เมื่อใช้กลุ่มการกำหนดค่า คุณจะใช้ระดับการเข้าถึงแบบ Context-Aware กับกลุ่มผู้ใช้แทนหน่วยขององค์กรได้ โดยคุณจะนำผู้ใช้จากหน่วยขององค์กรใดในธุรกิจมาใส่ในกลุ่มการกำหนดค่าก็ได้ เช่น อนุญาตให้ทีมพนักงานแบบสัญญาจ้างเข้าถึง Gmail ได้เฉพาะในเครือข่ายขององค์กรคุณเท่านั้น
หลักการทำงานของกลุ่มการกำหนดค่า
-
คุณจะนำผู้ใช้รายใดในองค์กรไปใส่ในกลุ่มการกำหนดค่าก็ได้ นอกจากนี้คุณยังสร้างกลุ่มการกำหนดค่าที่ทำหน้าที่เป็นคอนเทนเนอร์สำหรับระดับการเข้าถึง แล้วค่อยเพิ่มกลุ่มผู้ใช้ของคุณ (กลุ่มที่ซ้อนกัน) ได้อีกด้วย
-
ผู้ใช้รายเดียวกันอาจอยู่ในกลุ่มการกำหนดค่าหลายกลุ่มก็ได้ ซึ่งจะแตกต่างจากหน่วยขององค์กร โดยผู้ใช้จะได้รับการตั้งค่าตามกลุ่มที่มีลำดับความสำคัญสูงสุดที่คุณกำหนดไว้
-
ระดับการเข้าถึงกลุ่มของผู้ใช้สำหรับแอปจะลบล้างระดับการเข้าถึงของหน่วยขององค์กรเสมอ
-
หากกลุ่มการกำหนดค่าไม่ได้ระบุระดับการเข้าถึงสำหรับแอป แอปก็จะใช้ระดับการเข้าถึงที่หน่วยขององค์กรของผู้ใช้กำหนดไว้
ออกแบบกลุ่มการกำหนดค่าสำหรับการเข้าถึงแบบ Context-Aware
กลุ่มการกำหนดค่าจะทำงานแตกต่างออกไปเล็กน้อยสำหรับการเข้าถึงแบบ Context-Aware เมื่อเทียบกับการตั้งค่า Google Workspace อื่นๆ โดยข้อมูลและเคล็ดลับสำหรับการออกแบบกลุ่มและนโยบายมีดังนี้
โดยปกติแล้วคุณจะกำหนดระดับการเข้าถึงให้กับหน่วยขององค์กร แล้วจึงกำหนดระดับการเข้าถึงที่กำหนดเองให้กับกลุ่มการกำหนดค่า เช่น คุณอาจมีกลุ่มการกำหนดค่าสำหรับ "การเข้าถึงแบบเปิด" หรือ "การเข้าถึงแบบปิดล็อก" เพื่ออนุญาตหรือจำกัดการเข้าถึงของผู้ใช้รายนั้นๆ ได้อย่างรวดเร็ว
โดยปกติแล้วคุณจะใช้กลุ่มการกำหนดค่าต่างๆ ร่วมกันดังนี้
ใช้กลุ่มผู้ใช้ที่มีอยู่
คุณจะกำหนดระดับการเข้าถึงสำหรับแต่ละแอป (เช่น Gmail หรือไดรฟ์) ได้ในกลุ่มผู้ใช้ หากผู้ใช้เป็นสมาชิกอยู่ในกลุ่มหลายกลุ่ม คุณตั้งค่าได้ว่ากลุ่มใดจะกำหนดการตั้งค่าของผู้ใช้ (ซึ่งอธิบายไว้ในหัวข้อลำดับความสำคัญ)
การใช้ระดับการเข้าถึงกับกลุ่มผู้ใช้โดยตรงเป็นตัวเลือกที่ดีสำหรับสิ่งต่อไปนี้
- การทดสอบการเข้าถึงแบบ Context-Aware
- การจัดการการเข้าถึงสำหรับกลุ่มผู้ใช้ที่เฉพาะเจาะจง เช่น เจ้าหน้าที่ฝ่าย IT หรือทีมที่ทำงานจากทางไกล
- องค์กรที่มีผู้ใช้น้อยกว่า 50 คนหรือมีระดับการเข้าถึงน้อย คุณไม่จำเป็นต้องสร้างกลุ่มเพิ่มและยังปรับแต่งการตั้งค่าแบบละเอียดสำหรับผู้ใช้แต่ละกลุ่มได้
