通过“配置群组”,您可以将不同的情境感知访问权限级别应用于群组(而不是组织部门)中的用户。配置群组可包含您的企业中任意组织部门的用户。例如,您可以让一组承包商仅能通过您公司的网络访问 Gmail。
配置群组的运作方式
-
配置群组可包含您单位中的任意用户。此外,您还可以创建配置群组,将其用作访问权限级别的容器,然后添加您的用户群组(嵌套群组)。
-
一个用户只能来自一个组织部门,但可以属于多个配置群组。您可以为配置群组设置优先级,用户所在的哪个群组具有最高优先级,系统就会为该用户应用哪个群组的设置。
-
用户对某个应用的群组访问权限级别一律会覆盖该用户所在单位部门的访问权限级别。
-
如果配置群组未指定对某个应用的访问权限级别,则该应用会使用相应用户所在组织部门的访问权限级别。
为应用情境感知访问权限而设计配置群组
配置群组在情境感知访问权限方面的运作方式,与在其他 Google Workspace 设置方面略有不同。设计群组和政策时可参考以下信息和提示:
一般情况下,您先为组织部门指定访问权限级别,然后决定配置群组的自定义访问权限级别。例如,您可以设置“开放访问权限”或“取消访问权限”配置群组,以便快速对特定用户授予或限制访问权限。
通常情况下,您可以搭配使用不同的配置群组:
使用现有的用户群组
为用户群组中的每个应用(例如 Gmail 或云端硬盘)设置访问权限级别。如果用户同时属于多个群组,您应当设置由哪个群组决定用户的设置(如下文中的优先级部分所述)。
在以下情况下,非常适合将访问权限级别直接应用于用户群组:
- 测试情境感知访问权限级别。
- 管理特定用户群组(例如 IT 员工或远程任务团队)的访问权限。
- 单位中的用户少于 50 人,或单位中的访问权限级别较少。在这种情况下,您无需创建更多群组,只要为每个用户群组微调设置即可。
基于访问权限级别创建配置群组
您也可以为群组分配访问权限级别。您可以创建一个配置群组,并为一个或多个应用分配访问权限级别,然后将您的用户群组添加为该配置群组的成员。
大型单位可能会发现,此方法非常适合管理访问权限群组政策和优先级(如下文所述)。
如果用户属于多个配置群组,您可以设置由哪个配置群组优先决定用户的应用访问权限。
在管理控制台中,群组是按照优先级从高到低排列的。新配置群组的优先级始终最低,且此类群组会被添加到配置群组列表的底部。
情境感知访问权限的优先级
用户所在的哪个群组具有最高优先级,系统就会为该用户应用哪个群组的应用设置。如果该群组未设置对特定应用的访问权限级别,则系统会为用户应用优先级次之的群组的访问权限级别,以此类推。
在管理控制台中,您可以查看哪个群组或组织部门决定了用户的应用访问权限级别。在下例中,群组云端硬盘安全性决定了用户对云端硬盘的访问权限。
| 用户的应用 | 访问权限级别 | 继承来源 |
|---|---|---|
| 公司网络 | 组织部门:销售 | |
| 公司网络、设备安全 | 群组:云端硬盘安全性 | |
| 设备安全 | 组织部门:销售 | |
| <无> | <无> |
您可以使用群组自定义针对每款应用的访问权限级别,以便实现精细控制。例如:
| 用户的应用 | 访问权限级别 | 继承来源 |
|---|---|---|
| 公司网络 | 组织部门:销售 | |
| 公司网络、设备安全 | 群组:云端硬盘安全性 | |
| 设备安全、加拿大地区 | 群组:北美洲 | |
| 设备受限、公司网络 | 群组:保险柜调查员 |
应用配置群组
- 考虑将重要或敏感的配置群组设为高优先级。例如,您可以将“紧急访问”群组设为最高优先级群组,它会覆盖任何限制访问权限的群组的设置。
-
系统不会为用户的所有群组添加访问权限级别。在下例中,用户同时属于 3 个用户群组,但系统只会为该用户应用优先级最高的配置群组设备所设定的访问权限级别。
相比其他步骤,规划配置群组结构时可能需要花费更多时间反复进行验证。
命名和搜索群组
设置群组命名标准,以便更轻松地进行搜索、确定优先级,以及进行审核。例如,添加“caa”之类的前缀来表示情境感知配置群组。此外,在添加配置群组时,您还可以使用小数位来避免修改现有群组的名称。
| 按群组地址搜索 | |||
| 查看群组列表 | |||
