Con los grupos de configuración, puedes asignar niveles de acceso contextual a grupos de usuarios en lugar de a unidades organizativas. Los grupos de configuración pueden incluir usuarios de cualquier unidad organizativa de tu empresa. Por ejemplo, puedes hacer que un equipo de contratistas solo pueda acceder a Gmail si es a través de tu red corporativa.
Cómo funcionan los grupos de configuración
-
Los grupos de configuración pueden incluir cualquier usuario de tu organización. Además, puedes crear un grupo de configuración que sirva de contenedor para los niveles de acceso y después añadir los grupos de usuarios (grupos anidados).
-
A diferencia de lo que ocurre con las unidades organizativas, un mismo usuario puede pertenecer a varios grupos de configuración. Solo se le aplicarán los ajustes del grupo de configuración de mayor prioridad, por lo que, antes de nada, debes determinar la prioridad de esos grupos.
-
El nivel de acceso a una aplicación del grupo al que pertenece un usuario siempre prevalece sobre el nivel de acceso de su unidad organizativa.
-
Si un grupo de configuración no indica el nivel de acceso a una aplicación, esta utiliza el nivel de acceso determinado por la unidad organizativa del usuario.
Diseñar grupos de configuración para utilizar el acceso contextual
Cuando los grupos de configuración se utilizan para gestionar el acceso contextual, funcionan de una manera algo distinta a cuando se usan para configurar otros ajustes de Google Workspace. Información y consejos para diseñar grupos y políticas:
Normalmente, se definen primero los niveles de acceso de las unidades organizativas y, después, se deciden los de los grupos de configuración. Por ejemplo, puedes tener grupos de configuración con "Acceso abierto" o "Acceso restringido" para conceder o limitar rápidamente el acceso a determinados usuarios.
Por lo general se utiliza una combinación de grupos de configuración:
Utilizar los grupos de usuarios que ya tienes configurados
Defines el nivel acceso a cada aplicación (Gmail o Drive, por ejemplo) en el grupo al que pertenezca el usuario. Si un usuario pertenece a varios grupos, debes indicar cuál de ellos determina los ajustes que se le aplicarán, tal como se explica más adelante en la sección sobre la prioridad.
Aplicar los niveles de acceso directamente a los grupos de usuarios es una buena opción en los casos siguientes:
- Para probar el acceso contextual.
- Para gestionar el acceso a determinados grupos de usuarios, como el personal de TI o un equipo que esté trabajando en remoto.
- En organizaciones con menos de 50 usuarios o con un número reducido de niveles de acceso. Así no hace falta que crees más grupos y puedes cambiar la configuración de cada grupo de usuarios.
Crear grupos de configuración a partir de niveles de acceso
También puedes asignar niveles de acceso a grupos. Para ello, crea un grupo de configuración y asigna los niveles de acceso a una o varias aplicaciones. Después, añade grupos de usuarios como miembros del grupo de configuración.
Este modelo puede resultar útil a las organizaciones más grandes para gestionar las prioridades y políticas de grupos de acceso (descritas más adelante).
Cuando un usuario pertenece a varios grupos de configuración, tienes que establecer qué grupo de configuración tiene prioridad a la hora de determinar su acceso a la aplicación.
En la consola de administración, los grupos se muestran ordenados de mayor a menor prioridad. Los grupos de configuración nuevos siempre tienen la prioridad más baja, por lo que se incluyen al final de la lista.
Prioridad para el acceso contextual
A cada usuario se le aplican los ajustes del grupo de mayor prioridad al que pertenece. Si el grupo no tiene asignado ningún nivel de acceso a una aplicación en particular, se utilizará el nivel de acceso del siguiente grupo de mayor prioridad al que pertenezca el usuario, y así sucesivamente.