สร้างกลุ่มการกำหนดค่าตามระดับการเข้าถึง
หรือจะกําหนดระดับการเข้าถึงให้แก่กลุ่มก็ได้ โดยคุณจะสร้างกลุ่มการกำหนดค่าและกำหนดระดับการเข้าถึงสำหรับแอปต่างๆ ได้ จากนั้นจึงเพิ่มกลุ่มผู้ใช้ให้เป็นสมาชิกของกลุ่มดังกล่าว
องค์กรขนาดใหญ่อาจพบว่าวิธีนี้มีประโยชน์ในการจัดการนโยบายและลำดับความสำคัญของกลุ่มการเข้าถึง (อธิบายไว้ด้านล่าง)
เมื่อผู้ใช้อยู่ในกลุ่มการกำหนดค่าหลายกลุ่ม คุณจะต้องกำหนดว่ากลุ่มใดมีลำดับความสำคัญในการกำหนดสิทธิ์เข้าถึงแอปของผู้ใช้
ในคอนโซลผู้ดูแลระบบ กลุ่มจะแสดงโดยเรียงตามลำดับความสำคัญสูงสุดไปหาต่ำสุด กลุ่มการกําหนดค่าใหม่จะมีลําดับความสําคัญต่ำสุดเสมอ และจะเพิ่มไว้ที่ด้านล่างของรายการกลุ่มการกําหนดค่า
ลำดับความสำคัญสำหรับการเข้าถึงแบบ Context-Aware
ผู้ใช้จะได้รับการตั้งค่าแอปตามกลุ่มที่มีลำดับความสำคัญสูงสุดที่ตนเป็นสมาชิก หากกลุ่มไม่มีระดับการเข้าถึงสำหรับแอปใดเป็นพิเศษ ระบบก็จะใช้ระดับการเข้าถึงของกลุ่มที่มีลำดับความสำคัญสูงสุดรองลงมาตามลำดับ
คุณจะตรวจสอบว่ากลุ่มหรือหน่วยขององค์กรใดกำหนดระดับการเข้าถึงแอปของผู้ใช้ได้ในคอนโซลผู้ดูแลระบบ ในตัวอย่างด้านล่าง กลุ่ม "ความปลอดภัยของไดรฟ์" จะกำหนดการเข้าถึงไดรฟ์ของผู้ใช้
แอปของผู้ใช้ | ระดับการเข้าถึง | รับค่ามาจาก |
---|---|---|
ปฏิทิน | เครือข่ายบริษัท | หน่วยขององค์กร: ฝ่ายขาย |
ไดรฟ์ | เครือข่ายบริษัท ความปลอดภัยของอุปกรณ์ | กลุ่ม: ความปลอดภัยของไดรฟ์ |
Gmail | ความปลอดภัยของอุปกรณ์ | หน่วยขององค์กร: ฝ่ายขาย |
Google ห้องนิรภัย | <ไม่มี> | <ไม่มี> |
หากต้องการใช้การควบคุมแบบละเอียด คุณจะใช้กลุ่มเพื่อปรับแต่งระดับการเข้าถึงสำหรับแต่ละแอปได้ เช่น
แอปของผู้ใช้ | ระดับการเข้าถึง | รับค่ามาจาก |
---|---|---|
ปฏิทิน | เครือข่ายบริษัท | หน่วยขององค์กร: ฝ่ายขาย |
ไดรฟ์ | เครือข่ายบริษัท ความปลอดภัยของอุปกรณ์ | กลุ่ม: ความปลอดภัยของไดรฟ์ |
Gmail | ความปลอดภัยของอุปกรณ์ ภูมิศาสตร์แคนาดา | กลุ่ม: อเมริกาเหนือ |
Google ห้องนิรภัย | อุปกรณ์ถูกจำกัด เครือข่ายบริษัท | กลุ่ม: ผู้ตรวจสอบห้องนิรภัย |
การใช้กลุ่มการกำหนดค่า
- โปรดคำนึงถึงการกำหนดกลุ่มการกำหนดค่าที่สำคัญหรือมีความละเอียดอ่อนให้มีลำดับความสำคัญสูง เช่น กลุ่มที่มีความสำคัญสูงสุดอาจเป็นกลุ่ม "การเข้าถึงด่วน" ซึ่งจะลบล้างกลุ่มใดก็ตามที่จำกัดการเข้าถึง
-
