Met configuratiegroepen kunt u contextbewuste toegangsniveaus toepassen op groepen gebruikers in plaats van organisatie-eenheden. Groepen kunnen gebruikers uit elke organisatie-eenheid in uw bedrijf bevatten. U kunt een team van contractanten bijvoorbeeld toegang geven tot Gmail, maar alleen in uw bedrijfsnetwerk.
Hoe configuratiegroepen werken
-
Configuratiegroepen kunnen alle gebruikers in uw organisatie bevatten. U kunt ook een configuratiegroep maken die fungeert als container voor toegangsniveaus en er vervolgens gebruikersgroepen aan toevoegen (geneste groepen).
-
In tegenstelling tot organisatie-eenheden kan een gebruiker kan bij meerdere configuratiegroepen horen. U stelt de prioriteit van configuratiegroepen in. Voor gebruikers geldt de instelling van de groep met de hoogste prioriteit waar ze bij horen.
-
Het toegangsniveau voor een app van de groep van een gebruiker overschrijft altijd het toegangsniveau van de organisatie-eenheid van de gebruiker.
-
Als in een configuratiegroep geen toegangsniveau voor een app is opgegeven, gebruikt de app het toegangsniveau dat is ingesteld voor de organisatie-eenheid van de gebruiker.
Configuratiegroepen voor contextbewuste toegang maken
Voor configuratiegroepen werken instellingen voor contextbewuste toegang iets anders dan andere Google Workspace-instellingen. Informatie en tips voor het maken van groepen en beleidsregels:
Meestal geeft u toegangsniveaus op voor organisatie-eenheden en bepaalt u vervolgens aangepaste toegangsniveaus voor configuratiegroepen. U kunt bijvoorbeeld configuratiegroepen hebben voor 'Open toegang' of 'Toegang afschermen', zodat u snel specifieke gebruikers toegang kunt geven of de toegang kunt beperken.
Meestal gebruikt u een combinatie van configuratiegroepen:
Uw bestaande gebruikersgroepen gebruiken
U stelt het toegangsniveau voor elke app (bijvoorbeeld Gmail of Drive) in de gebruikersgroep in. Als een gebruiker bij meerdere groepen hoort, stelt u in welke groep de gebruikersinstellingen bepaalt (hieronder beschreven in het gedeelte Prioriteit).
In de volgende situaties is het handig toegangsniveaus rechtstreeks toe te passen op gebruikersgroepen:
- Als u contextbewuste toegang wilt testen.
- Als u de toegang wilt beheren voor specifieke groepen gebruikers, zoals IT-medewerkers of een team dat werkt aan een externe opdracht.
- As uw organisatie minder dan vijftig gebruikers of een klein aantal toegangsniveaus heeft. U hoeft niet nog meer groepen te maken en u kunt de instellingen voor elke gebruikersgroep nauwkeurig aanpassen.
Configuratiegroepen maken op basis van toegangsniveaus
U kunt ook toegangsniveaus toewijzen aan groepen. U maakt een configuratiegroep en wijst toegangsniveaus toe voor een of meerdere apps. Daarna voegt u gebruikersgroepen toe als leden van de configuratiegroep.
Grotere organisaties vinden deze aanpak wellicht handig voor het beheer van beleid en prioriteiten voor toegangsgroepen (zoals hieronder beschreven).
Als een gebruiker bij meerdere configuratiegroepen hoort, stelt u in welke configuratiegroep prioriteit heeft bij het bepalen van de app-toegang van de gebruiker.
In de Beheerdersconsole staan de groepen op volgorde van de hoogste tot de laagste prioriteit. Een nieuwe configuratiegroep heeft altijd de laagste prioriteit en wordt toegevoegd onderaan de lijst met configuratiegroepen.
Prioriteit voor contextbewuste toegang
Voor een gebruiker gelden de instellingen van de groep met de hoogste prioriteit waar deze bij hoort. Als de groep geen toegangsniveau heeft voor een bepaalde app, wordt het toegangsniveau van de volgende hoogste prioriteitsgroep van de gebruiker gebruikt, enzovoort.
