구성 적용 그룹으로 조직 단위가 아닌 사용자 그룹에 맞게 컨텍스트 인식 액세스 수준을 적용할 수 있습니다. 구성 적용 그룹에는 비즈니스에 속한 어느 조직 단위의 사용자든 포함할 수 있습니다. 예를 들어 계약업체 직원으로 구성된 팀이 회사 네트워크를 통해서는 Gmail에만 액세스하도록 허용합니다.
구성 적용 그룹의 작동 방식
-
구성 적용 그룹에는 조직의 모든 사용자가 포함될 수 있습니다. 또한 액세스 수준의 컨테이너 역할을 하는 구성 적용 그룹을 만든 다음, 사용자 그룹을 추가할 수도 있습니다(그룹 중첩).
-
사용자는 조직 단위와 달리 여러 구성 적용 그룹에 속할 수 있습니다. 관리자가 구성 적용 그룹의 우선순위를 설정하면 사용자에게 본인이 속한 그룹 중 우선순위가 가장 높은 그룹의 설정이 적용됩니다.
-
앱에 대한 사용자 그룹의 액세스 수준은 항상 조직 단위의 액세스 수준보다 우선합니다.
-
구성 적용 그룹에서 앱에 대한 액세스 수준을 지정하지 않으면 앱에서는 사용자의 조직 단위에서 설정한 액세스 수준을 사용합니다.
컨텍스트 인식 액세스를 위해 구성 적용 그룹 설계하기
구성 적용 그룹은 다른 Google Workspace 설정에 비해 컨텍스트 인식 액세스가 약간 다르게 작동합니다. 다음은 그룹 및 정책을 설계할 때 필요한 정보 및 도움말입니다.
일반적으로 조직 단위의 액세스 수준을 정의한 다음 구성 적용 그룹의 맞춤 액세스 수준을 결정합니다. 예를 들어 특정 사용자에게 액세스 권한을 신속하게 부여하거나 제한할 수 있도록 '액세스 허용' 또는 '액세스 차단' 구성 적용 그룹을 만들 수 있습니다.
일반적으로 다음과 같은 구성 적용 그룹을 조합하여 사용하게 됩니다.
기존 사용자 그룹 사용하기
사용자 그룹에서 각 앱(예: Gmail 또는 Drive)에 대한 액세스 수준을 설정합니다. 사용자가 여러 그룹에 속한 경우 사용자의 설정을 결정하는 데 기준이 되는 그룹을 설정합니다(아래의 우선순위 섹션에 설명됨).
다음과 같은 경우 액세스 수준을 사용자 그룹에 직접 적용하는 것이 좋습니다.
- 컨텍스트 인식 액세스 테스트
- IT 직원 또는 원격 근무 팀과 같은 특정 사용자 그룹에 대한 액세스 관리
- 사용자가 50명 미만이거나 액세스 수준의 수가 적은 조직. 그룹을 추가로 만들 필요 없이 각 사용자 그룹의 설정을 세부적으로 조정하면 됩니다.
액세스 수준에 따라 구성 적용 그룹 만들기
그룹에 액세스 수준을 할당할 수도 있습니다. 구성 적용 그룹을 만들어 하나 또는 여러 개의 앱에 대한 액세스 수준을 지정한 다음 사용자 그룹을 구성 적용 그룹의 구성원으로 추가합니다.
이 접근법은 대규모 조직에서 액세스 그룹 정책 및 우선순위를 관리할 때 유용합니다(아래 설명 참고).
사용자가 여러 구성 적용 그룹에 속한 경우 해당 사용자의 앱 액세스 수준을 결정할 때 어떤 구성 적용 그룹이 우선하는지 관리자가 설정합니다.
관리 콘솔에는 그룹 목록이 가장 높은 우선순위부터 가장 낮은 우선순위 순으로 표시됩니다. 새 구성 적용 그룹은 항상 우선순위가 가장 낮으며 구성 적용 그룹 목록 하단에 추가됩니다.
컨텍스트 인식 액세스 우선순위
사용자에게는 본인이 속한 그룹 중 우선순위가 가장 높은 그룹의 설정이 적용됩니다. 해당 그룹에 특정 앱에 대한 액세스 수준이 없는 경우, 사용자가 속한 그룹 중 다음으로 가장 높은 우선순위 그룹의 액세스 수준이 사용됩니다.