ระบบจะไม่เพิ่มระดับการเข้าถึงข้ามกลุ่มของผู้ใช้ ในตัวอย่างนี้ ผู้ใช้อยู่ในกลุ่มผู้ใช้ 3 กลุ่ม แต่จะมีเฉพาะกลุ่มการกำหนดค่าที่มีลำดับความสำคัญสูงสุดเท่านั้นที่จะกำหนดระดับการเข้าถึง ได้แก่กลุ่ม "อุปกรณ์"
การวางแผนโครงสร้างกลุ่มการกำหนดค่ามักจะเป็นขั้นตอนที่ใช้เวลาในการทำและตรวจสอบมากที่สุด
การตั้งชื่อและการค้นหากลุ่ม
กำหนดมาตรฐานการตั้งชื่อกลุ่มเพื่อให้ค้นหา จัดลำดับความสำคัญ และตรวจสอบได้ง่ายขึ้น เช่น เพิ่มคำนำหน้าอย่าง caa เพื่อระบุว่าเป็นกลุ่มการกำหนดค่าแบบ Context-Aware และอาจใช้ทศนิยมร่วมด้วยเพื่อหลีกเลี่ยงการแก้ไขชื่อกลุ่มที่มีอยู่แล้วในขณะที่เพิ่มกลุ่มการกำหนดค่า
ค้นหาตามที่อยู่กลุ่ม | |||
ดูรายชื่อกลุ่ม | |||
- ค้นหากลุ่ม: คุณอาจต้องตั้งมาตรฐานการตั้งชื่อที่ประกอบด้วยชื่อการตั้งค่าและหมายเลขลำดับความสำคัญ เช่น
caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com
- ดูกลุ่ม: แผงกลุ่มจะแสดงชื่อกลุ่ม (สูงสุด 37 อักขระ) ตามลำดับความสำคัญ โดยการชี้ไปที่กลุ่มจะแสดงชื่อเต็ม เช่น
CAA p0.0 - การเข้าถึงแอปทั้งหมดได้ไม่จำกัด
CAA p1.0 - การเข้าถึงแบบปิดล็อก
CAA p3.0 - IP บริษัท Gmail และความปลอดภัยของอุปกรณ์
CAA p3.1 - IP บริษัท Gmail
การจัดลำดับกลุ่ม
วิธีติดตามลำดับความสำคัญและการตั้งค่ามีดังนี้
- คุณอาจกำหนดให้กลุ่มที่ใช้กับผู้ใช้จำนวนน้อยที่สุดหรือที่กำหนดนโยบายสำคัญ (เช่น "การเข้าถึงแบบปิดล็อก" หรือ "การเข้าถึงทั้งหมด") ให้มีลำดับความสำคัญสูงสุด
- โปรดคำนึงถึงลำดับความสำคัญในโครงสร้างกลุ่ม และคอยระวังกลุ่มที่ซ้อนกันหลายระดับ ซึ่งอาจติดตามการตั้งค่าได้ยาก
การสร้างกลุ่ม
คุณจะต้องใช้กลุ่มที่สร้างในคอนโซลผู้ดูแลระบบ, Directory API หรือ Google Cloud Directory Sync โดยกลุ่มที่สร้างใน Google Groups จะใช้เป็นกลุ่มการกำหนดค่าไม่ได้ (คอนโซลผู้ดูแลระบบจะไม่แสดงว่ามีการสร้างกลุ่มใน Google Groups หรือไม่)
คุณจะจัดการกลุ่มการกำหนดค่าโดยใช้เครื่องมือใดก็ได้ โดยอาจตั้งค่าสิทธิ์แบบเข้มงวดในการเพิ่มหรือลบผู้ใช้ ปิดการโพสต์ไปยังกลุ่ม หรือป้องกันไม่ให้ผู้ใช้ออกจากกลุ่ม (ใช้ได้เฉพาะใน Groups API เท่านั้น)
ตั้งค่ากลุ่มการกำหนดค่า
ก่อนเริ่มต้น: ให้กำหนดระดับการเข้าถึงแบบ Context-Aware และสร้างกลุ่มการกำหนดค่า (ควรมีบัญชีทดสอบ 1 หรือ 2 บัญชี)
คุณต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับ Groups, หน่วยขององค์กร (ระดับบนสุด) และการจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการเข้าถึงแบบ Context-Aware
