التحكم في الوصول إلى التطبيقات استنادًا إلى سياق المستخدم والجهاز

استخدام الوصول الواعي بالسياق مع مجموعات الضبط

التالي: أمثلة على الوصول الواعي بالسياق للوضع أساسي

يمكنك باستخدام مجموعات الضبط، تطبيق مستويات الوصول الواعية بالسياق على مجموعات المستخدمين بدلاً من الوحدات التنظيمية. يمكن أن تتضمن مجموعات الضبط مستخدمين من أي وحدة تنظيمية في شركتك. مثلاً، يمكنك السماح لفريق من المتعاقدين بالوصول إلى Gmail فقط على شبكة الشركة.

كيفية عمل مجموعات الضبط

يمكن أن تضم مجموعات الضبط جميع المستخدمين في مؤسستك. كما يمكنك إنشاء مجموعة ضبط تعمل بمثابة حاوية لمستويات الوصول، ثم إضافة مجموعات المستخدمين إليها (المجموعات المتداخلة).
يمكن أن ينتمي المستخدم إلى مجموعات ضبط متعددة، على عكس الوحدات التنظيمية. ويمكنك تحديد أولوية مجموعات الضبط، ويُطبق على المستخدم إعداد المجموعة ذات الأولوية القصوى التي ينتمي إليها.
تلغي إعدادات مستوى وصول مجموعة المستخدم إلى تطبيق دائمًا إعدادات مستوى وصول وحدته التنظيمية.
إذا لم تحدد مجموعة الضبط مستوى الوصول لتطبيق، يستخدم التطبيق مستوى الوصول الذي تم إعداده للوحدة التنظيمية للمستخدم.

تصميم مجموعات الضبط للوصول الواعي بالسياق

فتح الكل | إغلاق الكل

تعمل مجموعات الضبط بشكل مختلف قليلاً مع الوصول الواعي بالسياق مقارنةً بإعدادات Google Workspace الأخرى. معلومات ونصائح أثناء إعداد المجموعات والسياسات:

خيارات مجموعات الضبط

عادةً ما تلجأ إلى تحديد مستويات الوصول للوحدات التنظيمية، ثم تحديد مستويات الوصول المُخصَّصة لمجموعات الضبط. مثلاً، يمكنك إعداد مجموعتي الضبط "الوصول المفتوح" أو "الوصول المحدود" بحيث يمكنك منح حق الوصول لمستخدمين معيّنين أو تقييده بسرعة.

ستستخدم عادةً تشكيلة متنوعة من مجموعات الضبط:

استخدام مجموعات المستخدمين الحالية

يمكنك ضبط مستوى الوصول لكل تطبيق (مثلاُ، Gmail أو Google Drive) في مجموعة المستخدمين. في حال كان المستخدم ينتمي إلى مجموعات متعددة، يمكنك اختيار المجموعة التي تحدِّد إعدادات المستخدم (الموضحة لاحقًا في قسم الأولوية).

يُفضّل تطبيق مستويات الوصول على مجموعات المستخدمين مباشرةً في الحالات التالية:

اختبار الوصول الواعي بالسياق
إدارة الوصول لمجموعات مُحدَّدة من المستخدمين، مثل فريق تكنولوجيا المعلومات أو فريق مُحدَّد لمهمة عن بُعد
المؤسسات التي تضم أقل من 50 مستخدمًا أو عددًا قليلاً من مستويات الوصول. لست بحاجة إلى إنشاء مزيد من المجموعات ويمكنك تحسين الإعدادات لكل مجموعة مستخدمين بدقة.

إنشاء مجموعات ضبط استنادًا إلى مستويات الوصول

بدلاً من ذلك، يمكنك تخصيص مستويات الوصول إلى المجموعات. كما يمكنك إنشاء مجموعة ضبط وتحديد مستويات الوصول لتطبيق واحد أو عدة تطبيقات. يمكنك بعد ذلك إضافة مجموعات المستخدمين بصفتهم أعضاءً في مجموعة الضبط.

قد تجد المؤسسات الأكبر حجمًا هذا المنهج مفيدًا لإدارة سياسات مجموعات الوصول والأولويات (الموضّحة أدناه).

