifie pas de niveau d'accès pour une application, elle utilise le niveau d'accès défini par l'unité organisationnelle de l'utilisateur.

Configurer des groupes de configuration pour l'accès contextuel

Tout ouvrir | Tout fermer

Pour l'accès contextuel, le fonctionnement des groupes de configuration est légèrement différent de celui des autres paramètres Google Workspace. Lorsque vous définissez vos groupes et vos règles, suivez ces informations et conseils :

Options pour les groupes de configuration

En général, vous devez définir des niveaux d'accès pour les unités organisationnelles, puis des niveaux d'accès personnalisés pour les groupes de configuration. Par exemple, vous pouvez disposer de groupes de configuration avec le paramètre "Accès ouvert" ou "Accès bloqué" afin de pouvoir rapidement autoriser ou restreindre l'accès d'utilisateurs précis.

En général, vous devez utiliser une combinaison de groupes de configuration :

Utiliser vos groupes d'utilisateurs existants

Vous définissez le niveau d'accès pour chaque application (Gmail ou Google Drive, par exemple) au sein du groupe d'utilisateurs. Si un utilisateur appartient à plusieurs groupes, vous devez définir le groupe déterminant ses paramètres (décrits ultérieurement dans la section Définir la priorité des groupes de configuration).

L'application de niveaux d'accès directement aux groupes d'utilisateurs constitue une bonne solution pour :

  • tester l'accès contextuel ;
  • gérer l'accès pour des groupes d'utilisateurs spécifiques tels que le personnel informatique ou une équipe en mission à distance ;
  • gérer l'accès des organisations comptant moins de 50 utilisateurs ou un petit nombre de niveaux d'accès. Il n'est pas utile de créer d'autres groupes, et vous pouvez régler les paramètres pour chaque groupe d'utilisateurs.

Créer des groupes de configuration en fonction des niveaux d'accès

Vous pouvez également attribuer des niveaux d'accès à des groupes. Par exemple, créez un groupe de configuration et attribuez-lui des niveaux d'accès pour une ou plusieurs applications. Ensuite, ajoutez des groupes d'utilisateurs en tant que membres du groupe de configuration.

Les organisations de grande taille peuvent trouver cette approche utile pour gérer les règles et les priorités des groupes d'accès (décrites ci-dessous).

Fonctionnement de la priorité avec les niveaux d'accès

Lorsqu'un utilisateur appartient à plusieurs groupes de configuration, vous définissez quel groupe de configuration est prioritaire pour déterminer l'accès de l'utilisateur à l'application.

Dans la console d'administration Google, vous devez d'abord sélectionner une application afin d'afficher la liste correspondante de priorités relatives aux groupes. Les groupes sont listés de la priorité la plus haute à la priorité la plus basse. Un nouveau groupe de configuration est toujours associé à la priorité la plus basse : il figure donc en bas de la liste.

Ordre de priorité pour l'accès contextuel

Les paramètres du groupe ayant la priorité la plus haute s'appliquent aux comptes utilisateur. Si le groupe ne dispose d'aucun niveau d'accès pour une application donnée, le niveau d'accès appliqué est celui associé au groupe ayant la deuxième plus haute priorité dont l'utilisateur fait partie, et ainsi de suite.

Dans la console d'administration, vous pouvez vérifier quel groupe ou quelle unité organisationnelle ont déterminé le niveau d'accès d'un utilisateur à l'application. Dans l'exemple ci-dessous, le groupe Sécurité Drive définit l'accès de l'utilisateur à Drive.

Applications de l'utilisateur Niveaux d'accès Hérité de
Calendar icon Google Agenda Réseau de l'entreprise Unité organisationnelle : service commercial
Drive icon Drive Réseau de l'entreprise, Sécurité des appareils Groupe : Sécurité Drive
Gmail icon Gmail Sécurité de l'appareil Unité organisationnelle : service commercial
Google Vault icon. Google Vault <aucun> <aucun>
 

Pour un contrôle plus précis, vous pouvez personnaliser les niveaux d'accès à chaque application à l'aide de groupes. Voici quelques exemples :

 
Applications de l'utilisateur Niveaux d'accès Hérité de
Calendar icon Google Agenda Réseau de l'entreprise Unité organisationnelle : service commercial
Drive icon Drive Réseau de l'entreprise, Sécurité des appareils Groupe : Sécurité Drive
Gmail icon Gmail Sécurité des appareils, zone France Groupe : Europe
Google Vault icon. Google Vault Appareil limité, réseau de l'entreprise Groupe : Enquêteur Vault

Appliquer une priorité aux groupes de configuration 

  • Il est judicieux de définir une priorité haute pour les groupes de configuration critiques ou sensibles. Par exemple, le groupe dont la priorité est la plus haute peut être un groupe "Accès d'urgence" qui remplace tous les groupes limitant l'accès. 
     