- คลิกกำหนดระดับการเข้าถึงเพื่อดูรายการแอป
- คลิกกลุ่มในส่วนการเข้าถึงแบบ Context-Aware
- เลือกตัวเลือกต่อไปนี้
- คลิกแอป จากนั้นกลุ่มการกำหนดค่าที่มีอยู่ซึ่งได้รับการกำหนดระดับการเข้าถึงสำหรับแอปของคุณจะแสดงตามลำดับความสำคัญ
- คลิกค้นหากลุ่มเพื่อดูรายชื่อกลุ่มทั้งหมด ไม่ใช่เฉพาะกลุ่มการกำหนดค่า โดยคุณป้อนข้อความเพื่อกรองผลลัพธ์ได้
- คลิกที่กลุ่ม ตารางแอปพลิเคชันจะแสดงแอปพลิเคชันทั้งหมดที่มีการกำหนดระดับการเข้าถึงไว้
- หากไม่พบกลุ่มที่ต้องการ อาจเป็นไปได้ว่าสร้างกลุ่มดังกล่าวไว้ใน Google Groups คุณต้องสร้างกลุ่มการกำหนดค่าในคอนโซลผู้ดูแลระบบ, Directory API หรือ Google Cloud Directory Sync
- ให้เริ่มต้นด้วยการเพิ่มกลุ่มการกำหนดค่าจากลำดับความสำคัญสูงสุดไปหาต่ำสุด เมื่อเพิ่มกลุ่มใหม่ กลุ่มนั้นจะไปอยู่ในลำดับความสำคัญต่ำสุด
- หากไม่พบกลุ่มที่ต้องการ อาจเป็นไปได้ว่าสร้างกลุ่มดังกล่าวไว้ใน Google Groups คุณต้องสร้างกลุ่มการกำหนดค่าในคอนโซลผู้ดูแลระบบ, Directory API หรือ Google Cloud Directory Sync
- คลิกแอปอย่างน้อยหนึ่งแอปแล้วคลิกกำหนด
- เลือกระดับการเข้าถึง ของแอปในกลุ่ม แล้วคลิกบันทึก ตามค่าเริ่มต้น กลุ่มใหม่จะไม่มีระดับการเข้าถึงที่กำหนด
สำหรับองค์กรที่มีใบอนุญาต Google Workspace หลายประเภท: ระดับการเข้าถึงของกลุ่มจะมีเฉพาะกับผู้ใช้ที่ได้รับ Google Workspace รุ่นที่มีการควบคุมการเข้าถึงแบบ Context-Aware เท่านั้น
คุณต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับ Groups, หน่วยขององค์กร (ระดับบนสุด) และการจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการเข้าถึงแบบ Context-Aware
- ไปที่หน้าการตั้งค่าสำหรับแอปในคอนโซลผู้ดูแลระบบ
- คลิกผู้ใช้ที่ด้านบนซ้าย
- คลิกเลือกผู้ใช้แล้วป้อนที่อยู่ของผู้ใช้ (ไม่ใช่ชื่อ)
- เลือกผู้ใช้เพื่อดูการตั้งค่าแอป คอลัมน์รับค่าจากจะแสดงกลุ่มการกำหนดค่าหรือหน่วยขององค์กรที่กำหนดการตั้งค่าของผู้ใช้
- ชี้ไปที่แอปแล้วคลิกดูเพื่อดูรายละเอียดเกี่ยวกับระดับการเข้าถึงของผู้ใช้
หมายเหตุ: เมื่อคุณดูหน่วยขององค์กร ระดับรับค่าจากจะขึ้นอยู่กับการตั้งค่าของหน่วยขององค์กรเท่านั้น ไม่ใช่ในกลุ่มการกำหนดค่า
คุณต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับ Groups, หน่วยขององค์กร (ระดับบนสุด) และการจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการเข้าถึงแบบ Context-Aware
