Як створювати правила довіри для надання доступу до Диска й керувати ними

Налаштування спільного доступу до Диска автоматично перетворено на правила довіри

Правила довіри можна знайти в розділі Параметри спільного доступу Надання доступу користувачам за межами організації.

Ви можете переглядати правила, на які було перетворено налаштування Диска

Щоб переглянути правила, автоматично створені з налаштувань Диска, виконайте наведені нижче дії.

На головній сторінці Консолі адміністратора виберіть Правила. Їх можна відфільтрувати за типом, натиснувши Додати фільтр Тип правила Довіра.

У списку ви побачите наведені нижче правила.

• Два правила за умовчанням для надання доступу користувачам за межами організації.

  Після примусового застосування ці правила стануть активними або неактивними залежно від статусу відповідних налаштувань спільного доступу до Диска.

• Усі інші правила, які відповідають умовам спільного доступу поточних налаштувань Диска.

Важливо. Ці правила не застосовуються примусово, доки ви не ввімкнете правила довіри.

Відповідні налаштування спільного доступу до Диска стануть неактивними

Після активації правил довіри ви не зможете за допомогою налаштувань Диска надавати доступ до файлів користувачам з інших організацій. Докладніше про те, як налаштувати дозволи на надання доступу для користувачів Диска.

Правила довіри можна вимкнути

Ви можете будь-коли вимкнути правила довіри й повернутися до налаштувань спільного доступу до Диска. Докладні вказівки наведено в розділі Як увімкнути або вимкнути правила довіри нижче.

За допомогою компонентів області дії і умов правил довіри ви можете керувати доступом до файлів точніше, ніж використовуючи налаштування спільного доступу до Диска. Щоб дізнатися більше, перегляньте розділ Про компоненти правил довіри далі на цій сторінці.

На діаграмах нижче порівнюються доступні елементи керування налаштуваннями спільного доступу до Диска й правилами довіри.

Елементи керування області дії

Елементи керування умовами

Щоб створити правило довіри, потрібно визначити його область дії, активатор, умови й дію. За допомогою цих компонентів можна налаштувати такий принцип роботи правила: якщо відбувається подія А, виконується дія Б.

Наприклад, якщо створити правило, яке надає доступ до файлів відділу продажів будь-кому з організації клієнта (inshakompaniia.com), його компоненти складатимуться з наведених нижче значень.

• Область дії – це організаційний підрозділ для відділу продажів.
• Активатор спрацьовує, коли хтось намагається надати доступ до файлу, який належить користувачу в області дії.
• Умова передбачає електронну адресу inshakompaniia.com.
• Дія призначена для надання доступу до файлу.

Налаштування області дії

Область дії – це користувач із вашої організації, до якого застосовується активатор правила.

• Якщо активатор правила передбачає надсилання файлів, область дії – це користувач, що є власником файлу, для якого потрібно налаштувати спільний доступ.

  Важливо. Правило спільного доступу також регулює надання доступу користувачам із правами редактора до файлів, які належать користувачу з відповідної області дії.

• Якщо активатор правила передбачає отримання файлів, область дії визначає одержувача файлу.

Щоб визначити область дії, ви можете:

• указати всю організацію;
• додати або вилучити організаційні підрозділи (зокрема, які містять користувачів і спільні диски);
• додати або вилучити групи в сервісі Google Групи вашої організації.

Налаштування активатора

Активатор передбачає дію, яку дозволяє або забороняє правило. Ви можете вибрати такі активатори:

• надсилання файлів;
• отримання файлів.

Налаштування умов

Умови визначають користувачів, яким надається доступ до файлів або від яких він надходить.

• Якщо активатор правила передбачає надсилання файлів, умова – це одержувач файлу.
• Якщо активатор правила передбачає отримання файлів, умова – це користувач, який є власником файлу.

Ви можете вказати кілька умов для правила як усередині організації, так і за її межами, зокрема:

• організаційні підрозділи;
• групи в сервісі Google Групи вашої організації (можуть містити зовнішніх користувачів);
• надійні домени (користувачі з усіх зовнішніх доменів у білому списку);
• зовнішні домени, не внесені в білий список;
• окремі користувачі у вашій організації;
• будь-хто з обліковим записом Google.

Примітка. Щоб правило почало діяти, потрібно виконати лише одну умову.

