Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

Zugriff auf Apps nach Nutzern und Gerätekontext steuern

Kontextsensitiven Zugriff mit Konfigurationsgruppen nutzen

Mit Konfigurationsgruppen können Sie kontextsensitive Zugriffsebenen auf Nutzergruppen statt auf Organisationseinheiten anwenden. Für solche Konfigurationsgruppen kommen Nutzer aus allen Organisationseinheiten in Ihrem Unternehmen infrage. Beispiel: Ein Team von Auftragnehmern soll nur in Ihrem Unternehmensnetzwerk auf Gmail zugreifen.

So funktionieren Konfigurationsgruppen

  • Konfigurationsgruppen können beliebige Nutzer in Ihrer Organisation enthalten. Sie haben die Möglichkeit, eine Konfigurationsgruppe zu erstellen, die als Container für Zugriffsebenen dient, und anschließend Ihre Nutzergruppen (verschachtelte Gruppen) hinzuzufügen.

  • Ein Nutzer kann mehreren Konfigurationsgruppen angehören, jedoch nicht mehreren Organisationseinheiten. Die Priorität der Konfigurationsgruppen legen Sie fest und für Nutzer gilt die Einstellung der Gruppe mit der höchsten Priorität.

  • Die Gruppenzugriffsebene eines Nutzers für eine App überschreibt immer die Zugriffsebene der betreffenden Organisationseinheit.

  • Wenn in einer Konfigurationsgruppe keine Zugriffsebene für eine App angegeben ist, wird die von der Organisationseinheit des Nutzers festgelegte verwendet.

Konfigurationsgruppen für kontextsensitiven Zugriff gestalten

Alle öffnen | Alle schließen

Konfigurationsgruppen funktionieren im Hinblick auf den kontextsensitiven Zugriff etwas anders als andere Google Workspace-Einstellungen. Hier finden Sie Informationen und Tipps zum Entwerfen Ihrer Gruppen und Richtlinien:

Optionen für Konfigurationsgruppen

Normalerweise definieren Sie Zugriffsebenen für Organisationseinheiten und legen dann benutzerdefinierte Zugriffsebenen für Konfigurationsgruppen fest. Beispiel: Sie haben Konfigurationsgruppen zum "Zugriff öffnen" oder "Zugriff sperren", sodass Sie schnell Zugriff für bestimmte Nutzer gewähren oder einschränken können. 

In der Regel verwenden Sie eine Kombination aus Konfigurationsgruppen:  

Vorhandene Nutzergruppen verwenden 

Sie legen die Zugriffsebene für jede App in der Nutzergruppe fest, z. B. für Gmail oder Google Drive. Wenn ein Nutzer mehreren Gruppen angehört, legen Sie fest, welche Gruppe die Einstellungen für ihn bestimmt. Das wird weiter unten im Abschnitt über die Prioritäten näher beschrieben.

Zugriffsebenen direkt auf Nutzergruppen anzuwenden, ist eine gute Option, wenn Sie Folgendes tun möchten:

  • Kontextbasierten Zugriff testen
  • Zugriff für bestimmte Nutzergruppen verwalten, z. B. für IT-Mitarbeiter oder ein Außenteam
  • Organisationen mit weniger als 50 Nutzern oder wenigen Zugriffsebenen verwalten. Sie müssen keine weiteren Gruppen erstellen und können Einstellungen für jede Nutzergruppe genau abstimmen.

Konfigurationsgruppen basierend auf Zugriffsebenen erstellen

Alternativ können Sie Gruppen auch Zugriffsebenen zuweisen. Sie erstellen dazu eine Konfigurationsgruppe und weisen Zugriffsebenen für eine oder mehrere Apps zu. Anschließend fügen Sie ihr Nutzergruppen als Mitglieder hinzu.

Für größere Organisationen ist dieser Ansatz womöglich hilfreich bei der Verwaltung von Zugriffsgruppenrichtlinien und -prioritäten (wie unten beschrieben).

So funktioniert die Priorität mit Zugriffsebenen

Wenn ein Nutzer zu mehreren Konfigurationsgruppen gehört, legen Sie fest, welche davon den App-Zugriff des Nutzers bestimmt.