In de Beheerdersconsole kunt u controleren welke groep of organisatie-eenheid het app-toegangsniveau van een gebruiker heeft bepaald. In het onderstaande voorbeeld wordt de Drive-toegang van de gebruiker bepaald door de groep Drive-beveiliging.
| Apps van de gebruiker | Toegangsniveaus | Overgenomen van |
|---|---|---|
| Bedrijfsnetwerk | Organisatie-eenheid: Sales | |
| Bedrijfsnetwerk, Apparaatbeveiliging | Groep: Drive-beveiliging | |
| Apparaatbeveiliging | Organisatie-eenheid: Sales | |
| <geen> | <geen> |
Voor gedetailleerde controle kunt u groepen gebruiken om het toegangsniveau voor elke app aan te passen. Bijvoorbeeld:
| Apps van de gebruiker | Toegangsniveaus | Overgenomen van |
|---|---|---|
| Bedrijfsnetwerk | Organisatie-eenheid: Sales | |
| Bedrijfsnetwerk, Apparaatbeveiliging | Groep: Drive-beveiliging | |
| Apparaatbeveiliging, Geo Canada | Groep: Noord-Amerika | |
| Apparaat beperkt, Bedrijfsnetwerk | Groep: Vault-onderzoeker |
Configuratiegroepen toepassen
- We raden u aan belangrijke of gevoelige configuratiegroepen een hoge prioriteit te geven. De groep met de hoogste prioriteit kan bijvoorbeeld de groep 'Urgente toegang' zijn, die groepen met beperkte toegang overschrijft.
-
Toegangsniveaus worden niet toegevoegd aan alle groepen van een gebruiker. In dit voorbeeld hoort een gebruiker bij 3 gebruikersgroepen, maar wordt het toegangsniveau bepaald door de configuratiegroep met de hoogste prioriteit, Apparaat.
Het plannen van de configuratiegroepstructuur is waarschijnlijk de stap die het meeste tijd kost en die u het vaakst moet controleren.
Groepen een naam geven en zoeken
Stel een naamgevingsconventie in voor groepen om ze makkelijker te kunnen vinden, prioriteit te kunnen geven en te kunnen controleren. Voeg bijvoorbeeld een voorvoegsel als cbt toe om aan te geven dat een bepaalde groep een configuratiegroep voor contextbewuste toegang is. Daarnaast kunt u getallen met een decimaal gebruiken om te voorkomen dat u de bestaande groepsnamen moet bewerken als u een configuratiegroep toevoegt.
| Zoeken op groepsadres | |||
| Lijst met groepen bekijken | |||
- Een groep zoeken: We raden u aan een naamgevingsstandaard te gebruiken waarin de naam en het prioriteitsnummer van de instelling staan, bijvoorbeeld:
caa_p0.0_onbeperkte_toegang@example.com
caa_p1.0_vergrendelde_toegang@example.com
caa_p3.0_Gmail_IP_apparaat@example.com
caa_p3.1_Gmail_IP@example.com
- De groepen bekijken: In het venster Groepen staan de groepsnamen (maximaal 37 tekens) op volgorde van prioriteit. Als u de muisaanwijzer op een groep plaatst, ziet u de volledige naam. Voorbeeld:
CBT p0.0 - Onbeperkte toegang tot alle apps
CBT p1.0 - Toegang bij lockdown
CAA p3.0 - Gmail IP bedrijf&apparaatbeveiliging
CBT p3.1 - Gmail IP bedrijf
De volgorde van groepen bepalen
Houd rekening met het volgende wanneer u de prioriteit en instellingen controleert:
- Geef groepen met de minste gebruikers of het belangrijkste beleid (zoals 'Toegang bij lockdown' of 'Onbeperkte toegang') de hoogste prioriteit.
- Bedenk welke groepen de hoogste prioriteit hebben. Let speciaal op diep geneste groepen, waarvoor het lastig kan zijn de instellingen te achterhalen.
Groepen maken
U moet groepen gebruiken die zijn gemaakt in de Beheerdersconsole, Directory API of Google Cloud Directory Sync. Groepen die zijn gemaakt in Google Groepen, kunnen niet worden gebruikt als configuratiegroepen. (In de Beheerdersconsole is niet te zien of een groep is gemaakt in Google Groepen.)
U kunt de configuratiegroep beheren in elke tool. U kunt strengere rechten instellen voor het toevoegen of verwijderen van gebruikers, posten in groepen uitzetten of voorkomen dat gebruikers de groep verlaten (alleen beschikbaar in de Groups API).
Configuratiegroepen instellen
Voordat u begint: Bepaal de niveaus voor contextbewuste toegang en maak de configuratiegroepen (we raden u aan 1 of 2 testaccounts in elke groep te plaatsen).
