Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Controllare l'accesso alle app in base al contesto utente e dispositivo

Utilizzare l'accesso sensibile al contesto con i gruppi di configurazione

Con i gruppi di configurazione, puoi applicare livelli di accesso sensibili al contesto a gruppi di utenti anziché a unità organizzative. I gruppi di configurazione possono includere utenti di qualsiasi unità organizzativa della tua attività. Ad esempio, puoi consentire a un team di contrattisti di accedere a Gmail solo dalla tua rete aziendale.

Come funzionano i gruppi di configurazione

  • I gruppi di configurazione possono contenere qualsiasi utente della tua organizzazione. Inoltre, puoi creare un gruppo di configurazione che funge da contenitore per i livelli di accesso e aggiungere i tuoi gruppi di utenti (gruppi nidificati).

  • A differenza delle unità organizzative, un utente può appartenere a più gruppi di configurazione. Una volta impostata la priorità dei gruppi di configurazione, agli utenti vengono applicate le impostazioni del gruppo con la priorità più alta a cui appartengono.

  • Il livello di accesso di gruppo di un utente per un'app ha sempre la precedenza sul livello di accesso dell'unità organizzativa.

  • Se un gruppo di configurazione non specifica un livello di accesso per un'app, l'app utilizza il livello di accesso impostato dall'unità organizzativa dell'utente.

Progettazione di gruppi di configurazione per l'accesso sensibile al contesto

Apri tutto | Chiudi tutto

I gruppi di configurazione funzionano in modo leggermente diverso per l'accesso sensibile al contesto rispetto ad altre impostazioni di Google Workspace. Informazioni e suggerimenti per la progettazione dei gruppi e dei criteri:

Opzioni per i gruppi di configurazione

In genere si definiscono i livelli di accesso per le unità organizzative e poi si determinano i livelli di accesso personalizzati per i gruppi di configurazione. Ad esempio, potresti avere gruppi di configurazione per "Accesso aperto" o "Accesso con blocco" in modo da concedere o limitare rapidamente l'accesso di utenti specifici. 

In genere, si utilizza una combinazione di gruppi di configurazione:  

Utilizzare i gruppi di utenti esistenti 

Puoi impostare il livello di accesso per ogni app (Gmail o Drive, ad esempio) nel gruppo di utenti. Se un utente appartiene a più gruppi, puoi stabilire quale gruppo determina le impostazioni dell'utente, come descritto più avanti nella sezione Priorità.

Applicare i livelli di accesso direttamente ai gruppi di utenti è una buona opzione per:

  • Eseguire test dell'accesso sensibile al contesto.
  • Gestire l'accesso per gruppi specifici di utenti, ad esempio il personale IT o un team che lavora in remoto.
  • Organizzazioni con meno di 50 utenti o un numero ridotto di livelli di accesso. Puoi ottimizzare le impostazioni per ogni gruppo di utenti senza dover creare più gruppi.

Creare gruppi di configurazione in base ai livelli di accesso

In alternativa, puoi assegnare i livelli di accesso ai gruppi. Crea un gruppo di configurazione e assegna i livelli di accesso per una o più app. Quindi, aggiungi gruppi di utenti come membri del gruppo di configurazione.

Per le organizzazioni più grandi questo approccio può risultare utile per la gestione dei criteri e delle priorità dei gruppi di accesso (come descritto di seguito).

Come funziona la priorità con i livelli di accesso

Quando un utente appartiene a più gruppi di configurazione, devi indicare quale gruppo ha la precedenza nella definizione dell'accesso all'app da parte dell'utente.

Nella Console di amministrazione, i gruppi sono elencati dalla priorità massima a quella minima. Un nuovo gruppo di configurazione ha sempre la priorità più bassa e viene aggiunto in fondo a un elenco di gruppi di configurazione.

 

Priorità per l'accesso sensibile al contesto

Un utente riceve le impostazioni dell'app del gruppo che ha la massima priorità tra quelli a cui appartiene. Se il gruppo non ha un livello di accesso per una determinata app, viene utilizzato il livello di accesso del successivo gruppo dell'utente con la massima priorità e così via.

Nella Console di amministrazione, puoi verificare quale gruppo o unità organizzativa ha determinato il livello di accesso all'app di un utente. Nell'esempio riportato di seguito, il gruppo "Sicurezza di Drive" ha stabilito l'accesso a Drive dell'utente.