  • Les niveaux d'accès ne sont pas appliqués aux groupes d'un utilisateur. Dans cet exemple, un utilisateur appartient à trois groupes d'utilisateurs, mais seul son groupe de configuration Appareil ayant la priorité la plus haute définit son niveau d'accès. 
     

 

Planifier et concevoir des groupes de configuration

Planifier la structure de vos groupes de configuration est probablement la tâche qui nécessite le plus de temps et de vérifications. 

Rechercher des groupes et leur attribuer un nom

Définissez une convention pour nommer vos groupes. Les recherches, hiérarchisations et audits seront ainsi plus faciles. Par exemple, vous pouvez ajouter un préfixe tel que caa aux noms des groupes de configuration pour l'accès contextuel. Utiliser une décimale permettra également d'éviter de modifier les noms de groupes existants lorsque vous ajoutez un groupe de configuration.

  1. Rechercher par adresse de groupe
  2. Afficher la liste des groupes
     
     
     
  • Rechercher un groupe : vous pouvez définir une convention de dénomination qui inclut le nom du paramètre et le numéro de priorité. Exemple :

caa_p0.0_acces_illimite@exemple.com
caa_p1.0_acces_bloque@exemple.com
caa_p3.0_IP_Gmail_appareil@exemple.com
caa_p3.1_IP_Gmail@exemple.com

  • Afficher les groupes : le panneau "Groupes" affiche le nom du groupe (37 caractères maximum) dans l'ordre de priorité. Son nom complet s'affiche lorsque vous placez le curseur dessus. Exemple :

CAA p0.0 - Accès illimité à toutes les applications
CAA p1.0 - Accès bloqué
CAA p3.0 - IP Gmail entreprise et Sécurité des appareils
CAA p3.1 - IP Gmail entreprise

Organiser les groupes

Pour effectuer le suivi de la priorité et des paramètres, procédez comme suit :

  • Vous pouvez définir la priorité la plus haute pour des groupes qui s'appliquent au plus petit nombre d'utilisateurs ou qui définissent des règles sensibles telles que "Accès bloqué" ou "Accès complet".
  • Tenez compte de la priorité dans la structure de votre groupe et vérifiez la présence de groupes profondément imbriqués, qui peuvent compliquer le suivi des paramètres.

Créer des groupes

Vous devez utiliser les groupes créés dans la console d'administration, l'API Directory ou Google Cloud Directory Sync. Les groupes créés dans Google Groupes ne peuvent pas être utilisés en tant que groupes de configuration. (La console d'administration n'indique pas si un groupe a été créé dans Google Groupes.)

Vous pouvez gérer le groupe de configuration dans n'importe quel outil. Vous pouvez définir des autorisations strictes pour ajouter ou supprimer des comptes utilisateur, désactiver la publication dans le groupe ou empêcher les utilisateurs de le quitter (disponible uniquement dans l'API Groups).

Configurer des groupes de configuration

Tout ouvrir | Tout fermer

Avant de commencer : définissez les niveaux d'accès contextuel et créez vos groupes de configuration (en y ajoutant un ou deux comptes test, si possible).

Étape 1 : Appliquez un groupe de configuration

Vous devez disposer des droits d'administrateur "Groupes", "Unités organisationnelles" (organisation racine) et "Accès contextuel" avec les options "Gestion des niveaux d'accès" et "Attribution des niveaux d'accès".

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Accès contextuel.
  3. Cliquez sur Attribuer des niveaux d'accès pour afficher la liste des applications.
  4. Dans la section Accès contextuel, cliquez sur Groupes.
  5. Sélectionnez une option :
    • Cliquez sur une application. Tous les groupes de configuration existants auxquels un niveau d'accès a été attribué pour votre application sont répertoriés par ordre de priorité. 
    • Cliquez sur Rechercher un groupe pour consulter la liste de tous les groupes, et pas seulement les groupes de configuration. Vous pouvez taper du texte pour filtrer les résultats.
  6. Cliquez sur le groupe. Le tableau des applications liste toutes les applications, ainsi que leurs niveaux d'accès attribués.
     