Hiervoor moet u beheerdersrechten hebben voor groepen en organisatie-eenheden (top-level) en de rechten 'Beheer van toegangsniveau voor gegevensbeveiliging' en 'Regelbeheer'.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
Beveiliging
Toegang en gegevensbeheer
- Klik op Toegangsniveaus toewijzen om de lijst met apps te bekijken.
- Klik in het gedeelte Contextbewuste toegang op Groepen.
- Kies een optie:
- Klik op een app. Bestaande configuratiegroepen waaraan een toegangsniveau is toegewezen aan uw app, worden op volgorde van prioriteit weergegeven.
- Klik op Zoeken naar een groep om een lijst met alle groepen te bekijken, niet alleen configuratiegroepen. Je kunt tekst invoeren om de resultaten te filteren.
- Klik op de groep. In de tabel met apps staan alle apps met de toewijzingen van toegangsniveaus.
- Als u de groep niet kunt vinden, is deze wellicht gemaakt in Google Groepen. Configuratiegroepen moeten zijn gemaakt in de Beheerdersconsole, de Directory API of Google Cloud Directory Sync.
- Voeg de configuratiegroepen toe van de hoogste naar de laagste prioriteit. Als u een nieuwe groep toevoegt, krijgt deze de laagste prioriteit.
- Als u de groep niet kunt vinden, is deze wellicht gemaakt in Google Groepen. Configuratiegroepen moeten zijn gemaakt in de Beheerdersconsole, de Directory API of Google Cloud Directory Sync.
- Klik op een of meer apps en vervolgens op Toewijzen.
- Selecteer detoegangsniveaus voor de app in de groep en klik opOpslaan. Standaard zijn er geen toegangsniveaus toegewezen aan een nieuwe groep.
Voor organisaties met meerdere soorten Google Workspace-licenties: De toegangsniveaus van de groep gelden alleen voor gebruikers met een licentie voor een Google Workspace-versie die de functie voor contextbewuste toegang bevat.
Hiervoor moet u beheerdersrechten hebben voor groepen en organisatie-eenheden (top-level) en de rechten 'Beheer van toegangsniveau voor gegevensbeveiliging' en 'Regelbeheer'.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
- Ga in de Beheerdersconsole naar de pagina met instellingen voor de app.
- Klik linksboven op Gebruikers.
- Klik op Een gebruiker selecteren en voer het adres (niet de naam) van de gebruiker in.
- Selecteer de gebruiker om de app-instellingen te bekijken. In de kolom Overgenomen van staat de configuratiegroep of organisatie-eenheid waarmee de instellingen van de gebruiker zijn bepaald.
- Plaats de muisaanwijzer op een app en klik op Bekijken voor meer informatie over de toegangsniveaus van de gebruiker.
Opmerking: Als u een organisatie-eenheid bekijkt, zijn de niveaus met de status Overgenomen alleen gebaseerd op de instelling van een organisatie-eenheid, niet op configuratiegroepen.
Hiervoor moet u beheerdersrechten hebben voor groepen en organisatie-eenheden (top-level) en de rechten 'Beheer van toegangsniveau voor gegevensbeveiliging' en 'Regelbeheer'.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
- Klik op Toegangsniveaus toewijzen om de lijst met apps te bekijken.
- Klik links op Groepen. Configuratiegroepen worden op volgorde van prioriteit weergegeven.
- Klik op de groep die u wilt verwijderen.
- U moet eerst de toegangsniveaus van alle apps in de groep intrekken. Controleer in het deelvenster Apps elke app een voor een om te controleren of alle toegangsniveaus zijn ingetrokken.
- Klik op Toewijzen.
- Klik op Alle vinkjes weghalen
- Klik op Opslaan.
Hiervoor moet u beheerdersrechten hebben voor groepen en organisatie-eenheden (top-level) en de rechten 'Beheer van toegangsniveau voor gegevensbeveiliging' en 'Regelbeheer'.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga in de Beheerdersconsole naar Menu
- Klik op Toegangsniveaus toewijzen om de lijst met apps te bekijken.
- Klik links op Groepen. Configuratiegroepen worden op volgorde van prioriteit weergegeven.
- Klik op de groep die u wilt bewerken.
- Selecteer rechts de apps die u wilt bewerken, toevoegen of verwijderen.
- Klik op Toewijzen.
- Update de niveautoewijzingen van de groep.
- Klik op Opslaan.
Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
Ik zie de configuratiegroep niet in de lijst 'Groepen'
- De groep is misschien gemaakt in Google Groepen. Probeer een groep te maken in de Beheerdersconsole.