관리자는 관리 콘솔에서 사용자의 앱 액세스 수준을 결정한 그룹 또는 조직 단위를 확인할 수 있습니다. 아래 예에서는 '드라이브 보안' 그룹이 사용자의 드라이브 액세스 권한을 설정합니다.
| 사용자 앱 | 액세스 수준 | 다음에서 상속 |
|---|---|---|
| 회사 네트워크 | 조직 단위: 영업팀 | |
| 회사 네트워크, 기기 보안 | 그룹: Drive 보안 | |
| 기기 보안 | 조직 단위: 영업팀 | |
| <없음> | <없음> |
보다 세밀한 관리를 위해 그룹을 사용하여 각 앱의 액세스 수준을 다음 예와 같이 맞춤설정할 수 있습니다.
| 사용자 앱 | 액세스 수준 | 다음에서 상속 |
|---|---|---|
| 회사 네트워크 | 조직 단위: 영업팀 | |
| 회사 네트워크, 기기 보안 | 그룹: Drive 보안 | |
| 기기 보안, 캐나다 지역 | 그룹: 북미 | |
| 기기 제한, 회사 네트워크 | 그룹: Vault 조사 담당자 |
구성 적용 그룹의 적용
- 중요하거나 민감한 구성 적용 그룹의 우선순위를 높게 설정합니다. 예를 들어 액세스를 제한하는 그 어떤 그룹보다 우선하는 '긴급 액세스' 그룹을 가장 높은 우선순위 그룹으로 설정할 수 있습니다.
-
사용자가 속한 그룹이 여러 개이더라도 각 그룹의 액세스 수준이 추가되지는 않습니다. 이 예에서 사용자는 3개의 사용자 그룹에 속하지만, 우선순위가 가장 높은 구성 적용 그룹인 '기기'만 사용자 그룹의 액세스 수준을 설정합니다.
구성 적용 그룹 구조를 계획하는 데 가장 많은 시간과 검토가 필요할 수 있습니다.
그룹 명명 및 검색
검색, 우선순위 지정, 감사의 용이성을 위해 그룹 이름은 일정한 기준에 따라 정합니다. 예를 들어 'caa'와 같은 접두사를 추가하여 컨텍스트 인식 구성 적용 그룹임을 표시합니다. 또한 구성 적용 그룹을 추가할 때 기존 그룹 이름이 수정되는 것을 방지하려면 소수점을 사용합니다.
| 그룹 주소로 검색 | |||
| 그룹 목록 보기 | |||
- 그룹 검색: 예를 들어 다음과 같이 설정 이름과 우선순위 번호가 포함된 명명 기준을 설정할 수 있습니다.
caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com
- 그룹 보기: 그룹스 패널에는 그룹 이름(영문 기준 최대 37자)이 우선순위 순서로 표시되며, 그룹을 가리키면 전체 이름이 표시됩니다. 예:
CAA p0.0 - 모든 앱에 제한 없이 액세스
CAA p1.0 - 잠금 액세스
CAA p3.0 - Gmail IP 회사 및 기기 보안
CAA p3.1 - Gmail IP 회사
그룹 순서 지정
우선순위 및 설정을 추적할 때 다음을 고려하세요.
- 가장 적은 수의 사용자에게 적용되는 그룹이나 중요한 정책(예: '액세스 차단' 또는 '모든 액세스')을 정의하는 그룹을 가장 높은 우선순위에 두는 것이 좋습니다.
- 그룹 구조의 우선순위를 고려하고 복잡하게 중첩된 그룹이 있는지 확인합니다. 복잡하게 중첩된 그룹은 설정을 추적하기 어려울 수 있습니다.
그룹 만들기
관리 콘솔, Directory API 또는 Google Cloud 디렉터리 동기화에서 만든 그룹을 사용해야 합니다. Google 그룹스에서 만든 그룹은 구성 적용 그룹으로 사용할 수 없습니다. 관리 콘솔에 그룹이 Google 그룹스에서 만들어졌는지 여부는 표시되지 않습니다.
어느 도구에서나 구성 적용 그룹을 관리할 수 있습니다. 사용자 추가/삭제에 엄격한 권한을 설정하거나, 그룹에 게시 기능을 사용 중지하거나, 사용자가 그룹에서 나가지 못하도록 할 수 있습니다(Groups API에서만 가능).
구성 적용 그룹 설정하기
시작하기 전에: 컨텍스트 인식 액세스 수준을 정의하고 구성 적용 그룹을 만듭니다. 테스트 계정을 1~2개 포함하는 것이 좋습니다.
그룹스, 조직 단위(최상위), 데이터 보안 액세스 수준 관리 및 규칙 관리에 대한 관리자 권한이 필요합니다.
-
-
관리 콘솔에서 메뉴
보안
액세스 및 데이터 관리
- 액세스 수준 지정을 클릭하여 앱 목록을 봅니다.
