Diese Seite wurde von der Cloud Translation API übersetzt.

Abgelehnte Zugriffsrechte mit Policy Remediator beheben

Auf dieser Seite erfahren Sie, wie Sie Chrome Enterprise Premium Policy Remediator aktivieren und verwenden.

Wenn Nutzer versuchen, auf eine Google Cloud-Ressource zuzugreifen, aber nicht mit den der Zugriffsrichtlinie für die Ressource ist, wird ihnen der Zugriff verweigert und sie erhalten eine allgemeine 403 angezeigt. Mit Policy Remediator können Sie Nutzern praktikable Schritte, mit denen sie das Problem beheben können, bevor sie sich an wenden Sie sich bitte an einen Administrator. Die jeweiligen Abhilfemaßnahmen hängen davon ab, Zugriffsrichtlinien, kann aber Dinge wie das Aktivieren der Displaysperre, das Aktualisieren Version des Betriebssystems oder den Zugriff auf eine App über ein vom für Ihr Unternehmen.

Policy Remediator aktivieren

Gewähren Sie dem Administrator Ihrer Organisation die Rolle roles/policyremediatormanager.policyRemediatorAdmin in der auf Organisationsebene aus, indem Sie die folgenden Befehle in der Google Cloud CLI ausführen:
```
gcloud organizations add-iam-policy-binding 'organizations/ORGANIZATION_ID' \
    --member PRINCIPAL \
    --role roles/policyremediatormanager.policyRemediatorAdmin
```
Ersetzen Sie Folgendes:
- ORGANIZATION_ID: die Google Cloud-Organisations-ID.
- PRINCIPAL: die Kennung für das Hauptkonto oder das Mitglied, die bzw. das hat normalerweise das folgende Format: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.
Aktivieren Sie die Policy Remediator Manager API mit dem folgenden Befehl:
```
gcloud services enable policyremediatormanager.googleapis.com
```

Policy Remediator Manager aufrufen, um Policy Remediator für die Projekten in einer Organisation wird ein Dienst-Agent erstellt.

curl -X POST \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService:enable"  \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die Google Cloud-Organisations-ID.
ACCESS_TOKEN: Generieren Sie das Zugriffstoken mit dem folgenden Befehl.
```
gcloud auth print-access-token
```
PROJECT_ID: die Google Cloud-Projekt-ID.

Die folgende Beispielantwort enthält die Details zum Dienst-Agent:

{
"name": "organizations/ORGANIZATION_ID/locations/global/operations/",
"metadata": {
  "@type":
"type.googleapis.com/google.cloud.policyremediatormanager.remediatorservicemanager.v1alph
a.OperationMetadata",
   "createTime": "",
   "target": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
   "verb": "update",
   "requestedCancellation": false,
   "apiVersion": "v1alpha"
 },
 "done": false
}

Dabei ist ORGANIZATION_ID die Google Cloud-Organisations-ID.

Führen Sie in der Google Cloud CLI den folgenden Befehl aus, um auf den Dienst-Agent zuzugreifen, den Sie erstellt haben:

curl -X GET \
"https://policyremediatormanager.googleapis.com/v1alpha/organizations/ORGANIZATION_ID/locations/global/remediatorService" \
--header 'Authorization: Bearer ACCESS_TOKEN' \
--header 'X-Goog-User-Project:PROJECT_ID'

Ersetzen Sie Folgendes:

ORGANIZATION_ID: die Google Cloud-Organisations-ID.
ACCESS_TOKEN: Generieren Sie das Zugriffstoken mit dem folgenden Befehl.
```
gcloud auth print-access-token
```
PROJECT_ID: die Google Cloud-Projekt-ID.

Sie sollten die E-Mail des Dienst-Agents in folgendem Format erhalten:

{
"name": "organizations/ORGANIZATION_ID/locations/global/remediatorService",
"state": "ENABLED",
"serviceAccountEmail": "service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com"
}

Dabei ist ORGANIZATION_ID die Google Cloud-Organisations-ID.

Rolle „Dienst-Agent“ in der Admin-Konsole zuweisen

Melden Sie sich in der Admin-Konsole an.

Zur Admin-Konsole
Gehe zu Konto > Administratorrollen und klicken Sie dann auf Neue Rolle erstellen.
- Geben Sie einen Namen und eine Beschreibung (optional) für die Rolle ein und klicken Sie dann auf Weiter.
- Gehen Sie unter Berechtigungen in der Admin-Konsole zu Dienste > Mobilgeräte- und Geräteverwaltung und wählen Sie die Berechtigung Geräte und Einstellungen verwalten aus.
- Gehen Sie unter Admin API-Berechtigungen zu Gruppen und wählen Sie das Kästchen Lesen aus. Berechtigung.
- Klicken Sie auf Weiter, bestätigen Sie Ihre Eingaben und schließen Sie die Erstellung der Rolle ab.
- Gehen Sie zu Dienstkonten zuweisen und geben Sie die E-Mail-Adresse der neuen Dienst-Agent erstellt.
- Klicken Sie auf Hinzufügen > Rolle zuweisen.
Führen Sie in der Google Cloud CLI die folgenden Befehle aus, um dem Dienst-Agent zu gewähren. Rolle (policyremediator.serviceAgent) für den Dienst-Agent auf der Organisationsebene. Dadurch erhält der Dienst-Agent die Berechtigung, den Identity and Access Management und andere Zugriffsrichtlinien für Ihre Organisation.
```
gcloud organizations add-iam-policy-binding 'organizations/' \
   --member='serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-v1-remediator.iam.gserviceaccount.com' \
   --role='roles/policyremediator.serviceAgent'
```
Ersetzen Sie ORGANIZATION_ID durch die Google Cloud-Organisations-ID.