    • Si vous ne trouvez pas votre groupe, il a peut-être été créé dans Google Groupes. Vous devez créer les groupes de configuration dans la console d'administration, l'API Directory ou Google Cloud Directory Sync.
    • Commencez par ajouter vos groupes de configuration en démarrant par la priorité la plus haute et en terminant par la plus basse. Lorsque vous ajoutez une stratégie de groupe pour une application, elle est associée à la priorité la plus basse.
  7. Cliquez sur une ou plusieurs applications, puis sur Attribuer.
  8. Sélectionnez les niveaux d'accès du groupe pour l'application, puis cliquez sur Enregistrer. Par défaut, aucun niveau d'accès n'est attribué aux nouveaux groupes.



    Pour les organisations possédant plusieurs types de licences Google Workspace : les niveaux d'accès du groupe s'appliquent uniquement aux comptes utilisateur disposant d'une édition Google Workspace incluant le contrôle de l'accès contextuel.
Étape 2 : Vérifiez les niveaux d'accès d'un utilisateur

Vous devez disposer des droits d'administrateur "Groupes", "Unités organisationnelles" (organisation racine) et "Accès contextuel" avec les options "Gestion des niveaux d'accès" et "Attribution des niveaux d'accès".

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Accès contextuel.
  3. Dans la console d'administration, accédez à la page des paramètres de l'application.
  4. En haut à gauche, cliquez sur Utilisateurs.
  5. Cliquez sur Sélectionner un utilisateur, puis saisissez son adresse, et non son nom.
  6. Sélectionnez-le pour afficher ses paramètres concernant les applications. La colonne Hérité de indique le groupe de configuration ou l'unité organisationnelle qui a déterminé les paramètres de l'utilisateur.
  7. Placez le curseur sur une application et cliquez sur Afficher pour en savoir plus sur les niveaux d'accès de l'utilisateur.

Remarque : Lorsque vous affichez une unité organisationnelle, les niveaux hérités correspondent uniquement aux paramètres d'une unité organisationnelle, et non à ceux des groupes de configuration.

Supprimer un groupe de configuration

Vous devez disposer des droits d'administrateur "Groupes", "Unités organisationnelles" (organisation racine) et "Accès contextuel" avec les options "Gestion des niveaux d'accès" et "Attribution des niveaux d'accès".

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Accès contextuel.
  3. Cliquez sur Attribuer des niveaux d'accès pour afficher la liste des applications.
  4. Sur la gauche, cliquez sur Groupes
  5. Cliquez sur le groupe que vous souhaitez supprimer.
  6. Tout d'abord, vous devez retirer au groupe l'ensemble de ses niveaux d'accès pour toutes les applications. Dans le panneau Applications, examinez chaque application une par une pour vérifier que le groupe ne bénéficie plus d'aucun accès.

  7. Cliquez sur Attribuer.
  8. Cliquez sur Tout décocher.
  9. Cliquez sur Enregistrer.
Le groupe de configuration ne figure plus dans la liste des groupes. Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
Modifier un groupe de configuration

Vous devez disposer des droits d'administrateur "Groupes", "Unités organisationnelles" (organisation racine) et "Accès contextuel" avec les options "Gestion des niveaux d'accès" et "Attribution des niveaux d'accès".

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Accès contextuel.
  3. Cliquez sur Attribuer des niveaux d'accès pour afficher la liste des applications.
  4. Sur la gauche, cliquez sur Groupes
  5. Recherchez le groupe à modifier. 
  6. Sur la droite, sélectionnez les applications que vous souhaitez modifier, ajouter ou supprimer.
  7. Cliquez sur Attribuer.
  8. Mettez à jour les paramètres de niveau du groupe.
  9. Cliquez sur Enregistrer.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Dépannage

Le groupe de configuration ne s'affiche pas dans la liste des groupes

  • Le groupe a peut-être été créé dans Google Groupes. Essayez de créer un groupe dans la console d'administration.
  • Recherchez l'adresse e-mail du groupe plutôt que son nom.
  • Essayez d'actualiser la page "Paramètres". Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
  • Vérifiez que vous disposez bien des droits d'administrateur pour Groupes.