- 컨텍스트 인식 액세스 섹션에서 그룹스를 클릭합니다.
- 다음 옵션 중 하나를 선택합니다.
- 앱을 클릭합니다. 앱에 액세스 수준이 할당된 모든 기존 구성 적용 그룹이 우선순위에 따라 나열됩니다.
- 그룹 검색을 클릭하여 구성 적용 그룹뿐 아니라 모든 그룹의 목록을 검토합니다. 텍스트를 입력하여 결과를 필터링할 수 있습니다.
- 그룹을 클릭합니다. 애플리케이션 표에는 액세스 수준이 할당된 모든 애플리케이션이 표시됩니다.
- 그룹을 찾을 수 없다면 그룹이 Google 그룹스에서 만들어진 것일 수 있습니다. 구성 적용 그룹은 관리 콘솔, Directory API, Google Cloud 디렉터리 동기화에서 만들어야 합니다.
- 가장 높은 우선순위부터 가장 낮은 우선순위 순으로 구성 적용 그룹을 추가하기 시작합니다. 새 그룹을 추가하면 가장 낮은 우선순위에 배치됩니다.
- 그룹을 찾을 수 없다면 그룹이 Google 그룹스에서 만들어진 것일 수 있습니다. 구성 적용 그룹은 관리 콘솔, Directory API, Google Cloud 디렉터리 동기화에서 만들어야 합니다.
- 하나 이상의 앱을 클릭한 다음 지정을 클릭합니다.
- 그룹에서 앱의 액세스 수준을 선택하고 저장을 클릭합니다. 기본적으로 새 그룹에는 지정된 액세스 수준이 없습니다.
여러 유형의 Google Workspace 라이선스가 있는 조직의 경우: 그룹 액세스 수준은 컨텍스트 인식 액세스 제어를 포함하는 Google Workspace 버전이 할당된 사용자에게만 적용됩니다.
그룹스, 조직 단위(최상위), 데이터 보안 액세스 수준 관리 및 규칙 관리에 대한 관리자 권한이 필요합니다.
-
-
관리 콘솔에서 메뉴
- 관리 콘솔에서 앱의 설정 페이지로 이동합니다.
- 왼쪽 상단에서 사용자를 클릭합니다.
- 사용자 선택을 클릭하고 사용자 이름이 아니라 주소를 입력합니다.
- 앱 설정을 확인할 사용자를 선택합니다. 상속 출처 열에 사용자의 설정을 결정하는데 기준이 된 구성 적용 그룹 또는 조직 단위가 표시됩니다.
- 사용자의 액세스 수준 세부정보를 보려면 앱을 가리킨 다음 보기를 클릭합니다.
참고: 조직 단위에 표시되는 상속된 수준은 구성 적용 그룹이 아닌 조직 단위의 설정만을 반영하여 표시됩니다.
그룹스, 조직 단위(최상위), 데이터 보안 액세스 수준 관리 및 규칙 관리에 대한 관리자 권한이 필요합니다.
-
-
관리 콘솔에서 메뉴
- 액세스 수준 지정을 클릭하여 앱 목록을 봅니다.
- 왼쪽에서 그룹스를 클릭합니다. 구성 적용 그룹 목록이 우선순위에 따라 표시됩니다.
- 삭제할 그룹을 클릭합니다.
- 먼저 그룹에 있는 모든 앱에서 액세스 수준을 모두 할당 해제합니다. 앱 패널에서 각 애플리케이션을 한 번에 하나씩 확인하여 모든 액세스 수준이 할당 해제되어 있는지 확인합니다.
- 할당을 클릭합니다.
- 모두 선택 해제를 클릭합니다.
- 저장을 클릭합니다.
그룹스, 조직 단위(최상위), 데이터 보안 액세스 수준 관리 및 규칙 관리에 대한 관리자 권한이 필요합니다.
-
-
관리 콘솔에서 메뉴
- 액세스 수준 지정을 클릭하여 앱 목록을 봅니다.
- 왼쪽에서 그룹스를 클릭합니다. 구성 적용 그룹 목록이 우선순위에 따라 표시됩니다.
- 수정할 그룹을 클릭합니다.
- 오른쪽에서 수정, 추가 또는 삭제할 앱을 선택합니다.
- 할당을 클릭합니다.
- 그룹에 지정된 액세스 수준을 업데이트합니다.
- 저장을 클릭합니다.
변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기
그룹스 목록에 구성 적용 그룹이 표시되지 않음
- 그룹이 Google 그룹스에서 만들어진 것일 수 있습니다. 관리 콘솔에서 그룹을 만들어 보세요.