آلية عمل الأولوية مع مستويات الوصول

في حال كان المستخدم ينتمي إلى مجموعات ضبط متعددة، يمكنك اختيار مجموعة الضبط التي يكون لها الأولوية في تحديد مستوى الوصول لتطبيق المستخدم.

ضمن "وحدة تحكُّم المشرف"، تظهر المجموعات مرتبة من الأولوية القصوى إلى الأولوية الدنيا. تحظى مجموعة الضبط الجديدة دائمًا بأولوية أدنى، وتتم إضافتها إلى أسفل قائمة مجموعات الضبط.

أولوية الوصول الواعي بالسياق

يُطبق على المستخدم إعدادات المجموعة ذات الأولوية القصوى من المجموعات التي ينتمي إليها. إذا لم يكن لدى المجموعة مستوى وصول لتطبيق معيّن، يُطبق مستوى وصول المجموعة ذات الأولوية القصوى التالية للمستخدم، وهكذا.

يمكنك الرجوع إلى "وحدة تحكُّم المشرف" لمعرفة المجموعة أو الوحدة التنظيمية التي تحدد مستوى وصول المستخدم إلى التطبيق. في المثال التالي، تضع المجموعة "أمان Drive" إمكانية وصول المستخدم إلى Drive.

تطبيقات المستخدم	مستويات الوصول	مكتسب من
تقويم Google	شبكة الشركة	الوحدة التنظيمية: المبيعات
Google Drive	شبكة الشركة، أمان الجهاز	المجموعة: أمان Google Drive
Gmail	أمان الجهاز	الوحدة التنظيمية: المبيعات
Google Vault	<بلا>	<بلا>

بالنسبة إلى عناصر التحكُّم الدقيقة، يمكنك استخدام المجموعات لتخصيص مستويات الوصول لكل تطبيق، مثل:

تطبيقات المستخدم	مستويات الوصول	مكتسب من
تقويم Google	شبكة الشركة	الوحدة التنظيمية: المبيعات
Google Drive	شبكة الشركة، أمان الجهاز	المجموعة: أمان Google Drive
Gmail	أمان الجهاز، الموقع الجغرافي هو كندا	المجموعة: أمريكا الشمالية
Google Vault	جهاز محظور، شبكة الشركة	المجموعة: مُحقّق Google Vault

تطبيق مجموعات الضبط

يرجى مراعاة تخصيص أولوية عالية لمجموعات الضبط الهامة أو الحساسة. مثلاً، قد تكون المجموعة ذات الأولوية القصوى هي مجموعة "وصول عاجل" تلغي إعدادات أي مجموعات تحدّ من إمكانية الوصول.
لا تُضاف مستويات الوصول إلى جميع مجموعات المستخدم. في هذا المثال، ينتمي المستخدم إلى 3 مجموعات مستخدمين، ولكن مجموعة الضبط ذات الأولوية القصوى "الجهاز" هي التي تحدد مستوى وصوله.

تخطيط مجموعات الضبط وتصميمها

قد تستغرق خطوة التخطيط لبنية مجموعة الضبط معظم الوقت وأغلب عملية المراجعة.

تسمية المجموعات والبحث عنها

ضع معيارًا لتسمية المجموعات لتسهيل عملية البحث ومنح الأولويات والتدقيق. مثلاً، يمكنك إضافة بادئة مثل "caa" للإشارة إلى مجموعة الضبط الواعية بالسياق. ويمكنك أيضًا استخدام الخانة العشرية لتجنب تعديل أسماء المجموعات الحالية عند إضافة مجموعة ضبط.

			البحث حسب عنوان المجموعة
			عرض قائمة المجموعات

البحث عن مجموعة: قد تحتاج إلى إعداد معيار تسمية يتضمن اسم الإعداد ورقم الأولوية، على سبيل المثال:

caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com

عرض المجموعات: تعرض لوحة "المجموعات" اسم المجموعة (بحد أقصى 37 حرفًا) بترتيب الأولوية. يمكنك الإشارة إلى مجموعة لعرض اسمها الكامل. مثل:

CAA p0.0 - Unrestricted access all apps
CAA p1.0 - Lockdown access
CAA p3.0 - Gmail IP corp & device security
CAA p3.1 - Gmail IP corp

ترتيب المجموعات

لتتبع الأولوية والإعدادات:

يمكنك تخصيص الأولوية القصوى للمجموعات التي تنطبق على أقل عدد من المستخدمين أو المسؤولة عن وضع السياسات الهامة (مثل "الوصول المحدود" أو "الوصول المُطلَق").
يُرجى مراعاة الأولوية في بنية مجموعتك ومراقبة المجموعات المتداخلة بشدة، وهذا ما يشكل صعوبة في تتبع الإعدادات.