- 搜索群组:您可以设置要求包含设置名称和优先级编号的命名标准,如:
caa_p0.0_unrestricted_access@example.com
caa_p1.0_lockdown_access@example.com
caa_p3.0_Gmail_IP_Device@example.com
caa_p3.1_Gmail_IP@example.com
- 查看群组:“群组”面板按优先级顺序显示群组名称(最多 37 个字符)。将光标指向群组即可查看全名。例如:
CAA p0.0 - Unrestricted access all apps
CAA p1.0 - Lockdown access
CAA p3.0 - Gmail IP corp & device security
CAA p3.1 - Gmail IP corp
为群组排序
为了便于追踪优先级与设置的应用范围:
- 您可以将应用的用户最少或定义关键政策(例如“取消访问权限”或“完整访问权限”)的群组设为最高优先级。
- 请考虑群组结构中的优先级,留意深层嵌套的群组,因为其中的设置关系较难厘清。
创建群组
您必须使用在管理控制台、Directory API 或 Google Cloud Directory Sync 中创建的群组。在 Google 网上论坛中创建的群组不能作为配置群组(管理控制台不会显示群组是否是通过 Google 网上论坛创建的)。
您可以在任何工具中管理配置群组。您可能需要设置严格的用户添加/删除权限、停用群组的发帖功能,或禁止用户退出群组(只能通过 Groups API 做到)。
设置配置群组
准备工作:指定情境感知访问权限级别并创建配置群组(最好包含 1 至 2 个测试账号)。
您需要拥有对群组、单位部门(顶级)和数据安全访问权限级别管理和规则管理的管理员权限。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
访问权限和数据控件
- 点击分配访问权限级别以查看应用列表。
- 在情境感知访问权限部分,点击群组。
- 根据需要选择操作步骤:
- 点击相应应用。系统会按照优先级顺序列出已为您的应用分配访问权限级别的所有现有配置群组。
- 点击搜索群组,查看所有群组的列表,而不仅仅是配置群组。您可以输入文字来过滤结果。
- 点击相应群组。 应用表格列出了所有应用以及为其分配的访问权限级别。
- 如果您没有找到所需群组,则该群组可能是通过 Google 网上论坛创建的。您必须通过管理控制台、Directory API 或 Google Cloud Directory Sync 创建配置群组。
- 添加配置群组时,请按照优先级从高到低的顺序添加。这样一来,新添加的群组就会排在优先级最低的位置。
- 如果您没有找到所需群组,则该群组可能是通过 Google 网上论坛创建的。您必须通过管理控制台、Directory API 或 Google Cloud Directory Sync 创建配置群组。
- 点击一个或多个应用,然后点击分配。
- 为群组中的应用选择访问权限级别,然后点击保存。默认情况下,系统不会为新群组分配访问权限级别。
如果组织拥有多种类型的 Google Workspace 许可,则群组访问权限级别仅会应用于获得包含情境感知访问权限控制功能的 Google Workspace 版本的用户。
您需要拥有对群组、组织部门(顶级)和数据安全访问权限级别管理和规则管理的管理员权限。
-
-
在管理控制台中,依次点击“菜单”图标
- 在管理控制台中,转到相应应用的设置页面。
- 点击左上角的用户。
- 点击选择用户,然后输入用户的地址(而非名字)。
- 选择要查看其应用设置的用户。继承自列会显示决定用户设置的配置群组或单位部门。
- 将光标指向某个应用,然后点击查看以详细了解用户的访问权限级别。
注意:当您查看组织部门时,继承级别仅基于组织部门(而非配置群组)的设置。
您需要拥有对群组、组织部门(顶级)和数据安全访问权限级别管理和规则管理的管理员权限。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击分配访问权限级别以查看应用列表。