- คลิกกำหนดระดับการเข้าถึงเพื่อดูรายการแอป
- คลิกกลุ่มทางด้านซ้าย กลุ่มการกำหนดค่าจะแสดงตามลำดับความสำคัญ
- คลิกกลุ่มเพื่อนำออก
- ขั้นแรก ให้ยกเลิกการกําหนดระดับการเข้าถึงทั้งหมดจากทุกแอปในกลุ่ม ในแผงแอป ให้เลือกแอปพลิเคชันทีละแอปเพื่อให้แน่ใจว่าไม่ได้กําหนดระดับการเข้าถึงทั้งหมด
- คลิกกำหนด
- คลิกยกเลิกการเลือกทั้งหมด
- คลิกบันทึก
คุณต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับ Groups, หน่วยขององค์กร (ระดับบนสุด) และการจัดการระดับการเข้าถึงความปลอดภัยของข้อมูลและการจัดการกฎ
-
ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
-
ในคอนโซลผู้ดูแลระบบ ไปที่เมนู ความปลอดภัยการเข้าถึงและการควบคุมข้อมูลการเข้าถึงแบบ Context-Aware
- คลิกกำหนดระดับการเข้าถึงเพื่อดูรายการแอป
- คลิกกลุ่มทางด้านซ้าย กลุ่มการกำหนดค่าจะแสดงตามลำดับความสำคัญ
- คลิกกลุ่มเพื่อแก้ไข
- เลือกแอปที่จะแก้ไข เพิ่ม หรือนำออกทางด้านขวา
- คลิกกำหนด
- อัปเดตการกำหนดระดับสำหรับกลุ่ม
- คลิกบันทึก
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
ฉันไม่เห็นกลุ่มการกำหนดค่าในรายการกลุ่ม
- กลุ่มนี้อาจถูกสร้างขึ้นใน Google Groups โปรดลองสร้างกลุ่มในคอนโซลผู้ดูแลระบบแทน
- ให้ค้นหาด้วยอีเมลของกลุ่มแทนชื่อกลุ่ม
- ลองรีเฟรชหน้าการตั้งค่าใหม่อีกครั้ง การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
- ตรวจสอบว่าคุณมีสิทธิ์ผู้ดูแลระบบสำหรับ Groups
ผู้ใช้ไม่มีระดับการเข้าถึงที่ถูกต้อง
- ตรวจสอบการเป็นสมาชิกกลุ่มของผู้ใช้ การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม
- ค้นหากลุ่มการกำหนดค่าที่กำหนดการตั้งค่าของผู้ใช้ หากผู้ใช้อยู่ในกลุ่มการกำหนดค่าหลายกลุ่ม คุณอาจต้องเปลี่ยนลำดับความสำคัญของกลุ่มหรือการเป็นสมาชิกกลุ่มของผู้ใช้
- ผู้ใช้อาจไม่มีใบอนุญาตให้ใช้ฟีเจอร์สำหรับผลิตภัณฑ์นี้ การเข้าถึงแบบ Context-Aware ใช้ได้กับ Google Workspace บางรุ่น
- หากผู้ใช้เข้าถึงแอปไม่ได้ ระบบอาจกำหนดระดับการเข้าถึงที่ลบไปแล้ว โปรดดูหัวข้อนำระดับการเข้าถึงที่ถูกลบไปแล้วออก
ตรวจสอบเหตุการณ์ต่อไปนี้ในบันทึกการตรวจสอบผู้ดูแลระบบเพื่อดูการเปลี่ยนแปลงการตั้งค่ากลุ่มการกำหนดค่า
เหตุการณ์: การเปลี่ยนแปลงการกำหนดระดับการเข้าถึงแบบ Context-Aware เฉพาะแอป