App dell'utente Livelli di accesso Ereditato da
Calendar icon Calendar Rete aziendale Unità organizzativa: Vendite
Drive icon Drive Rete aziendale, Sicurezza dispositivo Gruppo: Sicurezza di Drive
Gmail icon Gmail Sicurezza del dispositivo Unità organizzativa: Vendite
Google Vault icon. Google Vault <none> <none>
 

Per un controllo capillare, puoi utilizzare i gruppi per personalizzare i livelli di accesso per ogni app. Ad esempio:

 
App dell'utente Livelli di accesso Ereditato da
Calendar icon Calendar Rete aziendale Unità organizzativa: Vendite
Drive icon Drive Rete aziendale, Sicurezza dispositivo Gruppo: Sicurezza di Drive
Gmail icon Gmail Sicurezza dei dispositivi, Geo Canada Gruppo: Nord America
Google Vault icon. Google Vault Dispositivo con restrizioni, Rete aziendale  Gruppo: Esaminatore Vault

Applicazione di gruppi di configurazione 

  • Valuta la possibilità di assegnare la massima priorità ai gruppi di configurazione critici o sensibili. Ad esempio, il gruppo con priorità più elevata potrebbe essere un gruppo "Accesso urgente" che sostituisce qualsiasi gruppo che limita l'accesso. 
     

  • I livelli di accesso non vengono aggiunti a tutti i gruppi di un utente. In questo esempio, un utente appartiene a 3 gruppi di utenti, ma è solo il gruppo di configurazione con la priorità più alta, "Dispositivo", a impostare il livello di accesso. 
     

 

Pianificare e progettare i gruppi di configurazione

La pianificazione della struttura del gruppo di configurazione è probabilmente il passaggio che richiede più tempo e più attenzione. 

Denominazione e ricerca dei gruppi

Imposta uno standard di denominazione dei gruppi per facilitare la ricerca, l'assegnazione di priorità e il controllo. Ad esempio, aggiungi il prefisso "caa" per indicare un gruppo di configurazione sensibile al contesto. Inoltre, utilizza una posizione decimale per evitare di modificare i nomi dei gruppi esistenti quando aggiungi un gruppo di configurazione.

  1. Cerca per indirizzo del gruppo
  2. Visualizza l'elenco dei gruppi
     
     
     
  • Cerca un gruppo: ti consigliamo di impostare uno standard di denominazione che includa il nome dell'impostazione e il numero di priorità. Ad esempio:

caa_p0.0_accesso_illimitato@example.com
caa_p1.0_accesso_con_blocco@example.com
caa_p3.0_Gmail_IP_Dispositivo@example.com
caa_p3.1_IP_Gmail@example.com

  • Visualizza i gruppi: nel riquadro Gruppi sono visualizzati i nomi dei gruppi (massimo 37 caratteri) in ordine di priorità. Posizionando il cursore su un gruppo viene visualizzato il nome completo. Ad esempio: 

CAA p0.0 - Accesso illimitato tutte le app
CAA p1.0 - Accesso con blocco
CAA p3.0 - IP Gmail azienda & sicurezza disp
CAA p3.1 - IP Gmail azienda

Ordinare i gruppi

Per monitorare la priorità e le impostazioni:

  • Puoi inserire i gruppi che riguardano il minor numero di utenti o definire criteri critici (come "Accesso con blocco" o "Tutti gli accessi") con la massima priorità.
  • Tieni in considerazione la priorità nella struttura dei tuoi gruppi e presta attenzione ai gruppi con un alto grado di nidificazione, perché le loro impostazioni possono essere difficili da rilevare.

Creare gruppi

È necessario utilizzare i gruppi creati nella Console di amministrazione, nell'API Directory o in Google Cloud Directory Sync. I gruppi creati in Google Gruppi non possono essere utilizzati come gruppi di configurazione (la Console di amministrazione non indica se un gruppo è stato creato in Google Gruppi).

Puoi gestire il gruppo di configurazione in qualsiasi strumento. Puoi inoltre impostare autorizzazioni rigide per aggiungere o eliminare utenti, disattivare la pubblicazione nel gruppo o impedire agli utenti di uscire dal gruppo (disponibile solo nell'API Groups).

Impostare i gruppi di configurazione

Apri tutto | Chiudi tutto

Prima di iniziare: definisci i livelli di accesso sensibile al contesto e crea i gruppi di configurazione (preferibilmente contenenti 1 o 2 account di prova).

