Группы конфигурации позволяют задавать уровни контекстно-зависимого доступа для групп пользователей, а не для организационных подразделений. В них могут быть пользователи из любого организационного подразделения в вашем аккаунте. Например, вы можете разрешить команде подрядчиков доступ к Gmail только через свою корпоративную сеть.
Как работают группы конфигурации
-
В группы конфигурации могут входить любые пользователи из вашей организации. Вы также можете создать группу конфигурации, которая будет выполнять роль контейнера для уровней доступа, а затем добавить в нее свои группы пользователей (вложенные группы).
-
Пользователь может входить в несколько групп конфигурации, но только в одно организационное подразделение. Каждой группе конфигурации можно присвоить приоритет. В этом случае для пользователей, которые входят в несколько групп, будут действовать настройки группы с самым высоким приоритетом.
-
Уровень доступа для приложения, заданный для группы, в которой состоит пользователь, всегда имеет приоритет над уровнем доступа для его организационного подразделения.
-
Если в группе конфигурации не указан уровень доступа для приложения, оно будет использовать уровень доступа, заданный для организационного подразделения пользователя.
Как подготовить группы конфигурации для контекстно-зависимого доступа
Настройки групп конфигурации для контекстно-зависимого доступа немного отличаются от других настроек Google Workspace. Ниже приведены сведения и советы по созданию групп и правил.
Обычно вначале вы определяете уровни доступа для организационных подразделений, а затем задаете специальные уровни доступа для групп конфигурации. Например, у вас могут быть группы конфигурации для уровней "Открыть доступ" или "Заблокировать доступ", чтобы быстро предоставить или ограничить доступ для определенных пользователей.
Как правило, используется сочетание групп конфигурации, описанных ниже.
Группы конфигурации на основе имеющихся групп пользователей
Вы задаете уровень доступа для каждого приложения (например, для Gmail или Google Диска) в группе пользователей. Если пользователь входит в несколько групп, выбирается группа, настройки которой будут применяться к данному пользователю в первую очередь (этот вариант описан ниже в разделе Приоритет).
Применение уровней доступа непосредственно для групп пользователей удобно в следующих ситуациях:
- Тестирование контекстно-зависимого доступа.
- Управление доступом для определенных групп пользователей, например для ИТ-отдела или удаленной команды.
- Управление доступом для организации, в которой меньше 50 пользователей или небольшое количество уровней доступа. Нет необходимости создавать дополнительные группы и можно изменить настройки для каждой группы пользователей.
Новые группы конфигурации на основе уровней доступа
Вы также можете назначать группам уровни доступа. Для этого создайте группу конфигурации и назначьте уровни доступа для одного или нескольких приложений. Затем вы можете добавить группы пользователей как участников группы конфигурации.
Такая схема подходит для крупных организаций, которые хотят управлять правилами для групп доступа и приоритетами доступа (описаны ниже).
Если пользователь входит в несколько групп конфигурации, можно выбрать, какая из них имеет приоритет при определении уровня доступа к приложению для этого пользователя.
В консоли администратора Google выберите приложение, чтобы посмотреть соответствующий список приоритета групп. Группы будут показаны в порядке от наибольшего до наименьшего приоритета. Новой группе конфигурации всегда присваивается наименьший приоритет, и она добавляется на последнее место в списке групп конфигурации.
Приоритет для контекстно-зависимого доступа
Пользователь получает настройки приложения, соответствующие своей группе с самым высоким приоритетом. Если группе не назначен уровень доступа для определенного приложения, используется уровень доступа группы со следующим наивысшим приоритетом и так далее.
В консоли администратора вы можете проверить, какая группа или организационное подразделение определяют уровень доступа пользователя к приложению. В примере ниже группа Безопасность Диска задает доступ пользователя к Диску.
| Приложения пользователя | Уровни доступа | Откуда унаследовано |
|---|---|---|
| Корпоративная сеть | Организационное подразделение: отдел продаж | |
| Корпоративная сеть, безопасность устройств | Группа: "Безопасность Диска" | |
| Безопасность устройств | Организационное подразделение: отдел продаж | |
| <нет> | <нет> |
Вы можете более детально настроить уровни доступа для каждого приложения с помощью групп. Например:
| Приложения пользователя | Уровни доступа | Откуда унаследовано |
|---|---|---|
| Корпоративная сеть | Организационное подразделение: отдел продаж | |
| Корпоративная сеть, безопасность устройств | Группа: "Безопасность Диска" | |
| Безопасность устройств, географический регион "Канада" | Группа: "Северная Америка" | |
| Определенные устройства, корпоративная сеть | Группа: "Инспектор Сейфа" |
Как применить приоритет к группам конфигурации
- Мы рекомендуем задавать для групп конфигурации с критически важными или конфиденциальными данными самый высокий приоритет. Например, группой с самым высоким приоритетом может быть группа "Срочный доступ", которая переопределяет ограничения доступа любых других групп.