En la consola de administración, puedes comprobar qué grupo o unidad organizativa determinó el nivel de acceso a la aplicación de un usuario. En el siguiente ejemplo, el grupo Seguridad de Drive define el acceso del usuario a Drive.
| Aplicaciones del usuario | Niveles de acceso | Heredado de |
|---|---|---|
| Red de la empresa | Unidad organizativa: Ventas | |
| Red de la empresa, Seguridad del dispositivo | Grupo: Seguridad de Drive | |
| Seguridad del dispositivo | Unidad organizativa: Ventas | |
| <none> | <none> |
Si quieres tener un control más exhaustivo, puedes usar grupos que te permitan personalizar los niveles de acceso a cada aplicación. Por ejemplo:
| Aplicaciones del usuario | Niveles de acceso | Heredado de |
|---|---|---|
| Red de la empresa | Unidad organizativa: Ventas | |
| Red de la empresa, Seguridad del dispositivo | Grupo: Seguridad de Drive | |
| Seguridad del dispositivo, Geo Canadá | Grupo: Norteamérica | |
| Dispositivo restringido, Red de la empresa | Grupo: Investigador de Vault |
Aplicar grupos de configuración
- Plantéate asignar alta prioridad a los grupos de configuración de carácter crítico o sensible. Por ejemplo, el grupo de mayor prioridad podría ser uno de "Acceso urgente" que anule las restricciones de acceso de cualquier grupo.
-
Los usuarios acumulan los niveles de acceso de todos los grupos a los que pertenecen. En este ejemplo, un usuario pertenece a tres grupos de usuarios, pero es el grupo de configuración de mayor prioridad, Device (Dispositivo), el que determina su nivel de acceso.
Seguramente, la planificación de la estructura de los grupos de configuración sea el paso que más tiempo y atención requiera.
Nombrar y buscar grupos
Establece un criterio de nomenclatura uniforme para que sea más fácil buscar los grupos, asignarles una prioridad y evaluarlos. Por ejemplo, puedes añadir un prefijo (como "gcc") para indicar que se trata de grupos de configuración de acceso contextual. Asimismo, te recomendamos que uses numeración multinivel (con un punto y otra cifra) cuando añadas grupos de configuración para no tener que cambiar los nombres de los demás grupos.
| Buscar por dirección de grupo | |||
| Ver lista de grupos | |||
- Buscar un grupo: te recomendamos que utilices un criterio de nomenclatura uniforme que incluya el nombre del ajuste y el número de prioridad. Por ejemplo:
gcc_p0.0_acceso_restringido@example.com
gcc_p1.0_acceso_bloqueado@example.com
gcc_p3.0_Dispositivo_IP_Gmail@example.com
gcc_p3.1_IP_Gmail@example.com
- Ver los grupos: en el panel Grupos se muestran los nombres de grupo (37 caracteres como máximo) por orden de prioridad; si quieres ver el nombre completo, coloca el cursor sobre el grupo. Por ejemplo:
GCC p0.0: acceso sin restricciones a todas las aplicaciones
GCC p1.0: acceso con restricciones
GCC p3.0: IP de Gmail corporativa y seguridad del dispositivo
GCC p3.1: IP de Gmail corporativa
Ordenar grupos
A la hora de controlar la prioridad y los ajustes:
- Puedes colocar grupos que se apliquen a la menor cantidad de usuarios posible o definir políticas críticas (como "Acceso con restricciones" o "Todos los accesos") con la máxima prioridad.
- Ten en cuenta la prioridad de tu estructura de grupos y presta atención a los grupos excesivamente anidados, ya que su configuración podría ser difícil de determinar.
Crear grupos
Solo puedes usar grupos creados en la consola de administración, mediante la API Directory o con Google Cloud Directory Sync. Los grupos creados en Grupos de Google no se pueden utilizar como grupos de configuración. En la consola de administración no se indica si un grupo se ha creado con Grupos de Google.
Puedes gestionar los grupos de configuración con cualquier herramienta. Puedes configurar permisos estrictos para añadir o eliminar usuarios, o impedir que los miembros puedan publicar contenido en los grupos o que salgan de ellos (solo disponible en la API Groups).
Crear grupos de configuración
Antes de empezar: define los niveles de acceso contextual y crea tus grupos de configuración (preferiblemente con una o dos cuentas de prueba).