إنشاء المجموعات

عليك استخدام المجموعات التي تم إنشاؤها في وحدة تحكم المشرف أو "واجهة برمجة تطبيقات الدليل" أو "أداة مزامنة دليل Google Cloud". لا يمكن استخدام المجموعات التي تم إنشاؤها في "مجموعات Google" على أنها مجموعات ضبط. (لا تعرض وحدة تحكم المشرف ما إذا تم إنشاء المجموعة في "مجموعات Google" أو لا).

يمكنك إدارة مجموعة الضبط في أي أداة. ويمكنك إعداد أذونات صارمة لإضافة مستخدمين أو حذفهم أو إيقاف النشر إلى المجموعة أو منع المستخدمين من مغادرة المجموعة (متوفر في واجهة برمجة تطبيقات "مجموعات Google" فقط).

إعداد مجموعات الضبط

فتح الكل | إغلاق الكل

قبل البدء: يمكنك تحديد مستويات الوصول الواعي بالسياق وإنشاء مجموعات ضبط خاصة بك (ويُفضَّل أن تحتوي على حساب تجريبي واحد أو حسابين).

الخطوة 1. تطبيق مجموعة ضبط

لتنفيذ هذه الخطوة، تحتاج إلى امتيازات المشرف لكل من "مجموعات Google" و"الوحدات التنظيمية" (ذات المستوى الأعلى) وإدارة مستويات الوصول وإدارة القواعد لأمان البيانات.

سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة الأمانالتحكُّم في البيانات والوصولالوصول الواعي بالسياق.
انقر على تحديد مستويات الوصول لعرض قائمة بالتطبيقات.
في قسم الوصول الواعي بالسياق، انقر على المجموعات.
حدِّد أحد الخيارات التالية:
- انقر على تطبيق. يتم عرض أي مجموعات ضبط حالية تم إعداد مستوى وصول لها لتطبيقك، وذلك بترتيب الأولوية.
- انقر على البحث عن مجموعة لمراجعة قائمة بجميع المجموعات، وليس مجموعات الضبط فقط. يمكنك إضافة نص لفلترة النتائج.
انقر على المجموعة. يسرد جدول التطبيقات جميع التطبيقات مع إعدادات مستوى الوصول الخاص بها.
- في حال لم تعثر على مجموعتك، قد يكون تم إنشاؤها في مجموعات Google. يجب إنشاء مجموعات ضبط في وحدة تحكُّم المشرف أو "واجهة برمجة تطبيقات الدليل" أو "أداة مزامنة دليل Google Cloud".
- يمكنك البدء من خلال إضافة مجموعات الضبط من الأولوية القصوى إلى الأولوية الدنيا. وعند إضافة مجموعة جديدة، يتم وضعها في الأولوية الدنيا.
انقر على تطبيق واحد أو أكثر، ثم اختَر تحديد .
اختَر مستويات الوصول للتطبيق في المجموعة، ثم انقر على حفظ. لا يتم تخصيص أي مستويات وصول للمجموعة الجديدة تلقائيًا.

للمؤسسات التي لها أنواع متعددة من تراخيص Google Workspace: لا تنطبق مستويات الوصول إلى المجموعة إلا على المستخدمين الذين تم تخصيص إصدار Google Workspace يتضمن التحكم في الوصول الواعي بالسياق.

الخطوة 2: مراجعة مستويات وصول مستخدم

سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة الأمانالتحكُّم في البيانات والوصولالوصول الواعي بالسياق.
ضمن "وحدة تحكُّم المشرف"، انتقِل إلى صفحة الإعدادات للتطبيق.
في أعلى يمين الصفحة، انقر على المستخدمون.
انقر على اختيار مستخدم وأدخِل عنوان المستخدم (وليس الاسم).
اختَر المستخدم لعرض إعدادات تطبيقاته. يعرض العمود مكتسب من مجموعة الضبط أو الوحدة التنظيمية التي حددت إعدادات المستخدم.
أشِر إلى تطبيق وانقر على عرض للحصول على تفاصيل عن مستويات وصول المستخدم.