Un utilisateur ne dispose pas du bon niveau d'accès

  • Vérifiez l'appartenance de l'utilisateur au groupe. Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus
  • Recherchez le groupe de configuration qui détermine les paramètres utilisateur. Si l'utilisateur appartient à plusieurs groupes de configuration, vous devrez peut-être modifier la priorité du groupe ou les adhésions de l'utilisateur.
  • Il se peut que l'utilisateur ne dispose pas de la licence produit pour cette fonctionnalité. L'accès contextuel est disponible dans certaines éditions de Google Workspace.
  • Si l'utilisateur ne peut pas accéder à une application, il est possible qu'un niveau d'accès supprimé lui ait été attribué. Pour en savoir plus, consultez les sections décrivant comment annuler l'attribution des niveaux d'accès supprimés.
Examiner les modifications dans le journal d'audit

Pour modifier les paramètres du groupe de configuration, examinez les événements suivants dans le journal d'audit de la console d'administration :

ÉVÉNEMENT : modification apportée aux attributions de niveaux d'accès contextuel pour une application spécifique

Cet événement est consigné lorsque vous appliquez ou supprimez un groupe de configuration. Dans la mesure où il utilise le nom du groupe, vous pouvez utiliser une convention similaire pour attribuer un nom et une adresse à votre groupe.

Un événement de groupe inclut les données suivantes :

Les attributions de niveaux d'accès []
ont été remplacées par [niveaux d'accès]. (nom_application : {application}, nom_groupe : {groupe de configuration})

Par exemple, vous appliquez le groupe de configuration CAA.02 accès local à une application :

Les attributions de niveaux d'accès [] ont été remplacées par [IP de l'entreprise, appareil].
(nom_application : {GMAIL }, nom_groupe : {CAA.02 accès local}

Lorsque vous supprimez le groupe de configuration d'une application :

Les attributions de niveaux d'accès [IP de l'entreprise, appareil] ont été remplacées par [].
(nom_application : {GMAIL }, nom_groupe : {CAA.02 accès local}

Comprendre le fonctionnement des unités organisationnelles, de l'héritage des groupes et des groupes de configuration

Si vous modifiez localement les niveaux d'accès d'une unité organisationnelle ou d'un groupe enfant, ceux-ci ne disposeront que des niveaux d'accès appliqués localement et n'hériteront d'aucun des niveaux d'accès de l'organisation parente.

Si vous supprimez tous les niveaux d'accès attribués localement pour rétablir les niveaux d'accès hérités initialement, l'unité organisationnelle enfant ne bénéficiera que des niveaux d'accès hérités.

Par exemple, si trois niveaux d'accès ont été attribués à une application de l'unité organisationnelle racine, les mêmes niveaux d'accès seront attribués par héritage à l'application d'une unité organisationnelle enfant si celle-ci ne s'est pas vue attribuer de niveaux d'accès localement. Si, par la suite, vous ajoutez un niveau d'accès uniquement dans l'unité organisationnelle enfant, il devient le seul niveau d'accès appliqué à celle-ci.

Remplacer les niveaux d'accès hérités par une règle "null"

Il est possible que vous ne souhaitiez bloquer aucun accès utilisateur dans une unité organisationnelle enfant, et donc n'attribuer aucun niveau d'accès. Créez alors un niveau d'accès appelé "Tout", comportant deux conditions de sous-réseau IP que vous associez avec la relation logique "OU" :

  • Plage de sous-réseaux IPv4 0.0.0.0/0
    OU
  • Plage de sous-réseaux IPv6 0::/0

Ainsi, un utilisateur de l'organisation pourra accéder aux applications depuis n'importe quelle adresse IPv4 ou IPv6.

Remplacer les attributions de niveau d'accès par des groupes de configuration

Les groupes de configuration vous permettent d'attribuer des niveaux d'accès à des groupes d'utilisateurs plutôt qu'à des unités organisationnelles. Le niveau d'accès du groupe d'un utilisateur prévaut toujours sur celui de son unité organisationnelle. Ces groupes peuvent inclure des utilisateurs appartenant à n'importe quelle unité organisationnelle de votre compte.

Par exemple, un utilisateur appartient à l'unité organisationnelle "UOParente" et au groupe "Groupe1". "UOParente" bénéficie du niveau d'accès X à la fois pour Gmail et Agenda. Aucun niveau d'accès n'est associé à "Groupe1" pour Gmail. Toutefois, un niveau d'accès Y lui a été attribué pour Agenda. Dans ce cas, l'utilisateur dispose du niveau d'accès X attribué pour Gmail (par héritage) ainsi que du niveau d'accès Y attribué pour Agenda (qui prévaut sur la règle locale).

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
15055850121508628194
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false