Passaggio 1: applica un gruppo di configurazione

Devi disporre dei privilegi di amministratore per Gruppi, Unità organizzative (primo livello) e Gestione del livello di accesso per la sicurezza dei dati e Gestione regole.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiAccesso e controllo dei datie poiAccesso sensibile al contesto.
  3. Fai clic su Assegna livelli di accesso per visualizzare l'elenco delle app.
  4. Nella sezione Accesso sensibile al contesto, fai clic su Gruppi.
  5. Scegli un'opzione:
    • Fai clic su un'app. Tutti i gruppi di configurazione esistenti a cui è assegnato un livello di accesso per la tua app sono elencati in ordine di priorità. 
    • Fai clic su Cerca un gruppo per esaminare un elenco di tutti i gruppi, non solo i gruppi di configurazione. Puoi inserire del testo per filtrare i risultati.
  6. Fai clic sul gruppo. Nella tabella delle applicazioni sono elencate tutte le applicazioni con le relative assegnazioni dei livelli di accesso.
     
    • Se non trovi il gruppo, è possibile che sia stato creato in Google Gruppi. I gruppi di configurazione devono essere creati nella Console di amministrazione, nell'API Directory o in Google Cloud Directory Sync.
       
    • Inizia aggiungendo i gruppi di configurazione dalla priorità più alta a quella più bassa. Quando aggiungi un nuovo gruppo, viene posizionato in corrispondenza del valore di priorità più basso.
  7. Fai clic su una o più app, quindi su Assegna. 
  8. Seleziona i livelli di accesso per l'app nel gruppo e fai clic su Salva. Per impostazione predefinita, a un nuovo gruppo non sono assegnati livelli di accesso.



    Per le organizzazioni con più tipi di licenze Google Workspace: i livelli di accesso del gruppo vengono applicati solo agli utenti a cui è stata assegnata una versione di Google Workspace che include il controllo dell'accesso sensibile al contesto.
Passaggio 2: verifica i livelli di accesso per un utente

Devi disporre dei privilegi di amministratore per Gruppi, Unità organizzative (primo livello) e Gestione del livello di accesso per la sicurezza dei dati e Gestione regole.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiAccesso e controllo dei datie poiAccesso sensibile al contesto.
  3. Nella Console di amministrazione, vai alla pagina delle impostazioni per l'app.
  4. In alto a sinistra, fai clic su Utenti.
  5. Fai clic su Seleziona un utente e inserisci l'indirizzo dell'utente (non il nome).
  6. Seleziona l'utente per visualizzarne le impostazioni dell'app. La colonna Ereditato da indica il gruppo di configurazione o l'unità organizzativa che ha determinato le impostazioni dell'utente.
  7. Seleziona un'app e fai clic su Visualizza per i dettagli relativi ai livelli di accesso dell'utente.

Nota : quando visualizzi un'unità organizzativa, i livelli ereditati si basano solo sull'impostazione di un'unità organizzativa, non sui gruppi di configurazione.

Rimuovere un gruppo di configurazione

Devi disporre dei privilegi di amministratore per Gruppi, Unità organizzative (primo livello) e Gestione del livello di accesso per la sicurezza dei dati e Gestione regole.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiAccesso e controllo dei datie poiAccesso sensibile al contesto.
  3. Fai clic su Assegna livelli di accesso per visualizzare l'elenco delle app.
  4. Fai clic su Gruppi a sinistra. I gruppi di configurazione sono elencati in ordine di priorità.
  5. Fai clic sul gruppo da rimuovere.
  6. Per prima cosa, annulla l'assegnazione di tutti i livelli di accesso del gruppo da tutte le app. Nel riquadro App, controlla le applicazioni una alla volta per assicurarti che tutti i livelli di accesso siano non assegnati.


     
  7. Fai clic su Assegna.
  8. Fai clic su Deseleziona tutto.
  9. Fai clic su Salva.
Il gruppo di configurazione non è più visualizzato nell'elenco Gruppi. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
Modificare un gruppo di configurazione

Devi disporre dei privilegi di amministratore per Gruppi, Unità organizzative (primo livello) e Gestione del livello di accesso per la sicurezza dei dati e Gestione regole.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiAccesso e controllo dei datie poiAccesso sensibile al contesto.
  3. Fai clic su Assegna livelli di accesso per visualizzare l'elenco delle app.
  4. Fai clic su Gruppi a sinistra. I gruppi di configurazione sono elencati in ordine di priorità.
  5. Fai clic sul gruppo da modificare. 
  6. A destra, seleziona le app da modificare, aggiungere o rimuovere
  7. Fai clic su Assegna.
  8. Aggiorna le assegnazioni dei livelli per il gruppo. 
  9. Fai clic su Salva.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più

Risoluzione dei problemi

Non vedo il gruppo di configurazione nell'elenco Gruppi

  • Il gruppo potrebbe essere stato creato in Google Gruppi. Prova a creare un gruppo nella Console di amministrazione.
  • Cerca l'indirizzo email del gruppo anziché il nome.
  • Prova ad aggiornare la pagina delle impostazioni. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
  • Verifica di disporre dei privilegi di amministratore per Gruppi.