Налаштування дії

Дія – це бажаний результат після того, як правило активовано. Ви можете:

• надавати доступ;
• надавати доступ із попередженням;

  Примітка. Якщо вибрати цей варіант, користувачам під час надання доступу відображатиметься попередження. Однак воно не з’являтиметься під час отримання файлів.

• блокувати доступ.

Дозволити або заборонити доступ за відділами чи групами

Створіть організаційні підрозділи й групи, для яких потрібно налаштувати правила довіри.

• Докладніше про те, як додати організаційні підрозділи.
• Докладніше про те, як створити групу.

Надати доступ лише надійним доменам

Додайте надійні домени в білий список. Надійні домени мають використовувати Google Workspace і бути підтвердженими. Докладніше про те, як надавати доступ до файлів лише надійним доменам.

Клієнти Cloud Identity. Якщо у вашій організації є ліцензії і Cloud Identity, і Google Workspace, домени з білого списку для користувачів Google Workspace також будуть дозволені для користувачів Cloud Identity.

Перш ніж створювати правила довіри, проаналізуйте, який тип доступу можна надати або заборонити у вашій організаційній структурі. Переконайтеся, що ваші правила забороняють користувачам ділитися файлами з незнайомими людьми або ж навпаки не перешкоджають надавати доступ потрібним особам.

Наприклад, ви маєте 4 організаційні підрозділи (відділ продажів, юридичний відділ, відділ досліджень і інші команди) та хочете обмежити наведені нижче типи доступу.

• Файли, які належать відділу продажів, не можна передавати відділу досліджень у вашій організації.
• Файли, які належать юридичному відділу, не можна передавати поза межами організації, окрім стороннього адвоката.
• Файли, які належать відділу досліджень, можна передавати лише всередині організації цьому ж відділу і юридичному відділу.
• Файли, які належать іншим командам, не можна передавати будь-кому поза межами організації.

Щоб застосувати модель спільного доступу, радимо вам виконати наведені нижче кроки.

Крок 1. Зіставте умови співпраці

Ви можете скористатися матрицею, щоб визначити, який тип доступу дозволено для різних користувачів. Приклад наведено нижче.

Крок 2. Створіть наведені нижче правила

Крок 3. Деактивуйте 2 правила за умовчанням

Якщо вам потрібні додаткові права, щоб керувати правилами довіри, зв’яжіться зі своїм адміністратором.

Підказка. Суперадміністратори можуть створити спеціальну роль, щоб керувати правилами довіри, і призначати її вповноваженому адміністратору. Щоб дізнатися більше, перегляньте статтю про те, як створити, змінити або видалити спеціальні ролі адміністратора.

Якщо ввімкнути правила довіри, відбудуться наведені нижче дії.

• Почнуть діяти наявні правила зі списку, а налаштування спільного доступу до Диска за межами організації буде деактивовано. Щоб дізнатися більше, перегляньте розділ про те, як правила довіри замінюють налаштування Диска.
• Якщо змінити налаштування спільного доступу до Диска незадовго до активації правил довіри, протягом певного часу буде примусово застосовано попередній статус налаштувань Диска. Перш ніж правила довіри синхронізуються з нещодавніми змінами в налаштуваннях спільного доступу до Диска, може пройти до 48 годин.

Щоб увімкнути правила довіри, виконайте наведені нижче дії.

1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

   Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

2. Перейдіть на сторінку Правила.

   Потрібно мати права адміністратора "Перегляд правил довіри".

3. На картці Безпечна співпраця вгорі сторінки натисніть Увімкнути для Диска.

   Потрібно мати такі права адміністратора: Керування правилами довіри й Налаштування Диска й Документів.

   Список завдань відкриється автоматично й відображатиме стан активації правил довіри.

Якщо вимкнути правила довіри, відбудуться наведені нижче дії.

• Налаштування спільного доступу до Диска відновляться в тому стані, у якому були на момент увімкнення правил довіри.
• Усі створені правила довіри буде видалено назавжди.

Щоб вимкнути правила довіри, виконайте наведені нижче дії.

1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

   Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

2. Натисніть значок Додатки > Google Workspace > Диск і Документи.

   Потрібні права адміністратора "Налаштування сервісів".

3. Натисніть Налаштування спільного доступу.
4. У розділі Надання доступу користувачам за межами домену [назва вашої організації] натисніть Вимкнути правила довіри.

   Потрібно мати такі права адміністратора: Керування правилами довіри й Налаштування Диска й Документів.

   Відкриється список завдань зі станом деактивації правил довіри.