ملاحظة: في حال ظهور وحدة تنظيمية، يعني ذلك أن مستويات الوصول المكتسبة تستند إلى إعداد الوحدة التنظيمية فقط، وليس إلى إعداد مجموعات ضبط.

إزالة مجموعة ضبط

سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة الأمانالتحكُّم في البيانات والوصولالوصول الواعي بالسياق.
انقر على تحديد مستويات الوصول لعرض قائمة بالتطبيقات.
على يمين الشاشة، انقر على المجموعات. يتم عرض قائمة مجموعات الضبط بترتيب الأولوية.
انقر على المجموعة المراد إزالتها.
أولاً، يمكنك إلغاء تحديد جميع مستويات الوصول من كل التطبيقات في المجموعة. في لوحة التطبيقات، تحقَّق من كل تطبيق على حدة للتأكُّد من إلغاء اختيار جميع مستويات الوصول.
انقر على تخصيص.
انقر على إزالة العلامة من جميع المربّعات
انقر على حفظ.

لن تظهر مجموعة الضبط في قائمة "مجموعات Google" بعد الآن. قد يستغرق تطبيق التغييرات مدة تصل إلى 24 ساعة، ولكن عادةً ما يتم تطبيقها بسرعة أكبر. مزيد من المعلومات

تعديل مجموعة الضبط

سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة الأمانالتحكُّم في البيانات والوصولالوصول الواعي بالسياق.
انقر على تحديد مستويات الوصول لعرض قائمة بالتطبيقات.
على يمين الشاشة، انقر على المجموعات. يتم عرض قائمة مجموعات الضبط بترتيب الأولوية.
انقر على المجموعة لتعديلها.
على يسار الصفحة، اختَر التطبيقات التي تريد تعديلها أو إضافتها أو إزالتها.
انقر على تخصيص.
عدِّل عمليات تحديد المستوى للمجموعة.
انقر على حفظ.

قد يستغرق تطبيق التغييرات مدة تصل إلى 24 ساعة، ولكن عادةً ما يتم تطبيقها بسرعة أكبر. مزيد من المعلومات

تحديد المشاكل وحلّها

عدم ظهور مجموعة الضبط في قائمة "المجموعات"

قد تكون المجموعة أنُشئت في "مجموعات Google". جرّب إنشاء مجموعة في وحدة تحكُّم المشرف.
ابحث عن عنوان البريد الإلكتروني للمجموعة بدلاً من اسم المجموعة.
جرّب إعادة تحميل صفحة الإعدادات. قد يستغرق تطبيق التغييرات مدة تصل إلى 24 ساعة، ولكن عادةً ما يتم تطبيقها بسرعة أكبر. مزيد من المعلومات
تحقّق من أنك تمتلك امتيازات المشرف لخدمة "مجموعات Google".

عدم حصول المستخدم على مستوى الوصول الصحيح

التحقُّق من عضوية مجموعة المستخدم. قد يستغرق تطبيق التغييرات مدة تصل إلى 24 ساعة، ولكن عادةً ما يتم تطبيقها بسرعة أكبر. مزيد من المعلومات
ابحث عن مجموعات الضبط التي تحدِّد إعدادات المستخدم. وفي حال كان المستخدم ينتمي إلى مجموعات ضبط متعددة، قد تحتاج إلى تغيير أولوية المجموعة أو عضوية المستخدم بالمجموعة.
قد لا يحصل المستخدم على ترخيص المنتج للميزة. يتوفر الوصول الواعي بالسياق مع إصدارات معينة من Google Workspace.
إذا لم يتمكن المستخدم من الوصول إلى التطبيق، قد يكون مستوى الوصول المُحدَّد للتطبيق محذوفًا. يُرجى الاطِّلاع على إزالة مستوى وصول محذوف.