- 그룹 이름이 아닌 그룹의 이메일 주소로 검색해 봅니다.
- 설정 페이지를 새로고침해 봅니다. 변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기
- 그룹스 관리자 권한이 있는지 확인하세요.
사용자에게 액세스 수준이 올바르게 설정되어 있지 않음
- 사용자의 그룹 멤버십을 확인합니다. 변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기
- 사용자의 설정을 결정하는 데 기준이 되는 구성 적용 그룹을 찾습니다. 사용자가 여러 구성 적용 그룹에 속한 경우 그룹 우선순위 또는 사용자의 그룹 멤버십을 변경해야 할 수 있습니다.
- 사용자에게 기능 사용에 필요한 제품 라이선스가 없을 수 있습니다. 컨텍스트 인식 액세스는 특정 Google Workspace 버전에서 제공됩니다
- 사용자가 앱에 액세스할 수 없는 경우 해당 앱에 삭제된 액세스 수준이 지정되었을 수 있습니다. 삭제된 액세스 수준 삭제하기를 확인해 보세요.
구성 적용 그룹의 설정 변경사항과 관련하여 관리자 감사 로그에서 다음 이벤트를 검토합니다.
이벤트: 앱별 컨텍스트 인식 액세스 수준 지정 변경
|
구성 적용 그룹을 적용하거나 삭제할 때 기록되는 로그입니다. 이벤트에서는 그룹 이름을 사용하므로, 그룹 이름과 주소 모두에 유사한 명명 기준을 사용하는 것이 좋습니다. 그룹 이벤트에 포함된 데이터는 다음과 같습니다.
예를 들어 CAA.02 로컬 액세스 구성 적용 그룹을 앱에 적용하는 경우 다음과 같이 기록됩니다.
앱에서 구성 적용 그룹을 삭제하는 경우 다음과 같이 기록됩니다.
|
조직 단위 상속, 그룹 상속 및 구성 적용 그룹 이해하기
하위 조직 단위 또는 그룹에서 로컬 액세스 수준을 변경하면 해당 조직 단위 또는 그룹에는 로컬에서 적용되는 액세스 수준만 있게 되고 상위 조직으로부터 액세스 수준이 상속되지 않습니다.
원래 상속된 액세스 수준을 복원하기 위해 로컬에 할당된 액세스 수준을 모두 삭제하는 경우 하위 조직에는 상속된 액세스 수준만 있게 됩니다.
예를 들어 조직 단위의 경우 최상위 조직 단위에서 앱에 할당된 액세스 수준이 3개 있다면 하위 조직 단위에 로컬 할당이 없는 경우 상속을 통해 동일한 액세스 수준이 하위 조직의 앱에 할당됩니다. 그런 다음 하위 조직에서만 액세스 수준을 추가하면 이렇게 추가된 액세스 수준만 하위 조직에 적용됩니다.
null 정책으로 상속된 액세스 수준 할당 재정의
하위 조직의 모든 사용자 액세스를 허용(액세스 수준을 할당하지 않음)하고자 한다고 가정해 봅시다. 다음과 같이 2개의 IP 서브넷 조건으로 'Any(모든)'라는 액세스 수준을 만든 다음 OR을 사용해 조건을 결합합니다.
- IPv4 서브넷 범위 0.0.0.0/0
또는 - IPv6 서브넷 범위 0::/0
조직의 사용자가 모든 IPv4 또는 IPv6 주소에서 액세스할 수 있습니다.
구성 적용 그룹으로 액세스 수준 할당 재정의
구성 적용 그룹을 사용하면 조직 단위가 아닌 사용자 그룹별로 액세스 수준을 할당할 수 있습니다. 사용자의 그룹 액세스 수준은 항상 사용자의 조직 단위 액세스 수준보다 우선 적용됩니다. 그룹에는 계정에 속한 모든 조직 단위의 사용자를 포함할 수 있습니다.
예를 들어 사용자는 조직 단위와 그룹 1에 속해 있습니다. 여기에서 조직 단위는 ParentOU이며 Gmail 및 Calendar 모두에 대해 액세스 수준 X가 할당되어 있습니다. 그룹 1에는 Gmail에 대한 액세스 수준 할당이 없고, Calendar에 대한 액세스 수준 Y가 할당되어 있습니다. 이 경우 사용자는 Gmail에 할당된 액세스 수준 X는 상속을 통해, Calendar에 할당된 액세스 수준 Y는 액세스 수준을 재정의하는 로컬 정책을 통해 갖게 됩니다.