Створивши правило довіри, ви можете:

• відредагувати його в будь-який час, щоб змінити налаштування (наприклад, умови й дію) або деактивувати чи повторно активувати його;
• видалити правило довіри в будь-який час.

1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

   Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

2. Перейдіть на сторінку Правила.

   Потрібно мати права адміністратора "Перегляд правил довіри".

3. Натисніть Створити правило Правило довіри.

   Потрібно мати такі права адміністратора: Перегляд правил довіри, Керування правилами довіри, Налаштування Диска й Документів, Перегляд груп і Перегляд організаційних підрозділів.

4. У полі Назва введіть назву правила й за потреби його опис.
5. У розділі Область дії виберіть один із наведених нижче варіантів.

   Це правило за умовчанням застосовується до всіх користувачів в організації.

   Щоб застосувати правило лише до певних користувачів, дотримуйтеся наведених нижче вказівок.

   • Щоб створити правило спільного доступу, визначте, до яких файлів користувачів воно застосовуватиметься. Правила довіри застосовуються лише до файлів, які належать користувачам або спільним дискам в області дії правила. Докладніше.
   • Щоб створити правило отримання контенту, визначте користувачів, які є цільовими одержувачами спільного файлу.
   1. Натисніть Укажіть організаційні підрозділи або групи.
   2. Виберіть потрібний параметр, щоб додавати або вилучати організаційні підрозділи чи групи.
   3. Виберіть організаційний підрозділ або групу, які потрібно додати чи вилучити.
   4. (Необов’язково) Додайте або вилучіть більше організаційних підрозділів чи груп.

      Наприклад, щоб застосувати правило до всіх користувачів в організації, окрім однієї групи, додайте організаційний підрозділ верхнього рівня й вилучіть цю групу.

      Щоб вилучити організаційний підрозділ або групу, натисніть поруч із ними значок .

6. Натисніть Продовжити.
7. У розділі Активатори виберіть одну або обидві події, до яких потрібно застосувати правило.
   • Надсилання файлів. Правило активується, якщо доступ до файлів у вашій області дії надається користувачам, яких ви визначили в розділі Умови.
   • Отримання файлів. Правило активується, якщо користувачі у вашій області дії отримують файли, які належать користувачам чи спільним дискам, вибраним у розділі Умови, або якщо їх додано як учасників до спільних дисків у цьому ж розділі.
8. У розділі Умови натисніть Додати умову й виберіть внутрішніх або зовнішніх користувачів, яким потрібно дозволити або заборонити надавати доступ іншим особам у вашій області дії чи отримувати від них доступ.

   Параметри внутрішнього спільного доступу

   • Користувач. Введіть ім’я або електронну адресу.
   • Організаційний підрозділ. Натисніть Вибрати організаційний підрозділ.
   • Група. Введіть назву або електронну адресу.
   • Моя організація

   Параметри спільного доступу за межами організації

   (Необов’язково) Щоб дозволити користувачам ділитися файлами за межами організації з людьми без облікового запису Google, поставте прапорець поруч із пунктом Включно з відвідувачами. Цей варіант не можна застосовувати до деяких видів умов. Докладніше.

   • Стороння організація. Введіть доменне ім’я організації (наприклад, inshakompaniia.com).
   • Домени з білого списку. За потреби перевірте, які домени внесено в білий список, натиснувши Переглянути домени з білого списку.
   • Будь-хто з обліковим записом Google (включає внутрішніх і зовнішніх користувачів).
9. Натисніть Продовжити.
10. У розділі Дія виберіть, що відбуватиметься після активації правила: Дозволити, Дозволити з попередженням або Блокувати.
11. Натисніть Завершити.
12. Активуйте або деактивуйте правило й натисніть Завершити.

Перш ніж ви побачите зміни, може пройти до 48 годин. Протягом цього часу можуть періодично застосовуватися старі й нові налаштування.

Правило довіри можна відредагувати будь-коли, щоб змінити налаштування (наприклад, умови й дію) або деактивувати чи повторно активувати його.

1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

   Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

2. Перейдіть на сторінку Правила.

   Потрібно мати права адміністратора "Перегляд правил довіри".

3. Знайдіть потрібне правило в списку Правила.

   Підказка. Щоб сортувати список за типом правила, натисніть заголовок стовпця Тип правила або Додати фільтр Тип правила Правило довіри.