Policy Remediator für eine IAP-Ressource aktivieren

Sie benötigen eine Chrome Enterprise Premium-Lizenz, um diese Funktion zu nutzen.

Rufen Sie die Seite "Identity-Aware Proxy (IAP)" auf.
Zu IAP
Wählen Sie eine Ressource aus und klicken Sie auf Einstellungen.
Klicken Sie auf Zugriff beheben und wählen Sie dann Abhilfemaßnahmen generieren aus.

Rolle „Remediator“ gewähren

Um Nutzern die Berechtigung zu erteilen, den abgelehnten Zugriff auf IAP-Ressourcen zu beheben, Führen Sie den folgenden Befehl in der Google Cloud CLI aus:

gcloud iap web add-iam-policy-binding \
    --member='PRINCIPAL' \
    --role='roles/iap.remediatorUser'

Ersetzen Sie PRINCIPAL durch eine ID für das Hauptkonto oder das Mitglied. hat normalerweise folgendes Format: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

Weitere Informationen finden Sie unter gcloud iap web add-iam-policy-binding.

Um Nutzern die Berechtigung zu erteilen, den Zugriff auf IAP-Ressourcen auf Projektebene zu verwalten, Führen Sie den folgenden Befehl in der Google Cloud CLI aus:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member PRINCIPAL \
    --role roles/iap.remediatorUser

Ersetzen Sie Folgendes:

PROJECT_ID: die Google Cloud-Projekt-ID.
PRINCIPAL: die Kennung für das Hauptkonto oder das Mitglied, die bzw. das hat normalerweise das folgende Format: PRINCIPAL_TYPE:ID. Beispiel: user:my-user@example.com.

Abhilfe mit dem Helpdesk

Wenn Endnutzern der Zugriff verweigert wird, werden sie auf eine Seite für Chrome Enterprise Premium weitergeleitet die Informationen zur Fehlerbehebung enthält, einschließlich einer URL zur Fehlerbehebung und einer Abhilfetoken. Wenn Nutzer nicht berechtigt sind, das Abhilfetoken zu öffnen, kann er das Abhilfetoken kopieren und an den Helpdesk senden, Hilfe.

Richtlinienattribute und zugehörige Mitteilungen

Die folgende Tabelle enthält eine Liste der Attribute, die von Policy Remediator unterstützt werden.

Attribut	Standardnachricht
`ip_address`	Du greifst über ein Netzwerk auf die App zu die von Ihrem Unternehmen nicht zugelassen sind.
`region_code`	Aus einer Region auf diese App zugreifen die von Ihrem Unternehmen zugelassen sind.
`is_secured_with_screenlock`	Legen Sie ein Passwort für den Sperrbildschirm fest. Deaktivieren Sie das Passwort für den Bildschirm auf Ihrem Gerät.
`verified_chrome_os`	Verwenden Sie ein Gerät mit verifiziertem [Betriebssystemtyp]. Verwenden Sie ein Gerät ohne verifizierten [Betriebssystemtyp].
`is_admin_approved_device`	Verwenden Sie ein Gerät, das vom Administrator Ihrer Organisation genehmigt wurde. Verwenden Sie ein Gerät, das nicht vom Administrator Ihrer Organisation genehmigt wurde.
`is_corp_owned_device`	Verwenden Sie ein Gerät, das Ihrer Organisation gehört. Verwenden Sie ein Gerät, das nicht Ihrer Organisation gehört.
`encryption_status`	Verwenden Sie ein verschlüsseltes Gerät. Verwenden Sie ein unverschlüsseltes Gerät.
`os_type`	Wechseln Sie zu einem Gerät vom Typ [Betriebssystemtyp]. Geräte mit dem Betriebssystem [OS type] können nicht auf diese App zugreifen.
`os_version`	Aktualisieren Sie auf eine Betriebssystemversion, die mindestens [version] ist. Führen Sie ein Downgrade Ihres Betriebssystems auf eine Version unter [version] aus.

Fehlerbehebung

Policy Remediator kann in den folgenden Fällen keine Abhilfe schaffen:

Eine Ressource hat widersprüchliche Richtlinien, z. B. muss ein Nutzer über Windows und macOS eine Verbindung herstellen.
Das Attribut wird vom Policy Remediator nicht unterstützt.
Der Dienst-Agent ist nicht berechtigt, das Problem zu beheben.