-
Уровни доступа не добавляются в группы пользователя. В этом примере пользователь входит в три группы, но уровень доступа задается только группой конфигурации с самым высоким приоритетом: Устройство.
Особенно тщательно нужно подойти именно к этапу планирования структуры для групп конфигурации.
Как задавать названия для групп и выполнять их поиск
Правила присвоения названий упрощают поиск групп, настройку их приоритетов и проверку. Вы можете выделить определенный префикс (например, caa), чтобы указать, что эта группа конфигурации является контекстно-зависимой. Также можно использовать десятичную точку, чтобы вам не пришлось редактировать названия существующих групп при добавлении группы конфигурации.
| Выполните поиск по адресу группы. | |||
| Просмотрите список групп. | |||
- Поиск группы. Вы можете указывать в названии группы настройку и значение приоритета, например:
caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com
- Просмотр групп: на панели "Группы" показывается название группы (не более 37 символов) в порядке приоритета. Если навести указатель на название группы, оно будет показано целиком. Примеры:
CAA p0.0 – неограниченный доступ ко всем приложениям
CAA p1.0 – блокировка доступа
CAA p3.0 – корпоративный IP-адрес Gmail и безопасность устройств
CAA p3.1 – корпоративный IP-адрес Gmail
Упорядочивание групп
Как контролировать приоритет и настройки:
- Для групп, которые применяются к небольшому числу пользователей или определяют критически важные правила (например, "Блокировать доступ" или "Полный доступ"), рекомендуется задать наивысший приоритет.
- Учитывайте приоритет при разработке структуры групп и избегайте групп с глубоким уровнем вложенности, так как их применение может затруднять отслеживание настроек.
Как создавать группы
Использовать можно только группы, созданные в консоли администратора, через Directory API или Google Cloud Directory Sync. Группы, созданные в Google Группах, не могут использоваться в качестве групп конфигурации. В консоли администратора нельзя посмотреть, была ли группа создана в Google Группах.
Управлять группами конфигурации можно в любом инструменте. Можно настроить строгие ограничения на добавление или удаление пользователей, отключить публикацию записей в группе или запретить пользователям выходить из группы (эта возможность доступна только в API Групп).
Как настроить группы конфигурации
Подготовка. Определите уровни контекстно-зависимого доступа и создайте свои группы конфигурации (желательно с 1 или 2 тестовыми аккаунтами).
Вам потребуются права администратора, необходимые для управления группами и организационными подразделениями верхнего уровня, а также права на управление уровнями доступа и правилами из раздела "Защита данных".
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Управление доступом и данными
- Нажмите Назначение уровней доступа, чтобы посмотреть список приложений.
- В разделе Контекстно-зависимый доступ выберите Группы.
- Выберите один из вариантов:
- Нажмите на приложение. Откроется список всех упорядоченных по приоритету групп конфигурации, которым назначены уровни доступа для приложения.
- Нажмите Поиск групп, чтобы посмотреть список всех групп, а не только групп конфигурации. Чтобы отфильтровать результаты, вы можете ввести текст.
- Выберите группу. В таблице приложений будут перечислены все приложения с назначенными им уровнями доступа.
- Если не удается найти нужную группу, возможно, она была создана в Google Группах. Группы конфигурации необходимо создавать в консоли администратора, Directory API или Google Cloud Directory Sync.
- Сначала добавьте группу с самым высоким приоритетом. При добавлении новой групповой политики для приложения ей присваивается самый низкий приоритет.
- Выберите одно или несколько приложений и нажмите Назначить.
- Задайте уровни доступа для приложения в группе и нажмите Сохранить. По умолчанию новой группе не назначены уровни доступа.
Если в организации несколько типов лицензий Google Workspace: уровни доступа группы применяются только к пользователям версии Google Workspace с возможностями управления контекстно-зависимым доступом.
Вам потребуются права администратора, необходимые для управления группами и организационными подразделениями верхнего уровня, а также права на управление уровнями доступа и правилами из раздела "Защита данных".
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- В консоли администратора откройте страницу настроек приложения.
- В левом верхнем углу нажмите Пользователи.
- Нажмите Выберите пользователя и введите адрес пользователя (а не имя).
- Выберите пользователя, чтобы посмотреть настройки приложения для него. В столбце Откуда унаследовано указывается группа конфигурации или организационное подразделение, которые определяют настройки для пользователя.
- Выберите приложение и нажмите Посмотреть, чтобы показать сведения об уровнях доступа пользователя.
Примечание. Уровни Унаследовано определяются настройками только организационного подразделения, а не групп конфигурации.