- 点击左侧的群组。系统会按照优先级顺序列出配置群组。
- 点击要移除的群组。
- 首先,取消分配群组中所有应用的全部访问权限级别。在应用面板中,逐一检查各个应用,确保所有访问权限级别均已取消分配。
- 点击分配。
- 点击全部取消选择
- 点击保存。
您需要拥有对群组、组织部门(顶级)和数据安全访问权限级别管理和规则管理的管理员权限。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击分配访问权限级别以查看应用列表。
- 点击左侧的群组。系统会按照优先级顺序列出配置群组。
- 点击要修改的群组。
- 在右侧,选择要修改、添加或移除的应用
- 点击分配。
- 更新群组的访问权限级别分配情况。
- 点击保存。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
我在“群组”列表中未看到所需的配置群组
- 该群组可能是通过 Google 网上论坛创建的。请在管理控制台中创建群组。
- 应搜索群组电子邮件地址而不是群组名称。
- 可以试试刷新设置页面。更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
- 检查您是否拥有对群组的管理员权限。
用户没有获得正确的访问权限级别
- 查看该用户的群组成员资格。更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
- 找出决定该用户设置的配置群组。如果该用户同时属于多个配置群组,您可能需要更改群组优先级或用户的群组成员资格。
- 用户可能没有此功能的产品许可。情境感知访问权限功能仅在特定版本的 Google Workspace 中提供。
- 如果该用户无法访问某个应用,则该应用分配到的访问权限级别可能已被删除。请查看移除已删除的访问权限级别。
请在管理审核日志中查看这些事件,了解配置群组设置的更改:
事件:针对特定应用的情境感知访问权限级别分配情况的变更
|
应用或移除配置群组时,系统记录的日志。该事件使用的是群组名称,因此您在命名群组和地址时应该使用类似的命名标准。 群组事件中包含的数据:
例如,您可以将配置群组 CAA.02 本地访问权限应用于某个应用:
您从应用中移除该配置群组后:
|
了解组织部门和群组继承以及配置群组
如果您在下级组织部门或群组更改了任何本地访问权限级别,则该下级组织部门或群组仅具有在本地生效的访问权限级别,不会继承上级组织的任何访问权限级别。
如果您移除所有本地分配的访问权限级别,以恢复最初继承的访问权限级别,则下级组织仅具有继承的访问权限级别。
以组织部门举例来说,如果在顶级组织部门为某应用分配了 3 个访问权限级别,即使下级组织部门不拥有本地分配的访问权限级别,这些访问权限级别将通过继承分配给下级组织中的同一个应用。如果您随后仅在下级组织中添加了访问权限级别,则只有这个新添加的访问权限级别会用于该下级组织。
使用空政策来覆盖通过继承所分配的访问权限级别
假设您不希望禁止下级组织中的用户访问应用,那么先不要分配任何访问权限级别,请创建名为“Any”的访问权限级别,在其中添加 2 个 IP 子网条件,并使用 OR 连接这两个条件:
- IPv4 subnet range(子网范围)0.0.0.0/0
or(或) - IPv6 subnet range(子网范围)0::/0
这样一来,组织中的用户就可以通过任意 IPv4 或 IPv6 地址获得访问权限了。
使用配置群组来覆盖所分配的访问权限级别
您可以使用配置群组来为用户群组而不是组织部门分配访问权限级别。用户的群组访问权限级别一律会覆盖其所在组织部门的访问权限级别。您可以将您账号中任意组织部门的用户添加到配置群组中。
举例来说,某位用户既属于某个组织部门,也属于 Group1。此组织部门是上级组织部门,对 Gmail 和 Google 日历拥有指定的访问权限级别 X。Group1 对 Gmail 没有任何访问权限级别,但对 Google 日历拥有访问权限级别 Y。在这种情况下,该用户对 Gmail 拥有访问权限级别 X(通过继承获得),对 Google 日历拥有访问级别 Y(通过覆盖本地政策获得)。