In der Admin-Konsole werden seine Gruppen absteigend nach Priorität aufgelistet. Eine neue Konfigurationsgruppe hat immer die niedrigste Priorität und wird in einer Konfigurationsgruppenliste an unterster Stelle aufgeführt.

 

Priorität für kontextsensitiven Zugriff

Ein Nutzer erhält die App-Einstellungen der Gruppe mit der höchsten Priorität, der er angehört. Wenn die Gruppe keine Zugriffsebene für eine bestimmte App hat, wird die Zugriffsebene der Gruppe mit der nächsthöheren Priorität verwendet usw.

In der Admin-Konsole können Sie nachsehen, welche Gruppe oder Organisationseinheit die App-Zugriffsebene eines Nutzers bestimmt hat. Im Beispiel unten wurde mit der Gruppe Drive-Sicherheit der Google Drive-Zugriff des Nutzers festgelegt.

Apps des Nutzers Zugriffsebenen Übernommen von
Calendar icon Google Kalender Unternehmensnetzwerk Organisationseinheit: Vertrieb
Drive icon Google Drive Unternehmensnetzwerk, Gerätesicherheit Gruppe: Drive-Sicherheit
Gmail icon Gmail Gerätesicherheit Organisationseinheit: Vertrieb
Google Vault icon. Google Vault <keine> <keine>
 

Wenn Sie detailliertere Einstellungen brauchen, können Sie die Zugriffsebenen für jede App mithilfe von Gruppen anpassen. Beispiel:

 
Apps des Nutzers Zugriffsebenen Übernommen von
Calendar icon Google Kalender Unternehmensnetzwerk Organisationseinheit: Vertrieb
Drive icon Google Drive Unternehmensnetzwerk, Gerätesicherheit Gruppe: Drive-Sicherheit
Gmail icon Gmail Gerätesicherheit, Geografie Kanada Gruppe: Nordamerika
Google Vault icon. Google Vault Geräteeinschränkung, Unternehmensnetzwerk  Gruppe: Vault-Prüfer

Konfigurationsgruppen anwenden 

  • Sie können kritische oder sensible Konfigurationsgruppen mit hoher Priorität einrichten. Ihre Gruppe mit der höchsten Priorität ist dann beispielsweise eine Gruppe mit dem Status "Dringender Zugriff", die alle Gruppen überschreibt, die den Zugriff beschränken. 
     

  • Zugriffsebenen werden nicht gruppenübergreifend hinzugefügt. In diesem Beispiel gehört ein Nutzer zu drei Nutzergruppen, die Zugriffsebene wird aber nur von der Konfigurationsgruppe mit der höchsten Priorität Gerät festgelegt. 
     

 

Konfigurationsgruppen planen und entwerfen

Die Struktur von Konfigurationsgruppen zu planen, ist zeitaufwendig und muss gut durchdacht sein. 

Gruppen benennen und suchen

Mit einer Namenskonvention lassen sich Gruppen leichter suchen, priorisieren und prüfen. Beispielsweise können Sie eine kontextsensitive Konfigurationsgruppe mit einem Präfix wie ksk kennzeichnen. Außerdem sollten Sie Dezimalstellen verwenden, damit Sie vorhandene Gruppennamen nicht umbenennen müssen, wenn Sie eine neue Konfigurationsgruppe einfügen.

  1. Nach Gruppenadresse suchen
  2. Liste der Gruppen ansehen
     
     
     
  • Nach einer Gruppe suchen: Es kann hilfreich sein, einen Standard für die Namensgebung festzulegen, z. B. die Verwendung des Namens für die Einstellung und der Prioritätsnummer. Beispiel:

ksk_p0.0_uneingeschränkter_zugriff@IhrUnternehmen.de
ksk_p1.0_sperrzugriff@IhrUnternehmen.de
ksk_p3.0_Gmail_IP_Gerät@IhrUnternehmen.de
ksk_p3.1_Gmail_IP@IhrUnternehmen.de

  • Gruppen abrufen: Im Steuerfeld „Gruppen“ wird der Gruppenname (maximal 37 Zeichen) in der Reihenfolge der Priorität angezeigt. Wenn Sie den Mauszeiger auf eine Gruppe bewegen, ist der vollständige Name zu sehen. Beispiel: 