- Zoek naar het e-mailadres van de groep in plaats van de naam.
- Probeer de pagina met instellingen te vernieuwen. Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
- Controleer of u beheerdersrechten heeft voor groepen.
Een gebruiker heeft niet het juiste toegangsniveau
- Check het groepslidmaatschap van de gebruiker. Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie
- Zoek de configuratiegroep waarmee de instellingen van de gebruiker worden bepaald. Als de gebruiker bij meerdere configuratiegroepen hoort, moet u mogelijk de prioriteit van de groep of het lidmaatschap van de gebruiker aanpassen.
- De gebruiker heeft mogelijk geen productlicentie voor de functie. Contextbewuste toegang is alleen beschikbaar in bepaalde versies van Google Workspace.
- Als de gebruiker geen toegang heeft tot een app, kan aan de app een verwijderd toegangsniveau zijn toegewezen. Zie Verwijderde toegangsniveaus intrekken.
Bekijk deze gebeurtenissen in het controlelogboek voor beheerders voor wijzigingen aan de instellingen van configuratiegroepen:
GEBEURTENIS: App-specifieke toewijzing van contextbewuste toegangsniveaus gewijzigd
|
Wordt vastgelegd als u een configuratiegroep toepast of verwijdert. In de gebeurtenis wordt de groepsnaam gebruikt. U kunt dus vergelijkbare naamgevingsconventies gebruiken voor zowel de naam als het adres van de groep. In een groepsgebeurtenis staan de volgende gegevens:
Stel dat u de configuratiegroep CBT.02 lokale toegang toepast op een app:
Als u de configuratiegroep uit een app verwijdert, ziet u het volgende:
|
Over overnemen van organisatie-eenheden en groepen, en configuratiegroepen
Als u lokaal wijzigingen aanbrengt aan toegangsniveaus in een onderliggende organisatie-eenheid of groep, gelden alleen de lokaal toegepaste toegangsniveaus voor deze organisatie-eenheid of groep. Toegangsniveaus van de bovenliggende organisatie worden niet meer overgenomen.
Als u alle lokaal toegewezen toegangsniveaus verwijdert om de oorspronkelijk overgenomen toegangsniveaus te herstellen, gelden voor de onderliggende organisatie-eenheid alleen de overgenomen toegangsniveaus.
Voor organisatie-eenheden geldt bijvoorbeeld het volgende: Als er 3 toegangsniveaus zijn toegewezen aan een app in de organisatie op het hoogste niveau, worden deze overgenomen voor de app in een onderliggende organisatie-eenheid, zelfs als er voor deze organisatie-eenheid geen lokale toewijzingen zijn. Als u dan een toegangsniveau alleen toevoegt aan de onderliggende organisatie-eenheid, wordt dit toegangsniveau als enige toegepast op de onderliggende organisatie-eenheid.
Overgenomen toegangsniveaus overschrijven met een leeg beleid
Stel dat u niet wilt dat gebruikerstoegang in onderliggende organisatie-eenheden wordt geblokkeerd. U wilt dus niet dat de onderliggende organisatie-eenheden de toegangsniveaus overnemen. Maak een toegangsniveau met de naam 'Elke' met 2 IP-subnetvoorwaarden en plaats er de operator 'of' tussen:
- IPv4 subnet range 0.0.0.0/0
of - IPv6 subnet range 0::/0
Een gebruiker in de organisatie krijgt toegang vanaf elk IPv4- of IPv6-adres.
Toewijzingen van toegangsniveaus overschrijven met configuratiegroepen
U kunt configuratiegroepen gebruiken om toegangsniveaus toe te wijzen aan groepen gebruikers in plaats van organisatie-eenheden. Het toegangsniveau van de groep van een gebruiker overschrijft altijd het toegangsniveau van de organisatie-eenheid van de gebruiker. De groepen kunnen gebruikers uit elke organisatie-eenheid in uw account bevatten.
Bijvoorbeeld: Een gebruiker hoort bij een organisatie-eenheid en Groep 1. De bovenliggende organisatie-eenheid is BovenliggendeOE. Hieraan is toegangsniveau X toegewezen voor Gmail en Agenda. Er is geen toegangsniveau toegewezen aan Groep1 voor Gmail. Toegangsniveau Y is toegewezen aan Groep1 voor Agenda. In dit geval is toegangsniveau X toegewezen aan de gebruiker voor Gmail (overgenomen) en toegangsniveau Y toegewezen voor Agenda (door het lokale beleid te overschrijven).