4. (Необов’язково) Щоб переглянути область дії правил, їх умови, активатор і дію, наведіть курсор на правило в списку й натисніть Швидкий перегляд.
5. (Необов’язково) Натисніть правило, щоб відкрити сторінку з відомостями й переглянути налаштування.
6. (Необов’язково) Щоб змінити налаштування, виконайте наведені нижче дії.
   1. Ліворуч на сторінці з відомостями натисніть Змінити правило або виберіть розділ із налаштуваннями.

      Потрібно мати такі права адміністратора: Перегляд правил довіри, Керування правилами довіри, Налаштування Диска й Документів, Перегляд груп і Перегляд організаційних підрозділів.

   2. Змініть налаштування.

      Щоб перейти до інших налаштувань, натисніть Продовжити. Щоб закрити розділ, натисніть Скасувати Відхилити й вийти.

   3. Відредагувавши налаштування, натисніть Готово.

Перш ніж ви побачите зміни, може пройти до 48 годин. Протягом цього часу можуть періодично застосовуватися старі й нові налаштування.

Ви можете переглянути журнали з докладними даними про дії адміністраторів щодо правил довіри. Доступні три типи журналів:

• створення правила;
• видалення правила;
• оновлення правила.

Ви можете переглянути журнали з докладними даними про дії користувачів щодо правил довіри для файлів на спільному диску. Доступні три типи журналів:

• заблокований одержувач;
• заблоковано файлообмінник;
• заблоковано перегляд файлів.

Щоб дізнатися більше про типи подій, перегляньте статті Події в журналі адміністратора й Події в журналі правил.

Приклад: дозволити команді ділитися файлами з іншою командою

Припустімо, що ви хочете надати доступ до файлів, які належать відділу продажів, команді з маркетингу. У такому разі ви маєте створити 2 правила: одне дозволить відділу продажів надсилати файли команді з маркетингу, а інше — команді з маркетингу отримувати файли від відділу продажів.

Приклад: дозволити двом командам обмінюватися файлами

• Якщо власник файлу перейде в інший організаційний підрозділ або групу, почнуть діяти правила спільного доступу нового організаційного підрозділу або групи. Крім того, вони застосовуватимуться, якщо право власності на файл передається користувачу з іншого організаційного підрозділу або групи.

Нижче описано, як правила довіри застосовуються до користувачів без облікового запису Google або зі звичайним обліковим записом (яким не керує адміністратор).

Люди без облікового запису Google (відвідувачі)

Правила надання доступу

Якщо ви створите правило, яке дозволяє користувачам надсилати файли за межами організації, за умовчанням спільний доступ до файлів матимуть лише користувачі з керованими обліковими записами Google. Однак ви також можете дозволити користувачам надавати доступ до файлів людям без облікового запису Google. У такому разі одержувачу надається спеціальний тип облікового запису під назвою обліковий запис відвідувача. Докладніше про надання доступу обліковим записам відвідувачів.

Щоб дозволити надавати доступ користувачам, які не мають облікового запису Google, у налаштуваннях правила натисніть Умови й виберіть Включно з відвідувачами. Цей варіант застосовується лише до правил, згідно з якими користувачі можуть надавати доступ до файлів особам за межами домену або всім зовнішнім користувачам.

Примітка. Ви не можете надати доступ обліковому запису відвідувача, додавши його в групу, для якої активовано спільний доступ за межами організації.

Правила, які блокують доступ

Правила, які забороняють користувачам надавати доступ за межами вашої організації, завжди застосовуються до відвідувачів, навіть якщо для умови не вибрано параметр Включно з відвідувачами.

Однак якщо створено інше правило, яке дозволяє надавати доступ обліковим записам відвідувачів, правило блокування не діятиме для них у групах. Приклади правил наведено нижче.

• Правило 1. Дозволити спільний доступ для всіх користувачів з обліковим записом Google і з вибраним параметром Включно з відвідувачами.
• Правило 2. Блокувати спільний доступ для групи списку розсилки, яка містить людей з обліковими записами відвідувачів.

Блокування не застосовується до облікових записів відвідувачів у групі. Користувачі в області дії правила 2 можуть надавати обліковим записам відвідувачів доступ до своїх файлів.

Користувачі зі звичайними обліковими записами Google

Правила надання доступу

Якщо ви створите правило, яке дозволяє користувачам надсилати файли за межами певного домену або організації, користувачі не зможуть надавати доступ звичайним обліковим записам Google у цьому домені або організації. Це стосується особистих облікових записів користувачів й облікових записів певних продуктів Google, зокрема Google Workspace Essentials.