KBK p0.0 – Uneingeschränkter Zugriff auf alle Apps
KBK p1.0 – Sperrzugriff
KBK p3.0 – Gmail IP-Corp- und Gerätesicherheit
KBK p3.1 – Gmail IP-Corp

Gruppen sortieren

So behalten Sie den Überblick über Priorität und Einstellungen:

  • Gruppen, in denen nur wenige Nutzer Mitglied sind, weiter unten platzieren oder wichtige Richtlinien als höchste Priorität festlegen, z. B. "Sperrzugriff" oder "Gesamtzugriff".
  • Prüfen Sie Ihre Gruppenstruktur auf stark verschachtelte Gruppen. Diese erschweren es nämlich, den Überblick darüber zu behalten, welche Einstellungen für wen gelten.

Gruppen erstellen

Sie können nur Gruppen nutzen, die in der Admin-Konsole, mit der Directory API oder in Google Cloud Directory Sync erstellt wurden. In Google Groups erstellte Gruppen können nicht als Konfigurationsgruppen verwendet werden. In der Admin-Konsole ist nicht zu sehen, ob eine Gruppe in Google Groups erstellt wurde.

Konfigurationsgruppen lassen sich mit jedem beliebigen Tool verwalten. Sie können Berechtigungen für das Hinzufügen und Entfernen von Nutzern festlegen, das Veröffentlichen von Beiträgen in der Gruppe deaktivieren oder Mitglieder daran hindern, eine Gruppe zu verlassen. Das ist jedoch nur in der Groups API möglich.

Konfigurationsgruppen einrichten

Alle öffnen | Alle schließen

Bevor Sie beginnen: Definieren Sie die kontextsensitiven Zugriffsebenen und erstellen Sie Konfigurationsgruppen, die vorzugsweise ein oder zwei Testkonten enthalten.

Schritt 1: Konfigurationsgruppe übernehmen

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.
  3. Um die Liste der Apps aufzurufen, klicken Sie auf Zugriffsebenen zuweisen.
  4. Klicken Sie im Bereich Kontextsensitiver Zugriff auf Gruppen.
  5. Wählen Sie eine Option aus:
    • Klicken Sie auf eine App. Alle Konfigurationsgruppen, denen eine Zugriffsebene für Ihre App zugewiesen ist, werden nach Priorität geordnet angezeigt. 
    • Klicken Sie auf Nach einer Gruppe suchen, um eine Liste aller Gruppen, nicht nur der Konfigurationsgruppen, aufzurufen. Sie können Text eingeben, um die Ergebnisse zu filtern.
  6. Klicken Sie auf die Gruppe. In der Anwendungstabelle werden alle Anwendungen samt ihren Zuweisungen von Zugriffsebenen aufgeführt.
     
    • Wenn Sie Ihre Gruppe nicht finden, wurde sie möglicherweise in Google Groups erstellt. Konfigurationsgruppen müssen in der Admin-Konsole, in der Directory API oder in Google Cloud Directory Sync erstellt werden.
       
    • Fügen Sie zuerst die Konfigurationsgruppen nach absteigender Priorität hinzu. Neue Gruppen haben standardmäßig die niedrigste Priorität.
  7. Klicken Sie auf eine oder mehrere Apps und dann auf Zuweisen.
  8. Wählen Sie die Zugriffsebenen für die App in der Gruppe aus und klicken Sie auf Speichern. Standardmäßig sind einer neuen Gruppe keine Zugriffsebenen zugewiesen.



    Für Organisationen mit mehreren Arten von Google Workspace-Lizenzen: Die Zugriffsebenen für Gruppen gelten nur für Nutzer, denen eine Google Workspace-Version mit kontextsensitiver Zugriffssteuerung zugewiesen wurde.
Schritt 2: Zugriffsebenen für einen Nutzer prüfen

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.
  3. Rufen Sie in der Admin-Konsole die Seite mit den Einstellungen für die App auf.
  4. Klicken Sie links oben auf Nutzer.
  5. Klicken Sie auf Nutzer auswählen und geben Sie die E-Mail-Adresse des Nutzers (nicht den Namen) ein.
  6. Wählen Sie den Nutzer aus, dessen App-Einstellungen angezeigt werden sollen. In der Spalte Übernommen von sehen Sie die Konfigurationsgruppe oder Organisationseinheit, die die Einstellungen des Nutzers bestimmt hat.
  7. Bewegen Sie den Mauszeiger auf eine App und klicken Sie auf Anzeigen, um Details zu den Zugriffsebenen des Nutzers abzurufen.