Un utente non ha il livello di accesso corretto

  • Assicurati che l'utente appartenga al gruppo. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più
  • Individua il gruppo di configurazione che determina le impostazioni dell'utente. Se l'utente appartiene a più gruppi di configurazione, potrebbe essere necessario modificare la priorità dei gruppi o l'appartenenza ai gruppi dell'utente.
  • L'utente potrebbe non disporre della licenza del prodotto a cui è associata la funzionalità. L'accesso sensibile al contesto è disponibile con alcune versioni di Google Workspace.
  • Se l'utente non può accedere a un'app, è possibile che all'app sia stato assegnato un livello di accesso eliminato. Consulta le sezioni sulla rimozione dei livelli di accesso eliminati.
Rivedere le modifiche nel log di controllo

Esamina questi eventi nel log di controllo della Console di amministrazione per verificare se sono state apportate modifiche alle impostazioni del gruppo di configurazione:

EVENTO: modifica delle assegnazioni dei livelli di accesso sensibile al contesto specifiche dell'app

Registra l'applicazione o la rimozione di un gruppo di configurazione. L'evento utilizza il nome del gruppo, quindi puoi provare a utilizzare uno standard di denominazione simile per il nome e l'indirizzo del gruppo.

Dati inclusi in un evento di gruppo:

Le assegnazioni dei livelli di accesso sono state modificate da []
a [livelli di accesso]. (application_name: {app}, group_name: {gruppo di configurazione})

Ad esempio, applichi il gruppo di configurazione CAA 02 accesso locale a un'app:

Le assegnazioni dei livelli di accesso sono state modificate da [] a [IP azienda, Dispositivo].
(application_name: {GMAIL}, group_name: {CAA.02 accesso locale} 

Quando rimuovi il gruppo di configurazione   da un'app:

Le assegnazioni del livello di accesso sono state modificate da [IP azienda, Dispositivo] a [].
(application_name: {GMAIL}, group_name: {CAA.02 accesso locale} 

Capire l'ereditarietà di unità organizzative e gruppi e i gruppi di configurazione

Se apporti modifiche ai livelli di accesso locali in un'unità organizzativa secondaria, questa disporrà solo dei livelli di accesso applicati localmente e non erediterà alcun livello di accesso dall'organizzazione principale.

Se rimuovi tutti i livelli di accesso assegnati localmente per ripristinare quelli ereditati in origine, l'organizzazione secondaria dispone solo dei livelli di accesso ereditati.

Ad esempio, per le unità organizzative, se a un'applicazione sono assegnati tre livelli di accesso nell'organizzazione di primo livello, quegli stessi livelli di accesso vengono assegnati per ereditarietà all'applicazione in un'organizzazione secondaria, se quest'ultima non ha un'assegnazione locale. Se successivamente aggiungi un livello di accesso solo nell'organizzazione secondaria, quello sarà l'unico livello di accesso applicato all'organizzazione secondaria.

Sostituire le assegnazioni dei livelli di accesso ereditati con un criterio null

Supponiamo che tu non voglia bloccare alcun accesso da parte degli utenti in un'organizzazione secondaria, non assegnando livelli di accesso. Crea un livello di accesso denominato "Any" con due condizioni di subnet IP e unisci le condizioni con OR:

  • IPv4 subnet range 0.0.0.0/0
    o
  • IPv6 subnet range 0::/0

Un utente dell'organizzazione ottiene l'accesso da un indirizzo IPv4 o IPv6.

Sostituire le assegnazioni dei livelli di accesso con i gruppi di configurazione

Puoi utilizzare i gruppi di configurazione per assegnare livelli di accesso a gruppi di utenti anziché a unità organizzative. Il livello di accesso al gruppo di un utente prevale sempre sul suo livello di accesso all'unità organizzativa. I gruppi possono includere utenti di qualsiasi unità organizzativa del tuo account.

Ad esempio, un utente appartiene a un'unità organizzativa e al Gruppo1. L'unità organizzativa è ParentOU, a cui è assegnato il livello di accesso X sia per Gmail che per Calendar. Non esiste un'assegnazione del livello di accesso per Gruppo1 per Gmail. Esiste un livello di accesso Y assegnato per il Gruppo1 per Calendar. In questo caso, l'utente ha un livello di accesso X assegnato a Gmail (tramite l'ereditarietà) e Y assegnato a Calendar (sovrascrivendo il  criterio locale).

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
14475161008401258442
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false