مراجعة تغييرات سجلّ التدقيق

راجع هذه الأحداث في سجلّ تدقيق المشرف للاطِّلاع على تغييرات إعدادات مجموعة الضبط:

الحدث: تغيير عمليات التحديد المتعلقة بالتطبيقات لمستوى الوصول الواعي بالسياق

تسجيل حالات تطبيق مجموعة ضبط أو إزالتها. يستخدم الحدث اسم المجموعة، حتى يمكنك استخدام معيار تسمية مشابه لكلٍ من اسم المجموعة وعنوانها.

البيانات المضمنة في حدث مجموعة:

تم تغييرات عمليات تحديد مستوى الوصول من []
إلى [مستويات الوصول]. (اسم_التطبيق: {التطبيق}, اسم_المجموعة: {مجموعة الضبط})

مثلاَ، يمكنك تطبيق مجموعة الضبط الوصول المحلي CAA02 على تطبيق:

ثم تغيير عمليات تحديد مستوى الوصول من [] إلى [عنوان IP للشركة، الجهاز].
اسم_التطبيق: {GMAIL }، اسم_المجموعة: {الوصول المحلي CAA.02}

عند إزالة مجموعة الضبط من تطبيق:

تم تغيير عمليات تحديد مستوى الوصول من [عنوان IP للشركة، الجهاز] إلى [].
(اسم _التطبيق: {GMAIL}، اسم_المجموعة: {الوصول المحلي CAA.02}

فهم الوحدات التنظيمية ومجموعات الضبط المكتسبة والمجموعات

في حالة إجراء أي تغييرات على مستوى الوصول المحلي في مجموعة أو وحدة تنظيمية فرعية، فإنها لا تملك سوى مستويات الوصول المحلية السارية ولا تكتسب أي مستويات وصول من المؤسسة الرئيسية.

في حال إزالة جميع مستويات الوصول المحددة محليًا لاستعادة مستويات الوصول المكتسبة في البداية، لن يكون لدى المؤسسة الفرعية سوى مستويات الوصول المكتسبة.

على سبيل المثال، بالنسبة إلى الوحدات التنظيمية، إذا تم تخصيص 3 مستويات وصول إلى تطبيق في الوحدة التنظيمية ذات المستوى الأعلى، يتم تحديد مستويات الوصول نفسها من خلال إضافتها إلى التطبيق في مؤسسة فرعية إذا لم تكن الوحدة التنظيمية الفرعية متاحة في التخصيص المحلي. وإذا أضفت بعد ذلك مستوى وصول إلى الوحدة التنظيمية الفرعية فقط، سيكون هو مستوى الوصول الوحيد الساري في الوحدة التنظيمية الفرعية.

إلغاء تحديد مستوى الوصول المكتسب من خلال سياسة فارغة.

لنفترض أنك لا تريد حظر أي وصول للمستخدم في مؤسسة فرعية - بدون تحديد مستوى الوصول. يمكنك إنشاء مستوى وصول يسمى "أي مستوى" باستخدام شروط الشبكة الفرعية 2 IP وربطها بمعامل OR:

نطاق الشبكة الفرعيةIPv4 0.0.0.0/0
أو
نطاق الشبكة الفرعية IPv6 0::/0

يحصل أي مستخدم في المؤسسة على الوصول من أي عنوان IPv4 أو IPv6.

تجاوز عمليات تخصيص مستويات الوصول من خلال مجموعات الضبط

يمكنك استخدام مجموعات الضبط لتخصيص مستويات الوصول إلى مجموعات من المستخدمين بدلاً من الوحدات التنظيمية. يتجاوز دائمًا مستوى وصول مجموعة المستخدم مستوى وصول وحدته التنظيمية. يمكن أن تتضمن المجموعات مستخدمين من أي وحدة تنظيمية في حسابك.

على سبيل المثال، ينتمي مستخدم إلى الوحدة التنظيمية والمجموعة 1. وكانت الوحدة التنظيمية هي ParentOU، التي تم تعيين مستوى الوصول X لها في Gmail و"تقويم Google" على حد سواء. ليس هناك تعيين مستوى وصول للمجموعة 1 لخدمة Gmail. هناك مستوى وصول Y مخصّص للمجموعة 1 في "تقويم Google". في هذه الحالة، يحصل المستخدم على المستوى X الذي تم تخصيصه لخدمة Gmail (من خلال الاكتساب) وY ليتم تخصيصه لـ "تقويم Google" (من خلال إلغاء السياسة المحلية).

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