Hinweis: Wenn Sie sich eine Organisationseinheit ansehen, beziehen sich die Angaben der übernommenen Ebenen nur auf die Einstellungen einer Organisationseinheit, nicht auf Konfigurationsgruppen.

Konfigurationsgruppe entfernen

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.
  3. Um die Liste der Apps aufzurufen, klicken Sie auf Zugriffsebenen zuweisen.
  4. Klicken Sie links auf Gruppen. Konfigurationsgruppen werden in der Reihenfolge ihrer Priorität aufgelistet.
  5. Klicken Sie auf die Gruppe, die Sie entfernen möchten.
  6. Zuerst heben Sie die Zuweisung der Zugriffsebene für alle Apps aus der Gruppe auf. Prüfen Sie im Bereich Apps der Reihe nach, ob die Zuweisung der Zugriffsebene für alle Anwendungen aufgehoben wurde.


     
  7. Klicken Sie auf Zuweisen.
  8. Klicken Sie auf Alle deaktivieren.
  9. Klicken Sie auf Speichern.
Die Konfigurationsgruppe wird nicht mehr in der Gruppenliste angezeigt. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
Konfigurationsgruppe bearbeiten

Sie benötigen Administratorberechtigungen für Gruppen, Organisationseinheiten (oberste Ebene) und auf Dienste > Datensicherheit > Zugriffsebenen- und Regelverwaltung.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Sicherheitund dannZugriffs- und Datenkontrolleund dannKontextsensitiver Zugriff.
  3. Um die Liste der Apps aufzurufen, klicken Sie auf Zugriffsebenen zuweisen.
  4. Klicken Sie links auf Gruppen. Konfigurationsgruppen werden in der Reihenfolge ihrer Priorität aufgelistet.
  5. Klicken Sie auf die Gruppe, die Sie bearbeiten möchten. 
  6. Wählen Sie rechts Apps aus, die bearbeitet, hinzugefügt oder entfernt werden sollen.
  7. Klicken Sie auf Zuweisen.
  8. Aktualisieren Sie die Ebenenzuweisungen für die Gruppe. 
  9. Klicken Sie auf Speichern.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Fehlerbehebung

Ich sehe die Konfigurationsgruppe nicht in der Gruppenliste.

  • Die Gruppe wurde möglicherweise in Google Groups erstellt. Richten Sie eine Gruppe über die Admin-Konsole ein.
  • Suchen Sie nach der E-Mail-Adresse der Gruppe, nicht nach ihrem Namen.
  • Aktualisieren Sie die Seite „Einstellungen“. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
  • Prüfen Sie, ob Sie Administratorberechtigungen für Google Groups haben.

Ein Nutzer hat nicht die richtige Zugriffsebene.

  • Überprüfen Sie die Gruppenmitgliedschaften des Nutzers. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen
  • Suchen Sie die Konfigurationsgruppe, die die Einstellungen des Nutzers bestimmt. Wenn der Nutzer mehreren Konfigurationsgruppen angehört, müssen Sie unter Umständen dessen Gruppenpriorität oder ‑mitgliedschaft ändern.
  • Möglicherweise hat der Nutzer keine Produktlizenz für die Funktion. Der kontextsensitive Zugriff ist nur für bestimmte Versionen von Google Workspace verfügbar.
  • Wenn der Nutzer nicht auf eine App zugreifen kann, wurde ihr möglicherweise eine gelöschte Zugriffsebene zugewiesen. Klicken Sie das Kästchen Gelöschte Zugriffsebene entfernen an.
Änderungen im Audit-Log ansehen

Prüfen Sie die folgenden Ereignisse im Audit-Log für Administratoren auf Änderungen an den Einstellungen der Konfigurationsgruppe:

EREIGNIS: Änderung der App-spezifischen Zuweisung der kontextsensitiven Zugriffsebene

Protokolliert, wenn Sie eine Konfigurationsgruppe übernehmen oder entfernen. Das Ereignis verwendet den Gruppennamen. Sie können also einen ähnlichen Namensstandard für Gruppennamen und E-Mail-Adresse verwenden.