Necesitas privilegios de administrador en Grupos, Unidades organizativas (nivel superior) y gestión de reglas y gestión de niveles de acceso de seguridad de datos.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
Seguridad
Control de acceso y de datos
- Haz clic en Asignar niveles de acceso para ver la lista de aplicaciones.
- En la sección Acceso contextual, haz clic en Grupos.
- Elige una de estas opciones:
- Haz clic en una aplicación. Los grupos de configuración que tengan asignado un nivel de acceso a tu aplicación aparecerán por orden de prioridad.
- Haz clic en Buscar un grupo para ver una lista con todos los grupos, no solo los de configuración. Puedes introducir texto para filtrar los resultados.
- Haz clic en el grupo. En la tabla de aplicaciones se muestran todas las aplicaciones con sus asignaciones de niveles de acceso.
- Si el grupo no aparece, es posible que se haya creado en Grupos de Google. Los grupos de configuración se deben crear en la consola de administración, mediante la API Directory o con Google Cloud Directory Sync.
- Para empezar, añade los grupos de configuración de mayor a menor prioridad. A los grupos nuevos se les asigna la prioridad más baja.
- Si el grupo no aparece, es posible que se haya creado en Grupos de Google. Los grupos de configuración se deben crear en la consola de administración, mediante la API Directory o con Google Cloud Directory Sync.
- Haz clic en una o varias aplicaciones, seguido de Asignar.
- Selecciona los niveles de acceso a la aplicación en el grupo y haz clic en Guardar. De manera predeterminada, los grupos nuevos no tienen niveles de acceso asignados.
En el caso de las organizaciones que tengan licencias de Google Workspace de distintos tipos: los niveles de acceso del grupo solo se aplican a los usuarios que tengan asignada alguna edición de Google Workspace que incluya control de acceso contextual.
Necesitas privilegios de administrador en Grupos, Unidades organizativas (nivel superior) y gestión de reglas y gestión de niveles de acceso de seguridad de datos.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
- En la consola de administración, ve a la página de configuración de una aplicación.
- Arriba a la izquierda, haz clic en Usuarios.
- Haz clic en Selecciona un usuario e introduce su dirección (no su nombre).
- Selecciona el usuario para ver los ajustes de la aplicación. La columna Heredado de muestra el grupo de configuración o la unidad organizativa que determinó la configuración del usuario.
- Coloca el puntero del ratón sobre una aplicación y haz clic en Ver para ampliar los detalles sobre los niveles de acceso del usuario.
Nota: Cuando ves una unidad organizativa, los niveles correspondientes a Heredado se basan únicamente en la configuración de una unidad organizativa, no de un grupo de configuración.
Necesitas privilegios de administrador en Grupos, Unidades organizativas (nivel superior) y gestión de reglas y gestión de niveles de acceso de seguridad de datos.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
- Haz clic en Asignar niveles de acceso para ver la lista de aplicaciones.
- En la parte izquierda, haz clic en Grupos. Los grupos de configuración se ordenan según su prioridad.
- Haz clic en el grupo que quieras eliminar.
- En primer lugar, anula la asignación de todos los niveles de acceso a todas las aplicaciones del grupo. En el panel Aplicaciones, comprueba las aplicaciones de una en una para asegurarte de que no hay ningún nivel de acceso asignado.
- Haz clic en Asignar.
- Haz clic en Desmarcar todo.
- Haz clic en Guardar.
Necesitas privilegios de administrador en Grupos, Unidades organizativas (nivel superior) y gestión de reglas y gestión de niveles de acceso de seguridad de datos.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
- Haz clic en Asignar niveles de acceso para ver la lista de aplicaciones.
- En la parte izquierda, haz clic en Grupos. Los grupos de configuración se ordenan según su prioridad.
- Haz clic en el grupo que quieras editar.
- En la parte derecha, selecciona las aplicaciones que quieras editar, añadir o quitar.
- Haz clic en Asignar.
- Cambia los niveles asignados al grupo.
- Haz clic en Guardar.
Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
No veo un grupo de configuración en la lista de Grupos
- Puede que el grupo se haya creado en Grupos de Google. Prueba a crear un grupo en la consola de administración.
- Te recomendamos que busques el grupo por su dirección de correo electrónico, no por su nombre.
- Prueba a actualizar la página de configuración. Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
- Comprueba si tienes privilegios de administrador de Grupos.
Un usuario no tiene el nivel de acceso que le corresponde
- Revisa los grupos a los que pertenece el usuario. Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información
- Busca el grupo de configuración que determina los ajustes del usuario. Si el usuario forma parte de varios grupos de configuración, quizá tengas que cambiar la prioridad de los grupos o quitar el usuario de alguno de ellos.
- También es posible que el usuario no tenga la licencia del producto necesaria para utilizar la función. El acceso contextual está disponible con determinadas ediciones de Google Workspace.
- Si el usuario no puede acceder a una aplicación, es posible que esta tenga asignado un nivel de acceso eliminado. Consulta cómo quitar un nivel de acceso eliminado.
Revisa estos eventos en el registro de auditoría de la consola de administración para ver los cambios que se han aplicado a los ajustes de un grupo de configuración:
EVENTO: Cambio en la asignación de niveles de acceso contextual de una aplicación específica
|
Registra cuándo aplicas o eliminas un grupo de configuración. El evento utiliza el nombre del grupo , por lo que es posible que tengas que utilizar una nomenclatura similar tanto para el nombre del grupo como para la dirección. Datos incluidos en un evento de grupo:
Por ejemplo, puedes aplicar el grupo de configuración GCC.02 acceso local a una aplicación:
Cuando quitas el grupo de configuración de una aplicación:
|
Acerca de las unidades organizativas, la herencia de grupos y los grupos de configuración
Si haces algún cambio local en el nivel de acceso de una unidad organizativa o de un grupo secundarios, ten en cuenta que solo se aplicarán a estos los niveles que se han asignado de forma local y que no heredarán los de la organización superior.
Si eliminas todos los niveles de acceso asignados de forma local para restaurar los niveles de acceso heredados, la organización secundaria solo tendrá asignados estos últimos.
Por ejemplo, en el caso de las unidades organizativas, si hay tres niveles de acceso asignados a una aplicación en la unidad organizativa superior, la aplicación de sus organizaciones secundarias hereda esos mismos niveles si la unidad organizativa secundaria no tiene asignaciones locales. Pero si añades un nivel de acceso solo en una organización secundaria, esta deja de heredar los de la organización superior y, a partir de ese momento, solo tendrá asignado el que has añadido.
Anular asignaciones de niveles de acceso heredados con una política nula
Supongamos que, en una organización secundaria, no quieres bloquear el acceso de ningún usuario; es decir, no quieres que la organización tenga ningún nivel de acceso asignado. Para ello, crea un nivel de acceso denominado "Todos" que incluya dos condiciones de subred IP y une las condiciones con el operador lógico O:
- Intervalo de subred IPv4 0.0.0.0/0
O - Intervalo de subred IPv6 0::/0
Así, los usuarios de la organización obtienen acceso desde cualquier dirección IPv4 o IPv6.
Anular asignaciones de nivel de acceso con grupos de configuración
Puedes utilizar grupos de configuración para asignar niveles de acceso a grupos de usuarios en lugar de a unidades organizativas. El nivel de acceso a un grupo concedido a un usuario siempre prevalece sobre el nivel de acceso a su unidad organizativa. En los grupos puedes incluir usuarios de cualquier unidad organizativa de tu cuenta.
Por ejemplo, un usuario pertenece a una unidad organizativa y al Grupo1. En la unidad organizativa, UOSuperior tiene asignado el nivel de acceso X tanto a Gmail como a Calendar. Al Grupo1 no se le ha asignado ningún nivel de acceso a Gmail. El Grupo1 tiene asignado el nivel de acceso Y a Calendar. En este caso, el usuario tiene asignado el nivel de acceso X a Gmail (mediante herencia) y el nivel de acceso Y a Calendar (por la anulación de la política local).