บันทึกเมื่อคุณใช้หรือนำกลุ่มการกำหนดค่าออก เหตุการณ์นี้จะใช้ชื่อกลุ่ม ดังนั้นคุณอาจใช้มาตรฐานการตั้งชื่อที่คล้ายกันสำหรับทั้งชื่อกลุ่มและที่อยู่ ข้อมูลที่อยู่ในเหตุการณ์เกี่ยวกับกลุ่มมีดังนี้
เช่น คุณใช้กลุ่มการกำหนดค่า CAA.02 การเข้าถึงในหน่วยขององค์กรกับแอป ดังนี้
เมื่อนำกลุ่มการกำหนดค่าออกจากแอป ดังนี้
|
ทําความเข้าใจการสืบทอดค่าของหน่วยขององค์กรและกลุ่ม และกลุ่มการกําหนดค่า
หากคุณเปลี่ยนแปลงระดับการเข้าถึงภายในหน่วยขององค์กรย่อยหรือกลุ่มย่อย หน่วยขององค์กรย่อยหรือกลุ่มย่อยนั้นก็จะมีระดับการเข้าถึงที่บังคับใช้ภายในหน่วยขององค์กรเท่านั้น และจะไม่สืบทอดค่าระดับการเข้าถึงใดๆ จากองค์กรหลัก
หากคุณนำระดับการเข้าถึงที่กำหนดจากภายในออกเพื่อเรียกคืนระดับการเข้าถึงที่รับค่ามาในตอนแรก องค์กรย่อยจะมีเฉพาะระดับการเข้าถึงที่รับค่ามาเท่านั้น
เช่น สำหรับหน่วยขององค์กร หากมีการกําหนดระดับการเข้าถึง 3 ระดับให้แก่แอปในหน่วยขององค์กรระดับบนสุด ระบบก็จะกําหนดระดับการเข้าถึงเดียวกันนั้นให้แก่แอปในองค์กรย่อยผ่านการรับค่าหากหน่วยขององค์กรย่อยไม่มีการกำหนดจากภายใน หากเพิ่มระดับการเข้าถึงให้เฉพาะในองค์กรย่อย ระดับการเข้าถึงดังกล่าวก็จะบังคับใช้กับองค์กรย่อยเท่านั้น
ลบล้างการกำหนดระดับการเข้าถึงที่สืบทอดมาด้วยนโยบายตัวแปรไม่ทราบค่า
สมมติว่าคุณไม่ต้องการบล็อกการเข้าถึงของผู้ใช้ในองค์กรย่อยโดยไม่มีการกำหนดระดับการเข้าถึง ให้สร้างระดับการเข้าถึงที่ชื่อว่า "Any" โดยมีเงื่อนไขซับเน็ต IP 2 เงื่อนไขและรวมเงื่อนไขทั้งสองด้วย OR:
- IPv4 subnet range 0.0.0.0/0
หรือ - IPv6 subnet range 0::/0
ผู้ใช้ในองค์กรจะเข้าถึงได้จากที่อยู่ IPv4 หรือ IPv6
ลบล้างการกำหนดระดับการเข้าถึงด้วยกลุ่มการกำหนดค่า
คุณจะใช้กลุ่มการกำหนดค่าเพื่อกำหนดระดับการเข้าถึงให้แก่กลุ่มผู้ใช้แทนหน่วยขององค์กรได้ ระดับการเข้าถึงกลุ่มของผู้ใช้จะลบล้างระดับการเข้าถึงของหน่วยขององค์กรเสมอ โดยคุณจะนำผู้ใช้จากหน่วยขององค์กรใดในบัญชีมาใส่ในกลุ่มก็ได้
เช่น ผู้ใช้อยู่ในหน่วยขององค์กรและ Group1 หน่วยขององค์กรที่อยู่ในนั้นคือ ParentOU ซึ่งกําหนดระดับการเข้าถึง X สําหรับทั้ง Gmail และปฏิทิน โดยไม่กําหนดระดับการเข้าถึงสําหรับ Gmail ใน Group1 แต่กําหนดระดับการเข้าถึง Y สําหรับปฏิทินใน Group1 ในกรณีนี้ ผู้ใช้จะมีระดับการเข้าถึง X ที่กําหนดให้ Gmail (ผ่านการรับค่า) และ Y ที่กําหนดให้ปฏิทิน (โดยการลบล้างนโยบายในเครื่อง)