In einem Gruppenereignis enthaltene Daten:

Zugriffsebenenzuweisungen wurden von []
in [Zugriffsebenen] geändert. (Anwendungsname: {App}, Gruppenname: {Konfigurationsgruppe})

Beispiel: Sie wenden die Konfigurationsgruppe CAA.02 lokaler Zugriff auf eine App an:

Zugriffsebenenzuweisungen wurden von [] in [Unternehmens-IP, Gerät] geändert.
(Anwendungsname: {GMAIL}, Gruppenname: {KBK.02 lokaler Zugriff} 

Wenn Sie die Konfigurationsgruppe aus einer App entfernen, geschieht Folgendes:

Zugriffsebenenzuweisungen wurden von [Unternehmens-IP, Gerät] in [] geändert.
(Anwendungsname: {GMAIL}, Gruppenname: {KBK.02 lokaler Zugriff} 

Informationen zu Organisationseinheiten, Gruppenübernahme und Konfigurationsgruppen

Wenn Sie Änderungen an lokalen Zugriffsebenen einer untergeordneten Organisationseinheit oder Gruppe vornehmen, gelten nur die lokal angewendeten Zugriffsebenen. Es werden keine Zugriffsebenen von der übergeordneten Organisation übernommen.

Wenn Sie alle lokal zugewiesenen Zugriffsebenen entfernen, um die ursprünglich übernommenen Zugriffsebenen wiederherzustellen, hat die untergeordnete Organisation nur die übernommenen Zugriffsebenen.

Beispiel für Organisationseinheiten: Wenn einer App der obersten Organisationseinheit 3 Zugriffsebenen zugewiesen sind, werden diese Zugriffsebenen durch Übernahme auch der App einer untergeordneten Organisationseinheit zugewiesen, sofern die untergeordnete Organisationseinheit keine lokale Zuweisung hat. Wenn Sie dann nur in der untergeordneten Organisation eine Zugriffsebene hinzufügen, ist das die einzige Zugriffsebene, die auf die untergeordnete Organisation angewendet wird.

Übernommene Zuweisungen für Zugriffsebenen mit einer Nullrichtlinie überschreiben

Ein Beispiel: Sie möchten in einer untergeordneten Organisation keinen Nutzerzugriff blockieren – also keine Zugriffsebenen zuweisen. Erstellen Sie dafür eine Zugriffsebene mit der Bezeichnung „Beliebig“ mit zwei IP-Subnetzbedingungen und verknüpfen Sie die Bedingungen mit OR:

  • IPv4-Subnetzbereich 0.0.0.0/0
    oder
  • IPv6-Subnetzbereich 0::/0

Ein Nutzer in der Organisation erhält so über jede IPv4- oder IPv6-Adresse Zugriff.

Zuweisungen für Zugriffsebenen mit Konfigurationsgruppen überschreiben

Über Konfigurationsgruppen können Sie Zugriffsebenen auf Nutzergruppen statt auf Organisationseinheiten anwenden. Die Zugriffsebene der Gruppe eines Nutzers hat dabei immer Vorrang vor der Zugriffsebene der Organisationseinheit des Nutzers. Die Gruppen können Nutzer aus jeder Organisationseinheit in Ihrem Konto enthalten.

Beispiel: Ein Nutzer gehört zu einer Organisationseinheit und zu Gruppe1. Der übergeordneten Organisationseinheit ParentOU wurde für Gmail wie für Google Kalender die Zugriffsebene X zugewiesen. Für Gmail gibt es für Gruppe1 keine zugewiesene Zugriffsebene. Für Google Kalender erhält Gruppe1 die Zugriffsebene Y. In diesem Fall hat der Nutzer die Zugriffsebene X für Gmail (übernommen) und die Zugriffsebene Y für Google Kalender (durch Überschreiben der lokalen Richtlinie).

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
5574637932276362374
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false