Вам потребуются права администратора, необходимые для управления группами и организационными подразделениями верхнего уровня, а также права на управление уровнями доступа и правилами из раздела "Защита данных".
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- Нажмите Назначение уровней доступа, чтобы посмотреть список приложений.
- В меню слева выберите Группы.
- Выберите группу для удаления.
- Сначала отмените назначение всех уровней доступа для всех приложений в группе. На панели Приложения установите флажки для каждого приложения по очереди, чтобы точно отменить назначение уровней доступа.
- Нажмите Назначить.
- Нажмите Снять все флажки
- Нажмите Сохранить.
Вам потребуются права администратора, необходимые для управления группами и организационными подразделениями верхнего уровня, а также права на управление уровнями доступа и правилами из раздела "Защита данных".
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- Нажмите Назначение уровней доступа, чтобы посмотреть список приложений.
- В меню слева выберите Группы.
- Найдите группу, которую нужно изменить.
- В правой части окна выберите приложения, которые нужно изменить, добавить или удалить.
- Нажмите Назначить.
- Обновите назначения уровня доступа для группы.
- Нажмите Сохранить.
Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
Я не вижу группу конфигурации в списке "Группы"
- Возможно, группа была создана в Google Группах. Попробуйте создать ее в консоли администратора.
- Выполните поиск по адресу электронной почты группы, а не по ее названию.
- Попробуйте обновить страницу настроек. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
- Убедитесь, что у вас есть необходимые права администратора для доступа к Группам.
У пользователя нет нужного уровня доступа
- Проверьте, в каких группах состоит пользователь. Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее…
- Найдите группу конфигурации, которая определяет настройки для пользователя. Если пользователь входит в несколько групп конфигурации, вам может потребоваться изменить приоритет групп или параметры участия пользователя в них.
- Возможно, у пользователя нет лицензии на продукт, необходимой для использования этой функции. Контекстно-зависимый доступ предоставляется только в определенных версиях Google Workspace.
- Если пользователь не может получить доступ к приложению, возможно, что уровень доступа приложения удален. Узнайте, как это проверить…
Проанализируйте следующие события в журнале аудита администрирования, чтобы определить изменения в настройках группы конфигурации.
СОБЫТИЕ: "Изменение назначенного уровня контекстно-зависимого доступа для приложений"
|
Регистрируется, если вы применяете или удаляете группу конфигурации. В событии указывается название группы, поэтому при определении названий и адресов групп рекомендуется следовать одной и той же схеме. Данные, указываемые в событии группы:
Например, вы применяете группу конфигурации CAA.02 local access к приложению:
Если вы удаляете группу конфигурации для приложения:
|
Сведения о наследовании настроек организационных подразделений и групп, а также о группах конфигурации
Если изменить какие-либо локальные настройки уровней доступа в дочернем организационном подразделении или группе, то для этого подразделения будут использоваться только локальные уровни доступа. Уровни доступа, заданные для родительской организации, наследоваться не будут.
Если удалить все назначенные локально уровни доступа, в дочернем организационном подразделении останутся только унаследованные уровни доступа.
Например, если в организационном подразделении верхнего уровня приложению назначено три уровня доступа, то они наследуются приложением в дочернем организационном подразделении, если в этом подразделении нет локальных уровней доступа. Если добавить приложению новый уровень доступа в этом дочернем подразделении, то действовать будет только он.
Как переопределить назначения унаследованных уровней доступа с помощью нулевого правила
Предположим, вы не хотите блокировать доступ ни для одного из пользователей дочернего организационного подразделения, поэтому не назначаете ни одного уровня доступа. Создайте уровень доступа с названием "Любой", содержащий 2 условия в отношении IP-подсети, и объедините эти условия оператором "ИЛИ":
- диапазон подсети IPv4: 0.0.0.0/0
ИЛИ - диапазон подсети IPv6: 0::/0
Пользователь из этой организации будет иметь доступ с любого IPv4- или IPv6-адреса.
Переопределение уровней доступа с помощью групп конфигурации
Группы конфигурации позволяют назначать уровни доступа не организационным подразделениям, а отдельным группам пользователей. Уровень доступа, назначенный группе, всегда приоритетнее уровня доступа организационного подразделения. В группах могут быть пользователи из любого организационного подразделения в вашем аккаунте.
Например, пользователь относится к организационному подразделению ParentOU и группе Group1. Организационному подразделению ParentOU назначен уровень доступа X для Gmail и Календаря. Группе Group1 не назначен уровень доступа для Gmail. Группе Group1 назначен уровень доступа Y для Календаря. В этом случае пользователю будет назначен уровень доступа X для Gmail (за счет наследования) и Y для Календаря (за счет переопределения локальных правил).