Однак можна дозволити користувачам надавати доступ окремим звичайним обліковим записам. Для цього додайте облікові записи в групу й створіть правило з відповідним дозволом.

Правила, які блокують доступ

До звичайних облікових записів завжди застосовуються правила, що забороняють надавати доступ користувачам за межами вашої організації.

Якщо до області дії правила довіри додано організаційний підрозділ, правило застосовується до всіх спільних дисків у ньому. Наприклад, якщо ви створите правило, за допомогою якого організаційний підрозділ для працівників відділу виробництва зможе надавати доступ до файлів юридичному відділу, користувачі з юридичного відділу матимуть доступ до спільних дисків відділу виробництва.

Щоб створити правила довіри для спільних дисків, налаштуйте їх у відповідних організаційних підрозділах.

• "vashaorhanizatsiia.com" – це організаційний підрозділ верхнього рівня;
• "Відділ маркетингу" – це дочірній організаційний підрозділ нижчого рівня.

Приклад 1

Ви можете додати щонайбільше:

• 200 активних правил довіри;
• 2000 правил довіри (активних і неактивних);
• 150 умов для 1 правила довіри;
• 500 умов в усіх правилах довіри для таких типів:
  • організаційні підрозділи;
  • групи;
  • домени з білого списку;
  • зовнішні домени;
  • окремі користувачі: для 1–200 користувачів зараховується 1 умова, для 201–400 користувачів – 2 умови тощо.

  Примітка. Для всіх правил довіри не застосовуються обмеження щодо кількості наведених нижче типів умов.

  • Організація
  • Будь-хто з обліковим записом Google
• 500 доданих і вилучених організаційних підрозділів або груп для області дії 1 правила

• Динамічні групи.. Автоматично керуйте участю користувачів у групах, коли вони приєднуються до організації, переходять між відділами або звільняються звідти. За допомогою динамічних груп, доступних у Консолі адміністратора й Cloud Identity API, ви можете витрачати менше часу, ніж під час керування участю в групах вручну. Щоб використовувати їх для правил довіри, переконайтеся, що вони позначені як групи безпеки (мають мітку Безпека). Докладніше про динамічні групи.

• Групи безпеки. Перетворіть стандартну або динамічну групу на групу безпеки, щоб ефективно регулювати, перевіряти й відстежувати групу, а також керувати дозволами й доступом. Ви можете створити групи безпеки в Консолі адміністратора або за допомогою Cloud Identity Groups API, додавши до них мітку Безпека. Докладніше про групи безпеки.

• Перенесені групи. За допомогою Google Cloud Directory Sync (GCDS) синхронізуйте групи, створені в Microsoft Active Directory або інших інструментах, з Google Workspace. Після цього ви зможете використовувати їх у правилах довіри. Докладніше про GCDS.

• Область дії — організаційний підрозділ юридичного відділу.
• Активатор — надсилання й отримання файлів.
• Умова — група з адресами окремих юристів.
• Дія – дозволити.

Якщо користувач не має доступу до Google Диска й Документів в обліковому записі (наприклад, з облікового запису вилучено ліцензію Google Workspace), його файлами можна ділитися лише всередині організації, навіть якщо застосовані правила довіри дозволяють надавати доступ за її межами. Доступ до файлів усередині організації все ще обмежується визначеними правилами довіри. Наприклад, якщо надавати доступ можна лише окремим організаційним підрозділам.

Щоб скасувати обмеження на надання доступу до файлів користувача за межами організації, додайте в його обліковий запис ліцензію для заархівованого облікового запису. Докладніше про те, як додавати ліцензії для заархівованих облікових записів.

Якщо ваша організація перейде на версію Google Workspace, яка не включає правила довіри, активні правила й надалі застосовуватимуться. Ви зможете переглядати правила довіри, але не зможете змінювати чи видаляти їх. Суперадміністратори можуть вимкнути правила довіри, щоб натомість використовувати налаштування спільного доступу до Диска.

Якщо вимкнути правила довіри, налаштування спільного доступу до Диска відновляться в тому стані, у якому були на момент увімкнення правил довіри. Усі створені правила довіри буде видалено назавжди.

Якщо ви скасуєте підписку Google Workspace і залишите лише ліцензію Cloud Identity, то не зможете використовувати налаштування спільного доступу до Диска.